Корпоративная ИБ идет в дома

Разное
В январе я написал заметку про революцию в деятельности корпоративных служб ИБ; потом из нее выросла целая статья для февральского номера журнала «IT Manager». В ней я писал о том, что очень много потребительских технологий (BYOD, Dropbox, Google.Docs, соцсети и т.п.) приходит в корпоративную среду и это надо учитывать службам информационной безопасности. Но ведь существует и обратное движение.

Достаточно вспомнить, что лет десять назад у многих дома был только один компьютер и больше никаких иных IP-устройств не присутствовало. Время шло, благосостояние росло, число устройств увеличивалось. Свой компьютер, компьютер супруга (супруги), компьютер детей, планшетник (а то и на каждого члена семьи), смартфон (и тоже на каждого члена семьи), хранилище файлов, видео, музыки, мультимедиа-центр, игровые приставки… Кто-то идет дальше и обустраивает дома систему видеонаблюдения (CCTV), подключает к Интернет холодильник, кофеварку, пианино (для скачивания новых мелодий и прошивок). Устройство много и все они разные. Как и разная на них информация хранится, доступ к которой имеют разные категории пользователей для решениях различных задач.

Я попробовал набросать простейшую матрицу доступа с указанием информационных активов и субъектов доступа. Получилась такая картина (желтый означает открытый доступ, зеленый — есть материалы как в открытом, так и в закрытом доступе, синий — доступ ограничен):

Информационные активы и субъекты доступа

Разумеется, у вас может получиться иная картина. Например, отсутствующие соседи (а иногда, в дружных домах, на этаж шарится какое-нибудь файловое хранилище с музыкой и фильмами). Или запрет подключения к внутренним ресурсам всех, кроме членов семьи, подразумевающий отсутствие друзей в качестве субъектов доступа. Интернет в качестве субъекта доступа выделен неслучайно — нередко организуется доступ к каким-либо внутренним ресурсам извне (например, в рамках пирингового взаимодействия). Ну и категоризация информационных активов тоже может быть иной.

Но вышеприведенная матрица достаточно высокоуровнева — ее надо транслировать на имеющиеся в квартире/на даче устройства и прописать между ними информационные потоки. Получается вот такая картина (черный означает полный запрет взаимодействия, зеленый — взаимодействие может быть ограниченным, желтый — взаимодействие разрешено).

Объекты доступа

Очевидно, что тут не полный перечень объектов доступа. Не хватает сетевого оборудования (маршрутизаторы, коммутаторы, а также точки беспроводного доступа), игровых приставок, принтера, сканера, да много ли еще чего. Например, в загородном доме может быть интерфейс для управления системой жизнеобеспечения дома через Интернет. А у продвинутых пользователей и бытовая техника может быть привязана к Интернет. Например, у Cisco есть такая штука как Home Energy Controller, который позволяет управляет «домашней АСУ ТП» и отслеживать все ключевые показатели деятельности домашних потребителей энергии; в т.ч. и через Интернет.

И вот тут возникает вопрос с защитой и самих информационных активов и обрабатывающих их объектов и с контролем доступа всех возможных субъектов. Ведь по сути наша квартира — это мини-версия корпоративной сети — разные устройства, разные пользователи, разные задачи, разные сегменты… А угрозы те же! Значит и методы защиты должны быть те же. Денег на дорогостоящие средства ИБ для дома обычно нет и приходится выкручиваться за счет правильно выстроенного дизайна домашней сети, настройки сетевого оборудования, активного задействования встроенных механизмов защиты. Очень интересный опыт, полезный.

ЗЫ. Хотя у многих безопасников ничего такого дома нет 😉 Сапожники без сапог ;-(

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем.

  1. hunter_po

    Тэкс, про сапоги:
    1. В качестве МЭ — дефолтовый МЭ на роутере, который не пускает никого извне внутрь домашней сети, а регулировать доступ изнутри наружу — это уже какая-то паранойя. Роутеры — обычно АСУС. В принципе они позволяют сделать ДМЗ для доступа извне для расшаривания всяких ftp, но не пользовался.
    2. Что бы самому попадать в сеть извне использую hamachi. Внутри сети есть старый ноутбук на ubuntu на котором установлен hamachi. Таким образом, находясь во вне, подключаюсь через hamachi к ноуту, а через ssh пробрасываю любой протокол и порт.
    Не верю во всякие DDNS и организацию доступа извне через роутер.
    3. Ну, антивирусы на домашних компах.
    4. Обнаружения вторжений и мониторинга уязвимостей нет 🙂

    Ничего не забыл?

    Ах да, интернет стал такой быстрый, что теперь уже домашние пользователи хотят выносить домашние гаджеты за пределы домашней сети и получать доступ ко всему, чему привыкли…

    Ответить
  2. doom

    Не совсем понял, чем отличаются "Интернет" и "Другие" в приведенной модели.

    Ну а насчет сапожника — пограничный сервер содержит на себе все публикуемые наружу сервисы (это, собственно, торенты и удаленный доступ), он же является МЭ и беспроводной точкой доступа.
    Систему мониторинга + примитивные SIEM (все на базе nagios) никак руки не доходят внедрить — все застопорилось на стадии макетирования 🙂

    Еще пока не стоит вопрос защиты профиля Xbox live от ребенка — но если он поймет как там покупать игры, то придется создавать ему отдельный профиль без привязанной карты 🙂

    Ответить
  3. Unknown

    Можно сколько угодно сочинять идеальный дизайн домашней сети, но надо ли?

    Для подавляющего большинства пользователей провод с интернетом — это примерно то же самое, что и кран с водой. Они готовы платить за воду из него, и даже пойдут купят фильтр. Но продумывать дизайн водопроводной сети под каждый тип применения (например, автополивалки для цветов в горшках, поилка для кошки, и всё это централизованно) — это уж увольте 🙂 Они просто наберут воды из-под крана в ёмкость, и разольют по потребителям.

    На мой взгляд, "сапожники" рано или поздно обрастают "сапогами" до того уровня, на котором находят гармонию между стоимостью системы защиты, её сложностью, функционалом и важностью защищаемой информации. "Несапожникам" эта тема никогда близкой не станет (как минимум не настолько, чтобы разбираться в матчасти), и провод с интернетом останется в одной категории с краном с водой. Операторы связи настолько глубоко в домашнюю инфраструктуру пользователей не полезут. Стоимость услуг сторонних компаний будет приемлемой, а сами услуги — интересными, только для пренебрежительно малого круга пользователей. С этим ничего не поделать.

    Ответить
  4. Алексей Лукацкий

    Насчет крана с водой… Я тоже так думал пока не стал строить дом загородом и не пришлось въезжать в то, как делается и разводка, и количество контуров водоснабжения и т.п. Когда комп один проблем нет, когда их много задумываешься. И не важно, сапожник или нет. Другое дело, что сапожник быстрее солбразит, что и как разводить

    Ответить
  5. Алексей Лукацкий

    Andrey, крут 😉

    Ответить
  6. Алексей Лукацкий

    Doom, Другие — это скорее "все остальное, что я не учел". Интернет все-таки понятный элемент; понятны его права доступа… А "другое" из серии "а в друг чего забыл". Пока запретил

    Ответить
  7. Алексей Лукацкий

    Nick, отношение домашних и корпоративных пользователей к ИБ (если убрать complaince) одинаково 😉

    Ответить
  8. Евгений

    Andrey, доступ "изнутри-наружу" может понадобиться для ограничения доступа в инет ребенку :).

    Значит в "организацию доступа извне через роутер" не верим, а стороннему VPN сервису верим, однако…
    Я специально купил роутер помощнее (TL-WDR4300), чтобы иметь возможность поднимать на нем дополнительные модули. Так например SSH на нетипичном порту (чтобы сканеры не сильно задолбали) и аутентификацей по сертификату и паролю.

    Ответить
  9. Евгений III

    Ну осталось еще Arcsight Home Edition устанавливать дома и всё на него заводить.
    Новая услуга зреет: консалтинг ИБ домашних сетей.

    PS. приходит спец к кому-то домой и за 100 000 настраивает: три компа, три планшета, ТВ, медиацентр, ну и холодильниу с кофеваркой.

    Ответить
  10. Анонимный

    Те, кто дорастают до такого количества устройств в доме уже обычно призывают "сапожника" по "знакомству" или за деньги. "Чтоб было все красиво", то есть работало и было безопасно. И эта практика началась еще с середины 2000-х.
    С другой стороны, сейчас действительно внешний канал уже достаточно толстый, чтобы обращать внимание на какие-то конфликты "внутри", а распространение устройств пошло в массы.

    Ответить