Суровая правда, с которой должны научиться жить ИТ-специалисты по безопасности

28.04.2015 | 20:37 Аналитика

Будьте бдительны: решения по обеспечению безопасности всегда будут отставать от фундаментальных уязвимостей в ИТ-системах

Почти у любой компании в мире найдутся тысячи уязвимостей, которыми хакеры могут легко воспользоваться. Для тех, кто работает в ИТ, это не является новостью.

Реальность такова, что ИТ-неуязвимость невозможно купить по любой цене. Компании тратят большую часть своих ИТ-бюджетов на защиту компьютерной безопасности, чтобы предотвратить попытки хакеров воспользоваться повседневными уязвимостями. Теория проста: при наличии достаточного количества уровней безопасности, злоумышленники пойдут искать более легкую цель в другом месте.

Маленький грязный секрет отрасли в том, что никакое решение компьютерной безопасности не работает так, как рекламируется. Любая «гарантирующая защиту, передовая система-безопасности» обречена на провал. Обещанная поставщиками и ИТ-подразделениями цель, является лишь несбыточной мечтой. Максимум, что мы можем сделать — приложить максимум усилий.

Следующие шесть горьких истин ИТ-безопасности объясняют, почему сегодняшние решения безопасности не справляются со своей задачей, и как ИТ-специалисты и компании ИТ-индустрии могут улучшить, по крайней мере, некоторые из несовершенных решений в области безопасности.

Неравномерное распределение защиты

Трудно создать непробиваемую защиту, когда вы не можете установить ваше программное обеспечение на любое устройство в вашей среде. Решения в области безопасности работают только с определенным подмножеством платформ и версий, и это подмножество всегда меньше, чем то, что есть у клиента. Некоторые решения не поддерживают устаревшие устройства и операционные системы. Другие не работают с последними ОС и устройствами.

О сегодняшнем сложном BYOD-мире можно сказать лишь одно — работа по защите сети превратилась из сложной в невозможную. Забудьте, что поставщики средств безопасности не поддерживают все платформы. Правда заключается в том, что никто, даже ИТ-отдел не понимает всех устройств, которые используются для подключения к сети. Это телефон, планшетофон, планшет или субноутбук? Работает ли это устройство на Windows, Linux, OS X, или какой-то своей ОС, о которой никто из сотрудников никогда не слышал? Это физический или виртуальный актив? Если это виртуальная машина, будет ли она существовать завтра? Находятся ли данные на корпоративных серверах или на чьем-то портативном устройстве? Принадлежит ли оно компании или подрядчику?

Даже для поддерживаемых устройств и платформ, внедрение является несовершенным. Вы никогда не получите 100% защиту устройства от вашего решения безопасности, благодаря множеству вопросов, в том числе вопросам с сетью или подключением к сайту, блокировке брандмауэрами, автономным средствам, поврежденным реестрам или локальным базам данных, отдельным доменам безопасности и изменениям в разных версиях ОС.

Добавьте к этому политические и управленческие препятствия, которые часто называют восьмым уровень модели OSI (open systems interconnection basic reference model — базовая эталонная модель взаимодействия открытых систем). Управленцы, бизнес-подразделения, отделы и системы, которые пользуются привилегиями по умолчанию, помешают вам внедрить даже блестящую идею для защиты компании.

В результате, ИТ-безопасность должна смириться с горькой правдой, что на какой-то части устройств никогда не будет установлено программное обеспечение для обеспечения безопасности. Как минимум, важно, чтобы любое решение безопасности могло сообщить – на каких устройствах успешно установлено программное обеспечение, а на каких есть проблемы. Затем вы можно найти общие черты и попытаться установить программное обеспечение на максимально возможном количестве устройств.

Но установка программного обеспечения — только первое испытание.

Нехватка персонала для развертывания и мониторинга

Слишком часто компании покупают хорошее решение компьютерной безопасности, но не внедряют его надлежащим образом, если вообще внедряют. Месяцы, потраченные на оценки и споры по поводу покупки программного обеспечения безопасности, заканчиваются заброшенной распакованной коробкой где-нибудь в углу. Или какой-нибудь несчастному, одинокому сотруднику скажут, чтобы он развернул новое решение, несмотря на его перегруженность критически важной работой, которая считается его «реальной работой».

Сотрудники прилагают героические усилия, чтобы развернуть все что могут в течение нескольких дней. Они становятся псевдо-экспертами по устройствам и угрозам, которые предполагалось предотвратить. Они делают все возможное, чтобы настроить устройство, обеспечивающее безопасность, и в течение следующих нескольких дней или недель, вполне сносно выполняют работу мониторинга.

Затем, другие критически важные приоритеты побеждают. Довольно скоро, этот новый инструмент безопасности контролируется меньше и меньше. Ни у кого нет времени, чтобы отслеживать ложные срабатывания, а тем более следовать рекомендациям предупреждений.

Вскоре после этого, устройство выдает уведомление за уведомлением, все из которых теряются в шуме других плохо контролируемых устройств безопасности. Отчет расследования о взломе Verizon Data отмечает, что от 70 до 90% всех вредоносных инцидентов можно было бы предотвратить или обнаружить раньше, если бы контролировались существующие журналы и оповещения. Это неудивительно, учитывая устоявшийся, почти неизбежный цикл от развертывания до прекращения использования.

Безопасность устройств никогда не бывает самообслуживающейся. Нужны правильные команды, ресурсы и внимание, чтобы хотя-бы приблизиться к обещаниям производителей. Компании легко покупают основные фонды, но боятся увеличить эксплуатационные расходы и численность персонала. Это означает запланированную неудачу. Не попадайтесь на это.

Подумайте о правдоподобном обслуживании персоналом, прежде чем купить какое-либо решение для обеспечения безопасности.

Хакерам нужно найти только одну слабость

Предположим, у компании есть 1000 веб-серверов, и 999 из них полностью пропатчены и прекрасно настроены. Все что нужно сделать хакеру, это запустить сканер уязвимостей и настроить его на нужное доменное имя или диапазон IP-адресов — игра закончена. Сканирование 1000 компьютеров занимает лишь незначительно больше времени, чем одного.

Обычное сканирование уязвимостей покажет одну или несколько уязвимостей на каждом сервере, если не десятки уязвимостей. Когда проверка завершена, хакеру нужно только выбрать что-то из множества результатов, чтобы решить, что использовать в первую очередь.

Одного лишь слабого звена будет достаточно, чтобы запустить вредоносную кампанию по электронной почте. Стоит отправить вредоносное сообщение большому количеству сотрудников, найдется, по крайней мере, один человек, независимо от того, насколько он умен, который откроет письмо и слепо последует предлагаемым инструкциям. Десятки антифишинговых тестов показали довольно большое количество — от 25 до 50% сотрудников, у которых можно получить учетные данные с первой попытки. В то время как коэффициент конверсии падает с каждым последующей тестовой рассылкой для тех, кто прошел предварительное испытание, всегда будет какая-то часть пользователей, которая среагирует на каждом этапе фишинговых атак.

Чем более разнородный тип сотрудников вы используете, тем труднее укрепить обороноспособность. Некоторые из самых больших взломов, произошедших в последние годы, произошли из-за подрядчиков. Один из самых разрушительных взломов розничного продавца Target в 2013 году, происходил от эксплуатируемого HVAC-подрядчика.

Иногда злоумышленники нацеливаются на самую надежную защиту. В одной из самых изощренных атак, группа хакеров взломала известную компанию по компьютерной безопасности RSA, используя атаку, сосредоточенную на старом, непропатченном программном обеспечении. Затем они послали вредоносный файл электронной таблицы, который помог им проникнуть внутрь.

Расследование показало, что пользователям было показано не менее пяти сообщений, предупреждающих, что содержание, которое они собирались открыть, может оказаться зловредным. При каждом предупреждении, они должны были выбрать ответ не по умолчанию, чтобы обойти предупреждение, и в каждом случае они так и сделали. После того, как нападавшие проникли внутрь, они украли цифровые секреты, пользующиеся большим доверием – ключи SecureID брелока RSA и использовали их для взлома своих конечных целей, которые включали американских военных гигантов Northrop Grumman и Lockheed-Martin. Даже если у вас есть хорошая безопасность, злоумышленники могут взломать ваших бизнес-партнеров и использовать это против вас.

Даже если вы совершенны в выявлении и ликвидации уязвимостей, все, что нужно атакующему, это применить инструменты анализа уязвимостей к каждой из ваших операционных систем и приложений, подключенных к Интернету, чтобы получить «отпечатки пальцев», а затем ждать, пока один из этих поставщиков программного обеспечения не выпустит критический патч.

Независимо от того, насколько хороша компания в установке патчей, она не установит их быстрее, чем злоумышленник сможет воспользоваться инструментами, доступными через несколько часов после объявленной уязвимости.

Хакеры очень легко могут изменить тактику

Защитники, по определению, являются реактивными, а в компьютерном мире это делает их гораздо медленнее, чем атакующие. ИТ-индустрии безопасности требуется от двух до трех лет, чтобы в полной мере ответить на новую угрозу. Злоумышленники переключаются на новые или немного отличающиеся типы атак задолго до этого.

В конце 1980-х годов, когда загрузочные вирусы были в моде, потребовалось буквально несколько лет, чтобы начать выводить сообщение, что пользователи должны вытащить дискету перед перезагрузкой компьютера. На самом деле, загрузочные вирусы не исчезли вплоть до исчезновения флоппи-дисковода. Теперь у нас есть вирусы автозапуска USB-устройств, которые делают то же самое. Макровирусы атаковали нас с удвоенной силой в 90-х годах, и потребовалось целое десятилетие, чтобы донести до людей то, что нельзя открывать все файлы в прикреплении, особенно, если они из неизвестных источников. Мы все еще пытаемся заставить людей понять это.

Все что нужно сделать хакерам, это немного изменить свои методы, и они будут снова успешными. Например, мы предупреждаем людей о фальшивых антивирусах, и их начинают обманывать фальшивыми программами для уплотнения диска. Мы предупреждаем людей об исправлении уязвимостей в их ОС, а злоумышленники переходят на популярные браузеры.

Сегодня большинство нападений происходит со взломанных веб-сайтов. Вас, скорее всего, взломают с сайта, которому вы доверяете и посещаете каждый день, чем с порносайта. Теперь мы пытаемся сказать людям, чтобы они не переходили по ссылке и не запускали исполняемый файл, предлагаемый в окне браузера, или не сообщали свои учетные данные для входа в систему людям, которые отправляют электронные письма.

Мы так и не научились останавливать хакеров от эксплуатации наших компьютеров, а они уже перешли на наши мобильные устройства. Почти все угрозы, которые были в мире ПК, повторяются в мобильном мире. Хуже того, мы очень плохо переносим накопленный опыт из одной платформы в другую. Все станет еще хуже, когда получит распространение Интернет вещей (IoT). Умные телевизоры, автомобили, тостеры, одежда — все будет целями для атаки.

Отсутствие внимания к определенным рискам

Но самая большая проблема компьютерной защиты заключается в неспособности надлежащим образом определить приоритеты конкурирующих рисков. Некоторые из сотен возможных способов взломов компании имеют гораздо большую вероятность, чем другие. Это делает огромным разрыв между самыми рейтинговыми угрозами и наиболее вероятными из них. Успех сопутствует тем, кто чаще сосредотачивает свои усилия по обеспечению безопасности на последних.

Можно попросить ИТ-персонал, занимающийся безопасностью, перечислить все способы защиты компьютерной безопасности, реализуемые в их компании, потраченные деньги и человеческие ресурсы, выделяемые на каждый проект. Затем попросите их рассказать о самых распространенных способах взлома их компании. Редко эти два ответа окажутся одинаковыми. Если ИТ-сотрудники не понимают, что что-то так, как вы можете эффективно защитить свою среду?

Чаще всего, проблемой № 1 является непропатченное программное обеспечение, а проблемой № 2 — социальная инженерия. В случае непропатченного программного обеспечения, это, как правило, касается от одного до трех неисправленных приложений из сотен, которые необходимо исправить, и которые несут ответственность за большинство эксплойтов со стороны. Но, сколькие из компаний сосредоточены на установке патчей для этих немногих приложений, отложив все остальное? Практически, ни одна.

Если социальная инженерия является проблемой №2, то как реализовать все программы обучения пользователей при ограниченном бюджете? Сейчас не встретишь компанию с образовательной программой для пользователей, на которой действительно регулярно рассказывают сотрудникам о последних угрозах и как их избежать. Большинство программ образования застряли в прошлом, предлагая решения, которые бы работали средненько еще десять лет назад.

Если на очень немногих программах обучения рассказывают пользователям о реальных антивирусных программах компании, так как они могут быть уверены, что пользователей не обманут фальшивыми? На очень немногих программах обучения рассказывают сотрудникам, что они, скорее могут заразиться от веб-сайта, которому доверяют, не говоря уже о напоминании того, что не нужно запускать неизвестные исполняемые файлы с любой веб-страницы. Сколько программ информируют сотрудников о самых частых эксплойтах, жертвами которых стали их коллеги, и как их избежать?

Ни одно решение не избавляет от реальной причины проблемы

Любое решение безопасности, которое вы покупаете, адресовано конкретному набору угроз на определенном наборе платформ. Каждое из них пытается (не всегда удачно) помешать определенной проблеме появиться из конкретного места. Между тем, проворные хакеры перемещаются и находят новую дыру. Играя в эту игру, защитники никогда не победят.

Однако за всеми стоит одна основная проблема, которая остается нерешенной: широкое распространение анонимности в Интернете. Любой желающий может отправить вам письмо, притворившись кем-то еще. Любой желающий может отправить сетевые пакеты, которые ваши серверы рассмотрят или передадут дальше. Любой желающий может притвориться кем-угодно. Это означает, что злоумышленников сложнее выявить и наказать. Пока это так, мы никогда не избавимся от хакерских атак.

Есть способы избавиться от всепроникающей анонимности, не раскрывая истинную идентичность каждого в каждом случае. Есть много случаев, в которых абсолютная анонимность должна быть гарантирована, как на многих форумах, и такие обстоятельства совершенно выгодны некоторым или всем участникам. Это базовая истина общества.

В то же время, предпочтительно никогда не получать письмо от кого-то, чья реальная личность не была проверена. Анонимные отправители почты слишком часто шлют угрозы и занимаются преследованиями. Введите «преследования в соцсети» в вашей любимой поисковой системе, и вы найдете множество инцидентов, когда люди удаляют аккаунты из социальных медиа из-за издевательств и угроз физической расправы с членами их семей. Возможность отвергать электронную почту от людей, чья реальная личность не была проверена, не может устранить такое поведение полностью, но это могло бы серьезно ограничить его.

Более того, если бы у нас был способ, позволяющий различным сторонам легко договориться об уровне разрешенной или не разрешенной анонимности при той или иной транзакции, уровень преступности в Интернете, скорее всего, упал бы, а также появилась бы возможность выявления и преследования интернет-преступников.

Конечно, ни одно решение не может решить эту проблему. Это требует согласованных усилий со стороны не только поставщиков решений безопасности, но и в Интернете в целом. У всех нас есть достаточно стимулов для участия в таких усилиях. Каналы без ddos атак, спам станет пережитком прошлого, вредоносные программы пойдут на убыль — это может случиться, когда мы сосредоточимся на правильной защите.