Концепция периметра безопасности устарела. Но как усложнить жизнь хакерам?
Потребность в коллективной работе на ниве информационной безопасности возникла не вчера: современные реалии диктуют нам необходимость объединять свои усилия, неважно, идет речь о партнерах или конкурентах по рынку, ведь в конечном итоге цель инфобеза — обезопасить клиента. Именно поэтому еще на заре интернета стали возникать различные союзы и альянсы.
Но почти ни один из них не оказался достаточно обширным, устойчивым или влиятельным, чтобы кардинально повлиять на происходящее в пространстве информационной безопасности продуктов и данных. При этом сама природа подобного сотрудничества невзирая на рыночные условия — прямо противоположна концепции свободной конкуренции. Да и вообще, совместный поиск эксплоитов и способов противодействия хакерам порочен, потому что в его основе лежит инструментарий взлома продукта — что может вылиться в банальный промышленный шпионаж, прикрытый благими целями коллективной безопасности. Да и почему бы не понаблюдать, как твой прямой конкурент отбивается от хакерской атаки? Такое типичное: «я сижу у реки, а мимо проплывает труп моего врага».
Вот только этот «труп» потом отравляет всю «реку», ведь в головах потенциальных клиентов, в том числе и в головах тех людей, которые подписывают бюджеты и внедрение новых решений, не задерживаются названия компаний, а задерживается сам концепт. В итоге у нас до сих пор «облака — это опасно», «данные крадут ежедневно» и так далее.
И сейчас мы имеем мир, где информация, в том числе и по теме инфобеза, ценна, закрыта и ею делятся крайне неохотно. И по этой причине хакеры побеждают, причем — уверенно.
Почему хакеры побеждают?
Первое: обмен информацией. В отличие от забившихся каждый в свой угол коммерческих компаний, хакерское сообщество весьма общительно и довольно открыто. И взломщики активно делятся между собой информацией. Временами, конечно, не ключевой, но сам факт: циркуляция данных в среде grey и black hat-хакеров намного активнее, нежели такая же на уровне компаний. У хакеров целые форумы, каналы, сообщества. Компании же, в лучшем случае, собираются на пару-тройку конференций в год, где докладчики, важно щелкая слайды на большом экране, рассказывают о чем-то, что уже минимум как полгода неактуально. Сейчас же, когда мир парализован, это и вовсе перешло в категорию записанных выступлений на 15-20 минут, которые можно просто посмотреть онлайн без какого-либо интерактива.
Второе: мы всегда в роли отстающих. Предусмотреть все векторы атаки и способы взлома невозможно. Мы — на стороне щита, а не меча, так что единственное, что нам остается — латать дыры в безопасности и делать так, чтобы этот конкретный эксплоит, механизм, сценарий или что там еще было использовано, более никогда в подобном ключе не сработал. Хакер может готовить свою атаку неделями, провести ее за минуту, а вы будете разгребать ее последствия месяцами. Или, как в случае со спекулятивным выполнением кода на процессорах — так и не сможете побороть проблему до конца. И вам повезет, если взломщик — White Hat, который предоставит вам все данные о том, как именно он провел атаку, а ваши данные никуда на сторону не уйдут. А если нет?
Стены рухнули, и мы проснулись в новом мире
Только ленивый не знает о концепции «периметра безопасности» и, мы уверены, практически каждый, кто работал в IT, сталкивался с ней в том или ином виде. Или выстраивал сам.
Суть периметра в том, что это вещь из бородатых 80-х. Просто однажды на стол 40 или около того крупных CTO технологических на тот момент компаний легла концепция обеспечения информационной безопасности по принципу периметра, который они и подписали… Или они вообще выдумали его сами. Или у военных подсмотрели. Не суть. А суть в том, что периметра больше не существует — COVID-19 его уничтожил на корню вместе с приходом концепции массовой удаленной работы.
Как раньше переводились сотрудники на удаленку или частичную удаленку? Этот процесс был поэтапным, отработанным. Доступ — часто через VPN, шифрование, отдельный рабочие спейсы для таких сотрудников и, само собой, их изоляция от самых лакомых и мягких частей внутри компании или проекта. Ну, чаще всего. На удаленку переводились либо абсолютно неважные в плане доступов сотрудники, либо подготовленные к такому взаимодействию специалисты. А что мы имеем сейчас?
Теперь туннели поднимаются для миллионов вынужденных удаленщиков по всему миру, но сколько из них соблюдает хотя бы основы информационной гигиены и безопасности на своих домашних компьютерах? Сколько проверяли свои пароли, да хотя бы убедились, что их машины можно подключать к корпоративной сети?
И если раньше мы имели распределенную инфраструктуру на виртуальных машинах, облачных дисках и SaaS-средах, что и так делало уровень безопасности от участка к участку, мягко говоря, неравномерным, от чего сам концепт «периметра» трещал по швам, то теперь этот самый концепт можно отправить в помойное ведро. Потому что с таким количеством потенциальных дыр и человеческого фактора ни один периметр в принципе невозможен.
И платные решения в области защиты устройств, DevOps, SecOps и так далее — далеко не панацея. Потому что все они, по факту, стоят на плечах проектов с открытым исходным кодом, со всеми вытекающими последствиями. Вы никогда не задумывались, почему компании, которые тратят на такой софт сотни миллионов долларов, до сих пор подвергаются кибератакам и успешно взламываются каким-нибудь одиночкой или группой хакеров?
Мы живем в мире, когда 100% эффективное решение просто нельзя купить, потому что его не существует. И мы получаем парадоксальную ситуацию, когда хакер-одиночка может терроризировать конкретную компанию или вообще — весь сектор. Просто потому что он умнее, способнее и внимательнее любого отдельно взятого нанятого этими компаниями инженера. Ну, или потому что ему просто повезло найти что-то такое в исходниках, что не замечали даже авторы кода.
Такая парадоксальная ситуация, когда хвост не просто виляет — вращает собакой вокруг своей оси — возможна только в нашей родной IT-сфере и сети :)
Мы все — в одной лодке
Наибольшую ценность для современных хакеров, на наш взгляд, имеют IP-адреса. Они — как маски, которые обеспечивают их анонимность и чем их больше в свободном доступе, тем лучше.
Но мы все уже давно живем в условиях дефицита свободных адресов в пространстве IPv4, а на IPv6 массового перехода пока так и не случилось. Так что каждый злоумышленник имеет ограниченный в плане доступности пул адресов. И чем дальше — тем дороже они для него стоят как в плане финансов, так и в плане трудозатрат.
Мы создавали свой продукт с простой мыслью: если повысить стоимость «игры», то в нее просто не будут «играть». Если для каждой атаки на цель придется добывать все новые и новые IP-адреса, или вовсе искать «чистые», которые не засветились в других «проектах» хакера, то мы сможем значительно повысить цену входа и начала «игры».
Сама концепция бана IP-адресов и создания каких-либо блок-листов несовершенна, и не спасает от реально гениальных ребят, которые способны поставить на колени корпорацию. Но она способна отсечь основную массу хакеров, которые занимаются взломом самостоятельно, не имеют огромных ресурсов и ценят свое время и деньги. Подобная практика, на наш взгляд, способна немного отбалансировать текущие «правила игры», которые заметно покосились в сторону хакерского сообщества после начала пандемии: ведь периметр как концепция, фактически, пал. И неизвестно, будет ли он восстановлен когда-либо вообще.
Причем в других отраслях и сферах подобная коллективизация — когда каждый открыто делиться информацией — уже работает. Стоит вспомнить, как Reddit под лозунгом «To the moon!» решил наказать играющих на понижение брокеров с Уолл-Стрит. Дурно пахнущая волна, которая поднялась после массового накачивания акций GameStop, катится по миру до сих пор, проверьте новости.
Концепция же коллективно сформированного и коллективно же проверенного бан-листа приводит нас в самое начало текста: к тезису о том, что нужно делиться критически важной информацией. Для хакера IP-адрес критически важен, это его точка входа. Для компании же информация о том, с какого адреса была проведена атака — не имеет никакой ценности и никак не угрожает ее секретам и тайнам. Мы получаем Win-Win ситуацию, когда и волки сыты, и овцы целы; ни один параноик внутри компании не упрекнет вас в сливе стратегических данных в общий доступ, но при этом мы имеем возможность больно бить по важным для злоумышленников точкам.
Именно по этой причине мы работаем над CrowdSec и призываем всех прочих присоединиться к нам в формировании бан-листов. Просто для того чтобы с минимальными трудозатратами сделать интернет и вообще, наш мир, чище и безопаснее.