Евгений ГнединОпределение ключевых систем и работа с их перечнем
Ядро методологииЕвгений ГнединЕвгений ГнединЕвгений ГнединКлючевая система — это объект в информационной инфраструктуре, несанкционированный доступ к которому или воздействие на который необходимы нарушителю, чтобы развить атаку на целевую систему, или такая система, взлом которой существенно упростит сценарий атаки или повысит ее эффективность.
Ключевые системы выбираются по определенной методике из всего набора объектов информационной инфраструктуры, и выбор этот осуществляется с учетом имеющейся информации о целевой системе. Если считать, что сама ключевая система может являться промежуточной целью злоумышленника, то для нее также может быть определен свой набор ключевых систем.
Защитить все узлы от всех атак невозможно. Чтобы обеспечить эффективную результативную защиту в условиях ограниченных ресурсов, необходимо понимать, как будет действовать атакующий и какие у него цели. Согласно гипотезе, на которой строится эта методология, можно выделить те объекты в инфраструктуре, которые нарушитель наиболее вероятно будет атаковать на пути к цели (к реализации недопустимого события). Эти объекты и будут ключевыми системами. Зная целевые и ключевые системы, а также предположив, как злоумышленник будет их использовать при атаке, вы сможете выстроить защиту более эффективно и затратить на это меньше ресурсов.
Чем больше ключевых систем необходимо атаковать нарушителю на пути к целевой системе, тем выше вероятность того, что его действия будут выявлены средствами защиты информации, а сотрудникам подразделения по информационной безопасности хватит времени на реагирование до того, как злоумышленник реализует недопустимое событие.
Ключевой может быть признана система, отвечающая одному или нескольким критериям:
К работе по определению ключевых систем рекомендуется привлекать:
Для каждой ключевой системы должны быть определены:
Возможные цели компрометации ключевых систем:
Исходными данными для определения ключевых систем являются:
На этапе создания IT-инфраструктуры ключевые системы определяются на основе предполагаемых архитектуры и условий функционирования. В ходе эксплуатации IT-инфраструктуры, в том числе при ее модернизации, ключевые системы определяются для реальных архитектуры и условий функционирования.
Процесс определения ключевых систем является итеративным и осуществляется в несколько последовательных этапов. Количество итераций зависит от размеров и сложности IT-инфраструктуры.
Чтобы повысить эффективность защиты целевых систем от реализации недопустимых событий, рекомендуется определять ключевые системы не только для всех целевых систем, но и для самих ключевых систем, считая их промежуточной целью нарушителя.
Ключевые системы для всех целевых систем определяются по шагам:
Шаг 1. Из перечня недопустимых событий узнаем перечень целевых систем и соответствующие способы реализации недопустимого события в каждой из них.
Шаг 2. В IT-подразделении получаем информацию о пользователях и их учетных записях в целевых системах. Должны быть проанализированы не только учетные записи сотрудников (включая администраторов), но и сервисные учетные записи, а также машинные учетные записи. Выписываем тех пользователей (учетные записи), у которых есть достаточный уровень привилегий для реализации недопустимых событий теми способами, которые были определены на первом шаге.
Шаг 3. В IT-подразделении, а также у тех сотрудников, информация об учетных записях которых была получена на втором шаге, узнаем адреса и доменные имена устройств, с которых они подключаются (или могут подключаться) к целевым системам. Эта информация добавляется в перечень ключевых систем.
Шаг 4. В профильных подразделениях получаем информацию о бизнес-процессах, в которых участвуют целевые системы. Такую информацию могут предоставить, к примеру, сотрудники, чьи учетные записи выписаны на втором шаге, или их руководители. На этом шаге важно определить, на каких устройствах хранятся конфигурационная информация, описания процессов и учетные данные для подключения к целевой системе. Адреса и доменные имена таких устройств получаем в IT-подразделении и добавляем в перечень ключевых систем.
Шаг 5. В IT-подразделении и подразделении, отвечающем за ИБ, получаем названия, адреса и доменные имена систем, которые обеспечивают защиту, мониторинг, разграничение доступа к целевой системе (в том числе на уровне сети). Добавляем эту информацию в перечень ключевых систем.
Шаг 6. В IT-подразделении и подразделении, отвечающем за ИБ, узнаем названия, адреса и доменные имена систем, которые обеспечивают работу целевой системы (к примеру, систем управления виртуализацией или контейнеризацией, компонентов облачной инфраструктуры или центров обработки данных, систем управления базами данных).
Шаг 7. В подразделении, отвечающем за ИБ (при необходимости с привлечением внешних экспертов, обладающими знаниями и опытом в области тестирования на проникновение), узнаем, для чего злоумышленник потенциально будет использовать определенные на предыдущих шагах ключевые системы в контексте дальнейшего развития атаки на целевые системы. Добавляем эту информацию в перечень соответствующих ключевых систем.
Рисунок 1. Шаги по определению ключевых систем (первый этап)
Второй этап опционален. Он заключается в итеративном определении ключевых систем для ранее выбранных ключевых систем. Лавинообразный процесс может потребовать значительных ресурсов, поэтому каждая организация должна определить, какая глубина проработки ключевых систем для нее достаточна с учетом последующих действий по исключению недопустимых событий. Важно учесть, что каждая новая итерация позволяет проработать дополнительный шаг в потенциальном векторе атаки злоумышленника на пути к целевой системе, а значит, повысить вероятность его обнаружения на более раннем этапе атаки.
Шаги по определению ключевых систем второго этапа аналогичны шагам на первом этапе с той разницей, что на втором этапе они проводятся не в отношении целевых систем и способов реализации недопустимых событий на них, а в отношении ключевых систем предыдущей итерации с учетом целей их компрометации. Другими словами, на втором этапе мы рассматриваем каждую из ключевых систем как промежуточную цель нарушителя. Процесс завершается, когда последовательность ключевых систем доходит до внешних границ IT-инфраструктуры — до на внешнем сетевом периметре — либо останавливается на промежуточной итерации по решению исполнителя.
Точки проникновения можно рассматривать как ключевые системы, которые являются первым рубежом на пути злоумышленника, но более правильно учесть их в отдельном перечне: они требуют особого подхода к реализации защиты.
Рисунок 2. Методики поэтапного определения ключевых систем
Из перечней ключевых систем, составленных на первых двух этапах, составляется итоговый перечень путем их объединения. Если одна и та же система неоднократно была определена как ключевая, то она вносится в итоговый перечень один раз, и при ее описании должны быть учтены все возможные цели ее компрометации.
Примеры ключевых систем и вариант оформления перечня приведены в доступном для скачивания файле. В примере показаны разные типы ключевых систем и потенциальные варианты их использования злоумышленником на пути к цели, при этом список не является полным и не может быть использован как типовой.
Определив ключевые системы и предположив, каким образом злоумышленник может использовать такие системы при атаке, вы получаете возможность обеспечить более эффективную защиту с меньшим объемом затраченных ресурсов за счет концентрации усилий на самом важном. Усиленная защита и мониторинг событий безопасности для ключевых и целевых систем позволят сделать реализацию недопустимого события более сложной для злоумышленника и повысит вероятность его обнаружения. При этом безопасность остальной части инфраструктуры может быть обеспечена на необходимом базовом уровне.
Понимание перечня ключевых систем и их расположения на пути атаки злоумышленника дает возможность оценить потенциальную сложность реализации недопустимого события. На тех участках инфраструктуры, где путь нарушителя к цели слишком короткий (например, ему необходимо скомпрометировать всего одну ключевую систему), могут быть добавлены дополнительные преграды в виде сегментации сети или изменения бизнес-процесса таким образом, чтобы злоумышленнику приходилось осуществлять дополнительные действия.
Понимая возможную последовательность компрометации ключевых систем, можно предположить, какие наиболее вероятные маршруты есть у злоумышленника на пути к цели. Кроме того, если следы атаки злоумышленника будут выявлены в какой-либо ключевой системе, можно будет сделать предположение о том, до каких целевых систем злоумышленник сможет добраться из этой точки инфраструктуры, а до каких не сможет, и скорректировать планы реагирования, исходя из возможных вариантов развития атаки.
Рисунок 1. Примеры ключевых систем на пути нарушителя к целевой системе
Для того чтобы точно проверить, насколько правильно был сделан выбор ключевых систем, а также оценить полноту полученного перечня и актуализировать его, необходимо провести имитацию кибератак, в рамках которой специалисты будут пытаться не только проникнуть во внутренний периметр IT-инфраструктуры (как это происходит в рамках классического тестирования на проникновение), но и развить атаку вплоть до подтверждения возможности реализации недопустимых событий. Другими словами, необходимо провести . Для того чтобы не нанести вреда бизнесу и не нарушить непрерывность деятельности организации, при такой верификации применяются .
В рамках верификации недопустимых событий исполнитель проходит путь (вектор атаки) от точек проникновения до целевых систем так, как это мог бы сделать реальный нарушитель. Этот путь включает компрометацию ключевых систем. Имитация кибератаки позволяет проверить, насколько правильно были выбраны ключевые системы, дополнить их перечень, если удалось выявить не учтенные ранее ключевые системы, а также обнаружить новые целевые системы и точки проникновения.