Qiwi: Уязвимость любой системы — безалаберность пользователей

Согласно последним данным, Россия вошла в пятерку регионов, которые чаще всего подвергаются актакам киберпреступников. Если взять только DDoS-атаки, то, как следует из исследования ^[1] «Лаборатории Касперского», их испытали на себе 17% всех российских компаний, и это лишь один из используемых хакерами инструментов, наряду с вирусами, взломами, социальной инженерией и многими другими. Неудивительно, что специалисты в области информационной безопасности входят в число самых высоко оплачиваемых кадров в корпоративной иерархии, а покупка и интеграция системных продуктов оказывается в какой-то момент в повестке дня многих предприятий. Однако и цена ошибки здесь может быть очень высока.

Кирилл Ермаков, CISO группы Qiwi

Теория

Понятно, что в нынешних реалиях вопрос создания полноценной системы ИБ — это в первую очередь вопрос финансовых возможностей. Закупка ПО и «железок», услуги интегратора (чтением мануалов здесь точно не ограничишься), поиск и обучение кадров — все это стоит больших денег. Конечно, первым делом стоит оценить целесообразность затрат в контексте возможных потерь, однако практика показывает, что о безопасности данных владельцы бизнеса задумываются слишком поздно, то есть когда их уже взломали и потери налицо. На деле, внедрением инструментов ИБ нужно заниматься еще на стадии проектирования бизнеса или продукта, особенно если вы прогнозируете для них самые радужные перспективы. Такой подход быстрее, эффективнее и дешевле. Естественно, бесшовная интеграция систем безопасности на стадии стартапа — сюжет почти недостижимый и совершенно неактуальный для большинства уже существующих бизнесов. Все же, если ваш бизнес «в зоне риска», задуматься о модернизации защиты данных стоит немедленно.

Некоторые вендоры предлагают как панацею продукты класса SOC/SIEM, но говорить о «стандартных» решениях в сфере ИБ, к сожалению, не приходится. Недавно было озвучено вполне резонное мнение, что хакеры могут инвестировать значительную часть полученных средств в исследование рынка для выработки более сложных и эффективных мошеннических схем. То есть любое «коробочное» предложение будет уязвимо — конфигурация системы ИБ напрямую зависит от специфики вашей работы и будет уникальной для каждого предприятия.

Для начала, в любом случае, проведите подробную инвентаризацию в департаменте IT. Так вы поймете, с чем уже имеете дело в текущем моменте, и сможете строить свою систему ИБ исходя из выявленных слабых мест и в соответствии с задачами первой необходимости. Помочь в оценке эффективности корпоративной системы ИБ (если вы считаете, что она у вас есть) поможет достаточно распространенная практика проведения penetration test, то есть тестирования на проникновение. Для этого специалисты сторонней организации проводят близкую к реальной атаку, анализируя затем ее результаты. Интересно, что компании-заказчики часто настаивают на ограничениях — взлом в рабочее время, запрет нападений на продуктивную среду и прочие. Такие компромиссы, конечно, противоречат самому принципу этого метода, ведь реальная атака вряд ли произойдет по расписанию. Мы рекомендуем проводить пентест в режиме Read Team Exercise ^[2] — минимум ограничений, максимальная симуляция настоящей атаки. В частности, у нас в компании отдел ИБ вообще не оповещается о предстоящем тестировании.

Пентест подскажет, где находятся самые доступные уязвимости, и поможет определить минимальный размер вложений. Некоторые компании в ходе такой проверки ограничиваются изучением собственно вопросов безопасности и доступа, однако этого недостаточно. Обязательно анализируйте исходный код всего, что так или иначе располагается на ваших серверах или обращается к ним в ходе работы. Это действительно трудоемкий процесс, но иначе вы не будете понимать, за что отвечает каждый конкретный процесс и какие запросы извне можно считать нормальными. Без этого невозможно построить эффективную защиту.

Практика

Предположим, что компании удалось организовать достойную (в ее понимании) защиту внешнего сетевого периметра. Самое опасное в этом случае — расслабиться. Повторюсь, прогресс не стоит на месте и рано или поздно попытки взлома могут увенчаться успехом. Обезопасить себя можно, во-первых, имея достаточно вовлеченную в процесс команду ИБ, и, во-вторых, выстраивая несколько степеней защиты — так, чтобы самым защищенным элементом системы оказался «конечный» сервер. Например, систему WAF — экран для веб-приложений, контролирующий доступ к ним и фильтрующий все входящие и исходящие веб-запросы — желательно поставить непосредственно на конечном приложении, чтобы хакер даже теоретически не мог атаковать его в обход защиты.

Крайне важно регистрировать все попытки взлома — на случай возможного дальнейшего расследования, а главное — для анализа существующей системы. Хакеры бьют по слабым местам и таким образом фактически помогают вам их выявить. Однако не стоит остро реагировать на каждое сканирование TCP-портов и тем более блокировать из-за этого адреса атакующих. Настоящих хакеров такие действия все равно не отпугнут, максимум — замедлят. Аномалии трафика намного важнее отслеживать не снаружи, а внутри системы. Если взломщик уже у вас «дома», значит защиту он успешно миновал — это резонный повод для беспокойства и перехода к активной защите.

Одна из самых больших уязвимостей любой системы — по-прежнему безалаберность пользователей. Если персонал не соблюдает элементарные правила безопасности, а ключевые сотрудники не проинформированы о признаках и вероятных векторах атак — нет оборудования, которое сможет защитить ваши данные.

Соревнование, в котором приняла участие команда QIWI, называется CTF, capture the flag. Это популярный формат турниров по взлому, позволяющий на практике взаимодействовать с коллегами по рынку. В этом году организаторы подготовили целый виртуальный город, с телекоммуникациями и энергетическими объектами, очевидно намекая на неприятный для всех факт: взломать можно все, что угодно, причем самыми разными способами.

С вовлечением IT-инфраструктуры во все большее число процессов уязвимыми становятся даже те сферы бизнеса, которые раньше находились в относительной безопасности. Пожалуй, это последний сигнал для тех, кто все еще надеется на удачу, строя незащищенный бизнес.