kovo 31, 2021

IT sistemų sauga: geriausia mokytis iš svetimų klaidų

Informacinių sistemų saugumas yra tema, kuri aktuali viešumoje tampa taip, kaip ir džinsai, kurie spintoje praleido pastarąjį dešimtmetį, kol vėl tapo madingi. Deja, apie IT saugumą primena ne kokia nors žvaigždė ar nuomonės formuotojas, o žiniasklaidoje nuaidinčios istorijos apie paviešintus įsilaužimo atvejus.

Pakankamai daug buvo analizuota ir diskutuota apie pastaraisiais mėnesiais garsiai nuaidėjusias saugumo spragas, leidusias nutekinti vartotojų informaciją iš lietuviškos automobilių dalinimosi platformos. Šiek tiek atslūgus pirmosioms emocijoms, o kai kam jau ir kiek primiršus situaciją verta prisiminti, ko tokie įvykiai moko ne tik vartotojus, patikinčius savo asmeninius duomenis įmonėms, bet pačioms įmonėms, kurios tuos duomenis saugo bei apdoroja.

IT sistemų saugumo užtikrinimas yra nuolatinis procesas

Posakiai „pastačiau ir pamiršau” arba „nejudink veikiančios sistemos” nėra niekaip suderinami su IT saugumu. Deja, juos kartais dar galima išgirsti kalbantis su kai kuriomis, dažniausiai ne į IT orientuotomis įmonėmis. Nuolatinė sistemų priežiūra, laiku atliekamas atnaujinimų diegimas turėtų būti savaime suprantami žingsniai, siekiant užtikrinti nuolatinį IT sistemų veikimą.

Nerasite nė vieno pasaulyje žinomo programinės įrangos gamintojo, kuris savo produktuose nėra kažkuriuo metu netyčia palikęs saugumo spragų. Tačiau pagrindinis gerų programinės įrangos gamintojų bruožas yra tas, jog apie spragą sužinoję jie nedelsdami puola ją taisyti ir išleidžia savo produkto atnaujinimą.

Ilgalaikis saugumo atnaujinimų ignoravimas, ypač kai naudojate kelias IT sistemas, gali puikiai pasitarnauti paverčiant jūsų įmonę lengvu taikiniu. 2017 metais nusiritusios „WannaCry“ ir „NotPetya“ bangos yra puikus pavyzdys, kaip dėl vienų ar kitų priežasčių nediegiami operacinių sistemų atnaujinimai gali ant kelių paklupdyti net didžiules kompanijas.

Visgi ne tik operacinės sistemos ir taikomoji programinė įranga sulaukia spragų pataisymų. Pastaraisiais metais ne kartą susidūrėme ir su saugumo spragomis centrinėse procesoriuose („Meltdown“, „Spectre“ ir vėliau sekusios atmainos). Tai viena iš situacijų, apie kurias netgi ilgamečiai IT specialistai nebūtų pagalvoję.

Svarbu prisiminti, jog savalaikis sistemų atnaujinimas yra tik pradžia. Bėgant laikui ir žmonėms labiau gilinantis į kompiuterių mokslą atrandame, jog kai kuriuos veiksmus galime atlikti efektyviau, o kai kurie dalykai, kurie veikė iki šiol, nebeveiks ateityje. Dėl to keičiasi ir gerosios praktikos, naudojamos IT infrastruktūros ar IT produktų vystyme. Neretai pokyčius skatina tie patys IT saugumo temą studijuojantys tyrėjai ar programišiai. Jei anksčiau laikėme, jog būdami vidiniame kompanijos tinkle, apsaugotame kelių ugniasienių sluoksnių, esame saugūs nuo pavojų, tai dabar suprantame, jog mūsų „saugus” vidinis tinklas nėra toks ir saugus, o siekiant padidinti saugumą turėtume kliautis „nulinio pasitikėjimo” modeliu, paremtu vartotojų identitetais ir griežta prieigos valdymo kontrole.

Kartais pažeidžiamumai aptinkami ir protokoluose, arba šie tiesiog pasensta. Jei pažeidžiamumas aptinkamas protokolo igyvendinime, tai dažnai apsiriboja tiek vienu gamintoju ar vienu to gamintojo produktu. Tačiau jei spraga yra protokole, šis dažniausiai yra naudojamas visų analogišką programinę įrangą kuriančių gamintojų. Taip nutiko ir su SSL bei ankstesnėmis TLS protokolo versijomis. Turint omenyje, jog tai protokolai, skirti užtikrinti saugų duomenų apsikeitimą kiekvieną kartą apsilankius interneto svetainėse, tokių pažeidžiamumų poveikis gali būti labai rimtas.

Atskiro paminėjimo nusipelno ir kriptografinės šifravimo bei maišos („hash“) funkcijos, kuriomis ir remiasi saugus duomenų apsikeitimas ir saugojimas informacinėse sistemose. Net jei funkcijoje ir nėra aptikta jokių prigimtinių problemų ar saugumo spragų, su natūraliu procesorių greičio augimu, kiekvienas šifravimo algoritmas tampa vis paprastesnis „nulaužti”. Tai viena iš priežasčių, kodėl jau ilgą laiką duomenims šifruoti nebenaudojame DES algoritmo, o dabar plačiai paplitusį AES galbūt turėsime keisti kažkuo kitu.

Prieš 5 metus nemažai anksčiau saugiais įvardintų šifrų rinkinių, skirtų užmegzti šifruotą duomenų kanalą tarp klieno ir kompiuterio šiandien jau tikrai nebegali būti pavadinti saugiais. Prie to nemaža dalimi prisidėjo ir pirmieji praktiniai SHA1 maišos funkcijos kolizijų įgyvendinimai ir efektyvesnių metodų suradimas.

Jei SHA1 santrumpa atrodo pažįstama, tikėtina, jog ją galėjote matyti žiniasklaidoje, LinkedIn ar IT specialistų tinklaraščiuose pastarąjį mėnesį.

Kaip ir kitos vienkryptės maišos funkcijos SHA1 buvo dažnai naudojama išsaugoti slaptažodžių reprezentaciją, nesaugant paties slaptažodžio, kas leidžia kiekvieną kartą vartotojui jungiantis prie sistemos jo įvestą slaptažodį praleisti pro tą pačią funkciją ir, rezultatui sutapus, patvirtinti, jog vartotojas gali prisijungti.

Dėl to, jog maišos funkcijos yra vienkryptės, iš reikšmės saugomos duomenų bazėje tikrojo slaptažodžio išgauti neįmanoma. Tačiau įmanoma sugeneruoti didžiulį sąrašą slaptažodžių bei jų maišos funkcijos rezultatų (kas plačiau žinoma „vaivorykštinės lentelės” pavadinimu), o žinant ieškomo slaptažodžio maišos vertę, ją jau belieka tikrinti su turima lentele. Nors tai ir nėra ypatingai paprastas procesas, dėl viešai prieinamų didžiulių vaivorykštinių lentelių kiekio, prieš leidžiant maišos funkciją tikrasis slaptažodis yra papildomas tekstu, geriau žinomu kaip „druska“ arba „pipirais“, pasunkinančiu tikrojo slaptažodžio paieškas.

Naujos technologijos ne visada suderinamos su senais darbo metodais

Viešosios debesijos atėjimas tapo galimybe organizacijoms greitai turėti tokią infrastruktūrą, kokios joms reikia dabar ir keisti ją lanksčiai, priklausomai nuo poreikių. Tai įgalino ir galimybę daug greičiau išleisti programinę įrangą savo klientams.

Visgi viešųjų debesijos technologijų tiekėjai verčia iš naujo mokytis ir IT specialistus, kurie dabar gali rinktis iš daugybės naudojimui paruoštų servisų, kuriuos anksčiau turėjo nuo nulio konfigūruoti patys, tiek ir saugumo specialistams, kuriems reikia rūpintis ne tik potencialiomis spragomis produkte, tačiau ir teisingu debesų platformos valdymo sąsajos bei prieigos teisių sukonfigūravimu. Priešingu atveju galima palikti plačiai atvertas duris, kurių saugant duomenis savo duomenų centruose net nebuvo.

Galima rasti daug pavyzdžių, kai žiniasklaidoje garsiai nuskambėdavo pranešimai apie viešo debesies infrastruktūroje savo duomenis laikančias organizacijas, kurių duomenys buvo nutekinti. Ir nors iš naujienų antraščių ir būdavo galima susidaryti įspūdį, jog dėl to kažkuo kalti debesijos paslaugų tiekėjai, dėl pažeidžiamumo įprastai kaltas būdavo aplaidus paslaugos konfigūravimas, leisdavęs prie failų prieiti bet kam.

Debesų kompiuterijos tiekėjai bėgant laikui įdiegė nemažai pagalbinių įrankių, automatiškai įspėjančių apie konfigūracijas, kurios prasilenkia su gerosiomis praktikomis, taip pagelbėdami konfigūraciją atliekantiems specialistams. Tai tikrai gali padėti nedidelę patirtį viešosios debesijos paslaugose turintiems klientams. Tačiau dar užtikrinčiau įmonės jausis pasitelkę ilgametę patirtį tokio tipo projektuose turinčius konsultantus. Pasitelkti visą reikalingą pagalbą tiesiog būtina, kadangi galutinė atsakomybė dėl konfigūravimo sprendimų kris ant vartotojų duomenis saugančios organizacijos.

Brangi įranga ir įrankiai padeda tik kai yra naudojami

Didelė ir brangi ugniasienė, antivirusinės programos kiekviename kompiuteryje, centralizuota žurnalinių įrašų saugykla. Atrodo tai viskas, ką pasiūlė įsigyti saugumo konsultantai ir ką padėjo sukonfigūruoti partneriai. Dabar jau esate saugūs, ar ne?

Tuo metu, kai darbą baigė konsultantai ir integratoriai šis teiginys greičiausiai būtų teisingas. Tačiau palaikyti saugumo lygiui vienkartinės investicijos, deja, nepakaks. Ir ne tik dėl anksčiau išvardintų priežasčių.

Net jei turite sukonfigūruotas visas apsaugos priemones, automatiškai pranešančias apie įtartiną veiklą, kažkas į generuojamus pranešimus turėtų ir reaguoti, ir tai daryti ne tik pirmą mėnesį po naujų sistemų suderinimo.

Bėgant laikui gali atsirasti nukrypimų nuo pirminių konfigūracijų, kurios tuo metu atrodė kaip greičiausias ir patogiausias būdas suteikti kažkam laikiną prieigą, atjungti vieną ar kitą IPS taisyklę ar atidaryti prieigą prie serverio iš plačiojo interneto. Kas gi blogo gali nutikti?

Tiesa, jog toks laikinas taisyklių apėjimas tuo metu gali duoti daugiau naudos, nei potencialiai sukelia rizikos. Visgi didžiausios problemos kyla, kai tokie laikini sprendimai dėl aplaidumo ar tinkamo procesų nepaisymo yra pamirštami ir tampa naujuoju standartu.

Teisių valdymas ir apskaita

Prieiga prie informacinių sistemų turėtų būti leidžiama tik tiems, kam ta prieiga reikalinga, ne aukštesnėmis nei darbo funkcijai atlikti reikalingomis teisėmis ir fiksuojant, koks vartotojas atliko konkrečius veiksmus. Tai viena pagrindinių taisyklių, leidžianti apsaugoti savo informacines sistemas ir netgi įsilaužimo atveju sumažinti žalą.

Netgi besąlygiškai pasitikint darbuotojais niekas nėra apsaugotas, jog kažkurio iš jų pavaldinių ar kolegų prisijungimo duomenys nebus pavogti „phishing“ atakos metu arba toks pats slaptažodis darbuotojo nebus naudojamas jau anksčiau nulaužtoje trečiųjų šalių sistemoje. Minimalus priskirtas teisių rinkinys čia padės sumažinti potencialų poveikį sistemoms, o tinkami autentifikacijos procesai bei kaupiami ir saugojami žurnaliniai įrašai padės lengviau nustatyti, kas ir kokiu būdu sugebėjo įsilaužti.

Taip pat nereikėtų pamiršti ir apie galimą vartotojo pasitraukimą iš darbovietės ir aiškiai apibrėžti, kaip deaktyvuojama jo prieiga prie informacinių sistemų. Net jei išsiskirta buvo pačiomis geriausiomis aplinkybėmis, neuždrausta prieiga prie IT sistemų tampa dar viena skyle, kuria, laikui bėgant, gali pasinaudoti kažkas kitas.

Silpniausia įmonės saugumo grandis

Ne paslaptis, jog jei visos informacinės sistemos yra gerai prižiūrimos, sukonfigūruotos naudojant gerąsias šiuolaikines praktikas ir laiku atnaujinamos, įsilaužimai į jas iš išorės yra labai sudėtingi ir dažniausiai įvykdomi pasitelkus labai šviežią („zero day“) pažeidžiamumą.

Tačiau net ir geriausiai apsaugotos IT sistemos dažnai gali suklupti prieš gerai paruoštą socialinės inžinerijos ataką, jei tik darbuotojai nebus tam pasiruošę. Sąmoningai ar nesąmoningai, kartais vedami geriausių paskatų darbuotojai gali prisidėti prie įmonės duomenų nutekinimo ar veiklos sutrikdymo.

Svarbu paminėti, jog nuo netiesioginių atakų pasitelkiant žmogiškąjį faktorių nėra apsaugoti ir IT specialistai. Ypač paplitus darbui iš namų ir galimybei naudoti ne tik darbdavio išduotą įrangą, didėja galimybė dėl asmeninės įrangos ar namų tinklo pažeidžiamumo, atidaryti vartus į savo darbdavio sistemas. Būtent tokia ir buvo 2012 metų įsilaužimo į LinkedIn pradžia, kai pirmiausiai įsilaužimas buvo įvykdytas į virtualų inžinieriaus serverį, kuris veikė tame pačiame kompiuteryje, iš kurio jis jungdavosi į savo darbdavio sistemas.

Dėl to rūpinimasis IT sauga neturėtų apsieiti ir ne nuolatinių darbuotojų mokymo, budrumo tikrinimo bei tinkamos įrenginių, iš kurių jungiamasi prie įmonės IT sistemų, kontrolės.