Подписаться
Читать в телеграм
Что такое ИБ-фреймворк «Модель Аэропорт»?
Зачем «Инфосистемы Джет» решили вывести на рынок киберполигон?
Почему всех заинтересовала биометрия, особенно способ открыть холодильник с просекко?
Модель «Аэропорт»: вас взломают, но это не страшно
Две недели назад в Сочи прошла наша традиционная конференция по информационной безопасности Jet Security Conference. Центральной темой обсуждения стал фреймворк «Модель Аэропорт», который презентовал директор центра информационной безопасности компании «Инфосистемы Джет» Андрей Янкин. Это фреймворк, на основе которого наши эксперты уже выстраивают ИБ у ряда заказчиков. Он описывает наше видение информационной безопасности в крупном и среднем бизнесе в ближайшее десятилетие. Фреймворк получил название «Аэропорт», потому что логика его работы напоминает подход современных аэропортов к борьбе со злоумышленниками — удобный для большинства, но с несколькими уровнями защиты, которые помешают нарушителям достичь самых уязвимых или бизнес-критичных систем. То есть условный хакер сможет попасть в общий зал, где не принесет существенного вреда, а вот в ангар с самолетами ему уже не пройти.
«Обеспечивать безопасность нужно фокусно: вы не сможете создать безопасные условия равномерно для всех бизнес-процессов и элементов ИТ-инфраструктуры — придется на чем-то сосредоточиться, — пояснил Андрей Янкин. — Сейчас инциденты ИБ переходят из разряда типовых трудностей в разряд проблем, которые могут привести к закрытию бизнеса. И суть подхода в том, чтобы выявить критичные сценарии, проработать последовательность действий, которые к ним могут привести, верифицировать сценарии с помощью пентестов и защититься».
В основе модели «Аэропорт» лежит следующий тезис: все системы компании можно взломать, поэтому нужно максимально осложнить продвижение злоумышленников. Первый уровень фреймворка предполагает изменение бизнес-процессов / ИТ-инфраструктуры и внедрение средств защиты. На втором уровне необходимо обнаруживать атаки и реагировать на них (все это реализуется средствами мониторинга). Третий уровень включает постоянное выполнение пентестов и улучшение защитных мер.
Андрей Янкин считает «Модель Аэропорт» более чем жизнеспособной — подобные концепции разделяют многие ведущие игроки отечественной ИБ-отрасли. А значит, подходы к построению ИБ действительно меняются. Одним из ответов на эти перемены стал новый сервис центра информационной безопасности — киберполигон Jet CyberCamp.
Jet CyberCamp: как внутренняя разработка стала внешним продуктом
Изначально Jet CyberCamp — это платформа, которую наш центр информационной безопасности создал для обучения своих сотрудников на инфраструктуре, приближенной к инфраструктурам реальных заказчиков. На ней прокачивали собственные навыки, тестировали новые средства защиты, проводили пентесты. «Параллельно к нам раз за разом обращались заказчики, спрашивали, как мы готовим новых специалистов, особенно, 1-ю и 2-ю линию для центра кибербезопасности Jet CSIRT. На рынке ИБ большая текучесть кадров, и вопрос очень актуален, — отметила руководитель департамента проектирования и внедрения Центра информационной безопасности компании “Инфосистемы Джет” Ольга Елисеева. — Некоторым мы строили собственные киберполигоны для регулярных тренировок».
Киберполигоны — это площадки, на которых воссоздают технологические процессы конкретной компании или отдельного фрагмента производства. Затем эту инфраструктуру проверяют на устойчивость к хакерским атакам, тренируют навыки командной работы в выявлении и противодействии инцидентам или тестируют новые средства защиты, не нанося при этом вреда реальному бизнесу. Тема особенно актуальна для производственных предприятий, а также компаний, которые строят или уже построили свой SOC. Например, специалисты Positive Technologies отмечают, что 75% промышленных компаний так или иначе открыты для хакерских атак.
Наш центр информационной безопасности решил реализовать на основе своей внутренней разработки полноценный коммерческий сервис для заказчиков. Платформу назвали Jet CyberCamp с отсылкой к известному среди разработчиков термину Bootcamp (курсы, готовящие специалистов к работе в конкретной компании или команде). Jet CyberCamp делает то же самое: готовит сотрудников к конкретной ситуации — встрече со злоумышленниками.
Работа Jet CyberCamp строится по такому принципу: 30% теории, 70% практики. Вначале наши ИБ-специалисты (пентестеры, команда Jet CSIRT, архитекторы) излагают теорию и разбирают конкретные кейсы. Потом на киберполигоне запускают учения, в ходе которых обучающиеся анализируют различные сценарии атак, учатся отбивать их и проводить самостоятельно. В конце проходит обсуждение: из-за чего случилась атака, как ее можно было предотвратить. А эксперты ЦИБ дают советы относительно того, какими методами и решениями стоило воспользоваться.
Для конференции в Сочи подготовили 3 небольших сценария, чтобы желающие могли проверить свои навыки. Например, в сценарии «Распознай фишинг или зашифруй свою тачку» участники получали доступ к почтовому ящику, где было более 20 писем с разными ссылками и вложениями. Нужно было за 10 минут найти письмо, которое не являлось фишингом и содержало в себе ключ для расшифровки архива. Если найденный ключ был не верен, то критичные данные зашифровывались без возможности восстановления. В другом задании нужно было найти определенное количество спрятанных вирусов, не пользуясь антивирусом. А в третьем с помощью межсетевого экрана отразить максимальное количество атак. Дополнительным заданием был тест «Почувствуй себя хакером», который подготовили наши пентестеры специально для Jet CyberCamp.
Простой язык пентестеров
Сейчас центр информационной безопасности реализует в год в среднем 50 проектов, связанных с пентестами, — от мини-пентестов до сложных redteam-проектов. Их количество, разнообразие и сложность говорят о качественном переходе на новый уровень.
«Раньше нужно было объяснять, что такое пентест, проекты выполняли за пару недель и руководство компаний, получая отчет, грубо говоря, обалдевало от результатов, — рассказал руководитель группы практического анализа защищенности Центра информационной безопасности компании “Инфосистемы Джет” Сергей Зеленский. — Теперь проекты идут все дольше, в том числе из-за усложнения ИТ-ландшафта. Необходима все более высокая квалификация для обхода средств защиты, и все чаще требуются индивидуальный подход и важные дополнения к самой методике работ».
На стенде, посвященном пентестам, было представлено сразу несколько экспозиций — от развлекательных до демонстрирующих реальные проблемы заказчиков: печенье с предсказаниями (они представляли собой каверзные технические вопросы), настольная игра, имитирующая работу Chief Information Security Officer. Кроме того, демонстрировались видеоролики, показывающие ежедневную работу пентестеров. Например, в роликах разбирали атаки, связанные с угоном сессии через Blind XSS, взлом веб-сайта, реализованного на одном из популярных CMS-движков, с продвижением по внутренней сети компании с помощью ПО BloodHound. Также рассматривали несколько реальных атак в L2-сегменте, связанных с кражей NTLM-хеша и восстановлением пароля доменного пользователя.
«Мы хотели дать возможность пообщаться вживую с пентестерами, задать им любые вопросы, обсудить проблемные места и новые решения. Тем, кто думал, что пентесты — это сложно, мы простым языком объясняли суть взломов. А тем, кто был уверен, что хорошо разбирается в теме, старались представить какой-нибудь неочевидный факт, который ставил человека в тупик. Всем было весело, и каждый узнал что-то новое для себя», — резюмировал Сергей Зеленский.
Биометрия и холодильник с просекко
Еще один стенд на конференции был посвящен одному из ключевых трендов современности — биометрии. По оценкам MarketsandMarkets, мировой рынок биометрии к 2025 г. вырастет в 2 раза и достигнет 68,6 млрд. долл.
При этом сдерживающим фактором для развития биометрии является пока еще невысокое доверие людей к этой достаточно новой технологии. Для оценки отношения сотрудников к использованию их биометрических данных в компаниях мы провели всероссийское исследование. Оно показало, что пока около 40% специалистов не готовы предоставлять организациям свою биометрию. Тем не менее большинство опрошенных считают, что использование этой технологии для идентификации удобнее других методов. Это обстоятельство позволяет утверждать, что именно биометрия будет наиболее распространенным методом идентификации в будущем.
В Сочи наши ИБ-эксперты показали несколько решений с использованием биометрии. Наибольшее число участников конференции привлек холодильник с просекко. Он был оборудован замком с бесконтактным сканером рисунка вен ладони. На наш взгляд, высокий интерес к этому стенду был обусловлен тем, что участники не были знакомы с бесконтактной технологией сканирования вен. Сама технология не нова, но именно бесконтактные сканеры не так широко представлены на рынке.
Не меньший интерес у заказчиков вызвал стенд с решением по контролю присутствия пользователя за рабочей станцией. На сегодняшний день, в виду ковидных ограничений и массового перевода сотрудников на удаленную работу интерес к таким решениям резко возрос. Система с помощью распознавания лица позволяет контролировать, кто находится за рабочей станцией: авторизованный пользователь или посторонний человек. Дополнительно мы демонстрировали функционал контроля присутствия рядом с авторизованным пользователем других людей. Если человек не авторизован, система блокировала доступ к компьютеру.
«О большом интересе рынка к решениям с использованием биометрии лучше всего говорит тот факт, что наши стенды не пустели, — комментирует руководитель направления по управлению доступом центра прикладных систем безопасности компании “Инфосистемы Джет” Татьяна Лабеева. — Заказчики, посетившие их, приводили своих коллег, примеряли конкретные разработки на свои задачи, обсуждали потенциальные пилоты и контракты».
