
«Секция укладывается в общую канву конференции, но мы осознанно уходили от типовых технологий и хотели поговорить о том, о чём забывают, говоря о защите данных». Такими словами Алексей Лукацкий, бизнес-консультант по информационной безопасности Positive Technologies, начал сессию «То, о чём никто не хочет думать, занимаясь защитой данных» в рамках прошедшей на днях в Москве конференции «Защита данных: сохранить всё».
Анастасия Гайнетдинова, IT Secutity Analyst компании Whoosh, решила поговорить о «котиках» — ИТ-специалистах, которые могут впопыхах забыть о важных с точки зрения информационной безопасности вещах, стремясь как можно скорее выполнить свои задачи. В докладе «Про что могут забыть даже самые внимательные котики» она рассмотрела четыре типичных кейса, о которых забывают при защите данных, и дала советы, как закрыть уязвимости компании:
- Ошибки при разработке и тестировании программного обеспечения и использование разработчиками внешних ресурсов могут привести к утечкам информации, выдаче доступа к коду третьим лицам и иным нарушениям в защите данных. Выход из ситуации — построение безопасного удалённого доступа, использование методов анализа безопасности исходного кода (SCA, SAST, DAST) и просто разговор с коллегами о причинах ошибок и их последствиях.
- Проверка контрагентов, особенно договоров на поставку сервисов ИБ. Не стоит доверять написанному на бумаге — необходимо протестировать пилоты и проекты в начале или процессе работы. Личные контакты также важны.
- Документация. Это не бумажная безопасность, а документирование процессов — база и подспорье, чтобы сделать систему понятнее, увязать все процессы, которые были, есть и будут, и создать полную картину. Инструкции и регламенты действий в кризисной ситуации. Инциденты редко затрагивают только одно подразделение, использование документации и инструкций помогает координировать работу всех подразделений компании. Плейбуки покроют большое количество обычных ситуаций, с которыми справятся «джуны». В сложной и уникальной ситуации поможет привлечение «гуру».
- «Нас не заденет». Утверждение некоторых компаний, что они не представляют интерес для злоумышленников ушли в прошлое. Массовые атаки стали обычным явлением. Цель хакеров не всегда выкуп — чаще это просто нанесение вреда. Надо готовиться к тому, что может произойти. Можно поставить крутой SOC и организовать работу большой команды. Но прежде надо убедиться, что обычные средства работают правильно: разграничен доступ, ограничены права… Конкурентная борьба существует — этот аспект надо заложить в модель угроз любой компании. Правильная модель угроз компании покажет слабые точки компании и направления защиты.
В завершении доклада Анастасия Гайнетдинова отметила, что сотрудничество подразделений необходимо: все люди склонны совершать ошибки, и ИБ-подразделения не исключение. Надо терпимее относится к ошибкам друг друга и жить дружно, заключила спикер.
Глеб Марченко руководитель направления Data Security Тинькофф, остановился на том, чем стоило заняться до того, как данных стало слишком много. Представляя доклад «То, чем стоило заняться вчера: защита данных, когда их стало слишком много», он отметил, что утечки данных — инцидент масштаба всей компании: страдает общий бюджет организации, её репутация, проекты, финансы, клиенты и т. д. При этом руководство компании не может вникать в каждый конкретный процесс.
Для защиты данных нужна инициатива сверху и ответственность снизу, подчеркнул спикер, добавив, что «топы» осознают необходимость и формируют запрос, бизнес принимает необходимость изменений, ИБ-подразделение формирует подходы и правила игры, а ИТ реализует это в железе и коде. Однако данные необходимо защищать не только от внешних, но и от внутренних угроз. Марченко привёл статистику IBM Security, согласно которой 60% утечек связаны с человеческим фактором, а на расследование одного такого инцидента уходит в среднем 200 дней.
Что делать, если бизнес сильно обогнал безопасность? Data Security Тинькофф предлагает два шага к успеху. Первый — срочно найти все чувствительные данные; и второй — немедленно ограничить к ним доступ. Для этого в инструмент Тинькофф был создан внутренний инструмент Hound, который позволяет сканировать различные источники информации (Postgress, GreenPlum, Oracle, Cassandra, ClickHouse, Hadoop и другие инструменты в перспективе) и за счёт машинного обучения, правил и регулярных выражений, а также метаданных искать различные чувствительные данные в большом объёме информации. При нахождении чувствительной информации (включая персональные данные, номера документов, банковских карт, ссылки на социальные сети, IMSI, IMEI, IP, названия юридических лиц) она скрывается от тех, кому она не нужна.
Руководствуясь принципом, что ИБ не должна тормозить бизнес, инструмент помогает решить проблемы инвентаризации данных, контроля и сертификации, ограничения доступа в моменте. Как показал опыт докладчика, бизнесу не нужны чувствительные данные — проще от них избавиться, тем самым уменьшив поверхность атаки.
Однако не все так просто, поскольку приходится полагаться на дата-инженеров и администраторов, приходиться подстраиваться под постоянные исключения, и в целом нет общего решения, поэтому приходится много анализировать, корректировать систему и идти на компромиссы.
О многом стоит задуматься заранее, подытожил докладчик. Однако если бизнес достиг больших размеров, всегда пригодятся предложенные подходы, программы Bug Bounty, Data Breach Bounty, DLP, Awareness и немного доверия, считает Глеб Марченко.
Последний доклад «Биздата. О защите бизнес-данных нетрадиционными мерами, которые реализованы у всех» Алексея Лукацкого был посвящён тем технологиям защиты данных, которые уже есть в арсенале компаний.
Массовые утечки персональных данных идут по нескольким причинам:
- легальный доступ со стороны сотрудника, который по заказу или добровольно выгрузил данные и начал их продавать;
- ошибки специалистов, которые торопились выпустить продукт, и на вопросы ИБ никто не смотрел, потому приложение не отконфигурировали, а данные вытащили;
- пробив на заказ любой компании — таких предложений сегодня много в даркнете.
Если посмотреть на проблему с другой стороны, то:
- обычно бизнес борется с целевыми единичными атаками. При этом компании знают, где у них хранятся данные, и возможно применение решений класса DLP или аналогичных им;
- утечки происходят со стороны подрядчиков. Примеров таких утечек ПДн, конфиденциальной и чувствительной информации разного характера много, отметил Лукацкий. По данным НКЦКИ, атака на цепочку поставок, выходит на первый план по числу угроз отечественным компаниям.
Если разбить все варианты утечек на классы, то можно получить две группы, которые разбиваются на два подкласса: случайные/не случайные и единичные/массовые. Как показывает практика последних полутора лет, случайные массовые — самые распространенные утечки, продолжил спикер. Он привел примеры проукраинских хактивистов, которые, взламывая системы, берут все, что плохо лежит, и выгружают данные в открытый доступ.
Важный момент, на котором заострил внимание Алексей Лукацкий: утечка — последний этап цепочки действий злоумышленника. И когда предлагают бороться с утечками, забывают, что при правильно выстроенной защите должны быть действия защиты на предыдущих этапах (мониторинг даркнета, закрытие уязвимостей, настройка средств защиты и т. д.).
Докладчик привёл примеры утечек, которых могло не быть или которые могли быть предотвращены правильными настройками сети и оборудования, а также путём сканирования внутренней сети, мониторинга аномального трафика и прочими методами. Отдельный больной вопрос — своевременное закрытие уязвимостей, которые активно эксплуатируются злоумышленниками. Эта проблема уже взята на контроль регуляторами (ФСБ, ФСТЭК и Минцифры/РКН), которые в рамках полномочий сканируют или планируют сканировать публично открытых портов и непропатченных уязвимостей с соответствующими предписаниями и штрафами.
Ещё одна проблема утечек — нестандартные случаи, которые невозможно проконтролировать стандартными средствами. Это и слив секретной документации на игровых серверах на базе Discord, и утечка информации в голосовом трафике через игровые чаты в Xbox. С точки зрения контроля информации, которая сливается на игровые сервера, вопрос остаётся открытым. Эти кейсы не имеют сегодня однозначного решения. Возможно, в будущем с ними реально бороться, внедряя машинное обучение в различные процессы кибербеза, если входит в модель угроз, — считает спикер.
«Не надо пытаться бежать впереди паровоза и искать новомодные решения в борьбе с утечками. Лучше начать с того, что уже есть в арсенале. У большинства есть firewall, решения для мониторинга активности на узлах и мониторинга сетевой активности, сканеры уязвимостей и инструменты asset management. Стоит начать с них. А в идеале выстроить процесс обновления и сегментации — это сильно поможет бороться с утечками данных и другими инцидентами», — завершил сессию Алексей Лукацкий.