PCWeek/UE: Василю, які тренди останніх років ви можете відзначити на ринку інформаційної безпеки України. Що змінилося порівняно з кризовим періодом?
Причина в тому, що ринок наситився простими рішеннями і хоче рухатися далі. З’являються складніші загрози, на які треба реагувати відповідно і вчасно. А саме в цьому здатні допомогти SIEM-рішення (Security Information and Event Management — система керування інформацією про події та стан безпеки), які вже півтора-два роки популярні на ринку України. Вони дозволяють виконувати моніторинг подій інформаційної безпеки та автоматично знаходити підозрілі ситуації, на які людина просто не звернула б увагу. Класичний приклад: користувач увів пароль у свій комп’ютер та увійшов у систему, але попередньо не відмітився карткою на прохідній і не пройшов СКД (систему контролю фізичного доступу). SIEM-рішення здатне виявити такі деталі та повідомити центр інформаційної безпеки.
Другою тенденцією є зміна профілю клієнтів. Якщо донедавна інформаційна безпека була прерогативою фінансових організацій, то вже близько півтора року ми спостерігаємо знакові проекти в промислово-індустріальному секторі економіки. Багато компаній, не пов’язаних напряму з фінансами, вимагають для себе високого рівня інформаційної безпеки. Ми думаємо, це відбувається з тієї причини, що фінансова криза загострила конкурентну ситуацію на ринку, відповідно зросла й недоброякісна конкуренція. У деяких наших клієнтів звільнені під час кризи працівники намагалися таким чином помститися колишнім роботодавцям.
І нарешті, четвертий тренд — підвищення рівня інформаційної безпеки в компаніях загалом. Почастішали атаки, спрямовані не тільки на іміджеві марки, а й на зниження доступності сервісів. DDоS-атаки (розподілені атаки) можуть починатися з комп’ютерів, розташованих у будь-якій частині світу, і зупинити роботу банківського сайту чи певних сервісів компанії. Відповідно компанії втрачатимуть гроші, хоча власне організація такої атаки коштує відносно небагато.
В.З.: Інструментів стало більше саме тому, що можливостей засобів, вбудованих у СУБД, недостатньо. Так, використання функціоналу СУБД дає можливість покрити деяку кількість базових загроз, а там уже кожен для себе вибирає, які загрози для нього важливіші й чи потрібні допоміжні засоби. Вбудовані засоби захищають СУБД, наприклад, від підбору паролів. А зовнішні інструменти вирішують більш складні завдання: захищають від неавторизованого доступу до даних адміністраторами, неавторизованої зміни даних легітимними користувачами тощо.
В.З.: Мобільні пристрої — це велика проблема. Жартома кажучи, Стів Джобс зробив усім «ведмежу послугу», так розкрутивши свій iPаd, що ним тепер користуються майже всі топ-менеджери. І найчастіше пристрої налаштовують з прямим доступом до корпоративної пошти через Інтернет. А планшет зі збереженою на ньому інформацією можна просто загубити, тож не завжди навіть встановлення захисного програмного забезпечення є виходом із ситуації. Та й не для всіх моделей і операційних систем є відповідне ПО. Треба глибше розглядати питання інформаційної безпеки: класифікації інформації, обмеження доступу до контенту на рівні його генерації тощо.
В.З.: Частина нашої практики — виконання тестів на проникнення. Це цікаві проекти з багатьма невідомими, де неможливо передбачити, який буде результат. Тест на проникнення — особливий вид активного аудиту, імітація хакерської атаки, стрес-тест на визначення здатності компанії протистояти реальним атакам ззовні або зсередини. Ми є одними з лідерів цього напряму в Україні. У нас у штаті працює сертифікований етичний хакер (Certified Ethical Hacker — міжнародна сертифікація для спеціалістів з таких робіт). Маємо потужну команду: наші спеціалісти навіть увійшли в десятку кращих на змаганнях хакерів, які відбулися нещодавно в Росії.
Якщо раніше всіх цікавив лише зовнішній захист, останнім часом збільшилося замовлення тестів на внутрішнє проникнення. Керівників цікавить, яку загрозу може становити для компаній навіть діяльність пересічного бухгалтера. Проведені нами тести, як правило, показують, що компанії зсередини слабо захищені: 80-90% проектів з тестів на внутрішнє проникнення закінчувалися отриманням повного доступу до корпоративних баз даних. А там лишається лише крок до керування всіма транзакціями в фінансових системах.
Із зовнішніми тестами ситуація набагато краща. Ззовні лише інколи вдається отримати доступ до керування ІТ-інфраструктурою. У 20-40% проектів знайдена інформація не дозволяла говорити про велику загрозу для компанії.
В.З.: Найслабшим місцем лишається парольна політика. Сучасна техніка дозволяє підбирати мільйони паролів за секунду, навіть мільярди, якщо використовувати потужність відеокарт. Зазвичай, ми легко розкриваємо паролі в 75-80% наших проектів. Якщо ми вже отримали доступ до бази хешів паролів користувачів (а її нескладно знайти), то паролі будуть підібрані. І це в умовах обмеженого часу при виконанні тестів на проникнення. А якщо часу більше? Ось, наприклад, після злому соціальної мережі LinkedIn було опубліковано 6,5 млн хешів паролів облікових записів користувачів. Зазвичай, на таких прикладах наша команда тренує свої навички та відпрацьовує методики. В ситуації із LinkedIn вдалося підібрати більше 75% паролів, що містили від 6 до 20 символів різної складності, а деяка їх частина навіть відповідала рекомендованим правилам складності паролів. Для того, щоб підбирати паролі, взагалі достатньо потужного домашнього комп’ютера. І зловмисникам навіть не треба створювати для цього складні програми.
Середній пароль у споживачів рідко коли перевищує 6-8 символів, і вони підбираються дуже швидко. Навіть якщо довжина паролю перевищує 15 символів, підібрати його не завжди буде важко. Для цього використовують власні методики, на базі яких генеруються потенційні паролі користувачів. Виходячи навіть з назви компанії та її найбільш популярного продукту, можна припустити, що в когось із користувачів напевно буде такий пароль. Реальна парольна політика та періодичний аудит використання паролів відіграє велику роль для захисту інформації.
Важливий аспект інформаційної безпеки — робота з користувачами. Жодна технологія не буде працювати, якщо люди нею не користуються. Можна впроваджувати найсильніші системи захисту, найкращу парольну політику, але коли немає роз’яснення, для чого це потрібно, працівники просто записуватимуть паролі на папірці та вішатимуть їх на монітор, або вибиратимуть паролі, які комфортно запам’ятовувати через розташування символів на клавіатурі, наприклад, «1qaz@WSX»!
PCWeek/UE: Хто найчастіше є замовником тестів на проникнення? Фінансові організації, телеком-оператори?
Тести на проникнення популярні тому, що ІТ-відділу легше показати менеджменту реальний звіт про цілком можливі «аварійні» ситуації, аніж розповідати про класифікацію даних чи про вартість якогось «заліза». Однак інтерес клієнтів став більш сфокусованим. Їм цікаві не просто звіти, а кількість виявлених вразливостей, підтримка при їх усуненні, перелік проектів, які можна було б утілити.
PCWeek/UE: Як довго триває власне тест на проникнення?
Під час тестів на проникнення ми використовуємо два варіанти поведінки. Якщо багато знаємо про інфраструктуру клієнта, тест називається whitebox, коли не маємо такої інформації — blackbox. Так само спеціалісти ІТ/ІБ-підрозділів клієнта можуть знати про нашу роботу (це буде whitehat) або не знати (blackhat). Вибір моделі залежить від того, що саме ми хочемо перевірити. Якщо клієнт знає про проникнення, він може не втручатися в наші дії, а ми перевірятимемо лише технічну складову. Коли ж він не поінформований про наші дії (крім осіб, які підписували контракт), тоді тестуємо не лише технічну складову, а й організаційну. Тобто виявляємо, наскільки швидко працівники відреагують і виявлять проникнення.
В.З.: Працює від 3 до 7 осіб, залежно від проекту. Наприкінці ми розробляємо рекомендації і зазвичай надаємо консалтингову підтримку при їх виконанні. Усунення першочергових зауважень займає 3-4 місяці і не потребує великих фінансових витрат. Після цього періоду ми, як правило, перевіряємо усунення можливих загроз.
В.З.: Двофакторну аутентифікацію вимагають багато стандартів, наприклад PСI DSS. Вона дає вагомі переваги, навіть якщо не використовувати біометричну інформацію, а лише маркер доступу з певними цифрами та пароль, який ви знаєте. Але системи біометрії коштують досить дорого для масового впровадження. Частіше українські компанії використовують апаратні токени в якості другого фактору аутентифікації та лише для найбільш критичних інформаційних систем.