Потребность в командной работе в сфере информационной безопасности возникла не вчера: современные реалии диктуют необходимость объединения усилий, независимо от того, говорим ли мы о партнерах или конкурентах на рынке, ведь в конечном итоге целью информационной безопасности является защита клиент. Именно поэтому еще на заре Интернета стали возникать различные союзы и альянсы.
Но почти ни один из них не был достаточно широким, постоянным или влиятельным, чтобы фундаментально повлиять на то, что происходит в сфере безопасности продуктов и данных.
Более того, сама природа такого сотрудничества, независимо от рыночных условий, прямо противоположна концепции свободной конкуренции.
И вообще, совместный поиск эксплойтов и способов противодействия хакерам ущербен, поскольку основан на инструментах взлома продукта - что может вылиться в банальный промышленный шпионаж, прикрываемый благими целями коллективной безопасности.
А почему бы не посмотреть, как ваш прямой конкурент отбивается от хакерской атаки? Это типично: «Я сижу у реки, а мимо проплывает труп моего врага».
Но этот «труп» потом отравляет всю «реку», потому что в головах потенциальных клиентов, в том числе и тех людей, которые подписывают бюджеты и внедряют новые решения, не задерживаются названия компаний, а сохраняется сама концепция.
В результате у нас до сих пор «облака опасны», «данные крадут каждый день» и так далее.
И сейчас мы имеем мир, где информация, в том числе на тему информационной безопасности, ценна, закрыта и делится крайне неохотно.
И по этой причине хакеры побеждают, причем уверенно.
Почему хакеры побеждают?
Первое: обмен информацией.В отличие от коммерческих компаний, которые ютятся по своим углам, хакерское сообщество очень общительное и достаточно открытое.
А хакеры активно обмениваются информацией между собой.
Порой, конечно, это не является ключевым, но это факт: циркулирование данных среди хакеров «серой» и «черной шляпы» происходит гораздо активнее, чем то же самое на уровне компании.
У хакеров есть целые форумы, каналы, сообщества.
Компании в лучшем случае собираются на пару конференций в год, где спикеры, важно кликая слайды на большом экране, рассказывают о чем-то, что устарело уже как минимум полгода.
Сейчас, когда мир парализован, это полностью перешло в категорию записанных выступлений по 15-20 минут, которые можно просто смотреть онлайн без всякого взаимодействия.
Второе: мы всегда отстаем.
Невозможно предусмотреть все векторы атак и методы взлома.
Мы на стороне щита, а не меча, поэтому единственное, что нам остается – это залатать дыры в безопасности и сделать так, чтобы этот конкретный эксплойт, механизм, скрипт или что-то еще, что было использовано, никогда не сработало в аналогично еще раз.
Хакер может неделями готовить атаку, провести ее за минуту, а вам придется бороться с ее последствиями месяцами.
Или, как в случае со спекулятивным выполнением кода на процессорах, полностью побороть проблему не получится.
И вам повезет, если хакером окажется White Hat, который предоставит вам все данные о том, как именно он осуществил атаку, и ваши данные никуда не денутся.
А если нет?
Стены рухнули, и мы проснулись в новом мире.
О понятии «периметр безопасности» не знает только ленивый и, мы уверены, практически каждый, кто работал в ИТ, сталкивался с ним в том или ином виде.
Или он построил его сам.
Фишка периметра в том, что это штука из бородатых 80-х.
Просто в один прекрасный день около 40 крупных на тот момент CTO технологических компаний заложили концепцию обеспечения информационной безопасности по принципу периметра, которую подписали.
Или даже придумали ее сами.
Или они шпионили за военными.
Не в этом дело.
Но дело в том, что периметра больше не существует — COVID-19 уничтожил его полностью вместе с появлением концепции массовой удаленной работы.
Как раньше сотрудники переводились на удаленную или частичную удаленную работу? Этот процесс был поэтапным и отработанным.
Доступ — часто через VPN, шифрование, отдельные рабочие места для таких сотрудников и, конечно же, их изоляция от самых приятных и мягких частей внутри компании или проекта.
Ну, большую часть времени.
На удаленную работу переводили либо совершенно неважных с точки зрения доступа сотрудников, либо специалистов, подготовленных для такого взаимодействия.
Что мы имеем сейчас? Сейчас туннели растут для миллионов вынужденных удаленных работников по всему миру, но многие ли из них соблюдают хотя бы базовую информационную гигиену и безопасность на своих домашних компьютерах? Сколько из них проверили свои пароли и, по крайней мере, убедились, что их машины могут быть подключены к корпоративной сети? И если раньше у нас была распределенная инфраструктура на виртуальных машинах, облачных дисках и SaaS-средах, что уже делало уровень безопасности от сайта к сайту, мягко говоря, неравномерным, из-за чего само понятие «периметра» лопнуло на глазах.
швов, теперь эту самую концепцию можно выбросить в мусорное ведро.
Потому что при таком количестве потенциальных дыр и человеческом факторе никакой периметр в принципе невозможен.
И платные решения в сфере защиты устройств, DevOps, SecOps и так далее — далеко не панацея.
Потому что все они, по сути, стоят на плечах проектов с открытым исходным кодом, со всеми вытекающими отсюда последствиями.
Вы когда-нибудь задумывались, почему компании, которые тратят сотни миллионов долларов на такое программное обеспечение, по-прежнему подвергаются кибератакам и успешно взламываются отдельными хакерами или группами хакеров? Мы живем в мире, где 100% эффективное решение просто невозможно купить, потому что его не существует. И мы получаем парадоксальную ситуацию, когда хакер-одиночка может терроризировать конкретную компанию или вообще целый сектор.
Просто потому, что он умнее, способнее и внимательнее, чем любой отдельно взятый инженер, нанятый этими компаниями.
Ну, или потому, что ему просто повезло найти в исходном коде что-то такое, чего не заметили даже авторы кода.
Такая парадоксальная ситуация, когда хвост не просто виляет, а вращает собаку вокруг своей оси, возможна только в нашей родной IT-сфере и сети :)
Мы все в одной лодке
По нашему мнению, IP-адреса имеют наибольшую ценность для современных хакеров.Они подобны маскам, обеспечивающим их анонимность, и чем больше их будет в открытом доступе, тем лучше.
Но мы все уже давно живем в условиях дефицита свободных адресов в пространстве IPv4, а массового перехода на IPv6 пока не произошло.
Таким образом, каждый злоумышленник имеет ограниченный пул адресов с точки зрения доступности.
И чем дальше, тем они ему дороже, как по финансам, так и по трудозатратам.
Мы создавали свой продукт с простой мыслью: если увеличить стоимость «игры», то люди просто не будут в нее «играть».
Если для каждой атаки на цель нам придется получать все больше и больше новых IP-адресов или даже искать «чистые», не встречавшиеся в других «проектах» хакера, то мы можем существенно повысить цену входа и начать «игры».
Сама концепция запрета IP-адресов и создания каких-то списков блоков несовершенна и не спасает от по-настоящему гениальных ребят, способных поставить корпорацию на колени.
Но он способен отсечь массу хакеров, которые взламывают самостоятельно, не обладают огромными ресурсами и ценят свое время и деньги.
Подобная практика, на наш взгляд, может несколько сбалансировать нынешние «правила игры», заметно перекосившиеся в сторону хакерского сообщества после начала пандемии: ведь периметр как понятие, по сути, упал.
И неизвестно, будет ли он вообще когда-нибудь восстановлен.
Более того, в других отраслях и сферах такая коллективизация – когда все открыто делятся информацией – уже работает. Стоит вспомнить, как Reddit под лозунгом «На Луну!» решил наказать коротких продавцов на Уолл-стрит. Зловонная волна, поднявшаяся после массовой накачки акций GameStop, до сих пор катится по миру, следите за новостями.
Концепция коллективно сформированного и коллективно проверенного списка запретов подводит нас к самому началу текста: к тезису о том, что критически важной информацией необходимо делиться.
Для хакера IP-адрес имеет решающее значение; это их точка входа.
Для компании информация об адресе, с которого была осуществлена атака, не имеет никакой ценности и никоим образом не угрожает ее тайнам и секретам.
Мы получаем беспроигрышную ситуацию, когда и волки сыты, и овцы в безопасности; Ни один параноик внутри компании не обвинит вас в утечке стратегических данных в открытый доступ, но при этом у нас есть возможность нанести сильный удар по важным для злоумышленников точкам.
Именно по этой причине мы работаем над CrowdSec и мы призываем всех остальных присоединиться к нам в формировании списков банов.
Просто сделать Интернет и наш мир в целом чище и безопаснее с минимальными усилиями.
Теги: #информационная безопасность #Сетевые технологии #хакерские атаки #ipv4 #адресное пространство #crowdsec #crowdsec #crowdsec #crowdsec #коллективная безопасность #блокировка IP #списки блокировки #списки запретов #периметр безопасности
-
Mail.ru Вошла В Автомобильный Бизнес
19 Oct, 24 -
Гугл Ридер. Подробности Подписки
19 Oct, 24 -
Сегодня В Аду Холодно: Firefox От Microsoft
19 Oct, 24
