Вводная

Сегодня мы уничтожим несколько штампов, разберемся с некоторымы понятиями в Информационной Безопасности и ознакомимся с некоторыми советами.

Let's go!

ШТАМПЫ:

1. Хакеры, не взломщики - это специалисты экстра-класса. Слово произошло от глагола to hack - "топорная работа", так называли (и называют) специалистов способных выжать 100500 % (и более) из софта и железа и знающие системы чуть ли не лучше их создателей.

2. Антивирусное ПО защищает компьютер.

Не может защитить компьютер от всех угроз, предел возможностей антивирусов - отсеивание отработавшей своё, но не вычищенной шушеры.

3. Есть единая система с помощью которой можно забыть про угрозы ИБ.

Не существует и не может существовать в природе.

4. Производители ПО заботятся об информационной безопасности.

Поиск угроз ИБ в программных продуктах требует высокой квалификации и огромных затрат времени, а это - увеличение бюджета разработки и потребность в специалистах, коих на рынке буквально считанные единицы.

5. Можно защитится от угроз ИБ (как вариант компьютер в офф-лайн).

Уже существуют и активно применяются методы взлома и офф-лайн машин.

ПАРА ПОНЯТИЙ ИБ

Взломщики - те кто ломают софт, сервера и пишут вирусы.

Делятся на 2 категории:

1. За деньги;

2. За идею - ломают, чтобы посмотреть как оно работает (по аналогии со вскрытием лабораторных животных), получить заслуженное уважение от коллег и достичь каких-то личных целей.

Самая опасна для ИБ именно вторая категория. Если взломщик-идеалист заинтересуется Вашей системой, то вопрос взлома - это вопрос времени.

ЭВМ - электронная вычислительная машина. В нашем случае, это компьютер.

Взлом - несанкционированное вмешательство в работу информационной инфраструктуры, которое нарушает информацию в виде:

1. Создания информации - загрузка на атакуемые ЭВМ новой информации или программного обеспечения.

2. Изменения информации - изменение данных и программного обеспечения.

3. Копирования информации - копирование на информационные носители данных с ЭВМ жертвы.

4. Удаления информации - уничтожение информации на ЭВМ жертвы.

5. Отказа в обслуживании - произведение действий в результате которых ЭВМ жертвы не сможет выполнять возложенных задач.

ЭТАПЫ ВЗЛОМА

1. Сбор информации об атакуемой системе, чтобы знать, что именно атакуется.

2. Создание копии атакуемой системы в виртуальной или реальной среде. Эта стадия нужна для отработки механизма атаки, хотя при некоторых условиях эта стадия отсутствует.

3. Создание инструмента взлома (или использование готового).

4. Тестирование инструмента на средствах антивирусной защиты. Вирус который распознается "на раз" никому не нужен, поэтому качественно подготовленный для использования в атаке инструмент спокойно пройдет любую антивирусную защиту.

5. Подготовка атаки.

На этой стадии разрабатываются способы обхода внешних защит информационной инфраструктуры и решаются проблемы доступа.

6. Взлом.

Это именно то, что показывают в фильмах.

7. Использование результатов атаки.

СОВЕТЫ

0. Делайте копии важной информации.

Копий рабочих данных должно быть не менее 2-х, критических данных - не менее 4-х, при этом копии должны размещаться так, чтобы не быть поврежденными/уничтоженными при атаке или при каком-либо происшествии.

1. Используйте антивирусы. Очень мало случаев, когда атака производилась чисто на одну информационную инфраструктуру. В основном атакуется некоторый сегмент в который входит атакуемый объект. При этом атака удается, а спустя некоторое время (от суток до нескольких лет) вирусы используемые при атаке попадают к антивирусным компаниям и они обновляют свои базы. Антивирус просто отсеет летающие по сети ошметки давно прошедших взломов и позволит сосредоточиться на текущих угрозах ИБ.

2. Используйте файерволы.

Очень рекомендуется их использовать в ручном режиме и на каждом устройстве. Рекомендуемая настройка на рабочих станциях - запрет всех входящих подключений, разрешены исходящие подключения. Рекомендуемая настройка на серверах - разрешение на конкретные порты конкретным клиентам.

3. Разграничивайте сети и закройте доступ к общим папкам.

Достаточно многие вирусы могут атаковать через сеть и через общедоступные ресурсы.

4. Используйте по максимуму виртуализацию.

Виртуальная машина проигрывает по производительности реальной, но является обычным файлом, который легко скопировать и при необходимости скопировать обратно. Таким образом восстановление работоспособности занимает минимальное время и снижает убытки.

5. На компьютерах должно быть установлено минимальное количество ПО.

Неуязвимого ПО нет, а в погоне за клиентом все дружно забили на ИБ, поэтому каждая программа - набор дырок в ИБ и чем меньше софта, тем меньше потенциальных проблем. Такая же позиция должна быть занята и по отношению к службам запущенных на компьютерах - только необходимые для работы.

6. Используйте сканеры файловой системы.

Любая атака любым вирусом затронет файловую систему. Сканеры ФС хранят таблицу файлов и хешей и отслуживают обращения к файлам, если пошли необычные манипуляции с ФС - вы атакованы.

7. Не используйте "типовые" решения.

На типовые решения есть типовые пути обхода этих решений. Думайте и фантазируйте как направить атаку с реальных машин в какую-нибудь "выгребную яму". Позаботьтесь о достоверности "выгребной ямы", данные в ней должны быть бесполезны для взломщика и правдоподобными, иначе он поймет, что его нае... обманули и будет менять вектор атаки.

8. Защита начинается с установки.

Еще на стадии установки ОС можно обезопасить себя от очень многих типовых угроз. Во-первых готовый к эксплуатации образ ОС нужно скопировать на отдельный раздел (в случае заражения достаточно будет восстановить ОС из образа), во-вторых средствами ОС или сторонним софтом прописать "белые" исполняемые файлы и запретить исполнение всех остальных, в-третьих отключить автозагрузку всех устройств, в четвертых минимизировать используемое ПО поставляемое с ОС.

9. Документируйте все.

Никто и ничто не вечно, а память несовершенна. Грамотно составленная документация позволяет иметь четкое понимание ситуации, иметь представление о возможных угрозах, а также поможет спланировать устранение последствий взлома.

ДОПОЛНИТЕЛЬНЫЕ СОВЕТЫ

A. Полюбите бумагу, а не файлы.

Файлы легко могут быть скопированы, а вот с бумагой проделать такое гораздо сложнее. Все критически важные пароли ни в коем случае не должны сохраняться или храниться в файлах. Пароли "второго уровня" должны храниться только в локальных менеджерах паролей, а вот пароли от "спамерских" учеток можно выписать в блокнот на рабочем столе.

B. Не доверяй никому и ничему.

За единичными исключениями, все что мы видим на мониторе - плод работы программ которые могут уже быть заражены. Повторить интерфейс чего-либо задача очень простая, поэтому при угрозе

C. Самая большая угроза ИБ сидит перед монитором.

Самый легкий взлом - через пользователя ЭВМ, поэтому пользователь должен быть максимально ограничен в возможностях на компьютере. Есть одна папка с документами и доступ к программам, которые используются в работе, остальное - запрещено. Проводить разъяснения и учения по ИБ.

D. Профилактика уменьшает глубину жопы.

В моей практики были случай когда два месяца напряженной работы сисадмина привели к тому, что атака инициированная поддельным письмом из ПФР для бухгалтера провалилась (при детектировании изменений файлов вырубили комп) и работоспособность была восстановлена примерно за 30 минут.

E. Считайте, что Вас уже взломали.

Гораздо больше времени уделяйте не защите, а способам, которые затруднят доступ к критически важным данным и максимально быстро восстановят работоспособность системы. Чем сложнее организован несанкционированный доступ к данным, тем больше взломщики будут в сети и тем выше шанс обнаружения вторжения, а значит выше шанс детектирования и начала противодействия. Чем быстрее можно восстановить работоспособность системы, тем меньше будет простой организации и соответственно - убытков. Есть огромное количество способов, перепробовать которые и жизни не хватит.

F. Взломайте себя сами.

Если знаешь как взломать, то соответственно будешь знать как себя защитить.

И напоследок, самое главное - аудит.

Введите себе в привычку проверять что твориться в компьютере загрузившись с "живого" образа ОС (желательно с диска восстановления антивируса) и посмотрите - все ли в порядке?

Информационная безопасность, это не единичное действие и не набор действий, а постоянный и не прерываемый процесс