Open Source: 
рискуем или контролируем?

Компания «Кросс технолоджис» изучила, как используется ПО с открытым кодом в компаниях МСБ. Результаты исследования показали, что «рост рисков инцидентов ИБ для малого и среднего бизнеса» связан с использованием открытого программного обеспечения. Основные причины этого – недостаток ресурсов у компаний для проведения аудита используемого кода и борьбы с уязвимостями ПО. А также зависимость от сторонних разработчиков.

Эксперты ИТ-отрасли отвечают на вопросы «Системного администратора»

> Почему вы используете открытое ПО?
> Как вы поддерживаете информационную безопасность своей системы?
> Есть ли у вас в штате специалист по ИБ, или же вы привлекаете для работы фрилансеров и аутсорс-команду?
> Может ли ваш системный администратор выполнять функции ИБ-специалиста, если это потребуется?
> Какие меры должна предпринимать компания (МСБ), чтобы держать под контролем риски инцидентов ИБ?

Филипп Щербанич,
ИТ-эксперт, backend-разработчик

«Опенсорсные решения – это действительно уникальная особенность разработки, когда люди делают что-то для других людей, часто не получая ничего взамен. Кроме понимания, что разработанное ими решение помогает другим людям создавать невероятно классные вещи»

Без открытого ПО разработку современных веб-ресурсов, сервисов и приложений невозможно представить. Дело в том, что требования к разрабатываемым системам и конкуренция между ними год от года растут. Поэтому системы постоянно усложняются. При их создании генерируются не только уникальные идеи, но и то, что уже было придумано много раз другими людьми, а кодовая база лавинообразно растет. А ведь ее надо писать, поддерживать, контролировать. То есть выделять все большее количество ресурсов на разработку.

Чтобы не прибегать к созданию своих «велосипедов» и не увеличивать кодовую базу там, где это не надо, разработчики прибегают к использованию бесплатных или условно бесплатных решений, которые создаются и поддерживаются их сообществом. А некоторые крупные компании даже поддерживают такие проекты, вкладываясь финансово или выделяя разработчиков в помощь создателям инструмента.

В общем, опенсорсные решения – это действительно уникальная особенность разработки, когда люди делают что-то для других людей, часто не получая ничего взамен. Кроме понимания, что разработанное ими решение помогает другим людям создавать невероятно классные вещи.

Все компании, в которых я работал, так или иначе использовали открытое ПО. Это, например, и различные СУБД вроде Postgres, и библиотеки, и фреймворки. Даже самые закрытые и секретные государственные разработки наверняка используют какие-то открытые решения или хотя бы идеи из них.

В моей компании предусмотрен набор правил и требований к разработке и использованию тех или иных технологий. Нельзя взять и подключить стороннее решение без аудита его безопасности, поскольку это может привести к взлому системы или утечке важных данных.

Помимо базовых средств защиты (разграничение доступа, файрволлы, мониторинг анализ активности сотрудников и системы) есть и другие специализированные решения безопасности. Они изолируют чувствительные части системы, значительно усложняя потенциальные атаки.

Моя компания большая, поэтому у нас есть отдел информационной безопасности. В его обязанности входит проведение аудита разрабатываемого продукта и инфраструктуры на предмет утечек информации и возможностей взлома. Также отдел разрабатывает правила безопасности, инициирует проведение обучения безопасности и тренингов и делает огромное множество другой работы, которая позволяет компании не беспокоиться о потенциальных проблемах.

Но есть и опыт привлечения сторонних команд для дополнительного аудита. На моих предыдущих местах работы такое тоже практиковалось. Это нормально – привлекать сторонние организации при возникновении потребности, ведь поиск ИБ-специалистов – дело непростое и трудозатратное.

Может ли наш системный администратор выполнять функции ИБ-специалиста, если это потребуется? Отчасти да. Любой человек, связанный с разработкой или администрированием, может попытаться обезопасить систему, поискать проблемные места. На самом деле, наша ежедневная работа отчасти состоит из таких задач, ведь выпускаемый нами продукт должен быть достаточно безопасным. ИБ-отдел работает в этом случае как подстраховка. К тому же общие подходы обеспечения безопасности знакомы почти любому системному администратору и разработчику.

Но это не значит, что от ИБ-специалистов следует отказаться. Они глубоко погружены в тему и владеют профессиональными приемами и знаниями, неочевидными для других. Кроме того, они сфокусированы исключительно на обеспечении безопасности, поэтому, очевидно, результаты их работы будут качественнее и надежнее.

Компании малого и среднего бизнеса должны предпринимать хотя бы минимальные шаги обеспечения безопасности, такие как: регулярное обновление используемого ПО и зависимостей проекта, аудит подключаемых решений на предмет уязвимостей; внедрения систем контроля доступа к разным частям проекта и инфраструктуре; настройка регулярных бэкапов, создание плана восстановления систем на случай их падения; внедрение практик обучения сотрудников безопасности (например, фишинг – сегодня наиболее частая атака), распространение опыта обеспечения безопасности между командами; сокрытие реальных IP адресов, закрытие неиспользуемых портов, доступ только по ключам а не по паролям.

Евгений Кудрявцев,
старший системный администратор группы ИТ-компаний TeamIdea

«Ключевой элемент нашей стратегии безопасности – непрерывное обучение персонала правилам ИБ. Акцент мы делаем на распознавании фишинговых атак и правилах работы с конфиденциальной информацией»

Мы в компании используем open source -решение Redmine. Оно помогает организовывать работу команд, отслеживать задачи, планировать проекты и контролировать версии.

Главное преимущество открытых ПО – финансовая доступность. Большинство таких программ можно скачать и использовать бесплатно. Это делает их доступными для небольших компаний и частных лиц с ограниченным бюджетом. В некоторых узкоспециализированных областях открытые решения вообще являются безальтернативным вариантом.

Еще одно весомое преимущество – гибкость таких решений. Поскольку ПО доступно, ИТ-специалисты могут модифицировать программу под конкретные задачи компании, адаптируя функционал под свои специфические потребности. Это позволяет создавать индивидуальные решения и при этом экономить огромные средства, требующиеся для разработки с нуля.

Нередко вокруг популярных открытых ПО формируется активное сообщество разработчиков и пользователей. И это тоже одна из положительных сторон Open Source. Специалисты постоянно обмениваются опытом, решают возникающие проблемы и предлагают улучшения. В результате копится обширная база знаний по проекту, где можно найти ответы практически на любые вопросы по эксплуатации.

В нашей компании защиту данных обеспечивает разработанная комплексная политика информационной безопасности, которая регламентирует правила работы с данными и доступом.

Техническая сторона обеспечена многоуровневой системой – современное шифрование, фаерволы, антивирусное ПО и регулярное резервное копирование критически важных данных.

Особое внимание уделяем физической защите: серверные помещения оборудованы системами контроля доступа и видеонаблюдения. Права доступа сотрудников строго регламентированы. Для усиления защиты учетных записей внедрена многофакторная аутентификация.

Ключевой элемент нашей стратегии безопасности – непрерывное обучение персонала правилам ИБ. Акцент мы делаем на распознавании фишинговых атак и правилах работы с конфиденциальной информацией. За всем этим следит команда ИБ-специалистов, использующая передовые SIEM и SOC системы для мониторинга и оперативного реагирования на инциденты.

Регулярные внутренние аудиты безопасности позволяют вовремя выявлять слабые места и адаптировать защитные механизмы к новым угрозам.

Мы привлекаем профессиональные аутсорс-компании. Так мы получаем доступ к широкому спектру экспертных знаний и можем быть уверены в защите наших данных.

Теоретически системный администратор вполне способен взять на себя задачи по информационной безопасности. Но нужно учитывать несколько моментов.

Квалификация в сфере ИБ должна постоянно обновляться, что требует времени и ресурсов. При этом основные обязанности сисадмина никто не отменял – он может просто не справиться с двойной нагрузкой. К тому же, современные требования к информационной безопасности становятся всё жёстче, и совмещение этих ролей со временем может стать неэффективным решением.

Марат Баязитов,
руководитель проектов отделения комплексных проектов кибербезопасности IBS

«Для минимизации угроз, в компании необходимо разработать и внедрить регламент работы с открытым ПО, создать реестр открытого ПО, внедрить процесс проверки открытого ПО перед его использованием, определить ответственных за обновление каждого из компонентов»

Чтобы держать под контролем риски инцидентов информационной безопасности (ИБ), компания МСБ должна предпринимать комплексный подход. Как минимум, иметь в штате специалиста по обеспечению ИБ, либо воспользоваться внешними услугами специализированной компании. На регулярной основе проводить аудиты (оценку) состояния защищенности информации (в том числе тестирование на проникновение) и эксплуатируемых систем (анализ логов, наличие уязвимостей в ИТ инфраструктуре). Разработать план реагирования на инциденты на ближайшие 24 и 72 часа, определить ответственных лиц за взаимодействие с контролирующими органами.

В части использования открытого ПО требуется особый подход к управлению рисками, связанными с уязвимостями, лицензированием, безопасностью кода и цепочками поставок. Для минимизации угроз, МСБ необходимо внедрить системный контроль, методики и инструменты управления безопасностью. Для этого в компании необходимо разработать и внедрить регламент работы с открытым ПО, создать реестр открытого ПО, внедрить процесс проверки открытого ПО перед его использованием, определить ответственных за обновление каждого из компонентов.

Также необходимо внедрять системы управления уязвимостями, автоматизировать процесс установки обновления в изолированный тестовый контур. На основе комплексных процедур стоит проводить сканирование на уязвимости систем, использующих открытое ПО (статический анализ, динамический анализ, пентесты, аудиты и т.д).

После проведения вышеописанных процедур необходимо анализировать открытое ПО в режиме мониторинга активности (журналирование и логирование событий).

Таким образом, чтобы контролировать риски и инциденты информационной безопасности МСБ необходимо применять описанные комплексные меры уже сегодня.

Ключевые слова: открытое ПО, компании МСБ, инструменты управления безопасностью

Подпишитесь на журнал

Комментарии могут оставлять только зарегистрированные пользователи