Секретность передачи данных – гарантия нормальной работы бизнеса ::
www.samag.ru
     
Поиск   
              
 www.samag.ru    Web  0 товаров , сумма 0 руб.
E-mail
Пароль  
 Запомнить меня
Регистрация | Забыли пароль?
Журнал "Системный администратор"
Журнал «БИТ»
Подписка
Архив номеров
Где купить
Наука и технологии
Авторам
Рекламодателям
Контакты
   

  Опросы
  Статьи

Событие  

В банке рассола ждет сисадмина с полей фрактал-кукумбер

Читайте впечатления о слете ДСА 2024, рассказанные волонтером и участником слета

 Читать далее...

Организация бесперебойной работы  

Бесперебойная работа ИТ-инфраструктуры в режиме 24/7 Как обеспечить ее в нынешних условиях?

Год назад ИТ-компания «Крок» провела исследование «Ключевые тренды сервисного рынка 2023». Результаты

 Читать далее...

Книжная полка  

Читайте и познавайте мир технологий!

Издательство «БХВ» продолжает радовать выпуском интересных и полезных, к тому же прекрасно

 Читать далее...

СУБД PostgreSQL  

СУБД Postgres Pro

Сертификация по новым требованиям ФСТЭК и роль администратора без доступа к данным

 Читать далее...

Критическая инфраструктура  

КИИ для оператора связи. Готовы ли компании к повышению уровня кибербезопасности?

Похоже, что провайдеры и операторы связи начали забывать о требованиях законодательства

 Читать далее...

Архитектура ПО  

Архитектурные метрики. Качество архитектуры и способность системы к эволюционированию

Обычно соответствие программного продукта требованиям мы проверяем через скоуп вполне себе понятных

 Читать далее...

Как хорошо вы это знаете  

Что вам известно о разработках компании ARinteg?

Компания ARinteg (ООО «АРинтег») – системный интегратор на российском рынке ИБ –

 Читать далее...

Графические редакторы  

Рисование абстрактных гор в стиле Paper Cut

Векторный графический редактор Inkscape – яркий представитель той прослойки open source, с

 Читать далее...

День сисадмина  

Учите матчасть! Или как стать системным администратором

Лето – время не только отпусков, но и хорошая возможность определиться с профессией

 Читать далее...

День сисадмина  

Живой айтишник – это всегда движение. Остановка смерти подобна

Наши авторы рассказывают о своем опыте и дают советы начинающим системным администраторам.

 Читать далее...

Виртуализация  

Рынок решений для виртуализации

По данным «Обзора российского рынка инфраструктурного ПО и перспектив его развития», сделанного

 Читать далее...

Книжная полка  

Как стать креативным и востребованным

Издательский дом «Питер» предлагает новинки компьютерной литературы, а также книги по бизнесу

 Читать далее...

Книжная полка  

От создания сайтов до разработки и реализации API

В издательстве «БХВ» недавно вышли книги, которые будут интересны системным администраторам, создателям

 Читать далее...

Разбор полетов  

Ошибок опыт трудный

Как часто мы легко повторяем, что не надо бояться совершать ошибки, мол,

 Читать далее...

1001 и 1 книга  
19.03.2018г.
Просмотров: 6200
Комментарии: 0
Машинное обучение с использованием библиотеки Н2О

 Читать далее...

12.03.2018г.
Просмотров: 6909
Комментарии: 0
Особенности киберпреступлений в России: инструменты нападения и защита информации

 Читать далее...

12.03.2018г.
Просмотров: 4193
Комментарии: 0
Глубокое обучение с точки зрения практика

 Читать далее...

12.03.2018г.
Просмотров: 2990
Комментарии: 0
Изучаем pandas

 Читать далее...

12.03.2018г.
Просмотров: 3797
Комментарии: 0
Программирование на языке Rust (Цветное издание)

 Читать далее...

19.12.2017г.
Просмотров: 3806
Комментарии: 0
Глубокое обучение

 Читать далее...

19.12.2017г.
Просмотров: 6299
Комментарии: 0
Анализ социальных медиа на Python

 Читать далее...

19.12.2017г.
Просмотров: 3152
Комментарии: 0
Основы блокчейна

 Читать далее...

19.12.2017г.
Просмотров: 3447
Комментарии: 0
Java 9. Полный обзор нововведений

 Читать далее...

16.02.2017г.
Просмотров: 7264
Комментарии: 0
Опоздавших не бывает, или книга о стеке

 Читать далее...

17.05.2016г.
Просмотров: 10631
Комментарии: 0
Теория вычислений для программистов

 Читать далее...

30.03.2015г.
Просмотров: 12353
Комментарии: 0
От математики к обобщенному программированию

 Читать далее...

18.02.2014г.
Просмотров: 13986
Комментарии: 0
Рецензия на книгу «Читаем Тьюринга»

 Читать далее...

13.02.2014г.
Просмотров: 9112
Комментарии: 0
Читайте, размышляйте, действуйте

 Читать далее...

12.02.2014г.
Просмотров: 7066
Комментарии: 0
Рисуем наши мысли

 Читать далее...

10.02.2014г.
Просмотров: 5376
Комментарии: 3
Страна в цифрах

 Читать далее...

18.12.2013г.
Просмотров: 4604
Комментарии: 0
Большие данные меняют нашу жизнь

 Читать далее...

18.12.2013г.
Просмотров: 3416
Комментарии: 0
Компьютерные технологии – корень зла для точки роста

 Читать далее...

04.12.2013г.
Просмотров: 3145
Комментарии: 0
Паутина в облаках

 Читать далее...

03.12.2013г.
Просмотров: 3393
Комментарии: 0
Рецензия на книгу «MongoDB в действии»

 Читать далее...

02.12.2013г.
Просмотров: 3013
Комментарии: 0
Не думай о минутах свысока

 Читать далее...

Друзья сайта  

 Секретность передачи данных – гарантия нормальной работы бизнеса

Архив номеров / 2020 / Выпуск №07-08 (212-213) / Секретность передачи данных – гарантия нормальной работы бизнеса

Рубрика: Заочный круглый стол

 

Секретность передачи данных –
гарантия нормальной работы бизнеса

Чтобы нормально работать, нужно чтобы ваши коммерческие тайны, торговые секреты, другая конфиденциальная информация были доступны только тем, кому мы сообщили, и только им. Никакой другой человек не должен знать наши секреты. Это касается как физлиц, так и юридических лиц. Тайна должна охраняться. Без этого никакой нормальной деятельности не будет. Пытаться защититься на законодательном уровне – это всё равно, что сказать: «Не смотрите на меня». Если есть техническая возможность подслушивать и подглядывать – те или иные лица, организации и т.д. будут это делать. Как же максимально затруднить прослушку и расшифровку или сделать так, чтобы вообще никто не имел подобной возможности?

Вопросы для экспертов
1. Что мы имеем в арсенале: VPN, TOR... Достаточно ли этого? Есть ли у нас что-то ещё в арсенале защиты конфиденциальности, кроме этих двух методов?
2. Шифрование DNS- трафика закрывает одну из дырок. Те самые DNS-over-TLS, DNS-over-HTTPS, DNS Crypt – насколько они надежны? Для чего это нужно? В каких случаях можно без этого обойтись?
3. Может быть, для передачи файлов стоит использовать файлообменные сети – тогда какие?
4. Какие системы шифрования файлов и дисков мы можем легально использовать? Что нам разрешено, за что могут привлечь к ответственности?
5. Есть ли какие-то сторонние каналы вроде передачи данных по BlueTooth, объединения Wi-Fi- сетей, минуя провайдера и так далее. Ситуация, когда всё идет через Интернет, включая телефоны и пожарную сигнализацию – это ненормально. Раньше хотя бы позвонить или факс можно было отправить по аналоговому телефону.

 

 

Представляем участников заочного круглого стола

Александр
Василенков
,
руководитель направления
развития продуктов
компании «ИнфоТеКС»

Алексей
Данилов
,
руководитель направления
развития продуктов компании «ИнфоТеКС» 

Алексей
Дрозд
,
начальник отдела
информационной безопасности «СёрчИнформ»


Денис
Батранков
,
эксперт по информационной
безопасности,
Palo Alto Networks


Артём
Мышенков
,
инженер по безопасности
хостинг-провайдера
и регистратора доменов
REG.RU

Дмитрий
Дудко
,
руководитель отдела проектирования и внедрения, департамент информационной безопасности ЛАНИТ

Дмитрий
Колышкин
,
руководитель направления
противодействия киберугрозам
НИП «ИНФОРМЗАЩИТА»
 

Дмитрий Державин,
начальник отдела разработки защищенных решений ГК ИВК



 

 

1.Что мы имеем в арсенале: VPN, TOR...Достаточно ли этого? Есть ли у нас что-то еще в арсенале защиты конфиденциальности, кроме этих двух методов?

 

Александр Василенков:


– Необходимо определиться, в каком контексте рассматриваются два предложенных инструмента – VPN и TOR? Если стоит задача обеспечить анонимность трафика, то упоминаемые технологии успешно выполнят эту функцию, но необходимо понимать, что такой контекст не применим для решения задач корпоративной безопасности, скорее это идет с ней вразрез.

Технологию VPN необходимо рассматривать в рамках обеспечения информационной безопасности каналов связи в условиях распределенной корпоративной сети. Эта тема приобрела крайнюю актуальность в связи с массовым переходом сотрудников на удаленную работу. В этом случае технология VPN может быть использована как средство защиты удаленного доступа и шифрования информации в канале связи. Опрос, проведенный нашей компанией среди своих партнеров и заказчиков, показал, что 89% опрошенных при удаленном подключении используют VPN. Безусловно, помимо VPN есть множество других решений, обеспечивающих защиту информации, но при выборе такого решения требуется всегда помнить, что с позиции информационной безопасности все сторонние каналы – это каналы утечки, а не каналы коммуникаций.

Использование VPN – необходимый минимум для обеспечения информационной безопасности при организации защищенного удаленного подключения, но этого явно недостаточно, если речь идет о построении надежной системы защиты конфиденциальной информации. При создании такой системы начинать следует с определения модели угроз и нарушителей.

Шаг первый. Требуется определить, от кого необходимо защищаться. Это внешний нарушитель или им может быть и пользователь – сотрудник компании? В последнем случае средства защиты информации должны соответствовать более высоким требованиям информационной безопасности, а созданной системе защиты потребуется внешний независимый аудит.

Шаг второй. Определившись с моделью угроз и нарушителя, можно подобрать решения, наиболее эффективно защищающие от нужного типа угроз.

Однозначно нельзя говорить о полноценной корпоративной защите, подразумевая использование только VPN-решений. Необходимо также обеспечить защиту информации на самом устройстве. Для этого можно использовать средства Endpoint Protection, системы обнаружения вторжений, позволяющие контролировать сетевую активность и обнаруживать вторжения на уровне устройства.

Еще один этап – защита информации при ее хранении. Тут лучше всего подходят средства криптографической защиты информации, обеспечивающие шифрование как физических, так и виртуальных дисков или отдельных файлов.

На стороне корпоративного периметра обязательно нужно анализировать трафик, уже прошедший через защищенный канал. На личном устройстве пользователя, с которого он подключается к корпоративному периметру, может содержаться вредоносное ПО, которое получит возможность проникнуть в защищенную сеть через VPN. В этом случае не обойтись без системы обнаружения вторжений.

Таким образом, при обеспечении защиты информации всегда нужно стремиться к:

  1. Синхронизации и управлению активами. Как правило, у служб информационной безопасности, служб информационных технологий и бухгалтеров активы – это разные множества.
  2. Управлению политиками для активов и пользователей.
  3. Защите каналов связи.
  4. Аудиту разрешенных приложений и сервисов: все, что явно не разрешено – запрещено.
  5. Поиску аномалий внутри информационной системы и в поведении пользователей своими силами или с привлечением профессиональных центров мониторинга.

В заключение стоит отметить, что для создания надежной системы защиты информации в целом и VPN-подключения в частности необходимо рассматривать решения, которые гарантируют отсутствие не декларированных возможностей в программном или аппаратном обеспечении и соответствуют требованиям регуляторов рынка информационной безопасности.


Алексей Дрозд:


– Если говорить о задаче сохранения данных бизнеса, то нужен гораздо более широкий арсенал защитных средств для защиты от внешних злоумышленников, в том числе социальных инженеров и инсайдеров.

Минимум средств – это антивирус, файрвол, VPN, DMARC для защиты почтового домена от подделок (можно поискать аналогии у гигантов, например, у Gmail, пообещавшей скоро выпустить фичу по «верификации» почтовых адресов и доменов), DLP-система для автоматизированного контроля перемещения информации внутренними пользователями. Подробно о правилах безопасной организации ИТ-инфраструктуры мы выпускали чек-лист для компаний.

Проблема в том, что даже при идеально защищенном внутреннем периметре с вашей стороны сохраняется проблема безопасности данных на стороне партнеров, контрагентнов, аутсорсеров, которым вы передаете данные. У них инфраструктура может оказаться как решето. А вам останется только развести руками, что «проблема не на нашей стороне».

Если говорить в целом – нужно понимать, что от всего не защитишься. Все ИБ-инструменты в принципе не гарантируют «неприступность» вашей инфраструктуры, их главная задача – как можно больше усложнить жизнь злоумышленнику, который попытается ее атаковать. Сделать так, чтобы условный взлом обходился дороже, чем любой профит, который хакер может получить в итоге. Но здесь важно не переборщить и не усложнить жизнь тем, кто будет в инфраструктуре легитимно работать.


Денис Батранков:


– Для защиты информации использование криптографии необходимо при хранении, при передаче и при обработке. Возможных технологий приличное количество, однако, всегда возникает вопрос, можно ли им доверять. Тут важна не сама технология, а кто ее разработал, насколько у поставщика системы профессиональные математики и программисты. Недавно была история, где оказалось, что бесплатные VPN совершенно спокойно сохраняли всю информацию о своих клиентах: кто, что, куда и в каком количестве отправляет. Могли ли это быть спецслужбы? С большой долей вероятности.

Уже много раз находили уязвимости в VPN- шлюзах, позволяющие подключиться без аутентификации любому человеку во внутреннюю сеть компании. Так же как и уязвимости в системах видеоконференций, позволяющие подключиться к любой из нужных комнат для общения.

Да, сами технологии шифрования дисков, шифрования трафика, работы из защищенных контейнеров распространены, но при выборе решения нужно проводить анализ качества реализации данной технологии.

Здесь важны все детали: выбранные алгоритмы шифрования и их стойкость, выбранные алгоритмы аутентификации и способы их обхода.


Дмитрий Дудко:


– Методов в арсенале защиты множество, и первый из них – не обрабатывать действительно конфиденциальную информацию на компьютере или хотя бы на компьютере, подключенном к сетям общего пользования (например, Интернету). По сути, все остальное – компромисс между удобством и безопасностью. Компьютерный мир вокруг нас все еще работает на технологиях, придуманных в 80-х годах прошлого века (речь идет о стеке протоколов TCP/IP), где уровень безопасности не отвечает современным стандартам. Поэтому если хотите защитить свои секреты, выключите компьютер и заройте его на два метра в землю. Тогда вы защититесь от 100% компьютерных угроз.


Артём Мышенков:


– TOR-сети и сервисы VPN, безусловно, защитят трафик, например, при использовании недоверенных точек доступа Wi-Fi. Однако, как и при любых средствах защиты, тут есть нюансы. Так, пользуясь TOR, мы можем не подозревать, кому принадлежит выходной узел сети, а на нём можно прочитать трафик, несмотря на шифрование внутри самой сети TOR. И если при соединении с сайтом не используется SSL-сертификат, то данные могут оказаться под угрозой. Это же относится и к сервисам VPN, так как шифрование обеспечивается только между клиентом и сервером VPN. Для более высокой защищённости лучше использовать связку обоих этих инструментов, но придётся пожертвовать скоростью, и, конечно, использовать дополнительно SSL-соединения.


Дмитрий Державин:


– Хочу прежде всего прокомментировать лид к круглому столу. «Пытаться защититься на законодательном уровне – это всё равно, что сказать: «Не смотрите на меня». Нет, не всё равно. Ровно наоборот – если запрет и ответственность за его нарушение установлены законодательно, мы можем не просто говорить, а требовать: «Не смотрите, потому что …» или даже «Не смотрите, а то …» А если не установлены, можем только просить: «Не смотрите, пожалуйста» и рассчитывать на любезность.

«Если есть техническая возможность подслушивать и подглядывать – те или иные лица, организации и т.д. будут это делать». Опять же, в зависимости от действующего законодательства – законно или противозаконно. В первом случае они будут в своём праве, во втором случае – нет. И в этом втором случае мы сможем рассчитывать не только на любезность злоумышленников, но и на поддержку государства.

«Как сделать, чтобы вообще никто не имел такой возможности?». Очевидно, никак. Единственный способ – не иметь вообще никакой конфиденциальной информации. Прямая аналогия здесь – открытое программное обеспечение.

Ведите дела настолько хорошо, чтобы не к чему было придраться. Планируйте работу так, чтобы даже знание ваших планов не давало никому конкурентного преимущества. Это сложно, но реально. Можно почитать того же Голдратта. Или Альтшуллера (да-да, того самого!).

«Как …. максимально затруднить прослушку, расшифровку и так далее?» «Максимально» не нужно. Всё, что нам нужно сделать, это обеспечить ситуацию, когда стоимость получения конфиденциальной или секретной информации будет превышать стоимость самой информации. Или когда время, которое необходимо потратить на получение этой информации, превышает время, в течение которого информация остаётся актуальной. Помните: «You can get it fast, cheap or good. Pick two»? Качество в данном случае константа.

Но при всём при этом безупречная организация работы не отменяет необходимость защищать доступ к интерфейсам управления и контроля.

Что касается первого вопроса, то вы смотрели фильм «Братья Блюз»? Помните: «Какую музыку у вас тут играют? – И ту, и другую!»

Про TOR шутку оценил. Если мы говорим об информационной безопасности, а не о продаже наркотиков, закончим на этом о TOR. Думаю, что тема на текущий момент раскрыта достаточно.

По существу вопроса – прежде, чем переходить к выбору методов, очевидно, нужно определиться с задачами: что и в какой момент мы защищаем. От этого будет зависеть арсенал. Например, жёсткий диск в банковском сейфе – отличный метод. Или вы хотели защищать данные при передаче? Или обеспечивать оперативный доступ к ним? Тогда методы защиты будут другими.


Дмитрий Колышкин:


– VPN, и в особенности TOR, – один из самых удобных для пользователей способов защиты приватности и конфиденциальности. Шифрование, простота настройки – с одной стороны все обеспечивает человеку возможность защищать свои данные. Однако с другой стороны, значительную роль играет то, кто предоставляет человеку эти защитные механизмы. Многие провайдеры VPN, как показывают недавние события, зачастую не заботятся о безопасности и приватности – чему являются подтверждением регулярные утечки приватных данных. Аналогично, нет гарантии, что подобные провайдеры выполняют свои обещания по сохранению приватности на регулярной основе.

При этом сами по себе решения – безопасный и отличный способ защиты данных. При правильном выборе решения, его самостоятельной корректной настройке, применении дополнительных мер безопасности (двухфакторной аутентификации, двойное шифрование и т.д.) – о безопасности можно не беспокоиться.

Как резюме, хочется напомнить, что способов утечки чувствительных данных (и корпоративных секретов, и частной информации) существует огромное количество. О некоторых мы знаем и понимаем, как нам защититься, о некоторых – нет (например, недавно браузер Chrome обвинили в сборе информации в режиме Приватности), а в некоторых случаях мы сами раскрываем то, что стоит защищать – да возьмем, к примеру, фотографии в социальных сетях! Защита конфиденциальности является комплексной задачей, и нельзя слепо ориентироваться только на технические решения – огромной роль играют привычки пользователей.



2. Шифрование DNS-трафика закрывает одну из дырок. Те самые DNS-over-TLS, DNS-over-HTTPS, DNS Crypt – насколько они надежны? Для чего это нужно? В каких случаях можно без этого обойтись?


Алексей Данилов:


– Упомянутые механизмы предназначены для обеспечения приватности работы пользователей сети Интернет. Если пользователь использует классический протокол DNS (без шифрования запросов), о его интересах знают не только поисковые системы, но и операторы связи. Если же пользователь настраивает защиту DNS-протокола, его запросы/интересы становятся доступны лишь оператору этой услуги. В результате мы говорим о том, что такими протоколами обеспечивается защита коммерческих интересов крупных ИТ-компаний типа Google.

Нельзя утверждать, что DNS-over-TLS не защищают пользователей от атак. Защищают! Но это лишь приятный бонус, а не основная функция данных механизмов. Если ставить вопрос так: «Что лучше использовать – открытый DNS или DNS-over-TLS?», – ответ будет в пользу последнего. Это хоть какая-то защита (нужно иметь в виду: детей от нежелательного контента эти механизмы не защищают).

Я хочу поговорить про обратную сторону медали – протокол DNS широко используется для проведения целенаправленных атак на компании и/или сотрудников, поэтому его защите следует уделить больше внимания.

Вспомним модель Cyber-Kill Chain, описывающую 7 стадий подготовки атаки, разработанную Lokheed Martin. Разведка может включать перехват открытых запросов DNS с целью изучения интересов потенциальной жертвы, например, сотрудника компании, для выбора способа атаки. Одним из самых распространенных векторов является фишинг – рассылка писем, подготовленных злоумышленниками с целью заинтересовать потенциальную жертву и побудить ее открыть письмо, после чего на компьютер может быть инсталлировано вредоносное ПО. И мы переходим к следующему этапу – запуску.

Если вредоносное ПО попало на компьютер жертвы, управление им будет осуществляться с C&C-серверов – управление. Как защитить DNS-службы, чтобы они не стали уязвимым местом, прежде всего в корпоративном периметре? Универсального решения нет. Я рекомендую использовать комплексный подход:

  1. Начать следует с использования корпоративного VPN-сервиса. Он позволит корпоративным пользователям из любой точки подключения к интернету использовать корпоративную службу DNS, что обеспечит приватность запросов и, как следствие, защиту от злоумышленников. Иначе говоря, злоумышленникам станет сложнее провести разведку.
  2. Как правило, корпоративная DNS-служба подключена к системе категорирования DNS-запросов. Такая система категорирования позволяет определить «качество» ссылки на сайт, выявить ссылки, ведущие на опасные сайты, или подделки. Системы категорирования – это, как правило, сервис, который предоставляется «охотниками за угрозами», коммерческими центрами мониторинга. Эти механизмы помогают выявлять целенаправленные атаки на стадиях запуска и управления. Существуют и публичные защищенные DNS-сервисы, скажем Яндекс.DNS (https://dns.yandex.ru).
  3. Категорирование DNS-запросов – это эффективный, но реактивный способ борьбы с угрозами ИБ, поэтому его недостаточно. Можно ли реализовать превентивную систему защиты корпоративной сети на стадиях запуска и управления? Из популярных решений информационной безопасности, на мой взгляд, лучше всего для решения этих задач подходит Next-Generation Firewall (NGFW), позволяющий:
    a) обеспечить гранулированную политику безопасности для каждого пользователя – скажем, блокировать всем пользователям доступ к социальным сетям, мессенджерам, игровым серверам, torrent-сетям и ресурсам развлекательного характера. Оставить доступ только к тем ресурсам, работа с которыми необходима;
    b) выявить DNS-туннели, когда под видом DNS-запросов передается вредоносный трафик и маскируется атака.

Эти меры позволяют максимально уменьшить поверхность атаки на организацию, сделать атаку столь дорогой, что злоумышленнику становится выгоднее найти жертву полегче, а не тратить силы на столь серьезно подготовленного соперника.


Артём Мышенков:


– Протокол DNS небезопасен по двум причинам:

  • данные передаются в открытом виде;
  • в качестве транспортного протокола используется UDP, что не гарантирует подмену содержимого или IP-адреса отправителя запроса.

Стоит отметить протокол DNSSEC, который должен обеспечить целостность информации при передаче DNS-запроса. Однако DNSSEC не шифрует данные.

DNS-over-TLS, DNS-over-HTTPS, DNS Crypt созданы для шифрования трафика, но их технологии отличаются.

DNS-over-TLS и DNS-over-HTTPS, в отличие от DNSСrypt, имеют стандарты RFC, что имеет веские преимущества, и у этих протоколов больше перспектив.

Если же сравнить DNS-over-TLS и DNS-over-HTTPS, то они оба используют TLS для шифрования, но разные протоколы для транспортировки. Трафик DNS-over-HTTPS ничем не отличается от трафика HTTPS и передаёт данные через стандартный порт 443, в отличие от DNS-over-TLS, где используется дополнительный порт 853. В данном случае преимущество первого в том, что трафик может быть замаскирован под обычный трафик HTTPS.


Алексей Дрозд:


– DNS-over-TLS, DNS-over-HTTPS, DNS Crypt нужны, чтобы защищаться от MITM-атак. Протокол DNS не шифрует запросы, и данные передаются в открытом виде. Появляется возможность «подслушать» канал связи и перехватить незащищенные персональные данные. Интернет-провайдеры могут осуществлять наблюдение за трафиком и собирать данные о том, какие сайты вы посещаете. Соответственно, решить проблему можно шифрованием DNS -трафика.

 Все перечисленные выше способы справляться с проблемой MITM-атак эффективны, но применяться они должны на всех узлах сети, которые будут использованы при его передаче трафика. И здесь уместно вспомнить, что «мы настолько сильны, насколько сильно наше самое слабое звено».


Денис Батранков:


– Технологии защиты от спуфинга DNS (DNSSec или DNS Crypt) и защиты от утечек ваших DNS запросов (DoT или DoH) помогут скрыть лишь сами запросы, но IP- адреса, куда вы подключаетесь, скрыть не смогут, здесь нужен VPN или TOR. Если ваша задача скрыть передаваемые данные, то эти технологии полезны, чтобы подключиться именно к доверенному серверу, а не к фишинговому.

Также здесь нужно использовать TLS, в котором применяется взаимная аутентификация клиента и сервера.


Дмитрий Дудко:


– Как верно отмечено, шифрование DNS закрывает лишь одну из дырок. Без шифрования DNS, в частности, и без обеспечения безопасности вообще можно обойтись, если вам нечего скрывать. Это как с входной дверью в квартиру: можно вообще без нее, но лучше все же поставить.

Вопросы информационной безопасности всегда должны решаться комплексно. Атака на DNS – это всего лишь один из возможных вариантов (так называемых векторов атаки), а есть еще атаки «отказ в обслуживании», «человек посередине», различные вирусы и зловреды. Перечень мер в первую очередь должен базироваться на ценности защищаемого ресурса.


Дмитрий Державин:


«Шифрование DNS- трафика закрывает одну из дырок»… И открывает другую. Иначе не бывает. Защищённость всегда обратно пропорциональна удобству для пользователя – тяжёлая дверь с мощными замками лучше защищает, но входить удобнее, когда двери нет совсем. Если вы навесите слишком много замков, рано или поздно пользователи перестанут эту дверь запирать. И появится новая дырка. В совершенно прямом смысле слова.

Это не считая того, что дополнительный программный код несёт с собой вероятность появления дополнительных уязвимостей. Напихает злоумышленник «пластилина» в ваши супер-замки, и в ответственный момент вы не сможете попасть внутрь. Получится ситуация отказа в обслуживании – знаменитый DOS.

Поэтому сначала определяемся с задачами, а потом не забываем вовремя остановиться.


Дмитрий Колышкин:


– С недавних пор идет много разговоров о принятии DNS-over-HTTPS протоколом по умолчанию. В поддержку DoH высказываются западные облачные провайдеры, телеком и интернет-провайдеры. Многие из них уже предлагают DNS-сервисы на базе нового протокола.

По словам разработчиков, данная инициатива защитит пользователей от DNS-спуфинга. Те, кто выступает против внедрения DoH, говорят, что он снизит безопасность сетевых подключений. В качестве аргумента они приводят тот факт, что системным администраторам станет сложнее блокировать потенциально вредоносные сайты в корпоративных и частных сетях. Другим аргументом «против» являются логи. DoH позволяет передавать информацию о посещаемых ресурсах в зашифрованном виде, но соответствующие логи все равно остаются на сервере, отвечающем за обработку DNS-запросов с помощью API. Здесь встает вопрос доверия к разработчику браузера.

Некоторые считают, что классический подход DNS-over-UDP предоставляет большую анонимность, так как смешивает все запросы к системе доменных имен из одной сети (домашней или публичной). В этом случае сопоставить отдельные запросы с конкретными компьютерами становится сложнее. Так что вопрос касательно надежности данного решения, остается открытым.



3. Может быть для передачи файлов стоит использовать файлообменные сети? Тогда какие?


Дмитрий Дудко:


– Разумеется, использовать их можно – они и были придуманы для этого. Вопрос в том, что через них требуется передать. Если речь идет о фотографиях, музыке и других несекретных вещах, то можно пользоваться любым файлообменником. Если же необходимо передать что-то конфиденциальное, лучше воспользоваться флешкой.


Алексей Дрозд:


– В зависимости от профиля компании правила безопасности при передаче файлов могут быть более или менее строгие. Но есть общие принципы, например, запрет на использование мессенджеров, публичных «облаков», личной почты и файлообменников для передачи рабочих документов. Должны использоваться корпоративные FTP-сервера и почта.

Проблема в том, что компании всегда ищут баланс между удобством и безопасностью. Можно сделать совершенно безопасно, но неудобно, тогда конечные пользователи будут пренебрегать защитой. К тому же стоит помнить и о принципе «Бритва Оккама» – нет смысла плодить сущности без надобности.


Денис Батранков:


– Я бы все-таки рекомендовал использовать шифрование самих файлов при передаче и при хранении. Это несложно. Даже архив RAR с паролем считается достаточно стойким решением, защищенным от взлома конкурентами. Главное, хранить в секрете пароль и сделать его сложно подбираемым.

Да, файлообменные сети тоже используют шифрование данных при передаче, но у них основная функция – это публикации файлов, и здесь приличное количество угроз – от кражи логина и пароля сотрудника до случайного расшаривания конфиденциального файла всему Интернету.


Артём Мышенков:


– Если речь идет о децентрализованных файлообменных сетях (например, BitTorrent), то с целью безопасности передачи файлов лучше ими не пользоваться, ведь в распределённой сети с огромным количеством узлов проблематично использовать шифрование должным образом. Хотя в последнее время и появляется поддержка SSL – информация об IP-адресах и ресурсах передается в открытом виде, кроме того есть проблемы с проверкой подлинности узлов. Хакеры также могут обнаружить несовершенства реализации протоколов в таких сетях.


Дмитрий Державин:


– Определённо стоит! Любые. Если ваша задача сформулирована как «передача файлов», то файлообменные сети, судя по названию, точно подходят.

Если же хотите более конкретного ответа, конкретизируйте вопрос: каковы требования к пропускной способности, защищённости от несанкционированного доступа, к способу хранения, накладным расходам на предоставление доступа и т. д. Чем конкретнее будет задан вопрос, тем меньше останется вариантов ответа. Но не забывайте, что при его слишком узкой формулировке, ответов может не остаться совсем.


Дмитрий Колышкин:


– При обмене файлами основным критерием является безопасность и конфиденциальность передаваемых данных – независимо от того, по какому каналу мы эти файлы передаем. Обеспечивать безопасность можно как шифрованием канала связи, так и шифрованием данных – что нам удобно при передаче данных по незащищенному каналу. Однако при этом стоит учитывать, какое потенциально число людей может получить доступ к нашим данным – и не пользоваться при пересылке критичных и приватных данных публично доступными файлообменными сетями и решениями.



4. Какие системы шифрования файлов и дисков мы можем легально использовать? Что нам разрешено, за что могут привлечь к ответственности?


Алексей Дрозд:


– Законодательного запрета на использования криптосредств нет. Для своих нужд компания может использовать любой софт, если считает его безопасным. Законодательные ограничения есть по шифрованию отдельных видов данных (персональных, платежных и т.д.). Для этих целей может применяться только софт, сертифицированный в ФСБ и ФСТЭК. Как правило, это отечественные продукты, т.к. сертификация предполагает передачу регуляторам исходного кода на анализ (на проверку отсутствия бэкдоров, вредоносного содержания и т.п.). Иностранные производители на это, как правило, не идут.


Дмитрий Дудко:


– Для личного использования подходят любые средства шифрования дисков и файлов, разумеется, если данные средства были вами легально приобретены. В юридических лицах использование криптографии с целью защиты информации регламентируется нормативно-правовыми актами ФСБ России. Для защиты информации с помощью криптографии необходимо использовать так называемую «гостированную» криптографию. Для любых других целей можете использовать любые легальные программы.


Артём Мышенков:


– К ответственности (в частности, по статье 13.6 КоАП) привлекают за использование несертифицированных средств именно в тех случаях, где законом такая обязанность прямо предусмотрена. Всё зависит от типа передаваемой информации: применительно к государственной тайне или передаче персональных данных предъявляются более серьезные требования по защите информации. Причём применительно к первым – сертифицированные средства шифрования обязательны всегда, применительно ко вторым – в ряде индивидуальных случаев, в зависимости от типа ИСПДН. Есть и отдельные требования к государственным информационным системам. Это ограничение круга применения требований об обязательной сертификации исключительно сферой государственной тайны также подтверждалось в разъяснениях ФСБ к закону Яровой в 2016 году.


Дмитрий Державин:


– Ответы на этот вопрос содержатся в действующем законодательстве, которое легко найти в Сети. Отдельно отмечу, что современные алгоритмы электронной подписи и шифрования семейства ГОСТ прекрасно справляются со своими задачами. И на их базе существуют хорошо себя зарекомендовавшие отечественные программные продукты. В том числе, сертифицированные соответствующими регуляторами.


Дмитрий Колышкин:


– Законодательно нет каких-либо запретов на шифрование файлов и дисков. Любой пользователь может использовать специализированное ПО для шифрования своих данных и файловой системы без опасения проблем со стороны закона. Если рассматривать системы, которые обрабатывают конфиденциальную и государственную тайну, то обязательных требований для шифрования файловых систем – нет. В данном случае существуют требования для алгоритмов шифрования, которые должны быть использованы в ПО при передаче по сети данных, содержащих конфиденциальную и государственную тайну. Примером для личного использования можно выделить ПО VeraCrypt.


Денис Батранков:


– Для личного использования – любые.



5. Есть ли какие-то сторонние каналы вроде передачи данных по BlueTooth, объединения Wi-Fi сетей, минуя провайдера и так далее. Ситуация, когда всё идет через Интернет, включая телефоны и пожарную сигнализацию – это ненормально. Раньше хотя бы позвонить или факс можно было отправить по аналоговому телефону.


Дмитрий Дудко:


– Сторонние каналы передачи, конечно, существуют. Самый надежный канал передачи – флешка, переданная из рук в руки. Все остальное – это компромисс между требуемой скоростью передачи, удобством и безопасностью. Если надо очень срочно, скажем, если от этого будет зависеть человеческая жизнь, то вы будете передавать секреты по электронной почте в открытом виде.

Разумеется, ситуация, когда через Интернет подключают и телефон, и факс, и пожарную сигнализацию – ненормальная. Но построить и содержать для каждой подсистемы свою сеть передачи очень дорого, и может быть контрпродуктивно. Тут необходимо взвешенно подойти к возможным рискам. Если нас устраивает ситуация включения пожарной сигнализации в результате несанкционированного доступа к ней злоумышленников, то можно ее и через Интернет направить. Если нас это не устраивает, например, потому что может затопить серверное оборудование, тогда надо данную систему оградить от внешних систем. Таким образом, решение применяется по каждой защищаемой системе, рассматривая вначале систему изолированно, а затем комплексно и взвешивая аргументы.


Алексей Дрозд:


– Если вопрос в том, как зарезервировать канал на случай «если перережут кабель», то альтернативой привычному Интернету выступает спутниковый интернет, либо «аналоговые» методы вроде бумажной почты.

Но даже если рассматривать более реалистичные сценарии, действительно, имеет смысл создать резервный канал подключения к Сети (например, у другого провайдера), настроить полное бэкапирование, т.е. заняться повышением отказоустойчивости.

Как вариант, можно наладить изолированные локальные сети для сотрудников, которым по работе не нужен доступ в Интернет. Когда в компании два разделенных контура – один такой внутренний, другой внешний с выходом в интернет – снижается риск взломов и вирусных заражений. Но такая практика применима не везде, преимущественно в промышленности или оборонке. Другим не подойдет из-за неудобства ведения бизнес-процессов.


Денис Батранков:


– Любой канал передачи можно использовать. Сейчас ничто не мешает поставить модем на обычную аналоговую линию и там реализовать IPSEC или SSL-подключение, что обеспечит конфиденциальность. Единственная проблема – скорость. Если вас будет устраивать скорость передачи данных, то это подойдет.

Кроме того, вы можете продолжать пользоваться обычной почтой и отправлять бумажные письма с зашифрованными посланиями. Но в таких системах обмена всегда существовала проблема начального обмена ключами шифрования, и эта проблема была решена с появлением компьютерных сетей, алгоритма Диффи-Хеллмана и асимметричной криптографии. Поэтому через Интернет общаться можно безопасно, это будет надежнее и быстрее, чем пользуясь старинными методами.


Артём Мышенков:


– У охранно-пожарных систем, как и раньше, есть возможностью передачи сигнала на пульт посредством радиоканала, который подойдёт для резервирования таких систем.

Если речь идет о надежности канала передачи данных, можно использовать резервный канал. Для лучшей защиты от DDoS-атак стоит также приобрести автономную систему, но тут не обойтись без специального оборудования и услуг других компаний.


Дмитрий Державин:


«Есть ли какие-то сторонние каналы вроде передачи данных по BlueTooth, объединения Wi-Fi сетей, минуя провайдера и так далее»? Конечно, есть! Включая голубиную почту, которая в некоторых ситуациях может быть подходящим вариантом. Не зря же был принят соответствующий стандарт Интернет! Еще раз подчеркну: нет никакого смысла вести отстранённые рассуждения о технологиях защиты. Это примерно то же самое, что спорить, что лучше: автомат или пистолет. Не забываем – сначала формулируется задача, потом решение.

«Ситуация, когда всё идет через Интернет, включая телефоны и пожарную сигнализацию – это ненормально». Конечно же, ненормально! Поэтому далеко не всё «идёт через Интернет». Это я вам, как официально зарегистрированный оператор службы любительской радиосвязи, говорю.

«Раньше хотя бы позвонить или факс можно было отправить по аналоговому телефону». Да-а, раздолье было для любителей подслушивать телефонные разговоры! Хотя, о чём это мы? Ах да, об информационной безопасности.

 


Подпишитесь на журнал
Купите в Интернет-магазине

Комментарии отсутствуют

Добавить комментарий

Комментарии могут оставлять только зарегистрированные пользователи

               Copyright © Системный администратор

Яндекс.Метрика
Tel.: (499) 277-12-45
E-mail: sa@samag.ru