Что значит эшелонированная оборона
Безопасность через неясность недооценивается
В информационной безопасности мы выработали ряд аксиом, с которыми не принято спорить:
Риск, эшелонированная оборона и швейцарский сыр
Одной из главных задач ИБ является снижение рисков. Согласно методологии OWASP, риск возникновения проблемы рассчитывается по формуле:
По этой формуле, проблема удалённого выполнения кода (RCE) представляет больший риск, чем проблема межсайтового скриптинга, поскольку RCE несёт большее воздействие. Здесь всё просто. Но что насчёт метрики вероятности? Согласно OWASP, вероятность определяется так:
На самом высоком уровне это приблизительная оценка шансов, что конкретная уязвимость будет раскрыта и использована злоумышленником
Таким образом, если мы уменьшаем вероятность, то уменьшаем общий риск. Это хорошо. На самом деле это очень похоже на известную концепцию «эшелонированной обороны». Её также называют «моделью швейцарского сыра».
Согласно этой модели, вам нужно выстроить защитные механизмы в многоуровневой модели таким образом, чтобы даже если злоумышленник пройдёт первый уровень, он будет остановлен на других.
Безопасность через неясность
Итак, поговорим о безопасности через неясность. Плохая идея использовать её в качестве единственного уровня защиты. Если злоумышленник пройдёт его, то вас больше ничто не защитит. Но на самом деле он неплох в качестве «дополнительного» уровня. Потому что у него низкая стоимость внедрения и обычно он хорошо работает.
Рассмотрим несколько сценариев:
I’m trying to prove a point for my new article. I need your answers for the question below. (please be honest)
Как видите, многие склонны сканировать только стандартные и самые популярные порты. Таким образом, если вы измените порт с 22 на 64323, то устраните некоторые из потенциальных атак. Вы уменьшите вероятность и риск.
То же самое относится и к уязвимостям программного обеспечения. Если уязвимость обнаружена в протоколе Microsoft Remote Desktop Protocol, весь интернет начнёт сканировать порт 3389. Вы можете уменьшить риски, просто изменив порт по умолчанию.
Другие области применения
Конечно, кроме изменения значений по умолчанию можно использовать ту же методологию и в других областях. В некоторых случаях (не всегда) можно применить следующие идеи.
Применение в реальной жизни
Безопасность через неясность широко используется в физической/реальной безопасности. Например, президент едет из пункта А в пункт Б с кортежем из 30-ти автомобилей. Но он не сидит в своей президентской машине, чтобы не стать лёгкой мишенью. Он может находиться в любой машине из кортежа, и это снижает риск нападения.
Животные также используют безопасность через неясность — это камуфляж. Скрытность снижает вероятность быть убитым. Поэтому в процессе эволюции они приобрели такую способность.
Эшелонированная оборона.
— ресурсы и значение этих ресурсов;
— опасности, которым подвергаются ресурсы, и вероятность каждой угрозы;
— векторы угрозы, которые могут быть использованы для атаки на предприятие.
Концепция эшелонированной обороны существует тысячи лет, поэтому я приведу часто используемый пример средневекового замка, чтобы показать, что свойственно, и что несвойственно эшелонированной обороне. Для ясности изложения, упростим задачу и рассмотрим только один из векторов угрозы, против которого необходимо защитить замок: прямая атака через главные ворота. Замок располагает многочисленными средствами защиты против этого вектора угрозы. Если оборона правильно организована, взломщикам придется преодолеть каждый рубеж, прежде чем им удастся по-настоящему угрожать людским, военным, политическим или материальным ресурсам замка.
Во-первых, нападающие должны уклониться от града стрел на подходе к замку. Затем, если подвесной мост поднят, нападающие должны преодолеть ров и проникнуть в ворота, закрытые поднятым мостом. После этого нападающие должны пройти по узкому проходу, образованному стенами и попытаться пройти сквозь внутренние ворота под ударами защитников замка.
В мире ИТ не существует единого непреодолимого средства защиты, и ни одна стратегия информационной безопасности не будет полной без эшелонированной стратегии. Непросто реализовать эту стратегию в корпорации, которой необходимо защитить свои информационные ресурсы. Преимущество замков заключалось в наличии единственной точки входа, а в производственных сетях компаний существует множество входов (в частности, соединения с поставщиками, провайдерами услуг и потребителями), что делает оборону более пористой. Кроме того, в настоящее время число векторов угроз гораздо больше, чем несколько лет назад. В начале 1990-х безопасность сети сводилась, в сущности, к защите от атак на уровне пакетов, а брандмауэры были маршрутизаторами с дополнительными возможностями. Сегодня угрозы для внутренних ресурсов исходят от переполнений буфера, SQL-подмен, вредных Web-страниц, почтовых сообщений с активным контентом, беспроводных соединений, поддельных URL и многих других типов атаки.
В столь динамичной, сложной среде взломщик может обойти любое препятствие при наличии благоприятных обстоятельств. Рассмотрим, например, антивирусные программы. Новый вектор атаки может обойти классические проверки, также как программы IM обходят проверки со стороны антивирусных утилит. К сети предприятия может быть подключен единственный компьютер без обязательной антивирусной программы. Важное обновление вирусных сигнатур может выйти с опозданием или не будет применено в филиале. Антивирусный механизм может пропустить вирус, или произойдет сбой антивирусной программы из-за некорректного исправления. Все эти события случаются в действительности.
Стратегия исчерпывающей эшелонированной обороны
В современных условиях важнее, чем когда-либо в прошлом, применить несколько средств против каждой угрозы. На примере антивирусной программы можно рассмотреть, как использовать комбинированные приемы для формирования исчерпывающей эшелонированной обороны против вирусов и других вредных программ.
Начальный уровень представлен антивирусной программой, направленной против самых распространенных векторов (или входов) угрозы, к которым относятся электронная почта, Web и IM. Антивирусную технологию следует установить на шлюзовых серверах SMTP, которые обрабатывают входящий почтовый поток, и развернуть антивирусное программное обеспечение на брандмауэрах и входных устройствах, которые перехватывают данные, пересылаемые при перемещениях по Web и загрузке файлов. Средства безопасности IM менее зрелые, чем решения для электронной почты и Web. Кроме того, проблема усложняется из-за широкого распространения IM-служб и способности IM-клиентов обходить защитные меры шлюзов. Тем не менее, существуют решения, с помощью которых можно направить внутренние и внешние IM-сообщения через единый канал с антивирусным фильтром и другими функциями безопасности.
Что происходит, если вредная программа обходит периметрическую защиту через незащищенный вектор, или специализированное средство безопасности оказывается неэффективным? Дальнейшее развитие событий зависит от наличия эшелонированной обороны. В средние века главной заботой защитников замка была круговая оборона от атаки по окружающей местности. Оборонительные укрепления начинались на дальних подходах к замку, и становились все более мощными по мере приближения к центру замка. Наиболее защищенной была главная башня, которая представляла собой замок в замке. Если изобразить оборонительные рубежи в виде концентрических кругов вокруг защищаемого объекта, то становится очевидной причина выбора данного подхода. Чем дальше от объекта, тем больше длина окружности и тем больше ресурсов требуется для организации круговой обороны.
Различные методы защиты от вирусов, рассмотренные выше, обеспечивают широту, но не глубину обороны. Например, зараженный файл проходит проверку не более, чем одним из антивирусных инструментом, в зависимости от вектора, из которого появился файл. Несмотря на важность ширины, нельзя надеяться блокировать любую опасность на физическом или логическом периметре сети. Поэтому блокируются самые простые или часто используемые векторы заражения, а затем формируется более глубокое кольцо обороны.
Можно реализовать другой уровень превентивного контроля, разместив брандмауэры на хост-машинах, максимально ужесточив порядок изменения файлов и исключив или ограничив доступ к разделяемым папкам. В результате всех этих мер вирусам и «червям» труднее обнаруживать еще незараженные файлы и системы.
Эшелонированная оборона На что способны игроки мирового оружейного рынка второго эшелона
Глобальные перемены в мироустройстве затрагивают все сферы политики и экономики, в том числе и такую чувствительную к внешним воздействиям область, как производство вооружения и военной техники. Центр анализа стратегий и технологий представил книгу «Новые военно-промышленные державы» под редакцией руководителя ЦАСТ Руслана Пухова, анализирующую возможности семи стран, относительно недавно вышедших на рынок ВиВТ в качестве производителей.
Семь различных историй формирования национального ОПК под одной обложкой дают объемную картину возможного будущего отрасли.
Сочти семь
Книга описывает историю развития и состояние военной промышленности Бразилии, Индонезии, Ирана, Пакистана, Сингапура, ЮАР и Южной Кореи. Для российского читателя каждый из семи случаев представляет интерес с точки зрения преодоления препятствий, стоявших перед странами, решившимися на создание собственной оборонной индустрии.
В первой главе, посвященной Бразилии, наиболее интересна история создания авиастроительной корпорации Embraer, достигшей статуса третьего в мире производителя гражданских самолетов. Будучи изначально исключительно импортером как технологий, так и гражданской продукции, Бразилия добилась существенных результатов, став источником технологий в авиастроении и ряде других областей.
Иран — это пример формирования оборонной промышленности в условиях практически полной политической изоляции и минимума ресурсов, что особенно актуально для России, столкнувшейся с постепенно ужесточающимся санкционным давлением, которое вряд ли ослабеет в ближайшем будущем.
В свою очередь, Сингапур привлекает внимание огромной для столь небольшой страны долей техники собственного производства в арсенале своей армии — более 60 процентов.
Наконец, авторы исследуют феномен Южной Кореи — страны, наиболее близкой к группе лидеров мировой оборонки. При этом положение и перспективы отрасли в значительной мере определили налаженное производство и экспорт гражданской продукции, обеспечившие южнокорейский ОПК технологическим фундаментом.
Все семь стран — потенциальные партнеры России, и тот или иной опыт военно-технического сотрудничества у Москвы есть с каждой из них.
Детализация возможностей
Масштабы этого сотрудничества, конечно, разные — от поставок некоторого количества переносных ЗРК в случае с Сингапуром, до разработки перспективной ракеты-носителя и систем ПВО в Южной Корее. Южнокорейская кооперация, результатом которой стали носитель KSLV-1, созданный при активнейшем участии ГКНПЦ им. Хруничева, и зенитный ракетный комплекс KM SAM (детище концерна ПВО «Алмаз-Антей»), дала, по сути, России дополнительную площадку для отработки технологий ракеты-носителя «Ангара» и зенитного ракетного комплекса С-350 «Витязь» соответственно.
Зенитный ракетный комплекс «Витязь»
Фото: Рамиль Ситдиков / РИА Новости
В книге помимо общей картины приводится ряд существенных деталей, позволяющих понять возможную конфигурацию перспективных контрактов и форм сотрудничества на мировом рынке ВиВТ на фоне дальнейшего развития ОПК «новых стран». Можно прогнозировать усиление интереса к совместным программам разработки и производства ВиВТ, позволяющим, с одной стороны, стране-реципиенту относительно быстро получить собственную современную технику, а с другой — предоставляющим донору редкую возможность пройти полный цикл разработки и запуска новой системы в производство за чужой счет.
Новые игроки способны в некоторых сферах бросить вызов лидерам, предложив собственный работоспособный продукт. В Бразилии это, помимо гражданской авиации, проект военно-транспортного самолета KC-390, в 2015 году впервые поднявшегося в воздух. Учитывая постоянные перебои в реализации российского проекта Ил-214, совместного с Индией, бразильская машина в Нью-Дели всерьез рассматривается как возможная альтернатива.
На свою долю рынка претендует и Южная Корея, в том числе в Индии, — предложив Нью-Дели новейшую САУ K9 Thunder, соревнующуюся в рамках торгов с российской «Мстой-С». В активе южнокорейского авиапрома — учебный самолет Golden Eagle, хорошо принятый рынком. Все чаще сами страны «второго эшелона» выступают донорами технологий — например, в области судостроения, где Samsung Heavy Industries — один из мировых лидеров.
С точки зрения внешнеполитических интересов России, положений военной доктрины и места нашей страны в мировом балансе сил важны и ракетно-космические программы этих стран, их перспективы на рынке космических услуг (для Южной Кореи и Бразилии в первую очередь), а также потенциал сдерживания и боевого применения, особенно в случае ядерного Пакистана и «порогового» Ирана.
Игроки этого уровня, помимо прочего, привлекают внимание России и как возможный путь обхода западных санкций — за счет, например, покупки современного производственного оборудования у той же Южной Кореи. В целом же растущие возможности новых игроков, особенно на фоне продолжающейся деградации оборонных отраслей экономики ряда европейских государств, обещают серьезные изменения на рынке военной продукции и товаров двойного назначения уже в ближайшие 10-15 лет. И от взаимодействия России с новыми игроками может зависеть уже потенциал отечественной оборонки в целом.
Что добавить?
Если говорить о том, чего в книге не хватает, то это, безусловно, обзора ОПК ряда других стран второго эшелона, в том числе Китая, Индии, Израиля и Турции, каждая из которых по-своему интересна российскому читателю. Впрочем, отчасти этот пробел компенсируется тем, что обзор ОПК Китая уже был выполнен коллективом ЦАСТ в книге «Оборонная промышленность и торговля вооружениями КНР», возникшей на основе доклада, который представили администрации президента РФ в 2010 году. Индии, Израилю и Турции, судя по имеющейся информации, также предполагается посвятить отдельные книги.
Запуск корейской ракеты-носитель KSLV-1
Фото: Newsis / Zuma / Globallookpress.com
Еще важные направления работы на ближайшую перспективу — подготовка профильных обзоров ракетно-космических программ «второго эшелона», а также тематического обзора военно-технического сотрудничества РФ с иностранными государствами. Подобный обзор ЦАСТ выпускал только однажды — в 2007 году.
Книга «Новые промышленные державы» — безусловно, серьезный труд, обобщивший сведения из многих десятков источников. При этом в подавляющем большинстве случаев используется информация различных сетевых ресурсов, что заставляет задуматься о необходимости перехода в дальнейших изданиях такого рода на цифровой ссылочный аппарат, который позволял бы читателю выходить на нужные ресурсы прямо из созданной параллельно с бумажной книгой справочной страницы в сети.
List of available regions
Main regions
АМЕРИКА
ЕВРОПА, БЛИЖНИЙ ВОСТОК и АФРИКА
АЗИАТСКО-ТИХООКЕАНСКИЙ РЕГИОН
Что такое эшелонированная защита?
Эшелонированная защита — это стратегия использования множества мер безопасности для защиты целостности информации. Она предназначена для охвата всех аспектов безопасности бизнеса и при необходимости может намеренно создавать избыточность. Если угрозы пройдут одну линию защиты, будут использованы дополнительные уровни безопасности, чтобы остановить их. Этот метод устраняет уязвимости безопасности, которые неизбежно несут с собой технологии, персонал и операции в сети.
Киберугрозы продолжают эволюционировать, а тактики злоумышленников становятся все более вредоносными и автоматизированными. Эшелонированная защита — это современный комплексный подход к безопасности для ИТ-специалистов.
Это особенно важно с учетом последних данных, представленных в отчете Verizon об исследовании утечек за 2020 г. (DBIR). В отчете за этот год проанализировано более 32 000 нарушений безопасности и почти 4000 подтвержденных случаев утечек по всему миру. Ниже приведено лишь несколько тревожных выводов.
Ценность эшелонированной защиты заключается в том, что этот подход объединяет в себе передовые инструменты безопасности, чтобы защитить критически важные данные и заблокировать угрозы, прежде чем они достигнут конечных точек и сетей. Защита конечных точек, включая антивирус и брандмауэры, по-прежнему является важным элементом всесторонней системы безопасности. Тем не менее, стратегия эшелонированной защиты получает широкое распространение, поскольку сегодня одних этих техник обеспечения сетевой безопасности уже недостаточно для защиты сотрудников.
Риски для безопасности продолжают расти, так как компании по всему миру все еще обязывают сотрудников разных уровней работать из дома. Действительность такова, что удаленные сотрудники получают доступ к данным и передают их с помощью облачных приложений и работают вне традиционного периметра сети, но это не только влияет на успешное воплощение инициатив по цифровой трансформации, но и привносит дополнительные риски, связанные с атаками.
Специалисты по ИТ и безопасности согласятся, что Интернет стал новым офисным периметром и для его защиты требуется новый комплексный подход. Концепция эшелонированной защиты блестяще справляется с этой задачей: она продвигает кибербезопасность на новый уровень, признавая необходимость макроконтроля, к которому относятся физические, технические и административные аспекты сети, для максимальной защиты.
Эти три элемента контроля образуют структуру стратегии эшелонированной защиты.
Физический контроль — это меры безопасности, которые защищают ИТ-системы от физического вреда. В качестве примеров физического контроля можно назвать работу охранников и закрытие дверей на замок.
Технический контроль — это методы защиты сетевых систем. Технический контроль компании подразумевает защиту аппаратного и программного обеспечения, а также сетевого уровня. Меры по кибербезопасности, включая многоуровневую безопасность, также относятся к этой категории.
Административный контроль — это политики и процедуры, установленные организацией для сотрудников. Примером административного контроля является обучение сотрудников тому, как правильно обозначать конфиденциальную информацию, и объяснение необходимости хранения личных файлов в соответствующих папках.
История и происхождение эшелонированной защиты
Понятие и сама фраза «эшелонированная защита» возникли для обозначения военной стратегии, которая подразумевает создание барьеров с целью замедления продвижения противника, обеспечивая войскам время для отслеживания перемещений противника и выработки ответных мер. Цель этого приема — замедлить или задержать продвижение атакующих войск вместо немедленного ответа.
До перехода на работу из дома, когда Интернет еще не занял ключевое место в любой деятельности, компании полагались только на физические центры обработки данных, которые имели несколько материальных слоев защиты. Войти в офисное здание могли только сотрудники с пропуском, а для доступа к файлам было необходимо иметь учетную запись Active Directory и корпоративный ноутбук с соответствующими разрешениями. Худшее, что могло тогда случиться, — это когда кто-то из отдела маркетинга случайно получал разрешения на доступ к папке с техническими данными. Но положение дел резко изменилось.
Современные проблемы кибербезопасности
Движение в сторону цифровой трансформации ускоряется, наши бытовые и рабочие процессы выполняются онлайн и в облаке. Принципы стратегии эшелонированной защиты остаются критически важными, но теперь для защиты онлайн-безопасности компаний и их сотрудников требуются гораздо более продвинутые средства технического контроля.
У крупных поставщиков облачных услуг есть первоклассная система защиты и стандартизированные процессы, но их безопасность зависит от сотрудников и пользователей. Пользователи часто становятся жертвами фишинговых атак и обмана с помощью вредоносных ссылок в Интернете, предоставляющих доступ к сети преступникам, которые ищут в сети личные данные, чтобы с их помощью заработать. В облаке пользователям не нужен пропуск сотрудника или специальное корпоративное устройство для доступа к файлам. Следовательно, подвергнуть вашу сеть угрозам, существующим во всемирной паутине, можно всего в несколько кликов.
Типичные слабые места стратегий кибербезопасности
Как помогает глубокая защита?
Единый уровень безопасности попросту не будет эффективным в сегодняшней быстро меняющейся развитой среде киберпреступности. Стратегия эшелонированной защиты позволяет построить более безопасную сеть за счет разделения и даже дублирования определенных методов защиты, чтобы минимизировать вероятность взлома.
Располагая рядом различных средств защиты, включая брандмауэры, антивирус, обнаружение вторжений, сканирование портов и безопасные шлюзы, компании могут заполнить пробелы и закрыть лазейки, которые существовали бы, если бы сеть полагалась только на один уровень безопасности. Например, если хакер взломал один уровень защиты сети, глубокая защита дает администраторам и инженерам дополнительное время для развертывания обновлений и мер противодействия, в то время как уровни антивируса и брандмауэра блокируют дальнейшее проникновение.
Как эшелонированная защита связана с многоуровневой безопасностью?
Многоуровневая безопасность для малого и среднего бизнеса использует сочетание нескольких решений для кибербезопасности, которые предназначены для уменьшения поверхности атаки сети и защиты ее со всех направлений.
Этот подход возник в связи с увеличением мобильности рабочих процессов, количества устройств IoT и зависимости предприятий от Интернета в целом. Конечные устройства, облачные сервисы и веб-приложения теперь содержат ключи к данным, которые для киберпреступников представляют денежную ценность. Раньше, когда данные были защищены в запертом здании, одного или двух уровней безопасности было бы достаточно.
Сегодня же поверхности атак малого и среднего бизнеса быстро растут ввиду появления и добавления новых устройств, повышающих эффективность операций. Данные собираются и хранятся в сторонних приложениях или в облаке. Возможности для атаки теперь практически безграничны. Одного брандмауэра уже недостаточно.
Многоуровневая безопасность — важная часть стратегии эшелонированной защиты, а именно технического контроля. Она ориентирована на кибербезопасность и полную защиту конечных точек и сетей. И хотя эшелонированная защита признает, что обеспечить полную безопасность невозможно, замедление угрозы до тех пор, пока она не перестанет представлять опасность, является наиболее эффективным способом защиты бизнеса. Эшелонированная защита предлагает более высокий уровень безопасности, поскольку в дополнение к кибербезопасности она также фокусируется на административном и физическом контроле, осуществление которого необходимо для безопасности предприятий.
Какие уровни безопасности нужны малому и среднему бизнесу?
Чтобы определить необходимые уровни защиты, лучше всего выделить, какие конфиденциальные данные у вас есть, где они расположены и у кого есть к ним доступ. Устройства, данные и люди часто являются ключами к оценке вашей угрозы безопасности. После того как вы определили свои данные или устройства, подверженные риску, вам будет проще решить, какие уровни вам нужны, и понять, как они сочетаются с вашим подходом к безопасности.
Некоторые из приведенных ниже услуг и продуктов безопасности могут повторяться или фактически быть частью другого уровня безопасности. Они перечислены здесь отдельно, потому что они либо выполняют важную функцию сами по себе, либо их повторное применение требуется для повышения защиты.
Какие уровни кибербезопасности рекомендуется использовать малому и среднему бизнесу?
Продукты и услуги кибербезопасности, указанные ниже, считаются «основными» для малого и среднего бизнеса, поскольку они защищают от основных угроз, которые могут быстро вызвать ненужные простои, расходы и ущерб репутации бизнеса.
Указанные ниже уровни безопасности становятся не менее важными в связи с удаленным подключением сотрудников к сетям компании, а также по мере роста бизнеса, внедрения дополнительных облачных сервисов и расширения предложений.
* В зависимости от вашего сектора рынка и согласно вашим требованиям соответствия