Особенности обеспечения информационной безопасности в области телекоммуникационных систем в настоящее время

Для того, чтобы иметь возможность пользоваться различными аналогами средств ОИБ и позволять им консолидировать источники информации для принятия оперативных решений, люди придумали ячеистые архитектуры кибербезопасности — CSMA. CSMA имеет четыре основных уровня:

1. Аналитика безопасности и интеллект.
2. Сводные информационные панели.
3. Распределённая идентификационная ткань.
4. Консолидированные политика и управление доступом.

Чтобы поддерживать CSMA, разработчики средств ОИБ повсеместно внедряют в свои продукты открытые стандарты и общие API для поддержки интеграции сторонних поставщиков.

Сервисы по защите от сетевых рисков и их составные элементы — решения по управлению внешней поверхностью атаки и атаки киберактивов — предназначены для анализа внешних и внутренних компонентов локальной сети вашей организации и их мониторинга в режиме реального времени. Многие системы DRPS обогащены возможностями Threat Intelligence, но в основном предназначены для проактивных действий по выявлению и блокировке внешних угроз. Но CAASM предназначены для анализа локальной сети и всех устройств в нём, в то время как EASM-системы зачастую являются системами защиты бренда — Brand Protection — и анализируют мошеннические сайты при помощи разведки по открытым источникам (OSINT) с целью обнаружения относящихся к организации данных. Современные CAASM- и EASM-системы используют машинное обучение для выявления угроз. Наиболее популярными DRPS-продуктами во всём мире являются BlueVoyant Sky: DRP, CybelAngel ERPP, Digital Shadows SearchLight; в России — BI.ZONE Brand Protection, Group-IB Digital Risk Protection, Infosecurity ETHIC и Kaspersky Threat Intelligence.

Технологии управления идентификацией и доступом предназначены для защиты данных путём реализации политик доступа к сведениям. Благодаря идентификации пользователей мы можем понимать, какие сведения им можно передавать и раскрывать, а какие — нельзя. Помимо применения к пользователям IAM используются для идентификации промежуточных сервисов. К самым известным продуктам относятся такие программные продукты, как SELinux (подсистема Linux, начиная с версии 2.6), Secret Net, Sber Platform V; помимо них, существуют ещё и аппаратные средства, такие, как «Соболь» Кода Безопасности. К облачным продуктам и интерфейсам для конечных пользователей относят такие составляющие IAM, как многофакторную аутентификацию, аутентификацию на основе сертификатов и сторонние сервисы аутентификации (например, Google или Microsoft OAuth). А поскольку такие системы часто подвергаются атакам как чуть ли не единственные барьеры на пути к данным и управлению КИИ, для выявления атак на IAM и оперативного реагирования на инциденты существуют инструменты для распознавания и реагирования на угрозы идентификации — ITDR. Многие продукты IAM по умолчанию включают в себя инструментарий ITDR.

Системы аудита, отслеживания и защиты данных необходимы, в свою очередь, для разграничения данных, равно как и IAM; фундаментальное различие между ними заключается в контентном разграничении доступа, а не в файловом. Также DCAP-системы позволяют анализировать данные и организовывать хранение информации и доступ к ней максимально эффективно и безопасно. Аналитики прогнозируют в будущем поглощение DCAP-системами DLP и повсеместное использование из-за ужесточения контроля за персональными данными со стороны регулятора. DLP же, как системы контроля каналов передачи данных, ищут и категоризируют критичную информацию, предотвращая её перемещение и передачу за пределы периметра корпоративного контура безопасности. К системам DLP относят DAM, системы мониторинга активности баз данных.

Системы выявления событий ИБ в реальном времени позволяют распознать потенциальные угрозы безопасности и уязвимости до того, как они станут способны нанести удар бизнесу. Такие системы покрывают аномалии в поведении пользователя, используя для этого машинное обучение. Самые популярные системы SIEM в России — это Ankey SIEM, Kaspersky Unified Monitoring and Analysis Platform и KOMRAD Enterprise SIEM.

Системы кибербезопасности для облачных приложений объединяют SIEM, DCAP/DLP и IAM для обеспечения кибербезопасности по отношению к важным данным, располагаемым не в корпоративной сети организации, а в сети облачного провайдера. Такие системы, как правило, унитарны и совмещают в себя множество продуктов. Самый известный пример — Microsoft Cloud Security Solutions. Зачастую такие системы сочетаются с защитой от DDoS-атак, позволяя фильтровать подозрительные запросы к серверам.

Существуют также и комплексные решения для организации безопасности, автоматизации и реагирования, предназначаемые для сбора информации о событиях информационной безопасности и автоматизации типовых сценариев реагирования на них, избавляя специалистов ИБ от необходимости управлять каждым из защитных решений в отдельности и помогая им сфокусироваться на анализе сложных инцидентов. Ключевое отличие SOAR от SIEM в этом ключе заключается в том, что SOAR рассчитаны именно на на автоматизацию. Самые популярные системы иностранных разработчиков — IBM Resilient SOAR, Cortex XSOAR и Cisco SecureX, российских — R-Vision IRP.

Для анализа сложных инцидентов зачастую своих специалистов бывает недостаточно, поэтому очень часто компании обращаются к сервисам EaaS, предоставляющим стороннюю профессиональную экспертизу инцидентов ИБ.

Для превентивного исправления уязвимостей существует целая отрасль кибербезопасности, называемая Threat Intelligence — TI. Дистрибутив Linux «Ubuntu» позволяет исправлять уязвимости в ядре без перезагрузки системы (Ubuntu Livepatch Service), а CTSE позволяет организовывать поиск по имеющимся уязвимостям (обычно им присваиваются номера в координатах CVE).

При этом для реальной защиты БТКС сами сервисы и технологии, использующие телекоммуникационные технологии, должны предполагать наличие защитных механизмов, которые следует закладывать на этапе их проектирования.

Например, для разработки облачного программного продукта команда программистов должна обладать минимальными навыками обеспечения защиты информации, используя:

1. Хэширование вместо прямой передачи данных аутентификации
2. Хранение токенов и иной критической информации в защищённых местах, таких, как аппаратные доверенные хранилища или удалённые облачные сервисы.
3. Защиту от случайных или намеренно испорченных вводимых данных путём проверки всей внешней информации.
4. Безопасное управление внутренней памятью программы.
5. Постоянное сканирование на уязвимости исходного кода при помощи специальных инструментов и статических анализаторов.
6. Систему внедрения исправлений.
7. Систему поиска уязвимостей в базах данных и реагирования на инциденты.
8. Современные стандарты шифрования данных.

Помимо программных средств защиты компьютерных сетей, существуют современные технологии аппаратной защиты компьютерных и телефонных сетей. Основным направлением исследований в последнем десятилетии стали квантовые сети, передача данных в которых осуществляется фотонами, что подразумевает физическую невозможность перехвата данных.

При этом развивается сфера квантовых вычислений, позволяющих добиться расшифровки передаваемых по HTTPS-соединениям сообщений путём использования квантовых компьютеров. Например, китайские исследователи сообщили об успешном взломе RSA: это будет означать возможность расшифровки сообщений за фиксированное небольшое время для стандартных алгоритмов шифрования, основанных на простых числах.

В то же время исследователи уже предлагают специализированные стандарты шифрования, которые будут устойчивы к расшифровке сообщений квантовыми компьютерами. В них используются ключи до 3072 бит длиной и совершенно другие алгоритмы, для которых не существует на данный момент контралгоритмов для квантовых компьютеров. Но этот момент — очень условный, и поэтому сфера информационной безопасности — самая динамично развивающаяся сфера на стыке IT и точных наук, требующая от специалистов этой сферы постоянного развития своих компетенций.

Помимо защиты от раскрытия информации, зачастую необходимо обеспечивать неизменяемость определённой информации, такой, как истории банковских транзакций и т. п. Для этих целей разрабатываются системы, применяющие в своей работе технологию блокчейна, и децентрализованные сервисы, которые в ближайшем будущем станут стандартом нового Интернета — Web3.

Таким образом, правильно сочетая общепринятые стандарты в области ОИБ, требования регуляторов и современные технологии ОИБ, можно добиться беспрецедентного уровня информационной безопасности, основанной на физических принципах и интеллектуальном подходе.

Литература:

1. Бондарев В. В. Введение в информационную безопасность автоматизированных систем [Текст] / В.В. Бондарев // М.: МГТУ им. Н. Э. Баумана — 2014.
2. Бёрд Д. DevOpsSec [Текст] / Джим Бёрд // O’Reilly — 2016.
3. Информационная безопасность телекоммуникационных систем: https://searchinform.ru/informatsionnaya-bezopasnost-telekommunikatsionnykh-sistem/
4. Информационная безопасность: руководство по защите от внутренних угроз. Комплексная защита данных – СёрчИнформ, 2022 (www.searchinform.ru).
5. Основные сценарии реализации угроз на АСУ ТП и их преломление на методику оценки угроз ФСТЭК – Алексей Лукацкий, Cisco Secure, 2021.
6. ПАК «Соболь». Код Безопасности: https://securitycode.ru/products/pak_sobol/
7. Семь трендов информационной безопасности 2022: https://www.cnews.ru/reviews/security2022/articles/sem_trendov_informatsionnoj_bezopasnosti
8. Технология блокчейн: что надо знать в 11 карточках: https://trends.rbc.ru/trends/industry/5f05c0a79a7947aac5c7577a
9. Физики реализовали масштабируемую сеть квантовой коммуникации: https://nplus1.ru/news/2020/09/03/8-user-quantum-communication-network
10. At a glance: PCI DSS v4.0 – PCI Security Standards Council LLC, 2022.
11. CSMA is more than XDR: An introducion to cybersecurity mesh architecture: https://coffee-web.ru/blog/csma-is-more-than-xdr-an-introducion-to-cybersecurity-mesh-architecture/
12. Detection as Code Innovation Report 2021: The Power of Collaborative Cyber Defence – SOC Prime, 2021 (www.socprime.com).
13. Hype Cycle for Security Operations – Gartner, 2022.
14. MITRE ATT&CK: https://attack.mitre.org/
15. Market Guide for Security Orchestration, Automation and Response Solutions – Gartner, 2022.
16. Nine Key Cloud Security Concentrations & Securing Web Application Technologies Checklist – SANS Cloud Security, 2022 (www.sans.org/cloud-security).
17. Special Report: M-TRENDS 2022 – Mandiant, 2022 (www.mandiant.com).
18. What ITD and ITDR means in a Zero-Trust world? https://venturebeat.com/security/what-identity-threat-detection-and-response-itdr-means-in-a-zero-trust-world/
19. What is SIEM? https://ibm.com/topics/siem