Принципы работы с киберпреступлениями для специалиста по ИБ

Рассказывает эксперт курса «Специалист по информационной безопасности» в Нетологии

Как работа специалиста по ИБ связана с киберпреступлениями и этичностью

Работа специалиста по ИБ связана с предотвращением киберпреступлений, а именно с повышением стоимости успешной атаки для преступника. Это значит, что система защиты выстраивается так, чтобы для злоумышленника выгода от успешно проведенной атаки была ниже затрат на ее осуществление. То есть сделать саму атаку «невыгодной».

С этой целью обеспечивается комплекс мер безопасности, и злоумышленнику сложнее (ключевое — сложнее, а не невозможно) добиться своей цели. К таким мерам относятся:

• организационные меры (например, обучение сотрудников правильным практикам работы: не открывать непонятные архивы в почте, не переводить средства по звонку/письму от руководства, следовать регламенту и не разглашать учетные данные от систем);
• программно-технические меры (например, установка средств межсетевого экранирования, антивирусной защиты, системы обнаружения вторжений, системы контроля целостности, DLP и другие);
• иные дополнительные меры.

Раньше поиску уязвимостей в компании уделялось очень мало внимания (если вообще уделялось). Иногда отношение было на уровне «да кому нужно нас взламывать». Шифровальщики, которые значительно активизировались с 2015 года, способствовали изменению отношения хотя бы к базовым мерам ИБ. Сейчас ситуация гораздо лучше — регуляторы (ФСТЭК, ЦБ РФ и другие) делают обязательными требования для компаний по использованию необходимых средств защиты, а также по поиску и анализу уязвимостей. Поэтому разработчики и операторы информационных технологий/систем фактически обязаны этим заниматься, а сфера активно развивается.

Однако не всегда у самих сотрудников хватает полномочий, навыков и компетенций для поиска уязвимостей. В таких случаях привлекаются внешние организации, которые предоставляют услуги по комплексному анализу защищенности компании. Это и проверка соответствия/выполнения требований регуляторов (не на бумаге, а на деле), и проведение тестирования на проникновение и т.д. Занимаются этим как специализирующиеся на ИБ компании (Positive Technologies, Ростелеком Solar), так и другие компании (Мегафон).

В худшем случае, специалисту по ИБ покупают специальную программу, с помощью которой он сканирует систему, находит ошибки и устраняет их. Такой подход плох тем, что специалист не всегда понимает технологии проведения сканирования и поиска уязвимостей, а просто  слепо следует инструкциям программы.

В небольших компаниях за ИБ отвечают 1-2 человека, и времени на поиск уязвимостей обычно очень мало (от 1 до 3 часов в неделю). Часто бывает и такое, когда в компанию приходит сторонний интегратор, настраивает систему ИБ, а сотрудники компании только мониторят дальнейшие процессы. На практике встречаются и исключения, когда специалист не перегружен административными задачами и успешно тестирует новые сервисы в рамках своей компетенции и находит в них уязвимости.

Стоит отметить, что в больших компаниях под цели безопасности выделяют целые подразделения, и возможностей и компетенций у специалистов там гораздо больше.

Специалисты по ИБ (как внешние, так и являющиеся сотрудниками) должны не просто понимать принципы этичного хакинга, но и следовать им. Иначе действия специалиста могут расцениваться как противозаконные. Например, замедление работы сервиса либо его вывод из строя. Молодые специалисты часто считают деструктивные воздействия на систему показателем крутизны. Важно, чтобы понятие допустимых действий было строго указано в договоре или соглашении между специалистом и компанией.

Противозаконным и неэтичным считается и разглашение информации, то есть сообщение третьим лицам о деталях проведения исследования, найденных уязвимостях, особенностях системы и организации ее защиты. Чаще всего это происходит во время дружеских посиделок, когда люди делятся своими достижениями. Либо во время продажи услуг новым клиентам — рассказывают о предыдущем опыте и найденных уязвимостях с раскрытием деталей. Специалист по ИБ ни в коем случае не должен поступать так, потому что это не характеризует его как профессионала.

Часто подобные вопросы задают на собеседованиях или при предварительном общении с компаниями, предлагающими услуги по ИБ. Делается это для проверки на «вшивость» — если человек легко делится информацией, это значит, что он «сольет» ее и следующему работодателю или клиенту.

В целом любой специалист должен понимать, к каким последствиям могут привести его действия и бездействие. Российское законодательство предусматривает наказания от штрафов до реальных сроков — статьи 138, 159.6, 272, 273 УК РФ.

В каких компаниях работают специалисты по ИБ

Можно выделить три ключевых направления компаний, в которых работают специалисты по ИБ:

• организации, которые попадают под государственное и отраслевое регулирование (чаще всего это совмещено);
• компании, для которых потенциальные потери очень велики.

К первой группе относятся все госучреждения, банки, организации по разработке и поддержке государственных информационных систем, организации, работающие в сфере оборонно-промышленного комплекса, и те, кто непосредственно занимается информационной безопасностью.

Ко второй группе относятся диджитал-компании, которые ведут бизнес онлайн. Яркий пример последних месяцев — Zoom: компания потеряла достаточно много из-за проблем с безопасностью, когда видео из конфиденциальных видеоконференций попали в открытый доступ на YouTube и Vimeo. Хотя ранее правоохранительные органы США предупреждали о проблемах сервиса с хранением данных и конфиденциальностью. Скорее всего, теперь компания уделит этому вопросу больше внимания, что в потребует привлечения компетентных специалистов.

Должен ли специалист по ИБ думать как киберпреступник

Специалист, который занимается предотвращением киберугроз, должен понимать самые распространенные схемы действий киберпреступников и уметь их воспроизводить на базовом уровне (конечно же, все воспроизвести не получится).

Выстраивание защиты — это непростой процесс. Несмотря на готовые методики, все они описывают лишь шаги. Например в руководящих документах ФСТЭК РФ, ЦБ РФ или специализированных стандартах/рекомендациях. Эти методики нужно адаптировать под конкретную организацию, так как они предполагают проведение экспертного анализа (или оценки). По результатам анализа и оценки осуществляется тот или иной набор действий. И специалист должен сделать это самостоятельно на основании своего опыта. А для этого необходимо постоянно обучаться (в том числе на примерах реальных атак), изучать мировой опыт, нормативные акты и стандартные шаблоны. Так формируется видение, которое специалист по ИБ адаптирует.

На этапе создания системы знание самых распространенных схем (например, CEH или OWASP) позволяет понять общую логику и перепроверить, не упустил ли специалист что-то важного. Умение воспроизводить действия хакеров позволяет не надеяться на то, что настройки безопасности защитят от любых киберугроз, а проверять их хотя бы в базовом варианте реализации. Но именно так специалист выясняет, работает ли система защиты на текущий момент.

Нужно понимать, что все вышеописанное — всего лишь инструменты снижения рисков. При этом, есть два ключевых момента:

• нужно постоянно обновлять знания и навыки, чтобы они соответствовали текущим реалиям;
• нужно учитывать, что злоумышленники имеют намного больше навыков, инструментов, средств и времени для организации и проведения кибератаки.

Важно помнить, что злоумышленника никто и ничем не ограничивает. Если его задача — взломать систему защиты, то он может сначала нанять человека для сбора общей информации, а потом мега-спеца по конкретной технологии из собранного списка.

Когда специалист по ИБ строит защиту, то у него нет таких возможностей из-за нехватки ресурсов. Ресурсы всегда ограничены как бюджетом, так и временем, рамками законодательства и имеющимся в наличии персоналом. Поэтому готовиться нужно всегда к худшему варианту развития событий. А слепое следование инструкциям вряд ли можно назвать хорошей практикой.

Каким принципам должен следовать такой специалист

Организационные принципы

Рациональность. Если задача специалиста состоит в построении системы защиты, то его работа должна быть рациональной. То есть ему нужно четко понимать, что и зачем защищается и сколько ресурсов компания готова потратить на защиту.

Планирование мер реагирования. Невозможно что-то защитить на 100%. Поэтому есть ключевой момент, про который все почти всегда забывают, — нужен план действий с ответом на вопрос, как действовать, если специалист не защитил то, что должен был. Это огромная проблема, потому что большинство специалистов по ИБ не допускают возможности успешной кибератаки, если они уже настроили защиту.

Из-за этого заблуждения они не продумывают меры реагирования. И когда кибератака успешно реализуется, то у специалистов предсказуемо начинается паника и судорожные попытки что-то сделать или переложить ответственность на других сотрудников. Такой подход не решает проблему по существу.

Знание общих принципов и специализация. Нельзя освоить весь объем знаний, навыков и практик кибербезопасности. Поэтому специалист обязательно встает перед выбором — быть специалистом широкого профиля или концентрироваться на конкретном направлении, имея при этом общий кругозор.

Например, сложно одновременно быть в курсе деталей происходящего в сфере безопасности веб-приложений, мобильных приложений, реверс-инжиниринга, безопасности контейнеров и их оркестраторов, социальной инженерии, платёжных систем, биометрии, применении средств AI (искусственного интеллекта). Каждое из этих направлений требует достаточно большого количества времени и усилий для поддержания актуальности знаний и навыков.

Поэтому, с одной стороны, специалист по ИБ должен владеть общими принципами и уметь выстраивать процессы (менеджмент), а с другой — специализироваться на конкретном направлении (или нескольких).

Принципы этичности

Если стоит задача исследовать механизмы защиты существующей системы, то специалист по ИБ следует тому, что заключено в понятии этичного хакинга. А именно — не навредить владельцам и пользователям системы и исходить из того, что наша задача заключается в помощи по выстраиванию системы безопасности. Из этого следуют все остальные принципы:

• необходимость получения разрешения на выполнение тех или иных действий (например, можно ли посылать сотрудникам «фейковые» письма от лица руководства);
• необходимость обеспечивать конфиденциальность получаемой информации (нельзя рассказывать коллегам/товарищам/публично о деталях реализации систем, найденных уязвимостях);
• не наносить урона исследуемой системе.

Что важно учитывать при работе с постоянными угрозами

При работе с постоянными угрозами важно понимать, что все постоянно меняется, в том числе киберугрозы и сами информационные системы.

Поэтому организация безопасности — это непрерывный процесс, а не единоразовые мероприятия. Этот процесс нуждается в постоянном корректировании и анализе того, насколько он соответствует текущим реалиям. В большей степени качество обеспечения безопасности зависит от руководителей организации, которые должны не только понимать, зачем это все нужно, но и уделять этому достаточное количество внимания Потому что специалист по ИБ — не самостоятельное лицо, ему нужны полномочия и бюджеты.

Полномочия дают право воздействовать на бизнес и IT. Так как бизнес хочет быстрого выхода на рынок, а требования ИБ — это тормоз и лишние расходы. Для IT эти требования — это лишнее время и ресурсы, и ограничения в работе. Бюджет нужен на покупку софта, оборудования, обучение и привлечение внешних специалистов.

Что делать, если киберпреступление все-таки произошло

Преступление всегда расследуется с привлечением компетентных органов в соответствии с законодательством. В этом случае специалист по ИБ выдает следователям необходимую информацию, высказывает предположения по поводу киберпреступления. При этом он только способствует расследованию, но не выступает экспертом. Потому что экспертное заключение вправе давать только независимое (незаинтересованное) лицо.

В самой компании производится комплексный анализ инцидента: где и когда произошел, откуда пришла информация и на что повлияла. После этого системы защиты корректируют. Сюда включается принятие организационных решений для предотвращения подобных инцидентов в будущем. Возможно принятие других мер, например, проведения внешнего аудита ИБ сторонней организацией. Но это зависит от конкретного случая.

Как постоянно обучаться и узнавать новые способы хакинга на рынке

Если составлять общий перечень без учета специализации, то можно выделить следующее:

1. Следить за специализированными новостными ресурсами (например, anti-malware.ru) и блогами/каналами известных специалистов;
2. Выстраивать коммуникации с другими специалистами по ИБ;
3. Посещать тематические конференции и мероприятия (как открытые, так и специфические, организуемые регуляторами);
4. Анализировать новые решения вендоров в сфере ИБ (какие функции внедряются, от чего они защищают);
5. Привлекать (по возможности) внешние компании, перенимая их компетенции (например, для проведения аудита);
6. Анализировать статистику (например, вендоры достаточно часто публикуют статистику киберпреступлений, атак и уязвимостей на основе своих данных, организации и регуляторы могут публиковать свою статистику, например, мошенничество в банковской сфере);
7. Повышать квалификацию на специализированных тренингах и курсах (желательно разных вендоров).

Этот перечень корректируется с учетом временных и финансовых ресурсов:

• Бесплатные (затраты только по времени):Новости;Статистика;Анализ решений вендоров.
• Платные (иногда достаточно дорогостоящие):Конференции (там же коммуникации);Краткосрочные курсы повышения квалификации.
• Дороже — целевое обучение.
• Самое дорогое — привлечение специалистов сторонних компаний.