Евгений ГнединОпределение первоочередных шагов кибертрансформации
Ядро методологииЕвгений ГнединЕвгений ГнединЕвгений ГнединВ рамках методологии результативной кибербезопасности под понятием кибертрансформация понимается процесс построения эффективной системы защиты от кибератак, включающий комплекс изменений в IT-инфраструктуре и бизнес-процессах, обучение сотрудников практическим аспектам кибербезопасности, внедрение систем защиты информации, а также создание центра противодействия киберугрозам.
Цель кибертрансформации — создание таких условий, при которых злоумышленник не сможет реализовать недопустимые события в результате кибератаки.
Отправной точкой в определении первоочередных шагов кибертрансформации является перечень недопустимых для организации событий. Кибертрансформация проводится на действующей IT-инфраструктуре с учетом ее текущей конфигурации, бизнес-процессов, набора внедренных средств защиты информации, состава и квалификации сотрудников подразделения безопасности. Поэтому для разработки программы необходимо определить наиболее слабые места с точки зрения защиты, причем сделать это с нескольких сторон:
Процесс кибертрансформации применяется для уже существующих IT-инфраструктур. Однако принципы, описанные в этой методике, могут использоваться и для проектируемых IT-инфраструктур на основе их предполагаемых архитектуры и условий функционирования.
Первоочередные шаги должны формулироваться руководителем подразделения информационной безопасности либо заместителем генерального директора по ИБ (при наличии такой функции в организации) совместно с руководителем подразделения информационных технологий.
Для определения первоочередных шагов необходимо провести анализ в четырех основных направлениях:
1. Анализ текущего IT-ландшафта в контексте информационных систем заключается в составлении перечней целевых и для каждого недопустимого события и всех . Методики составления таких перечней представлены в соответствующих разделах.
2. Анализ текущего IT-ландшафта в контексте бизнес-процессов заключается в определении тех бизнес-процессов, в которых задействованы целевые системы, и оценке безопасности реализации таких процессов с точки зрения угрозы наступления недопустимого события. Методика наложения целевых систем на бизнес-процессы представлена в соответствующем .
3. Анализ текущего IT-ландшафта в контексте пользователей целевых систем заключается в оценке избыточности доступа к целевым системам как с точки зрения количества пользователей, так и с точки зрения их привилегий. Для проведения такого анализа необходимо выполнить следующие шаги:
1) получить в IT-подразделении списки пользователей целевых систем с указанием уровня их привилегий;
2) на основании описаний бизнес-процессов (при их наличии) или интервью с владельцами целевых бизнес-процессов определить, для каких пользователей доступ к целевым системам необходим для выполнения служебных обязанностей, и оценить уровень их привилегий в системе с точки зрения избыточности. В ходе такого интервью необходимо получить ответы как минимум на три вопроса:
3) для тех пользователей, которые не задействованы в целевом бизнес-процессе, но могут подключаться к целевой системе, провести дополнительный анализ, который может включать интервью с владельцами соответствующих учетных записей и их руководителями. В рамках такого интервью необходимо получить ответы как минимум на два вопроса:
По результатам такого анализа необходимо принять решение о блокировке учетных записей или изменении уровня привилегий.
Целевой бизнес-процесс — процесс, в рамках которого может быть реализовано недопустимое событие в целевой системе.
4. Анализ текущего IT-ландшафта в контексте сегментации сети заключается в выявлении кратчайших путей нарушителя к целевым системам. В рамках этой методологии путь злоумышленника — вектор атаки, который завершается реализацией недопустимого события. Путь может считаться кратчайшим, если удовлетворяет одному из критериев:
Кратчайшие пути злоумышленника к целевой системе должны быть устранены при выполнении первоочередных шагов кибертрансформации. Ниже приведена схема сетей абстрактной организации с указанием сетевой связности между сегментами, целевых систем и точек проникновения. На этой схеме кратчайшими путями к целевым системам являются беспроводная точка доступа принтера в сети с системой «банк — клиент» и сервер с доступом в интернет в сегменте с директорией обмена.
На рисунке ниже представлен пример кратчайших путей нарушителя к целевым системам организации. Информация, полученная по результатам анализа такой схемы, может стать основой для формирования программы первоочередных шагов кибертрансформации.
Рисунок 1. Кратчайшие пути нарушителя к целевым системам
По результатам проведенного анализа руководитель подразделения информационной безопасности либо заместитель генерального директора по ИБ (при наличии такой функции в организации) формулирует выводы о текущей готовности IT-инфраструктуры и бизнес-процессов к исключению возможности реализации недопустимых событий. С учетом сделанных выводов и с привлечением сотрудников подразделений ИТ и ИБ он формулирует перечень первоочередных действий, направленных на устранение выявленных недостатков. Пункты этого перечня становятся первоочередными шагами в программе кибертрансформации. Перечень может быть составлен в свободной форме, например в виде текстового списка или таблицы.
Пример первоочередных шагов кибертрансформации с учетом рассмотренной ранее схемы представлен ниже.
Практическое подтверждение правильно выбранных первоочередных шагов и в целом программы кибертрансформации может быть получено по результатам проведения практической верификации недопустимых событий или киберучений на действующей IT-инфраструктуре организации. Эти мероприятия проводятся на финальных этапах трансформации для оценки ее эффективности.
До того как программа будет сформирована и реализована, определить корректность выбранных первоочередных шагов кибертрансформации можно оценочно, опираясь на критерии:
Например, если в сегменте с целевой системой расположена точка проникновения внешнего нарушителя, то одним из первоочередных шагов кибертрансформации должно стать удаление такой точки проникновения либо перенос целевой системы в другой сегмент, в котором точки проникновения отсутствуют. Если целевая система задействована одновременно в множестве бизнес-процессов организации, из-за чего к ней имеет доступ избыточное количество сотрудников, одним из шагов может стать разделение бизнес-процессов по разным системам таким образом, чтобы минимизировать количество пользователей целевой системы или внедрение отдельной системы для целевого бизнес-процесса. Если в сетевые сегменты с целевыми системами есть доступ из других сегментов сетей, сотрудники которых не участвуют в целевых бизнес-процессах, то такая сетевая связность должна быть устранена. Если сеть организации вовсе не сегментирована (плоская сеть), то одним из первых шагов кибертрансформации должна стать сегментация сети на основе бизнес-процессов.
Количество первоочередных шагов не регламентировано, но оно должно соответствовать количеству выявленных недостатков в обеспечении защиты, которые позволяют нарушителю реализовать недопустимые события или упрощают вектор атаки на целевые системы. Перечень должен состоять из такого количества и таких шагов, которые в совокупности позволяют устранить все выявленные недостатки.