Двигать влево или вправо? Экономический подход к ИБ

Привет, Хабр! Меня зовут Петр Умнов, и сегодня я хочу рассказать об одной интересной концепции, которой поделился наш коллега Джефф Харди из Acronis Hosting Solutions. Речь идет о концепции отношения к киберугрозам со стороны хостинговых компаний, а также о методах «сдвига влево» и «сдвига вправо» для того, чтобы избежать рисков. На мой взгляд, эти соображения подойдут практически для любой компании, и поэтому решил поговорить о них в своем посте подробнее. 

Спектр угроз и количество инцидентов будут только расти

fb92709a5411528794ae2731c01f78d7.png

Эта мысль, наверное, очевидна сегодня для многих. Но самое главное — понимать, насколько интенсивным будет рост угроз, создаваемых различными видами вредоносного ПО. Если посмотреть на график, можно увидеть, что темпы появления новых типов угроз, а также общее количество атак и успешных взломов неуклонно растут, практически в геометрической прогрессии. Ситуация меняется довольно быстро. Например, на сегодня отраслевыми экспертами обнаружено и зарегистрировано почти миллиард новых вредоносных программ. 

047c53d053d2c094bca56af9c140c8ca.png

Что еще интересного говорит нам исследование Palo Alto? В разные промежутки времени различные киберугрозы выходят на свой пик популярности. Например, в недавнем прошлом именно вредоносное ПО (malware) было основным инструментом для проведения атак. Однако недавно на первое место все-таки вышли программы-шифровальщики, которыми активно пользуются сегодня большинство злоумышленников, атакуя бизнес. Точно так же расцвет переживают методы социальной инженерии, которые применяются в ходе фишинговых кампаний (часто связанных с распространением Ransomware).

2ca01f7686aba02298ae163b52bfa702.jpg

Другими словами дела обстоят как в игре «ударь крота». Маленькие вредители вылезают из разных лунок, и если первое время вы угадываете, откуда появится новая угроза, то по мере ускорения процесса, сделать это оказывается невозможно. Так, провайдеры услуг и компании могут думать, что они надежно защищены от доминирующих угроз. Но учитывая постоянные изменения в спектре инструментов киберпреступников, уже завтра можно оказаться беззащитными перед внезапно получившим популярность типом атак…а может и вовсе перед новой хакерской концепцией.

Впрочем, все это говорит об одном простом факте: сегодня действительно необходимо использовать многослойную и адаптивную защиту. А для провайдеров этот тезис актуален дважды: рассчитывая на подобный сервис, пользователи начинают требовать от своих хостеров соответствующего уровня информационной безопасности.

Пять аксиом киберзащиты + еще одна

Харди предложил интересную концепцию о »5+1 аксиомах киберзащиты», которые должны помочь хостерам сформировать соответствующий современности подход к собственной безопасности. И, как я уже говорил во вступлении, на мой взгляд, они актуальны для любой компании со своей собственной инфраструктурой. Порэтому давайте разберем их немного подробнее

1. Хакеры и киберпреступность — это направление бизнеса. Что же, тут явно попахивает КО, но факт остается фактом. Вопрос проникновения в сеть компании или кражи данных должен быть целесообразен с финансовой точки зрения. Если заразить компьютер не стоит вообще ничего, потому что на нем нет даже никаких антивирусных систем, его с удовольствием вовлекут, например, в ботнет. Если же имеется хотя бы базовая защита, а ценность от эксплуатации системы невелика, никто не будет специально заниматься ее взломом,

2. Никакая ИТ-система не может быть полностью защищенной, как бы хороши ни были ваши средства безопасности или шифрования. Эта аксиома отражает характер сегодняшних угроз. Благодаря автоматизации разработки нового вредоносного ПО, злоумышленники могут легко обойти сигнатурное обнаружение. А возможность долгое время оставаться в системе в пассивном состоянии, а также маскировка под легитимные процессы позволяют некоторое время обманывать даже поведенческие модули анализа.

3. Любую систему могут взломать, когда потенциальный доход превысит стоимость организации преступления — во времени, усилиях или напрямую в деньгах. И действительно, сегодня существуют группировки, которые целенаправленно атакуют определенные компании. Для этого выбирается жертва с высокими доходами, под сотрудников создаются специальные фишинговые кампании (например, письма email в корпоративной стилистике), а иногда даже генерируется специальный новый вид вредоносного ПО.

4. Стоимость реализации технологий (а значит и организации киберпреступлений) будет снижаться и дальше, в то время как ценность работы ИТ-систем продолжит расти. Тут ничего удивительно. Спасибо искусственному интеллекту за невероятную генерацию новых видов вредоносного ПО за доли секунды. На этом фоне дальнейшая автоматизация всего и вся делает ИТ-системы еще более важными для бизнеса, для технологических процессов, для жизни городов и так далее. Увы, атаковать становится выгоднее.

5. Лучший способ обеспечения защиты — увеличение стоимости и сложности компрометации, а также сведение к минимуму возможной выгоды для киберпреступников. Это очень интересный пункт, который выводит проблемы защиты на новый, можно сказать, менеджерский уровень. Например, наличие системы аварийного восстановления, которая позволяет вернуть компьютеры в рабочее состояние за минуты, лишает смысла атаки Ransomware.

5+1. Экономическая выгода оценивается не только тем, сколько сможет атакующий получить с компании. В нее входят также другие возможности использования взломанных систем. И этот тезис касается как раз хостинг-провайдеров и сервис-провайдеров, которые размещают данные других компаний и заказчиков. Хакеры могут стремиться ко взлому не для покушения на провайдера, а для проникновения в сети его клиентов или кражи их данных.

Сдвиги влево и вправо

В своем выступлении Харди поделился интересной идеей о том, что нужно совершать сдвиги влево или вправо (если говорить о диаграмме базовой экономической модели киберзащиты), чтобы обеспечить ИТ-безопасность своей компании. 

4a8df8137edc3d4c1d334a05330798fe.png

Красная линия — это стоимость организации атаки. Как показывает практика, она снижается со временем. Зеленая линия отражает просто стоимости и ценности ИТ-систем. Синие горизонтальные линии показывают срезы во времени. И пока мы находимся левее точки пересечения этих линий, систему можно считать защищенной….но время идет и играет против нас. Поэтому нужно «сдвигать ситуацию», чтобы сохранить относительную защищенность своих ИТ-систем. 

Под «движением влево» Джефф подразумевает идею встраивания средств киберзащиты еще на раннем этапе создания. Тут работает концепция DevSecOps — то есть последовательное поднятие уровня защиты, еще до первого публичного релиза ПО. И это отличная идея для любых будущих разработок. Благодаря этому мы как бы «смещаемся во времени назад», увеличивая стоимость атаки на наши активы.

Второй вариант — «движение вправо». Он возникает потому что ходить налево нехорошо компаниям нужно что-то делать с уже существующими системами. Идея заключается в том, чтобы переместить точку пересечения графиков, сделав стоимость атаки систем выше, чем потенциальную прибыль от их реализации. И чем ниже находится эта точка, тем меньше желания будет у злоумышленников атаковать компанию. Подобный «зеленый» сдвиг вправо связан главным образом с такими активностями как:

  • Своевременный патчинг

  • Регулярные обновления

  • Улучшенные практики обнаружения угроз

  • Укрепление защиты периметра

Более того, «сдвигать вправо» можно как потенциальные затраты атакующих, так и возможности к получению выгоды. Сдвиг потенциальных преимуществ для атакующего связан со следующими практиками:

  • Запрет на выплату выкупов

  • Улучшение практик реагирования на инциденты

  • Сокращение времени аварийного восстановления

  • Шифрование данных 

С чем бороться в 2022 году

Все описанное выше (при условии понимания и осознания) позволяет сформировать более адекватное отношение к киберугрозам и защите от них. А в довесок к ним Харди поделился наблюдениями центров кибербезопасности Acronis, которые оценили наиболее вероятные опасности для хостинговых компаний в 2022 году:

  • Прямые атаки на инфраструктуру с использованием фишинга, уязвимостей и supply-chain технологий. Так что защищаться нужно со всех сторон, включая работу с персоналом и патч-менеджмент. А главное — не считать никакое ПО доверенным «по умолчанию». 

  • Атаки Ransomware, которые могут быть направлены как на конкретного пользователя ресурсов, так и на всю инфратсруктуру (если злоумышленникам получится найти такую брешь и использовать ее). Ведь на сегодняшний день Ramsomware является третьим по популярности методом вредоносной киберактивности, а для провайдеров потеря данных клиентов — самая прямая угроза для бизнеса и для репутации.

  • Угрозы на стороне клиентов — самая сложная для отработки сфера, потому что взлом может произойти через любое приложение, используемое заказчиком. Взять хотя бы размещение сайтов — 43% всех интернет-порталов работают на базе WordPress…и логично, что уязвимости и лазейки в этом ПО открывают двери для самых масштабных атак. Фактически угрозу представляют собой все CMS, приложения, виджеты и плагины…и даже темы сайтов. Все, что есть на стороне клиента.

372442ad20091e3d17abb6b1bee21346.png

  • Слабые пароли. Хотелось бы сказать «как же так, Карл?», но факт остается фактом. Пользователи облачных сервисов, хостинговых платформ и любых ресурсов очень часто не думают о сложных паролях, не меняют их…и тем самым открывают двери злоумышленниками. Впрочем, для этой проблемы уже есть решение в виде многофакторной аутентификации. Остается только внедрить ее, если это еще не сделано.

Заключение

Мне доклад показался очень даже полезным и интересным, и при желании вы можете сами посмотреть его по ссылке. Там наглядно показано, как двигаются линии влево и вправо. А еще будет хорошо, если вы расскажете в комментариях, может ли подобный подход с временными сдвигами быть полезен в вашей работе, например, для аргументации изменений в разработке или для одобрения затрат на новые средства защиты. 

© Habrahabr.ru