воскресенье, 19 июня 2011 г.

ИнцЫдент МанагеМент


Слушая доклады коллег на тему борьбы с утечками на 4 форуме директоров по ИБ я, как и Ригель, отметил странную тенденцию: почему-то все чаще и чаще встречается мнение, что инцидент - это когда уже все плохое, что могло произойти - уже произошло, ИБ-шники вместе с компетентными органами начинают "стрелять по хвостам" в поисках виновных и, в случае отыскания, корчиться в попытках привлечения их к ответственности. По сути, именно такая прадигма заложена в рекомендациях Leta IT, хорошую рецензию на которые написал Алексей Лукацкий. Такая прадигма являет собой смысл выражения "хорошая мина при плохой игре" и свойственна всей нашей правоохранительной системе (т.н. "ментовской" или "палочный" подход) : мягкое место отрывается от стула в лучшем случае тогда, когда субъект уже мертв, а объект утрачен безвозвратно. Это - плохой подход с никому не нужным, выдаваемым для "галки" результатом, и если ИБ-шник этим бахвалится - будьте уверены: в его организации ИБ никого не ИБ. Почему - покажу на близком к реальному примере.

Однажды менеджер по продажам одной торгово-закупочной организации, ковыряясь в интернете, обнаружил на одном из сайтов предложение о продаже базы клиентов его собственной фирмы. Проявив сознательность, он немедленно сообщил об этом руководству, и закрутилось-понеслось. Безопасность зарегистрировала инцидент и начала ковырять всех и вся, и подключила к расследованию (на хороших отношениях) правоохранительные органы. Вместе со службой ИТ они выяснили, что один из терминальных серверов компании день назад был взломан неизвестным злоумышленником и, судя по логам, именно через него и была похищена клиентская база. Правоохранительные органы проявили сознательность и немедленно возбудили дело по статье 272 УК РФ (неправомерный доступ к компьютерной информации).

После проведения оперативно-следственных мероприятий было установлено, что к делу причастен бывший ИТ-специалист этой фирмы, отвечавший за обслуживание терминальных серверов и уволившийся аккурат за неделю до регистрации инцидента. Одновременно с этим, служба ИТ сообщила, что взломанный терминальный сервер вообще не должен был "светить" в открытом доступе, поэтому злоумышленник переконфигурировал сеть ненадлежащим образом и воспользовался своей собственной учетной записью. А кадровая служба сообщила о том, что должностная инструкция уволенным сотрудником почему-то не подписана, и в трудовом договоре в месте, где должна быть подпись об ознакомлении с внутренней организационно-распорядительной документацией, подписи тоже нет. "Вот везде есть, а вот там - нет" - сказал начальник отдела кадров, разведя руками. Руками развели и правоохранительные органы: нет подписей - нет и 274-й УК РФ (нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети).

Оперативники под видом потенциального покупателя вышли на контакт со злоумышленником, при покупке за 10 тысяч меченых рублей его взяли с поличным, но поскольку в организации не было установлено режима коммерческой тайны, похищенная информация не находилась на балансе фирмы и не была оценена, какой-либо материальный ущерб отсутствовал, иных фактов продажи информации установлено не было, а сам обвиняемый нигде не работал и пошел на сделку со следствием - суд ограничился исправительными работами сроком на 6 месяцев. Объявление о продаже, само собой, было удалено, служба безопасности с гордостью внесла эту победу в свои скрижали, а оперативники отчитались об успешно проведенной операции и заработали премию.

Есть ли толк от всего этого для владельца информации? Ответ очевиден - нет. Ценные сведения украдены, неограниченный круг лиц, среди которых, безусловно, есть конкуренты, их получил, а ущерб так и не был компенсирован. И вроде все молодцы, сработали хорошо, как по учебнику, да, есть недостатки, но все же выхлоп от этого - практически нулевой. Давайте попробуем разобраться, почему так вышло, как этого можно было избежать и самое главное - что в этой ситуации должно быть инцидентом и как правильно нужно реагировать. На рисунке ниже - диаграмма развития инцидента, разбитая на 6 этапов. Полагаю, пояснять их долго не нужно: идея украсть клиентскую базу с целью ее продажи (1), умышленное неподписание документов, переконфигурация сети и увольнение (2), собственно несанкционированный доступ (3), получение данных и размещение объявления о продаже (4) и получение денег (5).


Где же начало инцидента? Очевидно, в кружочке "замысел" - на 1 этапе. Можно ли как-то обнаружить? Безусловно, нет - в голову не залезешь. Однако его можно постараться предотвратить: тщательней отбирать персонал, усиленно беседовать и инструктировать (промывать мозги), наконец - предлагать проверку на детекторе лжи. Дикость? Отнюдь - все больше и больше компаний использует эту практику для ключевого персонала, тем самым отсекая большинство нарушителей еще на первом этапе.

В классической, хорошо выстроенной СУИБ, раннее обнаружение инцидента (напоминаю, что мы рассматриваем прадигму "инцидент = компьютерное преступление") должно автоматически происходить на 2 этапе. В нашем случае отсутствие подписи в документах должна была обнаружить кадровая служба, и если вдруг она это пропустила, то служба ИБ уж точно должна была выявить (например, путем регулярной проверки правильности подписания документов). Если бы в компании была налажена система управления изменениями в ИТ-инфраструктуре, просто так переконфигурировать сеть было бы весьма затруднительно. В идеальном случае - кадровая служба, обнаружив факт отсутствия подписей сразу после возврата документов от сотрудника, добилась бы их подписания и сообщила бы об этом службе ИБ, которая, в свою очередь, должна поставить его деятельность под особый контроль. После увольнения системного администратора, служба ИТ должна была сменить пароли административных учетных записей и провести инструментальную проверку настройки локальной сети предприятия - тем самым уязвимость могла быть обнаружена между 2 и 3 этапом и своевременно устранена. Наконец, если бы существовал мониторинг информационных систем (на худой конец, правильно эксплуатируемая IPS), то инцидент можно было обнаружить на этапе его реализации (3).

Однако если ничего этого нет и в помине - все, что остается - регистрировать инцидент после его окончания и расследовать его как компьютерное преступление (этап 4, в нашем случае дело фактически дошло до 5 этапа). При этом компания должна хотя бы самой себе признаться, что главная задача системы безопасности - предотвращение и профилактика - не выполнена. Конечно, ситуации бывают всякие, и пример этот - лишь один из миллионов вариантов развития событий, но если к обеспечению безопасности подходить не кусочно, а комплексно, то шансов столкнуться с инцидентом по версии Leta будет гораздо меньше, а момент его регистрации будет перенесен на самый ранний этап, и на пути развития инцидента будет возведено несколько защитных барьеров, существенно снижающих вероятность эскалации его до точки "полной G".

16 комментариев :

  1. Анонимный20.6.11

    Есть хороший дедовский метод - это утюг, плоскогубцы и иголки )))

    ОтветитьУдалить
  2. Странный какой-то злоумышленник. Что ему мешало слить базу во время работы?

    ОтветитьУдалить
  3. Об этом история умалчивает. Может, отсутствие легальных полномочий, а может dlp. Не в этом суть поста :)

    ОтветитьУдалить
  4. Анонимный20.6.11

    Без четкого описания системы управления инцидентами ИБ, будет регистрироваться много событий и СБ "выдохнется" вскоре, реагируя на всё. Отсюда и парадигма - есть труп, есть дело.
    И это легче предьявить тому же собственнику бизнес-процесса в ответ на вопрос о деятельности безопасности.
    Сложно все это, Леша...

    ОтветитьУдалить
  5. Я бы сказал, что "много событий ИБ" и "четкое описание системы управления" - это разные вещи, причем одно другому не мешает. В нормальном состоянии бизнес-система не должна генерить массу инцидентов, и наличие этого фактора свидетельствует о том, что в бизнес-процессе, их порождающем, не все ладно. Задача ИБ-шника как раз и заключается в том, чтобы разобраться, почему так, и дать свои рекомендации по исправлению ситуации. И если бизнес решит, что "хрен с ним", то на инцидент можно смело забивать. При этом, есть три оговорки:

    1. Решать это должен БИЗНЕС, а не безопасник;
    2. Не каждый безопасник способен грамотно разобраться в проблеме и причинах ее появления, и уж тем более далеко не каждый способен донести важность проблемы на понятном бизнесу языке потому что "сложно все это";
    3. Бизнесу очень часто бывает на это пофиг, учитывая выше сказанное.

    Простой пример - в одной конторе IPS показывала по 10 тыс событий типа OSPF Null Authentification. Безопасник спросил - че за фигня? Ему ответ: да это у нас так сеть работает - лет пять назад так настроили, переделать руки не доходят. Что делать безопаснику - забить потому что сложно и какие-либо инциденты за 5 лет отсутствовали, либо воспринять это как инцидент и эскалировать проблему "отсутствия ног у рук"? Процентов 80 безопасников поступят по первому варианту, и отключат этот контроль в IPS-ке. А с точки зрения бизнеса как раз это и надо предъявить - собрать топов, сделать презентацию, показать часа на полтора что может следовать из неправильно настроенной маршрутизации, наконец, добиться решения проблемы... Но ведь это так сложно, правда?

    Безопасность складывается из мелочей, и прежде всего - из отношения самих безопасников к ее обеспечению. Единственное, с чем соглашусь - так это с тем, что на деятельность безопасников существенным образом сказывается принципы ведения бизнеса, государственное регулирование и отсутствие ресурсов на обеспечение безопасности (прежде всего людских). Но это совсем не значит, что нужно сложить лапки и забить болт, потому что "сложно". Легкой жизни никто не обещал.

    ОтветитьУдалить
  6. "собрать топов, сделать презентацию, показать часа на полтора что может следовать из неправильно настроенной маршрутизации, наконец, добиться решения проблемы..." - обязательно, но не как экстренное совещание, а как плановое еженедельное (ежемесячное) мероприятие. А на следующем еще раз рассказать что сделано (и что не дали сделать). А потом еще раз (например, в связи с тем что ранее решенная проблема позволила быстро/дешево решить другую проблему).
    И действительно сложно это... С чего обычно начинается работа по ЗИ - с инвентаризации ИТ, выявления проблем в построении ИТ, которые необходимо устранять для решения вопросов ЗИ. Не так то просто здесь избежать проблем с ИТшниками ("работает-не трогай"), объяснить им необходимость устранения проблем и проконтролировать что проблемы действительно устранены так как необходимо.

    ОтветитьУдалить
  7. Валентину: полностью согласен - промывание мозгов нужно делать именно на систематической основе, и прежде всего - топ-менеджменту. Это - залог успеха. Тяжело? Есть такие поговорки: назвался груздем - полезай в кузов, взялся за гуж - не говори что не дюж. Так что либо через тернии к звездам, либо ИБ в конторе никого не ИБ. Третьего не дано.

    ОтветитьУдалить
  8. Анонимный21.6.11

    Перфекционист ты, дружище.

    ОтветитьУдалить
  9. Анонимный21.6.11

    "собрать топов, сделать презентацию, показать часа на полтора что может следовать из неправильно настроенной маршрутизации, наконец, добиться решения проблемы..." - я, еще на форуме директоров по ИБ, удивлялся как это тебе, Алексей, удается собирать топов по таким вопросам. У нас топы разговаривают на другом языке, языке денег, возможной прибыли, убытков. А в тех. детали даже вникать никто не будет, просто прекратят совещание и все. "А использовать информационные системы опасно?! Так давайте без них..."

    ОтветитьУдалить
  10. А с другой стороны: обнаружили, предотвратили инцидент. Все работает в штатном режиме. Молодцы, ребята.

    И тут: случился инцидент. Ущерб серьезный. Его геройски расследовали. Нашли виновного. Результат работы очевиден. И награды больше, чем в первом варианте... Как выгоднее поступать?

    ОтветитьУдалить
  11. Черному Шершню Зла: найти виновного - это не результат работы. Даже наказать его - не 50% от результата. Результат - это когда последствия инцидента полностью нейтрализованы. А такое, по понятным причинам, не может быть. И потому, что нет никакой гарантии, что виновный не наделал кучу копий украденной информации и не распространил ее, и потому, что ущерб не компенсируется или компенсируется в объеме стоимости украденной флешки.

    Поэтому предотвращение - это единственный вариант для конторы, которая заботится об ИБ. А для прочих - "палки" уголовные дела есть мерило эффективности службы ИБ.

    ОтветитьУдалить
  12. Найти виновного - зачастую единственный результат, понятный руководству. Даже если последствия инцидента полностью не нейтрализованы. Очевиден и ущерб, и действия по его нейтрализации, и результат.

    Предотвратили инцидент - этого никто и не заметит. Или не оценит. И в самом деле, можно написать, что мы предотвратили падение метеорита. Все равно не проверишь.

    Если же применить другую систему: оценивать службу ИБ по количеству случившихся/нейтрализованных инцидентов - то случившиеся будут замалчиваться, а нейтрализованные придумываться.

    Таким образом, получается, что если ИБ работает правильно - количество инцидентов уменьшается. Статистика по возможному ущербу затуманивается (т.к. ущерб - возможный, и еще неизвестно, каким бы он был, если бы инцидент случился).
    Т.е. тем хуже для руководства показатели работы службы.

    ОтветитьУдалить
  13. Шершню: то, что Вы описали, называется "безопасность ради безопасности". А надо, чтоб было "безопасность для бизнеса". И если бизнес платит деньги за первый вариант - значит не очень-то ему и нужна такая безопасность. Либо безопасники "втюхивают" свою работу ради собственной зарплаты.

    А вот когда безопасность находит виновных в создании предпосылок для нанесения ущерба, и именно предпосылки считаются инцидентом, а раннее их обнаружение - безусловной заслугой ИБ, и плюс к этому безопасность может хотя бы приблизительно рассказать бизнесу о возможном ущербе в случае развития инцидента - вот тогда ИБ ради бизнеса. И это - реальные показатели службы.

    ОтветитьУдалить
  14. Алексей, тогда видение деятельности по Управлению инцидентами целиком и полностью зависит от уровня зрелости руководства компании, и очень мало зависит непосредственно от специалистов по информационной безопасности.

    Какой подход к инцидентам выберет руководство (считай, систему метрик для эффективности службы ИБ) - так и должны работать безопасники.

    Вперед паровоза забежать не получится. Не поймут-с.
    Есть правда шанс постараться разогнать паровоз чуть быстрее. Например, проведением обучения руководства (как формального, так и неформального) с целью повысить уровень зрелости. Но вряд ли это будет очень эффективно

    ОтветитьУдалить
  15. Шершню: а вот под этим - почти подпишусь. Почти, потому как в комментарии не хватает связующего звена, и их есть у нас!

    > видение деятельности по Управлению инцидентами целиком и полностью зависит от уровня зрелости руководства компании

    Я бы сказал - от уровня зрелости компании, но руководство в этом случае является определяющим.

    > Есть правда шанс постараться разогнать паровоз чуть быстрее. Например, проведением обучения руководства (как формального, так и неформального) с целью повысить уровень зрелости.

    Да, да и еще раз - ДА!!!

    > Но вряд ли это будет очень эффективно

    А вот это уже целиком и полностью зависит от зрелости самого безопасника и от того, как он видит себя как профессионала, свою компанию, и зачем он существует, наконец? Для того, чтобы получать зарплату, или реально гордиться (ну или быть довольным) "продвинутостью" своей конторы и позитивными результатами? Внутренняя мотивация, черт возьми.

    В этой прадигме:

    > Какой подход к инцидентам выберет руководство (считай, систему метрик для эффективности службы ИБ) - так и должны работать безопасники.

    безопасник выступает аморфной амебой, работающей за зарплату, без амбиций и стремления к саморазвитию. А если будет внутренняя мотивация, то безопасник просто ОБЯЗАН вдуть в уши руководству цели, задачи, принципы и методы ИБ, и предложить основанную на них систему метрик. И по своему опыту я могу совершенно твердо сказать, что это - реально достижимо.

    Так что все зависит от безопасника. Нечего на зеркало пенять. Плохому танцору сами знаете что мешает.

    ОтветитьУдалить
  16. Анонимный30.6.11

    А причем здесь зрелость безопасника и внутренняя мотивация тем более?
    У меня домашний жЫвотный себя очень умным считает (хотя его поступки просчитываются на раз-два), так я его за 4 года не могу отучить от разных плохих привычек... у него понимаЭшь собственный взгляд на жизнь. И словами пытался и тапком - бесполезно... и это еще при том, что "доступ к телу" практически неограниченный :)

    Ну и что? У меня есть проблема с внутренней мотивацией? Или зрелости для его воспитания не хватает? ;)

    зы: Шершень практически полностью прав...

    с ув. Turkish

    ОтветитьУдалить