Всем привет! Я живу за городом, и у меня есть своя лужайка с газоном, за которой нужно ухаживать, периодически косить. Это занимает несколько часов. В выходные хочется провести больше времени с семьей и на лужайку сил не остается. Поэтому я приглашаю помощников по хозяйству, которые косят траву и, соответственно, освобождают мне время на что-то более важное и интересное. Становясь старше и опытнее, понимаешь, что если есть возможность купить время, это нужно обязательно сделать. То же самое можно применить и к бизнесу. Если компания зрелая, руководство понимает ценность бизнеса, как он устроен, как работает и как приносит деньги, то оно также понимает, что вынужденный простой обойдется компании гораздо дороже, чем средства, затраченные на ИТ-инфраструктуру.

Меня зовут Артём Мелёхин, я занимаюсь продвижением нового направления Positive Technologies, а именно продвижением подхода к определению времени атаки и вероятных маршрутов хакеров.

Представим, что нам известно, сколько времени понадобится хакеру, чтобы добраться до системы, которая отвечает за стабильность бизнеса компании. Мы посчитали, сколько ему потребуется дней или часов, чтобы бизнес организации перестал работать или приносить прибыль. Зачем? Чтобы удлинить его злонамеренный маршрут и не допустить серьезного ущерба для атакуемой компании!

В этой статье я расскажу про наш подход к определению времени атаки и вероятных маршрутов хакеров и о том, что нужно предпринять с точки зрения ИТ-инфраструктуры, чтобы максимально усложнить путь атакующему. В дальнейших статьях (если это вам будет интересно) с удовольствием разберем домены, с которыми мы работаем, расскажем, почему это важно, а также на примерах покажем, как можно существенно усилить киберустойчивость компании за счет правильной настройки ИТ-инфраструктуры.

Суть подхода

В исследованиях, докладах и на вебинарах экспертов нашей компании часто звучит мысль, что защитить всё невозможно. Невозможно и не нужно. Но как-то ведь нужно измерять защищенность? Если невозможно защититься от всех атак, защищайтесь от тех, что приносят наибольший ущерб. Если нельзя защитить всё, защищайте самое ценное. На этом базируется принцип результативной кибербезопасности, которая утверждает, что важна защита наиболее ценных информационных активов, компрометация которых может вызвать реализацию недопустимых для организации событий (мы иногда используем термин «недопустимый ущерб»). Этот принцип заложен в наши метапродукты – MaxPatrol O2 и MaxPatrol Carbon, помогающие выявить угрозы, которые могут привести именно к недопустимому событию. Этот принцип лежит и в основе нашего подхода.

Обучение нашему подходу занимает несколько дней, и описать в одной статье все подробности просто невозможно, но я постараюсь отразить основные шаги.

? Разговор всегда нужно начинать с владельца бизнеса.

Как правило, именно владелец бизнеса лучше всех знает его особенности, его сильные и слабые стороны. Именно с владельцем бизнеса мы начинаем разговор и задаем простой вопрос: «Что должно произойти, чтобы ваш бизнес перестал существовать или его работа была максимально затруднена и невыгодна?» и получаем следующие варианты ответов:

1. Поскольку бизнес держится только на мне, соответственно, не должно стать меня (моя жизнь окажется в опасности или я отойду от дел).

2. Вывели очень крупные суммы со счета компании.

3. Утекли данные клиентов: если мне перестанут доверять, значит, и бизнесу конец.

4. Клиентов через системы моей компании заразили вредоносом (атака на цепочку поставок).

Отлично! Вот вам и список недопустимых событий, а следовательно, и цели атакующего (которые мы называем «целевые системы», или ЦС). Идем дальше.

Зная цель, нужно понять, как атакующий может до нее добраться, какими маршрутами и что для этого нужно сделать? И тут нам потребуется помощь тех, кто лучше всех знает ИТ-инфраструктуру компании — CIO, CTO, CISO. С ними мы прорабатываем вопросы, связанные с топологией ИТ-инфраструктуры, ее составом, и выделяем ключевые информационные системы, через которые можно добраться до ЦС, а также ограничения, которые существуют.

Итак, мы определили КС и ЦС, поняли, какие действия нужно предпринять атакующему, чтобы реализовать недопустимое событие. Как видно из рисунка выше, атакующий может попасть на веб-сервер или завладеть учетной записью на почтовом сервере, выйти за пределы DMZ, попасть на компьютер бухгалтера и т. д. Теперь нужно построить вероятные маршруты атакующего!

И тут наступает магия математики и различных метрик, на основе которых мы рассчитываем киберустойчивость.

Основная задача подхода — достижение и поддержание такого состояния IT-инфраструктуры, при котором реализация недопустимого события максимально затруднена и шумность реализации атаки повышена до состояния, когда атака будет заметна службе информационной безопасности.

В основе оценки киберустойчивости лежит подход, разработанный Positive Technologies. Каждый инцидент имеет жизненный цикл в соответствии с определением реагирования на ИИБ из NIST 800-61 Rev 2:

• Подготовка.

• Идентификация инцидента.

• Локализация угрозы.

• Устранение угрозы.

• Восстановление (смягчение последствий реализации угрозы).

• Действия после инцидента.

Мы представили жизненный цикл инцидента на прямой, нанесли на него стадии атаки — см. рисунок ниже.

За основную метрику действий атакующего мы взяли время атаки — Time to Attack (ТТА): время от первоначального доступа до начала реализации недопустимого события. С ней мы и будем работать дальше. Есть еще одна метрика — Time to Contain (TTC): время локализации инцидента. Это время от категоризации инцидента (то есть когда становится ясно, что делать) до окончания локализации (блокирования и изоляции агента угрозы), но на данном этапе она определяется экспертно.

Зная шаги, которые нужно проделать атакующему в ИТ-инфраструктуре, можно определить вероятные маршруты атаки. Для этого нужно собрать данные с ИТ-инфраструктуры по пути следования атакующего, создать так называемую матрицу достижимости и загрузить полученные файлы в математическую модель для расчета. На выходе мы получаем граф достижимости целевой системы, тактики и техники, которые будут использованы, и время, которое потребуется для реализации атаки. Подробнее см. рисунок ниже.

Итак, посчитав маршрут и время атаки, нужно ответить на вопрос: а что нужно сделать, чтобы путь атакующего был долгим, сложным и «шумным»?

Чтобы ответить на него, нужна большая экспертиза в ИТ и сотни выполненных проектов по инфраструктуре, сетевой части, нужна экспертиза в разработке, разных системах, в том числе и прикладных.

Следующий шаг — формирование инициатив, или проектов. Набор инициатив (проектов) мы формируем исходя из нашей экспертизы и достаточно хорошего понимания ИТ-инфраструктуры клиента (не зря же мы собирали столько параметров с узлов и сетевого оборудования). Хотел бы обратить внимание, что недостаточно просто просканировать узел и получить информацию об уязвимостях — мы идем глубже и собираем порой совершенно уникальную информацию.

Под каждый конкретный проект для каждой конкретной компании вырабатывается отдельный список мер.

Например, проект по модернизации сети может включать в себя такие меры, как:

• сегментация сети;

• использование правил доступа из одного сегмента сети в другой;

• выделение DMZ.

Другой пример проекта — IT-харденинг, который подразумевает усиление или изменение парольной политики, настройку уведомлений и т. д.

Итак, меры выработаны, проекты определены, произведена оценка влияния выбранных мер на метрики киберустойчивости (см. рисунок ниже). Кстати, эти визуализации очень «заходят» бизнесу.

Что дальше? Дальше нужно это реализовать. Это непростая задача, которая требует грамотного подхода со стороны интегратора, ресурсов со стороны клиента (как правило, это специалисты, которые будут содействовать интегратору). Но выполнение инициатив будет означать готовность клиента перейти на следующий шаг и проверить свою киберустойчивость на площадке багбаунти.

Важно сказать, что этот подход разработан с учетом того, что им будут пользоваться наши партнеры и клиенты, то есть мы разрабатываем открытый стандарт для всех желающих сделать свой бизнес и бизнес своих заказчиков более киберустойчивым.

Заключение

Эта статья — первая из цикла статей про подход к определению киберустойчивости ИТ-инфраструктуры. Здесь я лишь вкратце коснулся нашего подхода. Показал, что в его основе лежит сильный математический аппарат для расчета метрик киберустойчивости. В следующих материалах рассмотрим составные части (подсистемы) ИТ-инфраструктуры и остановимся подробнее на том, какие рекомендации можно применить к каждой из них для увеличения времени атаки, покажем, как наш подход работает на практике. Словом, не переключайтесь!

Артём Мелёхин

Заместитель директора по развитию бизнеса инфраструктурных проектов, Positive Technologies