Контакты
Подписка
МЕНЮ
Контакты
Подписка

Как новые технологии влияют на стратегию ИБ?

Алексей Лукацкий, 18/03/19

lukatskiyВо время обсуждения в Фейсбуке темы этой статьи возникла небольшая дискуссия, которая поделила всех участников на два лагеря. Одни говорили, что новые технологии никак не могут повлиять на стратегию ИБ, другие, наоборот, считали, что это вполне возможно. В этой статье я попробую примирить два лагеря и попробовать рассмотреть, как влияют новые технологии на кибербезопасность.

Что говорят противники идеи влияния технологий на стратегию ИБ? Вот одна из цитат: "Стратегия все-таки пишется для долгосрочного планирования, если на нее существенно влияют новые технологии, то это какая-то так себе стратегия". И это верно, но при одном условии. Написанная стратегия действительно была ориентирована на долгосрочное планирование, и при ее разработке учитывалось появление новых технологий. Все-таки сегодня нет ничего такого, что выскакивает как чертик из табакерки и ранее не было известно. Почти все, что мы так или иначе называем сегодня "прорывными технологиями", известно не один год, и поэтому они могли быть учтены при создании стратегии. Если же этого не было сделано изначально, то можно ли говорить о наличии стратегии? Скорее, речь идет о тактических и краткосрочных документах с красивым названием, за разработку которого были заплачены немалые деньги. Если же мы создаем стратегию после появления новых технологий, то они могут и должны влиять на ее содержание. Именно об этом случае мы и поговорим.

Чтобы не распыляться по всему спектру новых технологий (а в будущем, согласно различым форсайтам, может появиться еще два-три десятка совершенно новых технологий, которые могут изменить текущий расклад сил и то, как трансформируется бизнес), попробуем сфокусироваться на тех, что сейчас активно осваивают различные отрасли экономики. В первую очередь это четыре технологии: блокчейн, биометрия, квантовые вычисления и искусственный интеллект.

Квантовые вычисления

Что надо учесть в стратегии ИБ с точки зрения потенциальной вероятности появления квантовых компьютеров в относительно ближайшем будущем? Это как раз тот случай, который нужно предусмотреть в стратегии, выстроенной на достаточно длительный срок – 7-10 лет. Именно на этом временном горизонте, если верить экспертам, появится действующий квантовый компьютер, который может поставить много вопросов перед используемой сейчас криптографией. Как известно, квантовые компьютеры позволяют проводить вычисления на совершенно иных скоростях, чем современная вычислительная техника, что делает задачу дешифрования зашифрованного текста вполне реальной. Если у нас есть данные, которые требуют обеспечения для них конфиденциальности на срок 10 лет и более, то вопрос выбора правильной криптографии для них стоит наиболее остро и квантовые компьютеры могут стать для таких данных вполне реальной угрозой, к которой надо готовиться уже сейчас.

lukatsky_ris1

С точки зрения квантовых вычислений вся криптография может быть разделена на два типа – квантово-безопасная и квантово-небезопасная. К первой относятся многие симметричные алгоритмы (в т.ч. AES или ГОСТ Р 34.12–2015), но с увеличенной как минимум вдвое длиной ключа (какая длина будет достаточной, кстати, пока неизвестно). А вот криптоалгоритмы, базирующиеся на сложности факторизации целых чисел (например, RSA) или дискретного логарифмирования (например, Эль-Гамаль или эллиптические кривые), не являются квантово-безопасными.

На какие вопросы вы должны будете ответить в своей стратегии? Я бы выделил четыре ключевых:

  • Квантово-безопасные ли алгоритмы вы сейчас используете?
  • Как долго мы должны обеспечивать конфиденциальность наших данных (каков их жизненный цикл)? Не все зашифрованные данные имеют долговременную ценность, и для них по-прежнему будет возможным применение текущих алгоритмов.
  • Как быстро мы можем обновить существующие средства криптографической защиты (для многих предприятий могут потребоваться на это годы)? Этот вопрос особенно актуален для финансовых организаций, которых, согласно положению Банка России № 382-П, обязали перейти на российские сертифицированные СКЗИ, но они пока не являются полностью квантово-безопасными.
  • Обязаны ли применять только сертифицированные СКЗИ или можем рассмотреть вариант с применением постквантовой несертифицированной криптографией? Надо отметить, что постквантовой криптографией сегодня занимаются не только за пределами нашей страны, на конференции РусКрипто регулярно представляются доклады по гомоморфному шифрованию, изогенным суперсингулярным эллиптическим кривым, криптографии на мультивариативных квадратичных уравнения и кодах исправления ошибках, а именно эти четыре направления признаны наиболее перспективными в ситуации, когда на рынке появится первый работающий квантовый компьютер.

Биометрия

В отличие от квантовых компьютеров, которые пока видны на горизонте, биометрия уже прочно вошла в нашу жизнь, и многие компании не только активно используют встроенные в мобильные устройства технологии типа Touch ID или Face ID, но и внедряют самостоятельные решения для идентификации и аутентификации своих пользователей с помощью различных биометрических факторов (голос, геометрия лица, отпечатки пальцев, геометрия ладони и др.). Для многих это не является необходимостью, а скорее демонстрирует "продвинутость" компании, которая может обойтись слишком дорого.

lukatsky_ris2

Какие особенности надо учитывать при решении бизнеса внедрять биометрию? Я бы выделил также четыре основных вопроса, к которым надо быть готовым:

  • Как мы поступим, если произойдет утечка или компрометация базы биометрических идентификаторов? В отличие от пароля или украденного пропуска мы не можем сменить голос или отпечатки пальцев. Выбранная бизнесом технология позволяет реализовать искажение биометрического фактора (для его замены) или использовать не все факторы (например, два пальца, которые в случае компрометации можно заменить оставшимися)?
  • Какой временной горизонт допустим при внедрении биометрии? Технологии меняются и дешевеют быстро, а внедрение биометрии на тысячи и десятки тысяч устройств (например, банкоматов) может занять длительное время. А в случае компрометации системы нам, возможно, придется заменять ее на другую, что будет не только долго, но и дорого.
  • На какой тип биометрии мы рассчитываем – физиологический или психологический? Первый менее подвержен изменениям с течением времени, чем второй (например, динамика набора текста на клавиатуре), но реализовать второй может быть дешевле. При этом надо учитывать, что сегодня на рынке представлено множество различных технологий биометрии, которые используют разные факторы, от распространенных (голос, лицо, глаза, ладонь) до очень специфичных (походка, ЭКГ, свайпинг пальцами на экране смартфона). На практике обычно используется мультимодальность  (комбинация двух и более факторов), обеспечивающая здоровый баланс между уровнем ложных срабатываний (FAR/FRR), стоимостью решения и временным горизонтом.
  • Какова наша модель угроз? Дело даже не в том, что обычно рассматривается только одна угроза – подмена фактора на этапе сбора данных (отрезанные пальцы, муляжи ладони или 3D-маски лица), забывая про остальные 12 векторов (например, можно просто подменить вердикт системы на противоположный и вся система превратится в "тыкву"). Но даже на этапе сбора сегодня появляется немало новых угроз, которые могут кардинально изменить будущее биометрии, которое нельзя не учитывать в стратегии ИБ. Например, известно немало исследований в области применения нейросетей для обмана биометрических систем. Да, сегодня они пока применяются в благих целях (для улучшения системы защиты), но и хакеры могут (и уже делают) воспользоваться полученными результатами и обойти биометрию.

Блокчейн и смарт-контракты

Ваша компания решила внедрить у себя блокчейн. Для контроля цепочки поставок, для ведения базы данных мошеннических операций, для борьбы с контрафактом, для контроля активов, для ведения юридически значимых реестров/кадастров/баз данных, для проведения платежей… Отговорить свое руководство не удалось, и вам надо понять, насколько ваша текущая стратегия ИБ учитывает новую, широко разрекламированную технологию, сулящую множество преимуществ.

Вы, безусловно, слышали, что блокчейн – это распределенная структура, в которой узлы взаимодействуют друг с другом по принципам P2P-сети; что каждый узел имеет копию всего распределенного реестра (всех транзакций); и что чем больше узлов, тем блокчейн устойчивее. При этом с точки зрения безопасности считается, что блокчейн изначально защищен на алгоритмическом уровне и почти не подвержен атакам.

Однако на самом деле все обстоит немного иначе. Бизнес почти никогда не применит открытый публичный блокчейн, знакомый нам по множеству криптовалют. В бизнес-проектах применяется закрытый блокчейн – публичный (или консорциум) или частный. В последних двух случаях многие свойства блокчейна становятся не такими очевидными. Во-первых, у вас ограниченное число участников. А во-вторых, у вас может появиться центральный орган контроля (в частном закрытом блокчейне). В таких условиях ваша стратегия ИБ должна быть готова к ответу на следующие вопросы:

  • Как мы защищаем конечные узлы, участвующие в блокчейне? Программа-вымогатель, зашифровавшая все узлы распределенного реестра, приведет к тому, что блокчейн превратится в тыкву, хотя сам по себе он будет по-прежнему защищен. В этой технологии безопасность сдвигается в сторону персональных компьютеров, участвующих в формировании блоков, и поэтому защита операционных систем, сети, управление ключами становятся как никогда важными. Одним антивирусом тут точно не обойтись, и нужно внедрять более эффективные технологии внутренней кибербезопасности.
  • Мы готовы к атакам "отказ в обслуживании"? Работа закрытого блокчейна, особенно частного, может быть нарушена направленной DDoS-атакой.
  • Мы готовы к квантовым компьютерам? Насколько долгосрочное хранение мы должны обеспечить в блокчейне? Если это ипотечные договоры, кадастровые записи, закладные и другие долговременные блоки информации, срок жизни которых может измеряться десятилетиями, то квантовые компьютеры могут представлять реальную угрозу и мы должны будем ответить на вопросы, заданные выше.
  • Мы готовы к приходу ФСБ? Надо понимать, что блокчейн неразрывно связан с криптографией, которая в России находится под достаточно жестким наблюдением и контролем со стороны криптографического регулятора, который очень не любит применения несертифицированных решений. На момент написания статьи в России нет ни одного блокчейн-проекта, который был бы построен на сертифицированной криптографии.

Возможно, вы планируете использовать не сам блокчейн, а его производную – смарт-контракты, т.е. код, который запрограммирован на автоматическое исполнение в децентрализованной сети, когда выполняются определенные условия или правила. В смарт-контрактах гарантируется исполнение договоров именно так, как определено, и невозможно внесение каких-либо изменений никаким из объектов в распределенной сети. Смарт-контракт беспристрастен, прозрачен, некоррумпирован и построен на устойчивом к атакам блокчейне. Идеальная ситуация для бизнеса, не правда ли?

lukatsky_ris3Но не стоит забывать, что смарт-контракт – это обычный код, который пишут люди, которым свойственно ошибаться (случайно или осознанно). Сегодня известно немало атак на смарт-контракты (BatchOverflow, MAIAN, Reentrancy, Bad Randomness и др.), в результате которых участники договорных отношений теряли деньги. Поэтому дополнительно к вопросам, которые должны быть учтены в стратегии ИБ для блокчейна, я бы добавил еще ряд для смарт-контрактов:

  • Как мы обеспечиваем качество кода смарт-контракта? Внедрен ли у нас на предприятии SDLC или мы считаем, как и раньше, что отсутствие собственных разработчиков не требует соблюдения нами правил безопасного программирования?
  • Кто проверяет условия смарт-контракта на наличие уязвимостей, ошибок и явно мошеннических действий? В обычных договорах это делают юристы, служба экономической безопасности, отделы продаж. Обладают ли они компетенциями делать то же самое и для смарт-контрактов?
  • Как мы обеспечиваем аудит и контроль смарт-контрактов? Это не только часть законодательных требований, но и здравый смысл. Службы аудита и внутреннего контроля готовы к работе со смарт-контрактами?

Искусственный интеллект

"Искусственный интеллект" – очень неудачный перевод английского Artificial Intelligence, который уже прижился в русском языке, но не отражает реальной сути этой технологии, которая на самом деле не нова (первые работы в этой области можно отнести к середине прошлого века), но именно сейчас она переживает новый виток своего развития, что обусловлено и наличием больших объемов данных для анализа, и новыми задачами, и грядущим появлением квантовых вычислений. С точки зрения стратегии кибербезопасности предприятия искусственный интеллект интересен нам в трех областях:

  • Как мы используем искусственный интеллект в целях кибербезопасности?
  • Как можно атаковать искусственный интеллект и что можно противопоставить этим атакам?
  • Как противодействовать злонамеренному использованию искусственного интеллекта против нас?

lukatsky_ris4

Мы сейчас коснемся последних двух вопросов, так как первый очень обширен и сам по себе требует отдельной статьи о том, как применяется ИИ в кибербезопасности. Итак, как можно атаковать искусственный интеллект? Есть несколько точек приложения сил злоумышленников, основными из которых являются две:

1. Атака на алгоритм/модель:

  • внесение изменений в алгоритм;
  • подстройка под алгоритм;
  • состязательные примеры.

2. Атака на данные:

  • внесение посторонних данных;
  • изменение существующих данных.

Но это в теории. На практике мы должны учитывать весь жизненный цикл применения искусственного интеллекта, и поэтому нельзя не брать в расчет возможные атаки на специалистов, занимающихся разметкой обучающих данных (для алгоритмов машинного обучения с учителем, Supervised Learning), а также на систему взаимодействия ИИ с другими компонентами. Схожую идею мы рассматривали в разделе про биометрию: необязательно атаковать сам процесс обучения и принятия решений, достаточно просто подменить вердикт в процессе его передачи.

Исходя из вышеописанного, я бы включил в разрабатываемую или обновляемую стратегию кибербезопасности ответы на следующие вопросы:

  • Включены ли обучающие данные для используемых бизнесом систем искусственного интеллекта в перечень защищаемых?
  • Каково происхождение обучающих данных и насколько мы им доверяем?
  • Как мы обучаем системы искусственного интеллекта? Кто имеет к ним доступ?
  • Учитывает ли наша модель угроз/нарушителя применение искусственного интеллекта злоумышленниками? Сегодня известны примеры применения ИИ со злым умыслом – для поиска уязвимостей, фишинга, подбора пароля, обхода CAPTCHA, подмены личности, обмана биометрии. Готова ли наша система защиты к таким инновационным угрозам?

Заключение

Вновь возвращусь к дискуссии, упомянутой в начале статье. Сейчас, после анализа четырех прорывных технологий (а их больше, размер статьи не позволил говорить про большие данные, дополненную и виртуальную реальность, роботов и Интернет вещей) и прочтения каждой из четверки вопросов, вы можете с уверенностью сказать, что да, на все 16 вопросов наша стратегия ИБ уже сейчас дает ответы? Если ваш ответ будет утвердительным, то я вас поздравляю! Вы действительно стратег в области ИБ и подошли к вопросу разработки стратегического документа, определяющего развитие вашей системы кибербезопасности на годы вперед, с полной серьезностью. В этом случае я признаю, что коллеги, отвечавшие, что новые технологии не должны влиять на стратегию ИБ, правы. Если же какие-то вопросы у вас остаются без ответа, а может быть и вовсе у вас не всплывали в голове до начала чтения этой статьи, то правы будут те, кто утверждает, что новые технологии влияют на стратегию ИБ. Перед вами встает непростая, но интересная задача – пересмотреть разработанную вами дорожную карту, направленную на повышение защищенности вашего предприятия в информационной сфере. Да и время сейчас самое подходящее – начало года.

Темы:Управление
Комментарии

More...