Информационная безопасность глазами руководителя команды разработки

Полностью защититься невозможно: даже самую сложную защиту можно взломать. Вопрос всегда в соотношении рисков, ресурсов и масштаба последствий. В этом посте я, попробую без технических тонкостей, поделиться собственным опытом: какие практики стоит учитывать, какие ошибки часто совершаются при построении информационной безопасности и как защитить компанию от взлома.

В критических ситуациях сотрудники стремятся устранить причину: анализируют логи, находят и чинят проблему, но редко фиксируют выводы. В продуктовой разработке хорошим тоном считается обязательный разбор инцидентов. Важно не только восстановить работоспособность сервиса, но и оценить серьёзность происшествия, его влияние на бизнес, причины возникновения и как не допустить появления в будущем.

Инциденты в ИБ различаются по уровню критичности уязвимостей:

• Критические (9–10) - нарушают бизнес-процессы или ведут к утечке данных. Допустимое время реакции до 1 часа.
• Высокие (7–8.9) - затрагивают пользователей, но есть обходные пути. Реакция до 4 часов, в зависимости от специфики бизнеса и ловкости техподдержки.
• Средние и низкие (0.1–6.9) - указывают на неблокирующие проблемы, устраняются в плановом цикле.

Как происходит взлом

Атака начинается с разведки: анализируются публичные ресурсы (сайт, внешние сервисы), инфраструктура, поведение сотрудников. Затем выявляется информация о том как примерно устроена инфраструктура компании, где можно ввести незащищённые данные и какие программные библиотеки и версии ПО используются. Старые версии программных компонентов открывают путь для эксплуатации известных уязвимостей.

Высокоуровневые уязвимости дают возможность атакующему повысить привилегии: пользователь с ограниченным доступом получает дополнительные возможности. Уязвимости низкого и среднего уровня сами по себе редко наносят ущерб, но позволяют лучше понять архитектуру системы и комбинировать атаки. Для эксплуатации применяются готовые или созданные вручную эксплойты.

Базовые практики

Современный сервис невозможно создать за вменяемый срок без сторонних библиотек, поэтому регулярный аудит и обновления - критичны, как для приложений, так и для ОС.

В крупных компаниях этим занимаются специалисты ИБ: проводят аудит, напоминают разработчикам и интеграторам о сроках обновлений, настраивают автоматические проверки. В небольших стартапах эту роль часто берёт на себя технический директор, но базовые меры необходимы в любом случае:

• Ротация секретов и многофакторная аутентификация (MFA). Регулярная смена паролей и ключей + многоуровневая проверка входа снижает риск несанкционированного входа в систему. Отказ от передачи секретов в открытом виде поможет избежать случайной утечки информации.
• Обучение персонала основам информационной безопасности, тренинги по распознаванию фишинговых атак, правильной работе с корпоративными устройствами, соблюдению политики безопасности. Даже уверенные в себе люди ошибаются. 
• Мониторинг аномалий и подозрительного поведения. Отслеживание нетипичного поведения сотрудников и систем (доступы, обращения к памяти и ресурсам, которые не нужны по роли).
• Разделение контуров на внешний и внутренний. Внутренние сервисы и БД не должны быть доступны извне. Внешний контур, это то что доступно обычным пользователям, сайт компании, доступный сервис. Но защищать только внешний контур компании - будет ошибкой, ведь пробравшись внутрь - злоумышленника уже ничего не остановит. Внутри также нужна сегментация, разный уровень прав и подтверждение критических операций.
• Обезличивание и шифрование хранимых данных
• Резервное копирование. Регулярные бэкапы с проверкой восстановления. Все компании делятся на те, кто не делает бэкапы, и те, кто уже начал.

Если риск потери данных высок, храните резервные копии слоями:

• «Горячие» - для оперативно использования и быстрого восстановления,
• «Холодные» - офлайн или в изолированном облаке, на случай катастроф.

Выводы и рекомендации

• Обновляйте ПО и следите за уязвимостями даже в мелких компонентах.
• Регулярно обучайте сотрудников - фишинг, пароли, безопасность данных.
• Сегментируйте инфраструктуру и разграничивайте доступы.
• Внедрите мониторинг и аудит безопасности.
• Делайте резервные копии, включая офлайн-хранилища.
• Разбирайте инциденты и проработайте план восстановления.