Stichinės nelaimės ir kibernetinės atakos

Stichinės nelaimės ar avarijos gali būti grėsmingos. Žaibas, audra, potvynis, gaisras arba jų derinys gali sutrikdyti visos įmonės veiklą. Galimi  įvairūs nelaimių scenarijai, kuriuos būtina apsvarstyti. Apsaugai nuo šių nelaimių kuriami sistemų atkūrimo po avarijų ar katastrofų planai, apimantys atkūrimo procedūras ir reikalavimus padidinto patikimumo infrastruktūrai bei numatantys atkūrimo procedūrų testavimą. Paprastai patikimai infrastruktūrai sukurti reikia turėti dubliuotas sistemas, esančias geografiškai nutolusiuose duomenų centruose, bei atsargines duomenų kopijas. Kritišku atveju visada galima atkurti sistemas iš naujausios atsarginės kopijos, prarandant santykinai nedidelę dalį duomenų.

Tačiau stichinių nelaimių grėsmės skiriasi nuo  kibernetinių grėsmių. Kibernetinis užpuolikas aktyviai siekia sužlugdyti jūsų veiklą ar verslą. Atakos gali būti užmaskuotos, lanksčios ir daugialypės. Įvairūs atakos įrankiai gali būti įdiegti į jūsų infrastruktūrą, gali būti pažeistos, užkrėstos paskyros, modifikuotos programos, sugadinti, pavogti ar užšifruoti duomenys. Tokiais atvejais įprastas sistemų atkūrimo po avarijos planas neišgelbės.

Įsivaizduokite tokį hipotetinį scenarijų. Jūsų IT sistemos neveikia. Nėra el. pašto, neveikia sistemų vartotojų katalogas, negalite patekti į biurą, nes apsaugos sistemos užblokuotos, negalite patekti į savo duomenų centrą, nes apsaugos darbuotojas negali gauti leidimo patvirtinimo skambučiu į jūsų biurą arba el. paštu. Net tada, kai jums pavyks išspręsti šias problemas ir atkurti duomenis iš atsarginių kopijų, nebus jokių garantijų, kad kartu nebus atkurta kenkėjiška programinė įranga ir visa ataka nepasikartos iš naujo.

Toks scenarijus yra visiškai realus, o visa statistika rodo, kad kibernetinės atakos tikimybė yra daug didesnė, negu stichinės nelaimės.

Siekiant užtikrinti sistemų atkūrimą kibernetinių pavojų akivaizdoje, reikia žymiai išplėsti avarinio atkūrimo sąvoką. Toks atkūrimas turi būti gerokai patvaresnis, dinamiškesnis, reikalaujantis glaudaus IT ir saugumo padalinių bendradarbiavimo. Avarinio atkūrimo planas yra papildomas kibernetinio atsparumo priemonėmis. Visų šių priemonių visuma vadinama duomenų atsparumu (Data Resiliency). Duomenų atsparumo priemonės ne tik atkuria pažeistas sistemas, bet ir užtikrina veiklos tęstinumą, nepaisant kibernetinių užpuolikų veiksmų.

Nuo saugumo link atsparumo

Ne paslaptis, kad kibernetinio saugumo pareigūnai lengvai išleidžia iki 90% saugumo biudžeto prevencinėms ir aptikimo technologijoms, t. y. virtualioms tvirtovėms ir apsauginiams grioviams. Šis metodas yra logiškas ir atitinka organizacijų gynybinę strategiją. Tačiau plačiai paplitusios sėkmingos išpirkos reikalaujančių programų atakos prieš tas pačias organizacijas, kurių prevencinių ir aptikimo technologijų investicijos siekia milijonines sumas, rodo, kad tokia strategija nėra teisingas pasirinkimas. Vietoje jos reikėtų kitokią atsparumo strategiją.

Kol statomos aukštesnės tvirtovės sienos ir platinami grioviai, užpuolikai pastato aukštesnes kopėčias ir pradeda naudoti talpesnes valtis grioviams perplaukti. Arba pagamina Trojos arklį, pritaikydami socialinės inžinerijos metodus įmonės darbuotojams, ir netrukdomi patenka į vidų per paradinius vartus. Ir nėra jokios apsaugos, kuri juos sustabdytų. Galiausiai, užpuolikai visada turi pirmo žingsnio pranašumą, smogdami savo nuožiūra pasirinkta netikėta kryptimi.

Prevencinės ir aptikimo technologijos netgi gali tapti kliūtimi kelyje į atsparumą, nes gali sukelti klaidingą lūkestį, kad organizacija sugebės atlaikyti visas atakas, jei tik apsaugai bus skirta pakankamai žmonių bei tinkamos technologijos. Deja, šios priemonės turi ir kitų neigiamų poveikių. Pavyzdžiui, sistemų sudėtingumas ir nesuderinamumas dėl daugybės agentų, įdiegtų įvairiuose įrenginiuose, lankstumo trūkumas dėl perpildytų technologijų paketų. Tačiau svarbiausias trūkumas yra priklausomybė nuo žmonių, procesų ir technologijų, kurios galiausiai negalės padėti, kai jų labiausiai reikės – po to, kai sistemos taps nebepasiekiamos ir grėsmingai ateis išpirkos reikalavimai. Ar tada visos viltys, kad pavyks sėkmingai atsigauti, bus siejamos su ta rizikos lygties dalimi, kuriai tenka tik 10% visų apsaugos investicijų?

Prieš atkūrimą į gamybinę aplinką – atkūrimas į švarią patalpą

Tradiciniai IT sistemų avarinio atkūrimo planai ir jų testavimo metodai yra netinkami kibernetinės atakos atveju.

Kibernetinės atakos atveju sistemų atkūrimą vykdo ne tik IT operacijų padalinys. Kartu dirba ir saugumo operacijų komanda. Pvz., pradžioje IT turi atkurti sistemas, kad saugumo komanda galėtų atlikti ekspertizę ir suprasti, kaip pasireiškė ataka, kad identifikuotų pažeidimus ir nustatytų pažeidžiamumų ištaisymo prioritetus, pagal kuriuos IT turės atlikti ištaisymus. Galiausiai saugumo komandai reikės sustiprinti atkurtų IT platformų saugumo kontrolės priemones, prieš perkeliant šias platformas į gamybinę aplinką.

Toks procesas yra nuolat pasikartojantis, vykdomas NIST kibernetinio saugumo metodo etapuose „Reagavimas“ ir „Atkūrimas“.

Kodėl tai yra iššūkis? Nes dauguma organizacijų kuria bendradarbiavimo procesus, „švarios patalpos“ strategiją ir diegia reikiamas technologijas sėkmingam atkūrimui tik įvykus incidentui dėl išpirkos reikalaujančios programinės įrangos. Kitaip tariant tada, kai jau būna per vėlu.

Švarios patalpos strategija

Nuo ko pradedama įgyvendinti švarios patalpos strategija? Labai apibendrinus, nuo plano, pagal kurį žmonės, procesai ir technologijos kartu užtikrintų duomenų atsparumą.

1. Kibernetinės atakos poveikio suvokimas ir apsaugos planavimas.
   1. Reikia numatyti įvairius scenarijus. Pvz., kas būtų, jei neturėtumėte ryšio, el. pašto. Visoms reagavimo į incidentus procedūroms reikalinga gera komunikacija. Taigi, ryšių ir bendradarbiavimo platformos turi būti nepasiekiamos užpuolikams. Komunikacijų turinio išsaugojimas gali būti svarbus vėlesniuose juridiniuose ginčuose ar kaip įrodymas reguliavimo institucijoms.
   2. Pagrindinių kibernetinio saugumo sistemų peržiūra. Reikia pradėti nuo pagrindinių komponentų, tokių, kaip apsaugotos nuo pakeitimų atsarginės kopijos, aplinkų atskyrimas „oro tarpu“, patikimos autentiškumo patvirtinimo priemonės. Būtina sąlyga – patikimos duomenų atkūrimo technologijos.
   3. Skaitmeninio „išvykimo krepšio“ paruošimas, t.y. reikia turėti izoliuotą duomenų saugyklą, į kurią sudedami paruošti diegimui svarbiausių programų atvaizdai, kitų reikalingų programų diegimo failai, konfigūracijų failai, dokumentai, šablonai ir pan., kurie būtini naujos izoliuotos aplinkos sukūrimui.
   4. Atkūrimas saugioje aplinkoje. Atkūrimas švarioje patalpoje leidžia pašalinti pažeidžiamumus ir suprasti, nuo ko prasidėjo ataka.
2. Saugomų duomenų klasifikavimas. Būtina žinoti, kur ir kokie duomenys saugomi, kokie jų apsaugos reguliavimai taikomi.
   1. Reikia suvokti, į ką taikosi užpuolikai. Duomenys yra tai, ką būtina saugoti, kad nepažeistumėte atitikties reikalavimų. Duomenys valdo jūsų verslą ar užtikrina veiklą. Duomenys yra tai, ko siekia užpuolikai.
   2. Reikia suprasti ir įvertinti turimos jautriausios informacijos pažeidžiamumą. Duomenų klasifikavimo sistemos padeda išsaugoti duomenų konfidencialumą ir vientisumą. Užpuolimo atveju tai yra svarbiausias rūpestis.
      c. Reikia nustatyti reagavimo prioritetus, atsižvelgiant į reguliavimų įsipareigojimus. Būtina suprasti, kuriems duomenims taikomi reguliavimo institucijų reikalavimai pranešti apie pažeidimus.
3. Turimų įrankių įdarbinimas.
   1. Naudokite integravimo, automatizavimo ir orkestravimo priemones. Pavyzdžiui, reguliariai padaromos momentinės duomenų kopijos gali padėti suvokti įvykdytų atakų proceso eigą visoje jūsų infrastruktūroje. Tik galutinės būsenos užfiksavimas gali nepadėti kriminalistams, ypač jei padarytas po to, kai užpuolikas jau buvo išvalęs ir sutvarkęs aplinką.

Nevienalytės aplinkos įtaka duomenų atsparumui

staruoju metu vyrauja tendencija naudoti nevienalytes IT aplinkas, t.y. aplinkas, kurias sudaro nuosava infrastruktūra, infrastruktūros viešosios debesijos platformose, nuomojamos IT paslaugos (ITaaS), nuomojamos programų paslaugos (SaaS), avarinio atstatymo paslaugos (DRaaS) ir pan. Dažniausiai šios aplinkos skiriasi ne tik technologiškai, bet ir atsakomybių pasidalinimu. Diegiant duomenų atsparumo sprendimus ypač svarbu suprasti, kas atsakingas už duomenų apsaugą. Yra beveik 100% tikimybė, kad už duomenų apsaugą yra atsakingas duomenų savininkas, o paslaugų teikėjas arba visai neatsakingas už duomenis, arba tik dalinai atsakingas. XaaS aplinkose naudojamos atsarginių duomenų kopijų technologijos gali smarkiai skirtis nuo technologijų, naudojamų nuosavose infrastruktūrose. Labai dažnai xaaS aplinkose suteikiama galimybė atstatyti duomenis tik į jau egzistuojančią aplinką, bet nenumatoma galimybė atkurti duomenis naujoje švarioje aplinkoje, jei turima aplinka buvo pažeista kiberatakos.

Bendra patirtis yra ta, kad kuo vienalytiškesnė IT aplinka, tuo lengviau ją apsaugoti nuo pažeidimų. Bet koks avarinio atstatymo sprendimas turės tam tikrų ribojimų ir reikalavimų palaikomų aplinkų homogeniškumui. Be to, išoriniai paslaugų teikėjai gali apsaugoti tik tai, kam gali sukurti atsarginę kopiją, o tai retai apima visą reikalingą aplinką.

Antras svarbus dalykas – į išpirkos reikalaujančias programas reikia žiūrėti labai rimtai. Būtina numatyti atvejus, kas bus, jei nukentėsite jūs ir/arba jūsų IT paslaugų tiekimo grandinės tiekėjai.

Trečias svarbus pastebėjimas – būtina kontroliuoti ITaaS tiekėjus ir patvirtintas duomenų atkūrimo procedūras. Galima pasitikėti tik realiai patikrintomis (išbandytomis) atkūrimo procedūromis.

IT paslaugų nuoma dažnai pasirenkama siekiant sumažinti IT išlaidas, o tai pasiekiama sumažinant nuosavų IT specialistų kiekį ir apsiribojant žemesnės kvalifikacijos specialistais. Tokiu atveju gerokai sumažėja galimybės garantuoti duomenų (už kuriuos atsakingas jų savininkas) atsparumą ir nepriklausomai kontroliuoti paslaugų teikėjų procedūras. Todėl būtina išlaikyti balansą tarp vidinių resursų ir nuomojamų paslaugų.

Ateities vizija

Siekiama, kad ateityje būtų galima visiškai automatizuoti duomenų atsparumo sistemas ir užtikrinti automatinį reagavimo į gedimus, katastrofas bei kibernetines atakas procedūrų vykdymą, panašiai, kaip šiuo metu padidinto patikimumo sistemos gali apsisaugoti nuo atskirų komponentų techninių gedimų. Pirmas žingsnis, kurį galima žengti jau šiandien, yra kibernetinio atsparumo siekis. Neapsiribodami tradiciniu avarinio atstatymo požiūriu bei įprasta tvirtovės ir apsauginio griovio apsauga, priartėsime prie šios vizijos įgyvendinimo ir prisitaikysime prie nuolatinių kibernetinių užpuolikų taktikos pokyčių.

Sekite mus