Руслан Рахметов, Security Vision
В настоящее время одним из главных вызовов в кибербезопасности является дефицит кадров, который во многом сдерживает развитие отрасли. Энтузиасты-самоучки и профессионалы, переходящие в ИБ из смежных профессий (например, из ИТ), зачастую ощущают необходимость подтянуть свои теоретические знания по ИБ. Непрерывно совершенствуемые учебные курсы в ВУЗах, программы профессиональной переподготовки, тренинги и курсы от вендоров и учебных центров предоставляют прекрасную возможность получить структурированные знания по ИБ, однако в большинстве своём они подразумевают либо длительное обучение (во многих случаях - очное), либо дают информацию только по определенному направлению профессии. Состоявшимся специалистам, студентам и энтузиастам, интересующимся темой ИБ, возможно, было бы интересно получить некий справочник-учебник с актуальной информацией по большинству современных направлений ИБ. В рамках образовательных инициатив Security Vision мы начинаем серию публикаций, посвященную своду знаний по кибербезопасности - Cybersecurity Body of Knowledge (CyBOK).
CyBOK - это проект создания свода знаний по кибербезопасности в 21 направлении ИБ, разработанный в Бристольском университете группой из более чем 115 экспертов со всего мира, включая ИБ-профессионалов и преподавателей различных университетов. На официальном сайте проекта размещена книжная pdf-версия CyBOK (которая и будет использоваться в качестве основы для данной серии публикаций), а также различные дополнительные материалы по ИБ-обучению, например, вебинары и подкасты и интерактивное «Дерево знаний» (Knowledge Tree). CyBOK примечателен тем, что составлен для максимально полного охвата различных областей кибербезопасности - можно ориентироваться на проведенное сравнение свода знаний CyBOK с учебными программами различных университетов и программами профессиональной сертификации (такими как CISSP, SSCP, CISM, CRISC).
Глава 1. Введение
1.1. Определение кибербезопасности
По определению авторов CyBOK, кибербезопасность - это защита информационных систем (программного и аппаратного обеспечения, а также соответствующей инфраструктуры), данных в них и сервисов, которые они предоставляют, от несанкционированного доступа, случайного или преднамеренного нанесения им вреда или некорректного их использования. Информационная безопасность - это сохранение конфиденциальности, целостности, доступности информации, а также её аутентичности (подлинности), подотчетности, неотказуемости, достоверности (надежности). В книге указывается, что объектами защиты во многих случаях являются не только информация и сервисы, но также люди и физическая среда (в случае защиты технологических процессов, например, в АСУТП), а противостояние в киберпространстве может затронуть и виртуальный, и физический миры.
1.2. Домены знаний в CyBOK
Свод CyBOK разделен на 21 домен знаний (Knowledge Areas, KAs), которые сгруппированы в пяти категориях:
· Человеческие, организационные и регуляторные аспекты:
1) Риск-менеджмент и управление ИБ: Системы управления ИБ и организационные меры защиты, включая стандарты, лучшие практики и подходы к оценке рисков и их смягчению.
2) Законы и регуляторные нормы: Международные и национальные государственные и регуляторные требования, требования по соответствию и ИБ-этика, включая защиту данных и разработку доктрин по противостоянию в киберпространстве.
3) Человеческий фактор: Социальные и поведенческие факторы, влияющие на кибербезопасность, ИБ-культуру и ИБ-осведомленность, а также влияние мер защиты на поведение пользователей.
4) Приватность и онлайн-права: Техники защиты персональных данных, включая коммуникации, приложения и результаты хранения и обработки данных. Этот раздел также включает в себя кибербезопасность систем, поддерживающих онлайн-права и защиту данных от перехвата и искажения, защиту систем для электронных голосований, обеспечение приватности в платежных системах и системах идентификации.
· Атаки и методы защиты:
5) Технологии создания ВПО и проведения кибератак: Технические подробности ВПО, эксплойтов и распределенных вредоносных систем, а также соответствующие методы их выявления и анализа.
6) Поведение атакующих: Мотивация, поведение, методы атакующих, включая цепочки поставок ВПО, вектора атак, переводы денежных средств.
7) Обеспечение кибербезопасности и управления инцидентами ИБ: Настройка, эксплуатация и поддержка ИБ-систем, включая решения для выявления и реагирования на инциденты ИБ, сбор и применение данных аналитики киберугроз.
8) Форензика: Сбор, анализ, формирование отчетов по цифровым доказательствам (уликам) для поддержки расследования инцидентов ИБ или киберпреступлений.
· Безопасность систем:
9) Криптография: Основные криптографические примитивы, используемые в настоящее время, и развивающиеся алгоритмы, техники для их анализа, а также протоколы, использующие алгоритмы криптографии.
10) Операционные системы и безопасность систем виртуализации: Защитные механизмы операционных систем, внедрение безопасных аппаратных абстракций и разделение ресурсов, включая изоляцию в многопользовательских системах, безопасность систем виртуализации, безопасность баз данных.
11) Безопасность распределенных систем: Механизмы обеспечения безопасности, относящиеся к масштабным распределенным системам, включая безопасность механизмов консенсуса, систем на основе событий и времени, пиринговых систем, облачных инфраструктур, мультитенантных дата-центров, распределённых реестров.
12) Формальные методы обеспечения безопасности: Формальная спецификация, моделирование и обоснование мер кибербезопасности для систем, ПО и протоколов с учетом фундаментальных подходов, техник и инструментария.
13) Аутентификация, авторизация и подотчетность: Аспекты управления идентификацией, технологии аутентификации, архитектурные подходы и инструментарий для поддержки авторизации и подотчетности в изолированных и распределенных системах.
· Безопасность программного обеспечения и платформ:
14) Безопасность программного обеспечения: Известные категории ошибок программирования, приводящие к уязвимостям, и техники для избежания подобных ошибок за счет практик безопасной разработки и безопасных языковых конструкций, а также инструментов, техник и методов для выявления подобных ошибок в существующих системах.
15) Безопасность веб-приложений и мобильных приложений: Проблемы, связанные с веб-приложениями и сервисами, которые используются устройствами и фреймворками, включая разнообразные парадигмы программирования и модели защиты.
16) Безопасный жизненный цикл программного обеспечения: Применение методов обеспечения безопасности при разработке ПО на протяжении всего жизненного цикла разработки систем для создания безопасного по умолчанию ПО.
· Безопасность инфраструктуры:
17) Прикладная криптография: Применение криптографических алгоритмов, схем и протоколов, включая задачи реализации криптоалгоритмов, управления ключами шифрования и их использования в протоколах и системах.
18) Сетевая безопасность: Аспекты безопасности сетевых и телекоммуникационных протоколов, включая безопасность маршрутизации, элементы сетевой безопасности и определенные криптографические протоколы для обеспечения сетевой безопасности.
19) Безопасность аппаратного обеспечения: Безопасность при проектировании, внедрении и развертывании общего и специализированного аппаратного обеспечения, включая технологии доверенных вычислений и генераторы случайных чисел.
20) Безопасность киберфизических систем: Проблемы безопасности киберфизических систем, таких как IoT и АСУТП, модели злоумышленников, надежная и безопасная архитектура, безопасность широкомасштабных инфраструктур.
21) Физический уровень и безопасность телекоммуникаций: Проблемы безопасности и ограничения физического уровня, включая аспекты радиочастотного кодирования и методов передачи, непреднамеренное излучение и помехи.
1.3. Применение знаний из CyBOK для решения проблем ИБ
1.3.1. Средства и цели кибербезопасности
Кибербезопасность подразумевает защиту от злоумышленников, а также от физических или случайных процессов, которые связаны уже с понятиями надежности и физической безопасности. В основе ИБ лежит моделирование действий злоумышленников - их мотивов, возможностей и угроз, которые они могут реализовать. Для противодействия угрозам внедряются меры защиты, которые воздействуют на людей, процессы и технологии. Меры защиты позволяют выявлять и реагировать на угрозы, а также могут предотвращать негативные последствия реализации угроз. Выбор мер защиты проводится в рамках процесса управления рисками, важную роль также играет человеческий фактор и формирование культуры кибербезопасности. Кроме этого, важен анализ уязвимостей защищаемых информационных систем: гипотетическая система без уязвимостей будет устойчива ко всем видам угроз, при этом уязвимая система в случае отсутствия угроз также будет в безопасности. В рамках реализации мер защиты неизбежно возникают вопросы о корректности их внедрения и об их эффективности - такие проверки проводятся в рамках аудитов ИБ, которые включают в себя анализ остаточных рисков и оценку уязвимостей.
1.3.2. Сбои и инциденты
Если атакующий успешно реализовал атаку, то можно говорить о сбое мер защиты или о том, что они были недостаточны или неэффективны. Один или несколько сбоев мер защиты могут привести к киберинциденту, который может быть оценен с точки зрения вреда, нанесенного информации, устройствам, системам, сетям, а в случае атаки на киберфизические системы возможно причинение физического ущерба. Кибербезопасность во многом строится на моделях различных систем, и меры защиты также разрабатываются исходя из представления о подобных моделях и их поведении - таким образом, в ИБ велика роль абстракций. На этом допущении строятся многие атаки, при реализации которых злоумышленники взламывают более низкий уровень системы, чем тот, на котором внедрены меры защиты - например, внедряют ВПО в прошивку, в то время как меры защиты реализованы на более высоких уровнях абстракции (на системном или прикладном уровнях).
1.3.3. Риски
Для достижения баланса между доступными ресурсами на внедрение мер защиты и последствиями реализации угроз используются принципы оценки и управления рисками ИБ. В рамках оценки рисков рассчитывается уровень риска реализации угрозы, который зависит от вероятности реализации событий, приводящих к ущербу, и ожидаемого размера ущерба. Вероятность реализации событий, приводящих к ущербу, в свою очередь зависит от наличия уязвимостей (известных или неизвестных на момент оценки) и характера угрозы. Реагирование на риск может включать в себя внедрение дополнительных мер защиты для снижения ущерба или вероятности реализации угрозы, принятие риска, передача риска (например, путем страхования), а также избежание риска (например, путем отказа от определенных действий и инициатив) из-за неприемлемого уровня потенциального ущерба. Процедуры риск-менеджмента нужно корректировать с учетом метрик оценки эффективности процессов ИБ.
1.4. Принципы ИБ
1.4.1. Принципы Зальцера и Шрёдера
В 1975 году учеными Джеромом Зальцером и Майклом Шрёдером в рамках разработки безопасной многопользовательской ОС для защиты конфиденциальной информации в государственных и военных организациях были формулированы 8 принципов безопасной архитектуры системы и реализации защитных механизмов, которые актуальны и по сей день:
1. Простота защитных механизмов: архитектура системы безопасности должна быть максимально простой.
2. Безопасность по умолчанию: доступ субъектам должен быть запрещен по умолчанию, а защитные механизмы должны определять ограниченный набор условий, при которых доступ будет разрешен.
3. Полная опосредованность: каждая попытка доступа к объекту должна проходить через защитные механизмы и проверяться ими.
4. Открытая архитектура: архитектура системы безопасности не должна быть секретной (чего сложно добиться и что усложнило бы аудит системы), а должна базироваться на секретных ключах и паролях (которые проще защитить).
5. Разделение привилегий: для доступа к чувствительным объектам защитный механизм должен запрашивать подтверждение минимум от двух независимых субъектов (что делает невозможным выполнение критичных действий одним лицом).
6. Минимизация привилегий: каждый субъект должен работать в системе лишь с ограниченным набором привилегий, минимально необходимым для выполнения рабочих задач.
7. Минимизация числа общих защитных механизмов: следует минимизировать число разделяемых между субъектами защитных механизмов для снижения числа вероятных точек отказа и потенциальных каналов неконтролируемого обмена информацией между субъектами.
8. Психологическая приемлемость: важно, чтобы пользовательский интерфейс защитных механизмов был понятен и удобен субъектам доступа (что снижает число человеческих ошибок и упрощает работу с системой).
Кроме того, Зальцер и Шрёдер также предложили два дополнительных принципа, которые относятся к мерам защиты:
1. Трудоёмкость взлома: обход надежных мер защиты должен требовать больше ресурсов, чем есть у атакующего;
2. Журналирование попыток компрометации: должно быть реализовано надежное логирование событий, позволяющее выявить атаку.
1.4.2. Принципы NIST
Тридцать принципов создания надежных безопасных систем изложены в приложении "E" к специальной публикации NIST SP 800-160 Vol. 1 Rev. 1 "Engineering Trustworthy Secure Systems" («Создание надежных безопасных систем»):
1. Выявление аномалий (Anomaly Detection): Любая заметная аномалия в системе или в её среде обнаруживается своевременно для эффективного реагирования.
2. Понятные абстракции (Clear Abstractions): Абстракции, используемые для описания системы, являются простыми, четко определенными, точными, необходимыми и достаточными.
3. Соразмерная защита (Commensurate Protection): Сила и тип защиты, предоставляемой элементу системы, соразмерны с наиболее значительным вредоносным эффектом, который возникает в результате сбоя этого элемента.
4. Соразмерное реагирование (Commensurate Response): Архитектура системы такова, что сила эффекта разработанных действий по реагированию соответствует необходимой оперативности для контроля последствий каждого из сценариев потерь (убытков, ущерба).
5. Соразмерная строгость (Commensurate Rigor): Строгость разработки системы обеспечивает уверенность, необходимую для устранения наиболее значительного потенциального неблагоприятного эффекта.
6. Соразмерная надежность (Commensurate Trustworthiness): Надежность элемента системы находится на уровне, соразмерном наиболее значительным неблагоприятным эффектам, возникающим в результате сбоя этого элемента.
7. Композиционная надежность (Compositional Trustworthiness): Надежность архитектуры всей системы находится на уровне, соответствующем каждому возможному совокупному составу взаимодействующих элементов системы.
8. Непрерывная защита (Continuous Protection): Защита каждого элемента системы должна быть эффективной и бесперебойной в течение всего времени, когда она требуется.
9. Эшелонированная защита (Defense In Depth): Потери предотвращаются или минимизируются за счет использования нескольких взаимосвязанных защитных механизмов.
10. Разделение привилегий (Distributed Privilege): Несколько авторизованных сущностей должны выполнить скоординированные действия, прежде чем будет разрешено выполнение критичной операции в системе.
11. Разнообразие (динамичность) (Diversity (Dynamicity)): Архитектура системы обеспечивает требуемые возможности за счет разнообразия структурных и поведенческих элементов, потоков данных и управляющих команд.
12. Разделение доменов (Domain Separation): Домены с разными потребностями в защите должны быть разделены физически или логически.
13. Иерархическая защита (Hierarchical Protection): Элемент системы не нуждается в защите от элементов с более высоким уровнем доверия.
14. Минимально необходимый функционал (Least Functionality): Каждый элемент системы имеет возможность выполнить требуемые ему функции, но не более того.
15. Минимально необходимое присутствие (Least Persistence): Элементы системы и другие ресурсы доступны и способны выполнять заложенный функционал только в течение того времени, когда они необходимы.
16. Минимально необходимые привилегии (Least Privilege): Каждому элементу системы выделяются привилегии, необходимые для выполнения им определенных функций, но не более того.
17. Минимально необходимое разделение (Least Sharing): Системные ресурсы распределяются между элементами системы только при необходимости и среди как можно меньшего числа элементов.
18. Нормы потерь (Loss Margins): Система предназначена для работы в состоянии, достаточно удаленном от порогового значения, при котором возможно появление потерь (убытков, ущерба).
19. Опосредованный доступ (Mediated Access): Любой доступ и все операции с элементами системы осуществляются опосредованно.
20. Минимально необходимый набор доверенных элементов (Minimal Trusted Elements): Система имеет настолько мало доверенных элементов системы, насколько это практически осуществимо.
21. Минимизация обнаружения (Minimize Detectability): Архитектура системы сводит к минимуму возможность обнаружить систему, насколько это практически осуществимо.
22. Защита по умолчанию (Protective Defaults): Дефолтная конфигурация системы обеспечивает максимальную эффективность защиты.
23. Защита от сбоев (Protective Failure): Отказ элемента системы не приводит ни к неприемлемым потерям, ни к реализации иного сценария появления потерь.
24. Защита восстановления (Protective Recovery): Восстановление элемента системы не приводит к неприемлемым потерям.
25. Уменьшение сложности (Reduced Complexity): Архитектура системы настолько проста, насколько это практически осуществимо.
26. Избыточность (Redundancy): Архитектура системы предоставляет требуемые возможности за счет репликации системных функций или элементов.
27. Самодостаточность надежности (Self-Reliant Trustworthiness): Надежность элемента системы достигается с минимальной зависимостью от других элементов.
28. Структурированная декомпозиция и композиция (Structured Decomposition and Composition): Сложностью системы можно управлять за счет структурированной декомпозиции системы и структурированной композиции составных элементов для предоставления требуемых возможностей.
29. Обоснованная надежность (Substantiated Trustworthiness): Оценки надежности системы основываются на доказательствах того, что критерии надежности были удовлетворены.
30. Надежная система управления (Trustworthy System Control): Архитектура функций управления системой соответствует свойствам обобщенного контрольного монитора (reference monitor).
1.4.3. Скрытые условия проектирования систем
Скрытые условия проектирования начинают иметь значение, когда система используется не так, как предполагалось её создателями. Например, в случае киберфизических систем их архитектура не предполагала подключение к небезопасным сетям, таким как Интернет, однако это происходит всё чаще, что особо опасно для устаревших устройств. Для подобных устройств не всегда возможно применение принципа архитектурно заложенной безопасности, а их компрометация может привести к нарушениям безопасности технологических процессов.
1.4.4. Принцип предосторожности
Данный принцип означает, что архитектура систем должна быть тщательно выверена перед широкомасштабными внедрениями - в особенности это касается сервисов, которыми пользуются большие массы населения. Например, система, которая была спроектирована для выполнения небольшого числа задач, может стать настолько распространенной в мировых масштабах, что большую роль начнут играть даже самые незначительные недостатки исходного проектирования. Именно поэтому архитекторы информационных систем должны учитывать последствия для безопасности и приватности широкого круга пользователей на этапах создания концепта, моделирования, внедрения, поддержки, развития и вывода из эксплуатации систем.
1.5. Пересекающиеся темы
1.5.1. Экономика кибербезопасности
Вопросы экономической целесообразности следует учитывать при решении задач ИБ: нужно понимать экономические принципы, которыми руководствуются компании при выборе и внедрении защитных мер. Кроме того, злоумышленники также действуют в соответствии с принципами экономической целесообразности при реализации кибератак - например, сравнивают свои затраты на поиск уязвимостей и разработку эксплойтов с ожидаемыми результатами атаки, а также инвестируют в защиту своих вредоносных технических средств и в обеспечение конфиденциальности своих личностей.
1.5.2. Архитектура и жизненный цикл безопасности
При разработке архитектуры важно спроектировать методы взаимодействия пользователей, данных и сервисов для того, чтобы рискованные взаимодействия между ними были защищены простыми и самодостаточными ИБ-механизмами. Для этого сначала требуется оценить модель предполагаемого использования создаваемой системы: описание бизнес-процесса, функционирование которого и будет обеспечивать создаваемая система, должно содержать характеристики предполагаемого взаимодействия между пользователями, данными, сервисами в системе. Потенциально опасные взаимодействия между этими сущностями должны быть выявлены при оценке рисков, в рамках которой также должны быть учтены применимые законодательные требования и договорные обязательства. Если выявлены потенциально небезопасные взаимодействия, возможно, сам бизнес-процесс нужно пересмотреть и изменить. Далее, данные и пользователей следует сгруппировать по уровням конфиденциальности и уровням доступа соответственно. Для сформированных групп пользователей и данных затем нужно предусмотреть механизмы разграничения и контроля доступа, а при выборе мер защиты следует руководствоваться стандартами, рекомендациями и лучшими практиками от лидеров индустрии.
