Мы в области нашей являемся достаточно консервативными. Мы очень сильно зависим от авторитетов, от подходов, от продуктов и от терминов и определений, которые не меняются годами. Периметр информационной безопасности - это как раз тот термин, который, к сожалению, так устарел, что его использовать уже практически невозможно и даже вредно. Ситуация ухудшается тем, что мы даже до конца не знаем, что же такое периметр информационной безопасности.
Кто-то воспринимает периметр как точку соединения с Интернет. Как бы забавно это не звучало в контексте геометрии, в которой периметр это всё-таки замкнутая линия. Кто-то воспринимает периметр как линию которая очерчивает корпоративную или ведомственную сеть. Кто-то воспринимает периметр как набор устройств которые имеют выход в интернет.
Но каждое из этих определений очевидно имеет свои плюсы свои минусы и они не равнозначны. Как воспринимать ситуацию даже с таким казалось бы простым вариантом как промышленный сегмент, возможно даже физически изолированным от внешнего мира, если туда пришел представитель подрядный организации с ноутбуком который подключён через 3G четыре же модем к интернету. Появляется ли у нас здесь периметр или не появляется? А если мы посмотрим на ситуацию когда сотрудник с мобильным устройством подключается к облаку внешнему в котором хранятся конфиденциальные данные компании или работает приложение, обрабатывающее данные. Здесь есть периметр или нет? Ведь мы вообще можем использовать личное устройство сотрудника и чужую инфраструктуру облачного провайдера и кроме как информация от компании здесь нет вообще ничего.
Ну допустим у нас и мобильные устройства принадлежит компании, а облака принадлежит провайдеру. При этом максимум, что мы можем знать, это свой кусок этого облака, в котором мы располагаем наши сервера, наши приложения, наши данные. Но кто к ним имеет доступ извне со стороны облачного провайдера, со стороны других его клиентов? В такой ситуации вообще невозможно очертить периметр. А это означает, что как бы мы не хотели, но мы вынуждены изменять свои подходы к тому, что мы привыкли называть защитой периметра. Например, в компании Cisco мы исходим из того, что сотрудник компании может работать в любой момент времени из любой точки мира с любого устройства. В такой концепции, разумеется, не может быть периметра в общеупотребимом смысле и это заставляет совсем по-другому защищать, нет, не периметр, а подключение к Интернет! А вы готовы к новой реальности?
Утром того дня, когда я начинал писать эту заметку, я работал из дома, читая вебинар для одного из наших заказчиков, днём я приехал в офис и работал внутри нашей беспроводной корпоративной сети. Ближе к вечеру я пошёл на встречу в близлежащий Starbucks и также был подключён к нашей корпоративной сети уже через публичный хот-спот. Вечером я улетел в командировку и в процессе добирания до аэропорта на Аэроэкспрессе я работал через Wi-Fi в вагоне. В аэропорту я также подключился к корпоративной сети через местный WiFi, а в самолёте беспроводная сеть и выход в Интернет были предоставлены мне авиакомпанией. Всё время это были разные сети с разными требованиями и механизмами безопасности, но их объединяло одно - я всегда находился внутри своей корпоративной сети. Существует ли в такой динамической ситуации периметр и можно ли меня загнать в рамки традиционного периметра?
А почему термин "периметр ИБ" вреден? А потому, что он, будучи построен на устаревшей парадигме, создает чувство ложной защищенности. Давайте сделаем экскурс в историю. Какой была модель угроз в 800-1400 годах нашей эры? Если быстренько составить перечень актуальных угроз, то получится следующее:
Видите закономерность? Сначала периметровая концепция помогала - даже при меньшем числе обороняющихся (О) они могли с успехом противостоять атакующим (А). Артиллерия, автоматическое оружие, военно-воздушные силы изменили лицо войн. Замки стали сдавать свои позиции. Концепция периметра стала умирать. Самым, пожалуй, ярким примером такого провала стала линия Мажино, которая была просто обойдена немцами во время Второй мировой войны. 3 миллиарда французских франков было "выброшено в пропасть", как говорилось в известной советской комедии Гайдая.
В информационной безопасности все тоже самое. Старые подходы становятся бесполезными (это как рассчитывать на антивирус в борьбе с современным вредоносным ПО). Страны со слабой традиционной армией могут беспрепятственно выигрывать в кибервойне. Компании, успешные и добившиеся огромных успехов в реальном мире, проигрывают в киберпространстве. А все потому, что защита строится на старых подходах, которые перестали быть эффективными при современном развитии технологий. Их тоже пора выбросить в пропасть. Кстати, вспомните. В фильме "Кавказская пленница" Шурик ("нарушитель") смог проникнуть в защищенный высокими стенами дом, стоящий на скале, а Нина ("объект защиты") смогла покинуть периметр, несмотря на усилия Труса-Балбеса-Бывалого ("службы ИБ").
Что делать, спросите вы? Для начала просто понять слабость периметрового подхода. Этого уже немало. Во-вторых, надо защищать не только периметр, но и внутреннюю инфраструктуру, приложения и данные (а также облака и мобильные устройства, если они используются). Я про это писал 4 года назад, повторяться не буду. Но можно пойти еще дальше, внедрив концепцию "доверенного устройства" (мы ее у себя внутри Cisco так и назвали - " Trusted Device "), которая подразумевает, что центральным звеном защиты становится мобильное устройство сотрудника (ноутбук, смартфон, планшет и т.п.). Мы исходим из того, что это устройство может динамично перемещаться по разным местам (смотри выше пример с описанием того, как писалась эта заметка) и может не находиться под защитой периметрового МСЭ/IPS/ESA/WSA и др. Приняв это за основу, мы строим защиту вокруг именно устройства, делая его доверенным звеном, а всю размытую сеть Cisco - набором доверенных элементов. Но про эту концепцию я напишу как-нибудь отдельно.
Ну и в заключение минутка юмора. Классический мультфильм на тему незащищенного периметра. Я его еще лет 20 назад показывал на различных мероприятиях по ИБ:
Фрагмент лондонского Тауэра |
Но каждое из этих определений очевидно имеет свои плюсы свои минусы и они не равнозначны. Как воспринимать ситуацию даже с таким казалось бы простым вариантом как промышленный сегмент, возможно даже физически изолированным от внешнего мира, если туда пришел представитель подрядный организации с ноутбуком который подключён через 3G четыре же модем к интернету. Появляется ли у нас здесь периметр или не появляется? А если мы посмотрим на ситуацию когда сотрудник с мобильным устройством подключается к облаку внешнему в котором хранятся конфиденциальные данные компании или работает приложение, обрабатывающее данные. Здесь есть периметр или нет? Ведь мы вообще можем использовать личное устройство сотрудника и чужую инфраструктуру облачного провайдера и кроме как информация от компании здесь нет вообще ничего.
Ну допустим у нас и мобильные устройства принадлежит компании, а облака принадлежит провайдеру. При этом максимум, что мы можем знать, это свой кусок этого облака, в котором мы располагаем наши сервера, наши приложения, наши данные. Но кто к ним имеет доступ извне со стороны облачного провайдера, со стороны других его клиентов? В такой ситуации вообще невозможно очертить периметр. А это означает, что как бы мы не хотели, но мы вынуждены изменять свои подходы к тому, что мы привыкли называть защитой периметра. Например, в компании Cisco мы исходим из того, что сотрудник компании может работать в любой момент времени из любой точки мира с любого устройства. В такой концепции, разумеется, не может быть периметра в общеупотребимом смысле и это заставляет совсем по-другому защищать, нет, не периметр, а подключение к Интернет! А вы готовы к новой реальности?
Утром того дня, когда я начинал писать эту заметку, я работал из дома, читая вебинар для одного из наших заказчиков, днём я приехал в офис и работал внутри нашей беспроводной корпоративной сети. Ближе к вечеру я пошёл на встречу в близлежащий Starbucks и также был подключён к нашей корпоративной сети уже через публичный хот-спот. Вечером я улетел в командировку и в процессе добирания до аэропорта на Аэроэкспрессе я работал через Wi-Fi в вагоне. В аэропорту я также подключился к корпоративной сети через местный WiFi, а в самолёте беспроводная сеть и выход в Интернет были предоставлены мне авиакомпанией. Всё время это были разные сети с разными требованиями и механизмами безопасности, но их объединяло одно - я всегда находился внутри своей корпоративной сети. Существует ли в такой динамической ситуации периметр и можно ли меня загнать в рамки традиционного периметра?
А почему термин "периметр ИБ" вреден? А потому, что он, будучи построен на устаревшей парадигме, создает чувство ложной защищенности. Давайте сделаем экскурс в историю. Какой была модель угроз в 800-1400 годах нашей эры? Если быстренько составить перечень актуальных угроз, то получится следующее:
- разрушение стен или дверных проемов
- подкоп под стенами
- перелезание через стены
- осада
- предательство инсайдера
- дипломатия (угрозы, террор, психологические методы)
- биологическая война (заражение колодцев)
Поэтому и защита была соответствующей:
- 800-1000 годы нашей эры - фортификация становится стратегической задачей; активно начинают возводиться внешние стены и башни, окружающие объект защиты (дворец князя или иного властителя)
- 1000-1200 н.э. - утолщение стен, новые материалы (камень против дерева), здания с внутренней защитой
- 1400 - … - конец эры замков
Видите закономерность? Сначала периметровая концепция помогала - даже при меньшем числе обороняющихся (О) они могли с успехом противостоять атакующим (А). Артиллерия, автоматическое оружие, военно-воздушные силы изменили лицо войн. Замки стали сдавать свои позиции. Концепция периметра стала умирать. Самым, пожалуй, ярким примером такого провала стала линия Мажино, которая была просто обойдена немцами во время Второй мировой войны. 3 миллиарда французских франков было "выброшено в пропасть", как говорилось в известной советской комедии Гайдая.
Линия Мажино |
Что делать, спросите вы? Для начала просто понять слабость периметрового подхода. Этого уже немало. Во-вторых, надо защищать не только периметр, но и внутреннюю инфраструктуру, приложения и данные (а также облака и мобильные устройства, если они используются). Я про это писал 4 года назад, повторяться не буду. Но можно пойти еще дальше, внедрив концепцию "доверенного устройства" (мы ее у себя внутри Cisco так и назвали - " Trusted Device "), которая подразумевает, что центральным звеном защиты становится мобильное устройство сотрудника (ноутбук, смартфон, планшет и т.п.). Мы исходим из того, что это устройство может динамично перемещаться по разным местам (смотри выше пример с описанием того, как писалась эта заметка) и может не находиться под защитой периметрового МСЭ/IPS/ESA/WSA и др. Приняв это за основу, мы строим защиту вокруг именно устройства, делая его доверенным звеном, а всю размытую сеть Cisco - набором доверенных элементов. Но про эту концепцию я напишу как-нибудь отдельно.
Ну и в заключение минутка юмора. Классический мультфильм на тему незащищенного периметра. Я его еще лет 20 назад показывал на различных мероприятиях по ИБ: