Основные понятия информационной безопасности для гуманитариев рабочего класса
Представьте, что вся ваша IT-инфраструктура — это стройка. Есть вахтёр, есть прораб, есть кирпичи. И есть какие-то пидарасы, которые хотят всё это разрушить.
Кто ты такой и что тебе надо
Любая система начинается с ворот. На нашей стройке сидит вахтёр, и именно он решает, кто пройдёт внутрь.
Идентификация
Вы пытаетесь пройти на стройку и представляетесь вахтёру своим именем, после чего проходите внутрь.
Аутентификация
Перед тем, как пройти внутрь, вы вынуждены показать вахтёру свой паспорт.
Двухэтапная аутентификация
Вы вынуждены показать одному вахтёру свой паспорт, а второму по памяти назвать его серию, номер и вспомнить, что находится на странице с номером, похожим на Кенни.
Двухфакторная аутентификация
Вахтёр требует не только паспорт, но и водительское удостоверение.
Когда вас пропустили, вахтёр выдаёт вам пропуск — это ваш билет на все дальнейшие перемещения по стройке.
Сессионный токен
Вахтёр выдаёт вам на шею бейдж с персональным идентификатором.
Авторизация
Вы показываете этот бейдж при входе в любую дверь.
Мастер-пароль
Любой пидарас может пройти на объект, предъявив вахтёру бутылку водки.
Как нас могут наебать
На любую стройку найдётся свой злоумышленник. Вот основные способы, которыми какие-то пидарасы пытаются обойти нашего вахтёра.
Подделка учётных данных
Какой-то пидарас наебал вахтёра, показав ему чужие документы
Имперсонация
Вахтёр в курсе, что его наебали, но вынужден пропустить, так как документы подлинные.
Угон сессии
Какой-то пидарас спиздил чужой бейдж и везде его показывает.
Фиксация сессии
Он же подложил вахтёру копию бейджа со своим идентификатором и дождался, пока тот не отдаст его вам.
Но это ещё цветочки. Настоящие проблемы начинаются, когда злоумышленник уже внутри.
Атака
Какой-то пидарас может сбросить вам кирпич на голову с верхнего этажа.
Эксплойт
Для этого он пройдёт на стройку, поднимется на самый верхний этаж, возьмёт в руки кирпич, прицелится и сбросит его вниз.
Кто видел, как ты накосячил
Иногда важно не только защитить себя от атак, но и скрыть сам факт своего присутствия. Или хотя бы сделать так, чтобы никто не знал, кто именно это был.
Приватность
Вы потоптались по только что налитому полу, не оставив в нём следов и никто кроме вас не знает, что это вообще случилось.
Анонимность
Вы потоптались по только что налитому полу, оставили в нём следы, но никто не знает, какой пидарас это сделал.
Большой брат следит за тобой
Чтобы знать, кто и когда накосячил, нужно всё записывать. И желательно ещё уметь анализировать эти записи.
Журналирование
Вахтёр записал в журнал дату и время вашего прихода и ухода.
Ретроспектируемое журналирование
Вахтёр ходит за вами по пятам и записывает вообще все ваши действия.
Корреляция событий
Вахтер сделал запись в журнал, что пару дней назад к ним на стройку устроился какой-то стрёмный работник с такой же фамилией, что и у вас.
Когда записей становится много, нужна автоматизация. Тут на сцену выходит SIEM.
SIEM
Вахтёр в ходе корелляции событий периодически жмёт кнопку, после чего начинает орать сирена, мигать красные лампочки, а весь персонал съёбывает по подвалам, откладывая кирпичи.
Актуализация правил корреляции событий SIEM
Прораб за это наконец-таки набил вахтёру ебало.
Что может пойти не так
Прежде чем защищаться, нужно понять, от чего именно. Этим занимается моделирование угроз.
Угроза
На стройке вам на голову может упасть кирпич.
Уязвимость
Ваша голова не предназначена для попадания в неё кирпича с заданным весом и ускорением.
Модель угроз
Кирпич весит килограмм и ещё пол кирпича, ускорение свободного падения 9,80665 м/с², солнце в зените, а кирпичи могут находиться на любом из отстроенных этажей (плюс все вытекающие из этого расчёты).
Лукацкий
Какой-то мужик в шляпе рассказывает вам, как правильно строить модель угроз.
Как не словить кирпич
Есть два подхода к защите: убрать все угрозы или минимизировать последствия. В идеале — делать и то, и другое.
Защищённость
Вы убираете со стройки все кирпичи, исключаете наличие на ней каких-то пидарасов и, на всякий случай, ещё и верхних этажей.
Безопасность
Вы надеваете каску, чтобы хоть как-то снизить последствия попадания кирпича.
Бумажная безопасность
У вас в правилах безопасности предписано всем носить каски, вы получили за них пушкинскую премию от регуляторов, но персонал как ходил без касок, так и продолжает ходить.
Отдельная тема — отказоустойчивость. Что делать, если кирпич всё-таки попал?
Формальная отказоустойчивость
Вы нанимаете двух прорабов, чтобы в случае смерти одного из них, работы не прекращались.
Фактическая отказоустойчивость
Вы нанимаете столько прорабов, сколько у вас кирпичей на стройке плюс ещё один.
Проверяем на прочность
Чтобы понять, насколько хорошо вы защищены, нужно попробовать себя взломать. Желательно — до того, как это сделают настоящие злоумышленники.
Багхантер
Какой-то пидарас пробрался на стройку, залез на верхние этажи, убил кирпичом прораба и теперь радостно требует заплатить ему за это вознаграждение.
Багхантер с анализатором защищённости
Прораб пока ещё жив, тот пидарас кидается кирпичами во все стороны, а вахтёр уже заебался нажимать на красную кнопку.
Пентестер
Вы наняли эксперта, чтобы тот проверил возможность проникновения на стройку, залезания на верхние этажи и сброса кирпичей на головы персонала.
Опытный пентестер без скоупа
Пентестер не только смог убить прораба с помощью кирпича десятью разными способами, но и разрушил к ебеням весь объект, сжёг технику и заставил вахтёров сношать друг-друга.
Есть и автоматизированные способы тестирования:
DAST
Вы покупаете устройство, кидающееся кирпичами во все стороны, на манер мячиков для тенниса.
SAST
Вы покупаете виртуальный симулятор, делающий всё то же самое, что и DAST, но без стройки.
IAST
Вы покупаете модуль обратной связи между кидающимся устройством и симулятором стройки.
Суровая реальность
А теперь — самое грустное. Как всё это работает в реальном мире, где есть бюджеты, интеграторы и законы Мёрфи.
Привлечение интегратора
Вы заебались покупать и обратились за помощью к сторонней компании. Та предлагает вам приобрести новейшую бетономешалку от именитого вендора, чтобы решить проблему с кирпичами. Вы в душе не ебёте, как связаны бетономешалка и кирпичи, но таки покупаете. Теперь у вас с верхних этажей могут упасть не только кирпичи, но и блядская бетономешалка, что делает проблему кирпичей не такой уж и значимой.
Патч от вендора
Производитель бетономешалки по вашему запросу выпускает патч, оснащающий её реактивной системой торможения в воздухе. По неведомым причинам это приводит к отказу строительного крана, эпидемии гриппа среди персонала и ухудшению вязких свойств бетона.
Мораль сей басни
Информационная безопасность — это не про бумажки, правила и технологии сами по себе. Это про осознание того, что любая система подвержена ошибкам людей, уязвимостям и неожиданным последствиям.
Настоящая защита требует комплексного подхода: правильной идентификации, надёжной аутентификации, строгой авторизации, мониторинга, моделирования угроз и практических мер против атак. Но даже при этом нельзя полностью исключить случайности — поэтому важно сочетать технические решения, процессы и здравый смысл.
Все персонажи и события вымышлены. Любые совпадения с реальными стройками, вахтёрами и бетономешалками случайны.
kochetkov.vladimir