Защита от киберпожаров
Для компаний обычным делом является страхование от пожаров и одновременная реализация стратегий их предотвращения и локализации. Однако по какой-то причине некоторые компании покупают киберстраховку, но не принимают мер защиты от кибератак. Возможно, они не видят в кибератаках такой опасности, как от настоящего пожара, при котором на карту поставлено имущество и даже человеческие жизни. Но с развитием технологий интернета вещей (IoT) тесное сближение физического мира с киберпространством будет способствовать росту рисков. Принятие описанных далее защитных мер может быть чрезвычайно полезно для вашей компании.
1. Проведите киберпожарные учения. Сымитируйте разрушительные атаки для проверки системы резервного копирования, отработки отказа, скорости реагирования, восстановления и способности своевременно «эвакуировать» данные. Подобное упражнение отличается от тестов аварийного восстановления или резервного копирования тем, что вместо воображаемой угрозы с сетью взаимодействует реальная модельная угроза (нужно также принять такие меры, как шифрование данных с помощью известного ключа, чтобы во время упражнений случайно не уничтожить важные данные).
Netflix использует упражнение под названием Chaos Monkey: специальная программа случайным образом отключает серверы, портит конфигурации и отключает службы. Таким образом организация постоянно проверяет возможность плавной и немедленной балансировки нагрузки или переключения на резервные копии. В случае реальной проблемы команда безопасности будет иметь на руках протестированные и работоспособные решения. Netflix предоставляет программу Chaos Monkey бесплатно, поэтому любая компания может использовать ее и с ее помощью научиться обнаруживать атаки, противодействовать им, реагировать на опасность и восстанавливаться после сбоев. Для получения дополнительной информации см.: Chaos Monkey, GitHub, Inc., Lorin Hochstein, last modified July 31, 2017.
2. Внедрите системы киберпожаротушения. Выделите ресурсы на изучение того, как распространяется та или иная атака, что именно она разрушает и что делает ваши системы уязвимыми для нее. Внедрите адаптеры жестких дисков, разрешающие только чтение и выполняющие операции в буфере жесткого диска. Такие жесткие диски держат данные заблокированными и не позволяют уничтожить их, так как никакое ПО не может с ними взаимодействовать. Удалите «горючее» программное обеспечение: приложения, библиотеки, функции и другие компоненты, которые могут распространять атаки. На рынке может появиться специализированное программное обеспечение, оборудование и устройства, обеспечивающие киберогнеупорность. Эти приложения могут иметь большое влияние на рынок: они делают серверы или данные устойчивыми к разрушительным атакам или по крайней мере замедляют или останавливают их распространение.
3. Установите киберпожарные ловушки. Существуют богатые возможности для создания автоматизированных киберловушек, которые заманивают злоумышленников или вредоносные программы в бесконечные циклы или запускают механизмы, которые заставляют атаку изолироваться и погасить саму себя. Один из таких способов защиты - создание папок в общих сетевых ресурсах с бесконечными рекурсивными каталогами. Когда вредоносная программа пытается перебирать такие папки, она застревает в бесконечном цикле [3]. Для обнаружения такого поведения можно использовать специальные датчики, способные предупредить отдел безопасности или самостоятельно убить процесс, который инициировал бесконечный каталог.
4. Создавайте динамические кибербарьеры. Распространение кибератак упрощается из-за того, что системы обычно бывают включены и соединены друг с другом. Хотя атака не может напрямую скомпрометировать данную систему, она может распространиться на связанные с ней системы. Это неоднократно демонстрировалось сотнями тысяч, если не миллионами ботнетов, червей и других самораспространяющихся вредоносных программ.
В большинстве случаев разделение и изоляция реализуются за счет статически разработанной архитектуры. Но ИT-организации могут внедрять также дополнительные ручные и программные барьеры. Известно, что у некоторых компаний в здании есть главный рубильник, с помощью которого вручную отключают организацию от внешней сети. Связь внутри сети продолжает работать, но все внешние сетевые соединения немедленно разрываются, создавая физический воздушный зазор. Польза этой возможности может показаться сомнительной, но в случае глобального киберпожара у компании есть возможность быстро и легко изолироваться от угрозы без необходимости рубить кабели топором.
В более совершенной версии этой реализации каждая система, комната, этаж и здание будут иметь собственный переключатель, что позволит сотрудникам службы безопасности принимать быстрые решения и предотвращать разрушительные атаки. Узнав об атаке, сотрудники могут быстро скопировать себе любые критически важные рабочие документы, а затем отключить свой компьютер от сети и предотвратить распространение атаки.
