Алексей Бабенко, старший аудитор, PA&PCI QSA, «Информзащита»Алексей Бабенко, старший аудитор, PA&PCI QSA, «Информзащита»

Практически в каждой корпоративной сети присутствуют пограничные межсетевые экраны, антивирусы и минимальные настройки политик безопасности домена. Зачастую в арсенале есть системы обнаружения вторжений, предотвращения утечек, резервного копирования данных. Процедуры обеспечения текущего уровня информационной безопасности, пусть порой должным образом и не документированные, работают. Из практики проведения работ по аудиту и консалтингу финансовых организаций в большинстве случаев уровень развития информационной безопасности позволяет справляться с ненаправленными атаками и противостоять среднестатистическому нарушителю.

К сожалению, абсолютную защиту данных (точнее максимально близкое к этому параметру значение) может гарантировать только их надежное удаление. Иными словами, всегда существуют бреши даже в самом неприступном наборе защитных мер. На что следует обратить внимание при устойчивом чувстве о надежности системы защиты и неприступности корпоративной инфраструктуры? На этот вопрос лучше всего могут ответить те, кто привык не строить системы, а искать в них уязвимости. Создатели системы часто думают о ее работоспособности и даже не предполагают сценарий, способный вылиться в уязвимость системы обеспечения информационной безопасности. Ниже представлены некоторые из них.

Беспроводная безопасность

Беспроводные технологии позволили не только избавиться от надоедливых проводов и обеспечить большую мобильность пользователям, но и открыли дополнительные возможности для потенциальных злоумышленников. Многим знакома ситуация, когда топ-менеджеры в обязательном порядке требуют развертывание wi-fi сетей для доступа к корпоративной сети и к Интернету. В другой ситуации служебный ноутбук используется за пределами офиса и имеет беспроводной доступ к корпоративной сети через сторонние точки. В любом случае у злоумышленника есть возможность развернуть ложную точку с запрашиваемым идентификатором доступа (SSID) в непосредственной близости к территории компании. С помощью адаптера достаточной мощности и направленной антенны можно создать силу сигнала, улавливаемого беспроводным адаптером и превышающую остальные сигналы. После чего корпоративный ноутбук доступен для дальнейшего изучения, а с учетом отдельной парольной политики, позволяющей ставить незабываемые пароли, компрометация не заставит себя долго ждать.

Отдельного изучения заслуживают беспроводные устройства управления. Часто администраторы полагаются на малый радиус действия таких беспроводных клавиатур, не задумываясь о том, обеспечивается ли безопасность передаваемых данных.

Даже использование мобильного интернета несет в себе значительные риски. С помощью специально сформированных управляющих сообщений возможна подмена параметров подключения к сети с последующей реализацией атаки «человек посередине», позволяющей злоумышленнику полностью контролировать весь передаваемый трафик.

Человеческий фактор

Человеческий фактор – слабое звено системы защиты. К сожалению, работой с персоналом в области информационной безопасности часто пренебрегают. Множество инцидентов совершается не из корыстных целей, а неосознанно и случайно. Подписанные бумаги при приеме на работу позволяют разве что иметь обоснованные претензии работодателя к нарушившему требования безопасности сотруднику, но мало влияют на факт наступления самого нарушения.

Представьте ситуацию, что на корпоративную почту пришло оформленное в корпоративном стиле письмо с информацией о выдаче премии. Какова вероятность, что все сотрудники прежде, чем открыть подозрительное вложение, проконсультируются со специалистом по ИБ? Наш опыт говорит о том, что подобные ситуации в лучшем случае приобретут комичный характер. Письма пересылаются работникам IТ-подразделений с просьбой помочь открыть неотображающееся вложение.

Работники организации часто не осознают ценности данных, с которыми они работают, и, как следствие, не чувствуют должной меры ответственности. Так, в ходе аудитов инфраструктуры платежных карт на соответствие стандарту PCI DSS, выясняется, что сотрудники, работающие с данными платежных карт, не знают о критичности их распространения, считая их практически общедоступными.

Неучтенный риск

Защита, соизмеримая защищаемому объекту, довольно адекватная практика: никто не станет спорить, что деньги надежнее держать в сейфе, а дверь в дом запирать на ключ. Главное при этом – не забывать учитывать возможные риски, исходящие из сегмента с более низким уровнем защищенности.

Например, в банке существует отдельное подразделение программистов, осуществляющих разработку финансового софта. В такой ситуации требования информационной безопасности предъявляются к функционалу программного обеспечения, программному коду, процессу разработки, тестирования и поддержки. А сама инфраструктура остается незащищенной, потому что при анализе код программного обеспечения не отнесли к защищаемой информации (хотя происходить это должно обязательно). В результате злоумышленник компрометирует менее защищенную среду разработки, вносит изменения в прошедший все проверки код и получает управление над автоматизированной системой банка. При этом как бы ни был хорошо укреплен сегмент, в рамках которого обрабатываются критичные данные, есть все шансы скомпрометировать интересующую информацию.

Лучшей проверкой реального уровня защищенности компании является непредвзятая оценка, выполненная сотрудниками, обладающими опытом в работах по анализу защищенности и аудиту безопасности инфраструктуры. Как правило, содержание собственных сотрудников с такими компетенциями не практикуется в компаниях ввиду их узкой специализации и лишь периодической занятостью. Это приводит к тому, что либо профессионализм, либо независимость начинают хромать. Хорошей практикой является привлечение внешних специалистов для периодического анализа. Такая оценка поможет глазами злоумышленника оценить степень защиты компании, на практике проверить возможные пути реализации внутренних и внешних угроз, определить пути развития и эффективность существующих процессов информационной безопасности.