Что такое ключевая система
Ключевая система — это объект в информационной инфраструктуре, несанкционированный доступ к которому или воздействие на который необходимы нарушителю, чтобы развить атаку на целевую систему, или такая система, взлом которой существенно упростит сценарий атаки или повысит ее эффективность.
Ключевые системы выбираются по определенной методике из всего набора объектов информационной инфраструктуры, и выбор этот осуществляется с учетом имеющейся информации о целевой системе. Если считать, что сама ключевая система может являться промежуточной целью злоумышленника, то для нее также может быть определен свой набор ключевых систем.
Зачем определять ключевые системы
Защитить все узлы от всех атак невозможно. Чтобы обеспечить эффективную результативную защиту в условиях ограниченных ресурсов, необходимо понимать, как будет действовать атакующий и какие у него цели. Согласно гипотезе, на которой строится эта методология, можно выделить те объекты в инфраструктуре, которые нарушитель наиболее вероятно будет атаковать на пути к цели (к реализации недопустимого события). Эти объекты и будут ключевыми системами. Зная целевые и ключевые системы, а также предположив, как злоумышленник будет их использовать при атаке, вы сможете выстроить защиту более эффективно и затратить на это меньше ресурсов.
Чем больше ключевых систем необходимо атаковать нарушителю на пути к целевой системе, тем выше вероятность того, что его действия будут выявлены средствами защиты информации, а сотрудникам подразделения по информационной безопасности хватит времени на реагирование до того, как злоумышленник реализует недопустимое событие.
Критерии для определения ключевой системы
Ключевой может быть признана система, отвечающая одному или нескольким критериям:
- обеспечивает функционирование целевой системы или IT-инфраструктуры организации в целом;
- может быть использована для упрощения атаки или повышения ее эффективности на целевую систему;
- используется (или может быть использована в текущей конфигурации) для администрирования, управления доступом, удаленного подключения к целевой системе, выполнения команд ОС на ней;
- обрабатывает информацию, которая может быть использована для подключения к целевой системе или проведения атаки на нее (например, описание бизнес-процессов, учетные данные, адреса подключения, схемы подключения);
- используется для централизованного управления мониторингом и (или) защиты информации на целевой системе;
- может быть использована для доставки ПО на целевую систему.
Кого привлечь для определения ключевых систем
К работе по определению ключевых систем рекомендуется привлекать:
- специалистов, ответственных за информационную безопасность;
- специалистов подразделения информационных технологий;
- представителей профильных подразделений, участвующих в бизнес-процессах, в которых может произойти рассматриваемое недопустимое событие, — к примеру, тех, кто привлекался на этапе определения способов реализации недопустимых событий и составления перечня недопустимых событий;
- других специалистов, чьи компетенции могут быть полезны рабочей группе для решения задач в рамках данной методологии.
Какая информация необходима для описания ключевых систем
Для каждой ключевой системы должны быть определены:
- IP-адрес и доменное имя (при наличии);
- цели ее компрометации, достижение которых позволит нарушителю осуществить дальнейшее развитие атаки на целевую систему.
Возможные цели компрометации ключевых систем:
- изменение конфигурации для построения маршрута к целевой системе;
- получение учетных данных пользователей и (или) администраторов для подключения к целевой системе;
- получение контроля над объектом IT-инфраструктуры для дальнейшего развития, усиления или сокрытия атаки;
- повышение привилегий для дальнейшего развития атаки;
- получение информации о работниках, бизнес-процессах, сетевых взаимодействиях, конфигурации систем и оборудования и другой информации, необходимой для развития атаки на целевую или другую ключевую систему;
- другие возможные цели, соответствующие специфике конкретной ключевой системы и бизнес-процессов, в которых она задействована.
Как определить ключевые системы
Исходными данными для определения ключевых систем являются:
- перечень недопустимых событий, в котором указаны целевые системы и соответствующие сценарии реализации недопустимых событий;
- перечень точек проникновения в информационную инфраструктуру;
- описание бизнес-процессов организации (как минимум тех, в которых задействованы целевые системы);
- результаты инвентаризации информационных ресурсов;
- документация на сети и системы (включая схемы сетей);
- результаты тестирования на проникновение или верификации недопустимых событий;
- другая информация об объектах информационной инфраструктуры.
На этапе создания IT-инфраструктуры ключевые системы определяются на основе предполагаемых архитектуры и условий функционирования. В ходе эксплуатации IT-инфраструктуры, в том числе при ее модернизации, ключевые системы определяются для реальных архитектуры и условий функционирования.
Процесс определения ключевых систем является итеративным и осуществляется в несколько последовательных этапов. Количество итераций зависит от размеров и сложности IT-инфраструктуры.
Чтобы повысить эффективность защиты целевых систем от реализации недопустимых событий, рекомендуется определять ключевые системы не только для всех целевых систем, но и для самих ключевых систем, считая их промежуточной целью нарушителя.
Этап 1. Ключевые системы для целевой системы
Ключевые системы для всех целевых систем определяются по шагам:
Шаг 1. Из перечня недопустимых событий узнаем перечень целевых систем и соответствующие способы реализации недопустимого события в каждой из них.
Шаг 2. В IT-подразделении получаем информацию о пользователях и их учетных записях в целевых системах. Должны быть проанализированы не только учетные записи сотрудников (включая администраторов), но и сервисные учетные записи, а также машинные учетные записи. Выписываем тех пользователей (учетные записи), у которых есть достаточный уровень привилегий для реализации недопустимых событий теми способами, которые были определены на первом шаге.
Шаг 3. В IT-подразделении, а также у тех сотрудников, информация об учетных записях которых была получена на втором шаге, узнаем адреса и доменные имена устройств, с которых они подключаются (или могут подключаться) к целевым системам. Эта информация добавляется в перечень ключевых систем.
Шаг 4. В профильных подразделениях получаем информацию о бизнес-процессах, в которых участвуют целевые системы. Такую информацию могут предоставить, к примеру, сотрудники, чьи учетные записи выписаны на втором шаге, или их руководители. На этом шаге важно определить, на каких устройствах хранятся конфигурационная информация, описания процессов и учетные данные для подключения к целевой системе. Адреса и доменные имена таких устройств получаем в IT-подразделении и добавляем в перечень ключевых систем.
Шаг 5. В IT-подразделении и подразделении, отвечающем за ИБ, получаем названия, адреса и доменные имена систем, которые обеспечивают защиту, мониторинг, разграничение доступа к целевой системе (в том числе на уровне сети). Добавляем эту информацию в перечень ключевых систем.
Шаг 6. В IT-подразделении и подразделении, отвечающем за ИБ, узнаем названия, адреса и доменные имена систем, которые обеспечивают работу целевой системы (к примеру, систем управления виртуализацией или контейнеризацией, компонентов облачной инфраструктуры или центров обработки данных, систем управления базами данных).
Шаг 7. В подразделении, отвечающем за ИБ (при необходимости с привлечением внешних экспертов, обладающими знаниями и опытом в области тестирования на проникновение), узнаем, для чего злоумышленник потенциально будет использовать определенные на предыдущих шагах ключевые системы в контексте дальнейшего развития атаки на целевые системы. Добавляем эту информацию в перечень соответствующих ключевых систем.
Рисунок 1. Шаги по определению ключевых систем (первый этап)
Этап 2. Ключевые системы для ключевых систем (опциональный)
Второй этап опционален. Он заключается в итеративном определении ключевых систем для ранее выбранных ключевых систем. Лавинообразный процесс может потребовать значительных ресурсов, поэтому каждая организация должна определить, какая глубина проработки ключевых систем для нее достаточна с учетом последующих действий по исключению недопустимых событий. Важно учесть, что каждая новая итерация позволяет проработать дополнительный шаг в потенциальном векторе атаки злоумышленника на пути к целевой системе, а значит, повысить вероятность его обнаружения на более раннем этапе атаки.
Шаги по определению ключевых систем второго этапа аналогичны шагам на первом этапе с той разницей, что на втором этапе они проводятся не в отношении целевых систем и способов реализации недопустимых событий на них, а в отношении ключевых систем предыдущей итерации с учетом целей их компрометации. Другими словами, на втором этапе мы рассматриваем каждую из ключевых систем как промежуточную цель нарушителя. Процесс завершается, когда последовательность ключевых систем доходит до внешних границ IT-инфраструктуры — до точек проникновенияточек проникновенияточек проникновения на внешнем сетевом периметре — либо останавливается на промежуточной итерации по решению исполнителя.
Точки проникновения можно рассматривать как ключевые системы, которые являются первым рубежом на пути злоумышленника, но более правильно учесть их в отдельном перечне: они требуют особого подхода к реализации защиты.
Рисунок 2. Методики поэтапного определения ключевых систем
Этап 3. Составление итогового перечня ключевых систем
Из перечней ключевых систем, составленных на первых двух этапах, составляется итоговый перечень путем их объединения. Если одна и та же система неоднократно была определена как ключевая, то она вносится в итоговый перечень один раз, и при ее описании должны быть учтены все возможные цели ее компрометации.
Как оформить результат определения ключевых систем
Примеры ключевых систем и вариант оформления перечня приведены в доступном для скачивания файле. В примере показаны разные типы ключевых систем и потенциальные варианты их использования злоумышленником на пути к цели, при этом список не является полным и не может быть использован как типовой.
Как использовать перечень ключевых систем
Определив ключевые системы и предположив, каким образом злоумышленник может использовать такие системы при атаке, вы получаете возможность обеспечить более эффективную защиту с меньшим объемом затраченных ресурсов за счет концентрации усилий на самом важном. Усиленная защита и мониторинг событий безопасности для ключевых и целевых систем позволят сделать реализацию недопустимого события более сложной для злоумышленника и повысит вероятность его обнаружения. При этом безопасность остальной части инфраструктуры может быть обеспечена на необходимом базовом уровне.
Понимание перечня ключевых систем и их расположения на пути атаки злоумышленника дает возможность оценить потенциальную сложность реализации недопустимого события. На тех участках инфраструктуры, где путь нарушителя к цели слишком короткий (например, ему необходимо скомпрометировать всего одну ключевую систему), могут быть добавлены дополнительные преграды в виде сегментации сети или изменения бизнес-процесса таким образом, чтобы злоумышленнику приходилось осуществлять дополнительные действия.
Понимая возможную последовательность компрометации ключевых систем, можно предположить, какие наиболее вероятные маршруты есть у злоумышленника на пути к цели. Кроме того, если следы атаки злоумышленника будут выявлены в какой-либо ключевой системе, можно будет сделать предположение о том, до каких целевых систем злоумышленник сможет добраться из этой точки инфраструктуры, а до каких не сможет, и скорректировать планы реагирования, исходя из возможных вариантов развития атаки.
Рисунок 1. Примеры ключевых систем на пути нарушителя к целевой системе
Как убедиться, что ключевые системы определены правильно
Для того чтобы точно проверить, насколько правильно был сделан выбор ключевых систем, а также оценить полноту полученного перечня и актуализировать его, необходимо провести имитацию кибератак, в рамках которой специалисты будут пытаться не только проникнуть во внутренний периметр IT-инфраструктуры (как это происходит в рамках классического тестирования на проникновение), но и развить атаку вплоть до подтверждения возможности реализации недопустимых событий. Другими словами, необходимо провести верификацию недопустимых событий на практикеверификацию недопустимых событий на практикеверификацию недопустимых событий на практике. Для того чтобы не нанести вреда бизнесу и не нарушить непрерывность деятельности организации, при такой верификации применяются критерии реализации недопустимых событийкритерии реализации недопустимых событийкритерии реализации недопустимых событий.
В рамках верификации недопустимых событий исполнитель проходит путь (вектор атаки) от точек проникновения до целевых систем так, как это мог бы сделать реальный нарушитель. Этот путь включает компрометацию ключевых систем. Имитация кибератаки позволяет проверить, насколько правильно были выбраны ключевые системы, дополнить их перечень, если удалось выявить не учтенные ранее ключевые системы, а также обнаружить новые целевые системы и точки проникновения.