Взлом Target и конец периметровой безопасности
Что крупнейшая утечка данных розничной торговли говорит о том, почему защита периметра больше не работает как стратегия.
В декабре 2013 года стало известно об утечке данных в американской розничной сети Target. Было скомпрометировано около 40 миллионов номеров платёжных карт. К январю 2014 года расследование показало способ проникновения: злоумышленники вошли через учётные данные подрядчика по обслуживанию систем вентиляции. Компания с миллиардными оборотами, развитой ИТ-инфраструктурой и, по всей видимости, немалым бюджетом на безопасность - взломана через подрядчика по кондиционерам.
Это не детектив. Это архитектурная история.
Почему периметр перестал работать
Классическая модель безопасности строится на идее периметра: снаружи - враги, внутри - свои, задача - не пустить чужих. Эта модель работала, когда "внутри" был физический офис с конечным числом входов.
Сегодня "внутри" - это десятки подрядчиков с удалённым доступом, облачные сервисы, мобильные устройства сотрудников, интеграции с партнёрскими системами. Граница стала настолько размытой, что держать её как единую линию обороны просто невозможно.
В случае Target подрядчик имел доступ к корпоративной сети - и оттуда злоумышленники добрались до платёжной инфраструктуры. Периметр был цел. Но внутри него уже работал посторонний.
Что это значит для компаний, которые не Target
Легко смотреть на такой случай и думать: "это большая корпорация, у нас другой масштаб". Но проблема не в масштабе - она в архитектурном принципе.
Если ваша компания использует хотя бы одного внешнего подрядчика с доступом к системам - бухгалтера на аутсорсе, обслуживающую компанию, интегратора CRM - вы уже живёте в реальности, где периметр не является достаточной защитой. Удалённые подрядчики составляют второй периметр риска, который большинство организаций осознают только после инцидента.
Вопрос не в том, есть ли у вас антивирус и файервол. Вопрос в том, что происходит, если один из ваших подрядчиков скомпрометирован.
Модель, которая работает в 2014 году
Подход, который начинает заменять периметровую модель, называют "доверяй, но проверяй" - или в более радикальной версии "не доверяй никому по умолчанию". Суть в следующем.
Каждый участник - сотрудник, подрядчик, система - получает ровно те права, которые нужны для его конкретных задач, не больше. Доступ к разным сегментам сети изолирован. Действия логируются. Аномалии выявляются.
Это не дешевле и не проще, чем периметровая защита. Но это реалистичнее в условиях, когда граница "своих" и "чужих" больше не совпадает с физическим или сетевым периметром.
Три вопроса для руководителя
Я не предлагаю паниковать и переписывать всю инфраструктуру. Но три вопроса стоит задать себе сегодня.
Первый: кто из внешних сторон имеет доступ к вашим системам, и насколько широк этот доступ? Часто оказывается, что подрядчик, которому нужен был доступ к одной системе два года назад, до сих пор имеет его - плюс к нескольким смежным.
Второй: если один из подрядчиков или сотрудников скомпрометирован, насколько далеко злоумышленник может продвинуться внутри? Есть ли изоляция между критическими сегментами?
Третий: когда последний раз проверялся список людей и систем, имеющих доступ к чему-либо критическому?
Это не технические вопросы. Это управленческие вопросы, и ответы на них стоит знать.