24 апреля, 2019, BIS Journal №1(32)/2019

Дерни за веревочку, дитя мое, дверь и откроется!


Вихорев Сергей

заместитель руководителя направления информационной безопасности (ООО "НТЦ "Вулкан"")

Эссе о влиянии сказок на ИБ

В зрелом возрасте, да еще обладая профессиональной деформацией сознания, начинаешь по-иному смотреть на сюжеты знакомых сказок, видеть там то, чего раньше не замечал, и удивляться тому, как это отражает современную жизнь. К примеру, старый любимый мультфильм про пионера Петю и Красную Шапочку[1], помните? Там больная подслеповатая старушка просила посетителей самим открывать дверь, дернув за веревочку. Под видом внучки в дом проник сначала Серый Волк, а потом и Петя Иванов. И только благодаря смекалки пионера не произошло беды: бабушка и внучка остались живы. Правда, в первоисточнике, у Шарля Перро, не все так радужно: потребовалась резекция желудка Серого Волка.

И что же этот сюжет напоминает?

АССОЦИАЦИИ ИЛИ ПАРАНОЙЯ

Современные информационные технологии уже повзрослели. Все реже мы находим автономные компьютеры, все чаще работа осуществляется в сети. Как правило, есть некий центральный сервер, к которому все пользователи стучатся, чтобы получить доступ к информации. И такой сервер (или целый ЦОД) защищается, чтобы ценная информация, хранимая на нем, никуда не делась. Проще говоря, сервер (или целая сеть) находится в защищенном сегменте, к которому предъявляются особые требования по безопасности. И он подконтролен, и администратор безопасности следит за тем, чтобы соблюдались правила доступа, чтобы все ПО было доверенное, чтобы, не дай Бог, не пролез какой-нибудь троян.

Но к этому серверу (или целой сети) вдруг стучится некто Имярек со своим компьютером, который к великому сожалению расположен неизвестно где, администрируется неизвестно кем, раньше был подключен неизвестно к какой сети, чем заражен – неизвестно и еще много–много чего неизвестно. А администратор безопасности ничего проверить не может: территория и зона ответственности – не его, он туда доступа не имеет. Но работать пользователю надо! И это жесткое требование бизнеса. Таких ситуаций в нашем современном мире – море: это и система ДБО, и сеть банкоматов, и виртуальные сети различных организаций, которые имеют удаленных или мобильных пользователей.

И в этой неоднозначной ситуации, когда исчезает само понятие «периметр», администратор безопасности сервера оказывается в роли той самой подслеповатой бабушки из сказки. Он стоит перед выбором: либо доверится «голосу» как бы доверенного пользователя и пропустить под его личиной в защищенную сеть Серого Волка, либо – не пускать пользователя в закрытую сеть и нарушить все бизнес-процессы.

«Опять пугалки! – скажет кто-то из читателей. – Что тут сложного! Пользователь проходит процедуру идентификации-аутентификации-авторизации, которая отработана, и все – проблема решена!»

Да нет, не пугалки и не паранойя, а современные реалии информационных технологий, и не все в них так просто. Положим, удаленный пользователь прошел все установленные процедуры идентификации-аутентификации-авторизации, и у администратора безопасности нет, кажется, оснований не допускать пользователя в закрытую сеть. Но надо учитывать, что, как правило, к таким удаленным рабочим местам предъявляются требования безопасности, которые обязательно должны быть выполнены до подключения к защищенной сети. Например, должны быть заблокированы USB-порты, отключены некоторые службы операционной системы, установлены антивирусные средства, включены средства шифрования, надо чтобы на этом компьютере не запускались игры из Интернета и прочая, прочая, прочая. А теперь ответьте на вопрос: по результатам успешного прохождения процедуры идентификации-аутентификации-авторизации удаленного пользователя администратор безопасности защищенной сети может быть уверен, что все эти требования удаленным пользователем выполнены?

КОНЦЕПЦИЯ ДОВЕРЕННОЙ СРЕДЫ

В более ранних публикациях я уже выдвигал тезис о концепции «доверенной среды» как противовеса концепции «изолированной среды», предполагающей, что все элементы защищаемой системы должны быть изолированы от окружающей среды, что в современных условиях означает остановку всех бизнес-процессов. В то же время, в силу принципа декомпозиции, каждый элемент защищаемой системы может быть защищен и в этом случае, соединение их в единую информационную систему с помощью защищенных каналов позволит создать вокруг информации (а не элементов информационной системы!) надежную оболочку. Однако в этом случае мы должны быть уверены в лояльности всех элементов, то есть доверять им. Если мы сможем быть уверенными в надежности каждого элемента, нам не обязательно изолировать их в замкнутой среде. Это и есть смысл концепции «доверенной среды», которая требует:

локализации информационных ресурсов, требующих защиты;
счётности всех субъектов отношений и всех объектов защиты;
доверенности конфигурации и настроек программного обеспечения и технических средств информационной системы и ее удаленных элементов;
целостности всех элементов информационной системы и её окружения;
подконтрольности всех действий и документированности всех событий, влияющих на безопасность.

Практически все эти действия возможно реализовать на стороне нашего защищенного сервера (сети). За исключением одного: контроля доверенности конфигурации и настроек программного обеспечения и технических средств удаленного компьютера.

PRAEMONITUS, PRAEMUNITUS[2] 

Да, при развитии технологий удаленного доступа в полный рост встает проблема не только идентификации самого пользователя, но и оценки доверия к тому устройству, на котором пользователь проводит процедуру идентификации-аутентификации-авторизации. Администратор безопасности должен иметь инструмент, позволяющий определить, что подключаемое к системе устройство действительно Красная Шапочка, а не Серый Волк. То есть такой инструмент должен позволять проводить контроль технических параметров удаленных рабочих мест, влияющих на информационную безопасность. По видимости такой инструмент, назовем его «Системой активного мониторинга состояния рабочих мест при подключении к информационной системе», должен позволять следить за аппаратным и программным обеспечением рабочих мест, определять тип и состав зарегистрированных USB устройств, проверять запущенные в операционной системе процессы и доступность сетевых сред, работу антивирусных средств.

Кроме того, такая система мониторинга должна уметь регистрировать любые события, влияющие на безопасность рабочего места и, в частности, регистрировать любые изменения в аппаратной и программной среде, нарушения правил информационной безопасности.

Ну, и наконец, система мониторинга должна быть проактивной, осуществлять мониторинг не только в момент подключения рабочего места к информационной системе, но и в течение всего сеанса взаимодействия с определенной периодичностью, а также уметь блокировать подключение рабочего места в случае нарушения установленных требований безопасности информации как в автоматическом режиме, так и вручную.

Надо также учитывать, что в современных информационных системах уже используются различные системы контроля состояния безопасности информации. Поэтому система активного мониторинга должна быть сопрягаема с другими системами и уметь экспортировать в них события безопасности информации.

К большому сожалению, на рынке ИБ такие системы практически не представлены. И тут есть о чем задуматься нашим отечественным разработчикам. А может быть именно сейчас и появляется новый класс систем защиты, например, SAMW – system of active monitoring of the workplace… Это – мысли вслух, простой перевод упоминаемой фразы «система активного мониторинга состояния рабочих мест» в стиле Гартнера. Но, может, это и есть начало «систем поведенческого анализа технических средств»?

 

[1] «Петя и Красная Шапочка» — советский мультипликационный фильм по сценарию Владимира Сутеева по мотивам сказки Шарля Перро «Красная Шапочка», Союзмультфильм, 1958.

[2] Предупрежден – значит вооружен (лат.)

 

Василий Окулесский, заместитель начальника службы ИБ банка «Возрождение», кандидат технических наук

BIS-комментарий

Сказка ложь? Какой-то там намек? Разве?

Правда или ложь – результат логической операции. Если предположить, что утверждения, изложенные в статье – ложь, то какой это урок? Типичная профессиональная деформация видения окружающей жизни. По логике профессионального защитника информации, любая полезная информация является одновременно полезной и несущей зло. И наше (деформированное) мышление видит только вторую составляющую.

 

Проблема Волк-Неволк, Бабушка-Небабушка стоит сейчас даже более остро, чем описал автор статьи. Но есть несколько «НО». Не то, чтобы все неправильно, нет, в целом все правильно, НО, я бы сказал, 30 на 70.

Имярек действительно регулярно пытается врываться в защищаемую систему, но периметр уже сильно размыт, порой его просто нет. Доверенная среда не может существовать в открытых системах – защищенность среды определяется защищенностью/слабостью самого слабого звена, а значит, самая маленькая дырочка в воздушном шарике мгновенно приводит в взрыву-разрыву оболочки этого шарика. Концепция безопасности должна строится из предположения, что участники отношений действуют в условиях «зараженной» среды и доверять им можно только с определенной долей вероятности. Любые детерминистические (основанные на оценке состояния/изменения каких-либо технических параметров) методы аутентификации перестают работать и начинают работать вероятностные механизмы.

Но если продолжать следовать этой логике, то на самом деле предпоследний тезис статьи дает ответ, как найти выход из ситуации, когда все участники являются пользователями удаленного доступа: надо только научиться анализировать поведение самого предполагаемого контакта и поведения его технических инструментов, надо научиться определять/запоминать/анализировать, что такое нормальное/типичное поведение, а что такое не нормальное, и на основании этого принимать решение Волк/Неволк.

А вот финальный пассаж – напрасная печаль. Сегодня на нашем российском рынке фактически происходит маленькая революция в продуктах поведенческого анализа и людей, и технических средств, и это вселяет настоящий оптимизм. Не хочу их рекламировать, но они есть и очень неплохо развиваются.

С уважением к моему давнему другу Сергею Вихореву.

 

 

 

 

Смотрите также

Подпишись на новости!
Подписаться