Евгений ГнединКак использовать перечень ключевых систем
Определив ключевые системы и предположив, каким образом злоумышленник может использовать такие системы при атаке, вы получаете возможность обеспечить более эффективную защиту с меньшим объемом затраченных ресурсов за счет концентрации усилий на самом важном. Усиленная защита и мониторинг событий безопасности для ключевых и целевых систем позволят сделать реализацию недопустимого события более сложной для злоумышленника и повысит вероятность его обнаружения. При этом безопасность остальной части инфраструктуры может быть обеспечена на необходимом базовом уровне.
Понимание перечня ключевых систем и их расположения на пути атаки злоумышленника дает возможность оценить потенциальную сложность реализации недопустимого события. На тех участках инфраструктуры, где путь нарушителя к цели слишком короткий (например, ему необходимо скомпрометировать всего одну ключевую систему), могут быть добавлены дополнительные преграды в виде сегментации сети или изменения бизнес-процесса таким образом, чтобы злоумышленнику приходилось осуществлять дополнительные действия.
Понимая возможную последовательность компрометации ключевых систем, можно предположить, какие наиболее вероятные маршруты есть у злоумышленника на пути к цели. Кроме того, если следы атаки злоумышленника будут выявлены в какой-либо ключевой системе, можно будет сделать предположение о том, до каких целевых систем злоумышленник сможет добраться из этой точки инфраструктуры, а до каких не сможет, и скорректировать планы реагирования, исходя из возможных вариантов развития атаки.
Рисунок 1. Примеры ключевых систем на пути нарушителя к целевой системе
Как убедиться, что ключевые системы определены правильно
Для того чтобы точно проверить, насколько правильно был сделан выбор ключевых систем, а также оценить полноту полученного перечня и актуализировать его, необходимо провести имитацию кибератак, в рамках которой специалисты будут пытаться не только проникнуть во внутренний периметр IT-инфраструктуры (как это происходит в рамках классического тестирования на проникновение), но и развить атаку вплоть до подтверждения возможности реализации недопустимых событий. Другими словами, необходимо провести верификацию недопустимых событий на практикеверификацию недопустимых событий на практикеверификацию недопустимых событий на практике. Для того чтобы не нанести вреда бизнесу и не нарушить непрерывность деятельности организации, при такой верификации применяются критерии реализации недопустимых событийкритерии реализации недопустимых событийкритерии реализации недопустимых событий.
В рамках верификации недопустимых событий исполнитель проходит путь (вектор атаки) от точек проникновения до целевых систем так, как это мог бы сделать реальный нарушитель. Этот путь включает компрометацию ключевых систем. Имитация кибератаки позволяет проверить, насколько правильно были выбраны ключевые системы, дополнить их перечень, если удалось выявить не учтенные ранее ключевые системы, а также обнаружить новые целевые системы и точки проникновения.