Как оседлать ветер? Электронная безопасность в динамике

«Наш ответ Чемберлену»

Первое и, пожалуй, главное, что требуется для снижения кибер-рисков, — это понимание перемен, которым посвящен этот пост. На рубеже 80-х и 90-х годов прошлого века, когда в IT доминировали энтузиасты, именно их заинтересованность обеспечивала распространение ответов на вопросы: как могут передаваться вирусы, кто способен их обнаружить/обезвредить и вообще «Что делать?» Сегодняшний «крутой поворот» задает новые вопросы и те, кто не хочет стать жертвой кибер-криминала должны научиться вовремя их слышать. Заметим попутно, что группа риска гораздо больше, чем кажется на первый взгляд. Хотя бы потому, что одним из распространенных способов проникновения в хорошо защищенную информационную систему является захват менее защищенной «дружеской» системы и передача из нее вредоносного содержимого. Помните: защищая себя вы защищаете и всех своих знакомых — веский довод в пользу внимания к вопросам безопасности.

Если мы осознали новые угрозы, то следующим шагом будет, конечно, поиск средств защиты. Увы, простого рецепта начала 90-х: «используйте антивирус» уже не существует (впрочем, «решений навсегда» никогда не существовало: отлично помню, как множество компьютеров вокруг меня заразились, когда впервые появились полиморфные «произведения», и простая проверка сигнатур перестала работать. А вместе с ней стали бесполезными и многие антивирусы, в частности популярный тогда Aidstest). Итак, что же предлагают для борьбы с угрозами сегодня?

«Компания [Symantec] будет заниматься минимизацией ущерба от вторжений»,— гласит подзаголовок уже упоминавшейся публикации в The Wall Street Journal. О том же говорил и гуру в области безопасности Cisco Владимир Илибман: «Мы переходим от традиционной модели защиты на уровне периметра, когда мы нашу систему обносим большим забором железобетонным, к модели, когда мы постоянно защищаемся, мониторим то, что происходит в нашей сети, и пытаемся максимально оперативно в случае какой-либо угрозы эту угрозу предотвратить». Инструменты, которые создаются для реализации таких стратегий, уже есть (многие из них, кстати, подробно обсуждались в рамках темы «Безопасность» на Cisco Connect). Но приходится констатировать неутешительное: пока создатели новых поколений средств защиты в первую очередь озабочены работой с крупными корпоративными клиентами. А как же быть индивидуальным пользователям и малым сетям? В перспективе им должны помочь сервисы обеспечения безопасности, которые будут развиваться как облачные решения, как опции у провайдеров интернет-услуг и/или самостоятельные сервисы. Примеры таких сервисов даже приводили на круглом столе Cisco. Увы, пока все они не в наших широтах.

Что же делать прямо сейчас для защиты домашнего и малого офиса (SOHO), да и просто домашней сети? Первым выводом из сказанного должно быть понимание, что администрирование безопасности такая же задача, как и администрирование сети. А значит должен быть специалист, который озабочен решением этой задачи (мы проходим в этом смысле этап, похожий на переживаемый во второй половине 90-х, когда с трудом приходило понимание, что даже в маленькой компании, в сети которой всего несколько компьютеров, должен быть системный администратор). Именно такой администратор должен объявлять режим «тревоги», когда обнаруживается нечто, вроде не так давно нашумевшей уязвимости Heartbleed (англ. – сердечное кровотечение), затронувшей основополагающий инструмент Интернет-безопасности OpenSSL. Он же объяснит пользователям, как воплощать рекомендации специалистов, оперативно свяжется со службами, которые могут помочь в случае атаки (например, обратится в CERT-UA (Computer Emergency Response Team of Ukraine)). Вероятно, полезным этому специалисту будет еще один слайд из презентации г-на Снопченко (рис. Сервисы, помогающие контролировать безопасность).

Сервисы, помогающие контролировать уровень безопасности (из презентации Дмитрия Снопченко)

Очень полезным будет в ближайшее время и просто пристальное внимание к теме безопасности. Другими словами на новом уровне качества должен вернуться общий интерес к угрозам и инцидентам, способам сохранения и защиты своих данных. Прежде, чем читатель, дочитавший до конца этот пост, вздохнет и забудет все сказанное, ;) мне кажется полезным дать небольшой список вопросов, по ответам на которые вы сами сможете оценить свою готовность к плаванию в море новых угроз.

1. Настроен ли ваш роутер в соответствии с рекомендациями CERT-UA?
2. Есть ли у вас для каждого устройства, имеющего доступ в вашу сеть, план работы с ним, если устройство поведет себя подозрительно?
3. К кому вы обратитесь за помощью, если обнаружите подозрительную активность на своем устройстве?
4. Сколько у вас критически-значимых онлайн-ресурсов?
5. Используется ли двухфакторная идентификация для всех ресурсов из предыдущего пункта, которые поддерживают такую возможность?
6. Как быстро вы можете заменить критически значимые пароли и другие инструменты доступа к вашим онлайн-ресурсам? Выбраны ли приоритеты в порядке замены?
7. Как вы будете получать доступ/защищать ваши онлайн ресурсы в случае утраты устройства, с которого работали в последнее время (отдельно для случаев потери и хищения)?
8. Все ли возможности восстановить утраченный доступ, которые предоставляет соответствующий сервис, настроены на ваших онлайн-ресурсах? Когда вы в последний раз проверяли, не изменились ли эти возможности на каждом из ресурсов?
9. По всем ли значимым ресурсам у вас актуальны способы восстановления утраченного доступа (все ли заявленные номера телефонов, почтовые ящики и т.п. резервные каналы коммуникации вы продолжаете контролировать)?
10. Какие способы контроля несанкционированного доступа к вашим ресурсам существуют? Какую часть из них вы используете (например, когда вы в последний раз проверяли с каких IP-адресов происходил доступ к вашему Gmail-ящику)?
11. Знаете ли вы типичный объем своего трафика для каждого из выходящих в Интернет устройств? Как часто вы сравниваете текущий трафик с типичным?
12. Контролируете ли вы информацию о себе/своих ресурсах в открытом доступе?
13. Как быстро вы узнаете, если кто-то, захватив ваш профиль (например, в соц. сети, которой вы редко пользуетесь), станет рассылать от вашего имени вредоносные данные?
14. Есть ли у вас «заброшенные» онлайн-ресурсы, на которых остались значимые данные?
15. Составляете ли вы список вопросов, вызванных к жизни инцидентами с безопасностью в похожих на ваши условиях, на которые еще не знаете ответов?