BIS Journal №1(36)/2020

4 апреля, 2020

Смена парадигмы защиты ИТ-систем

Абсолютно согласен с С.В. Вихоревым – накопились серьезные проблемы, которые необходимо решать.

 

О назревшей смене парадигмы зашиты

Действительно, сложность ИТ-систем, как в части создания, так и в части администрирования, возросла до такой степени, что возникла настоятельная необходимость принимать меры для упрощения этой ситуации. Разработчики систем безопасности открыли этот «ящик Пандоры» лет 15 назад, и с тех пор создают все более сложные системы, но эффективность их работы не только не растет, а, в общем-то, не очевидна. Яркий пример- класс SIEM-систем. Они были задуманы для того, чтобы обрабатывать большое количество данных, которые система порождает в процессе работы, и формировать выводы о том, что происходит.  На практике мы видим, что данные она собирает, но вот увидеть выводы весьма проблематично. Ведь для того, чтобы правильно классифицировать происходящие события, нужен человеческий интеллект. Необходимо произвести очень точную сложную настройку системы, которую во всей стране, думаю, может сделать лишь несколько человек.

В целом, правильный подход к работе над любой сложной системой, не только технической, но и, например, социальной, подразумевает, что вначале задаются цели (что мы хотим от системы), затем задаются требования (как система делает то, что мы от нее хотим), потом она создается, а затем идет анализ того, как она работает. Однако сегодня вопрос контроля функционирования системы, который, надо сказать, очень активно, в частности, в Банке России, не очень стыкуется с результатами работы подобных систем. Правильнее сказать, что эти два направления вообще не пересекаются. Логично поставить вопрос: зачем мы так поступаем? Тем более, что все, что делается, стоит достаточно больших денег. Фактически речь идет о необходимости корректировки парадигмы защиты ИТ-систем. Как правильно подойти к выбору модели этой корректировки?

Давайте посмотрим внимательнее на тот путь, по которому страна активно двигается в направлении цифровой экономики. В теории все выглядит красиво, а на практике? Электронные сервисы работают неустойчиво, причем, даже  в тех ведомствах, которые считаются лидерами цифровизации. Количество отказов электронных систем с течением времени только увеличивается, причем, даже у самых крупных организаций, в том числе, банках. В чем причина? Очень высокая сложность создаваемых систем. Человек, далекий от информатизации, опасается взаимодействий с этими системами, а их разработчики и администраторы – не справляются с задачами по причине их высокой сложности.

Сложилась парадоксальная ситуация. Наш мир сегодня состоит из двух частей: реального мира и его отражения в информационном мире. Однако надежность действий в реальном мире сегодня гораздо более высокая, нежели отражение этих же действий в цифровом мире. А поскольку мир един, то надежность жизни в этом реально-цифровом мире определяется самым слабым звеном. Получается, что с помощью информатизации мы, на самом деле, не улучшаем свою жизнь, а ухудшаем ее. Иными словами, мы деградируем. Парадоксально? Да. Но объяснимо.

Достаточно поискать ответ на вопрос: а кто все происходящее администрирует? В условиях реального производства в процессе создания новой продукции участвует огромное количество  профессионалов: от проектного бюро до ОТК и военного контроля, если речь идет о продукции соответствующего назначения. В результате на свет появляется изделие, которое имеет конкретные заданные характеристики и свойства надежности. А в цифровом мире  практически все эти работы выполняют одни и те же программисты! Ни о какой службе ОТК и речи нет. Буквально в последние годы стали поднимать вопрос правильного отношения к созданию кода. Но это маленький кусочек одной большой проблемы, которую стоит назвать «парадигмой небезопасности». Именно в рамках этой парадигмы и движемся в настоящее время.

 

О попытках наощупь найти правильный путь

В свою очередь, парадигмы обработки данных корректируются достаточно часто. За те десятилетия, что существует мир ИТ, он успел пройти стадию централизованной обработки на мэйнфреймах и терминалах, затем стадию децентрализованной обработки на персональных ПК, и, совершив виток по спирали,  вновь вернулся к централизации на основе облаков. Очевидно, что требования по безопасности к клиентским рабочим местам существенным образом снижаются и типизируются, а вся тяжесть проблем безопасности переносится на инфраструктуру ЦОД. Это логичная смена парадигмы обработки информации. Но ей должны соответствовать новые модели защиты систем.

И они появляются. Но в силу того, что некоторого единого подхода, принятого на самом верхнем системном уровне, не существует, развитие моделей защиты идет с явными перекосами. Здесь два крупных актора. Первый – бизнес. Он сосредоточен исключительно на «моделях» извлечения прибыли. Второй – государство.

Государственные регуляторы ревностно исполняют то, что им поручено, - защищают интересы государства. Однако те требования, которые они выставляют, зачастую оказываются слишком серьезными, чересчур жесткими для коммерческого сектора. Пример – все тот же портал госуслуг, точнее, механизм доступа к госуслугам (ЕСИА): можно авторизоваться, как с помощью электронной подписи, так и с помощью пары логин/пароль. По факту в правовом поле уравнивается  электронная подпись – вещь очень сильная, особенно квалифицированная – и обычное сочетание логина и пароля. Это правильно? Никто не знает ответа… Приведенный примере – показательный: если мы начинаем закручивать гайки в плане формирования моделей угроз, а, значит, ужесточения  требований, то эти требования становятся сложно выполнимыми. Готового рецепта нет, в этом С.В. Вихорев прав. Нужно не просто «взять и скорректировать», а проанализировать происходящее.

 

Направление осмысления

Начальная точка осмысления происходящего – модель нарушителя.  Вначале мы пытаемся понять, кому мы противостоим, и какими инструментами обладает тот, кто стоит против нас. Эта модель нарушителя должна быть адекватной каждой предметной области: одна – для происходящего внутри облака, другая – для процессов внутри платежной системы и третья – для задачи промышленной безопасности в сфере управления умными станками.

Описав нарушителя, мы можем дать описание угроз, которые исходят от потенциального нарушителя. Однако обратите внимание: сейчас у нас в типовых рекомендациях  эта модель угроз связывается с типовыми уязвимостями, которые фиксирует ФСТЭК. Но модель угроз и модель уязвимостей – это совсем разные вещи!  Уязвимость – это потенциальная «дырка», через которую может что-то реализоваться только в том случае, если угроза и уязвимость совпадут. А если они не совпадут ни во времени, ни в пространстве, тогда угроза не реализуется. Нужно четко понимать разницу.

И вот когда есть модель нарушителя и модель угроз, тогда возникает задача создания профиля защиты. Думаю, что именно профиль защиты является ключевым элементом во всей этой системе, а не модель угроз. Потому что именно профиль защиты адекватно отвечает, с одной стороны, модели угроз и модели нарушителя. А, с другой стороны, адекватно оценивает известные уязвимости.

И после этого возникают требования по безопасности (в терминах ГОСТ 14508) верхнего уровня, которые определяют профиль, архитектуру, подходы, оценки уровня безопасности – практически все характеристики, которые мы обычно задаем. Но вот такого документа у нас нет! Понятно, что состояние «как есть» и «как должно быть», – это совершенно разные вещи.

Только тогда, когда мы описываем профиль защиты системы, мы начинаем понимать, что нужно сделать. Потому далее логично возникает  техническое задание на эту систему, которое адекватно перечисленным угрозам, уязвимостям и требованиям к безопасности. И после реализации системы, возникает вопрос приемки, в ходе которой необходимо убедиться в том, что система работает и отвечает всем требованиям технического задания. Иными словами, мы должны быть уверены в том, что каждое требование к безопасности в системе выполнено, и мы это должны реально увидеть.

Вот такой я вижу новую конструкцию. Вопрос ее практического  воплощения – комплексный, но предварительно он должен быть осмыслен, достаточно глубоко.

 

Проблема анализа

Речь идет о смене парадигмы, а значит, начальный этап – создание модели нарушителя – требует глубоких исследовательских поисковых работ. Нам нужно несколько заглянуть вперед: что нас ожидает в перспективе? По сути, речь идет об очень серьезном сборе информации в глобальном масштабе. Кто способен выполнить такую задачу. Известно, что в США есть аналитики, которые решают задачу заглянуть в будущее на 15 лет вперед. Корпорация IBM решает индивидуальную задачу – заглянуть в будущее примерно на 40 лет. Кто в нашей стране способен сделать такое?

Академия наук? Ее роли в таком стратегическом качестве не видно, потому что она, честно говоря, выживает в условиях рыночного хозрасчета, а фундаментальных исследований нет. Государевы служащие в отраслевых НИИ? У них другие цели, и решают они другие задачи, тоже важные для государства.

Есть отдельные эксперты высокого уровня – они как горсть бриллиантов рассыпаны по коммерческим компаниям. Кстати, в самих этих компаниях идет огромное количество НИР по направлению информационной безопасности. Но все они имеют сугубо прикладной характер и нацелены исключительно на интересы бизнеса. А ему абсолютно все равно, какой должна быть модель защиты российских граждан и организаций через 15 лет. А нынешние госконтракты – притча во языцех – своим принципиальным стремлением к самой низкой цене и безудержным демпингом вообще убивают всякие попытки предложить что-то наукоемкое, рассчитанное на завтрашний день.

Единственный выход – должны быть созданы некоторые «фабрики мысли», которые проводят серьезные исследования, нацеленные на перспективу.Это государственная задача с госфинансированием. Ее нельзя рассматривать как очередной грант, а только как государственную функцию национальной безопасности. И под этот функционал собирать, возможно, во временные научно-исследовательские коллективы  по крупицам лучших экспертов и лучше коллективы страны. Иначе та деградация, на которую мы указали в самом начале, будет развиваться. А мы ее так и не разглядим за ворохом мелких текущих задач. Нужно перестать тратить интеллектуальную энергию страны на эту мелочевку, поднять глаза вверх, и увидеть за этим перелеском настоящий лес.

А что касается модели угроз, то это частная задача. Она, конечно, должна решаться. Но ее решение очень сильно зависит от того, какую парадигму развития систем защиты мы выберем. Вот  об этом пора задуматься.

Смотрите также