Более 20 лет назад Microsoft опубликовала правила, следуя которым, как предполагали их создатели, можно было повысить кибербезопасность. Как эти рекомендации смотрятся сегодня, в эпоху искусственного интеллекта и атак на цепочки поставок? Что устарело в этих «заповедях», а что по-прежнему актуально?
- Введение
- 10 заповедей безопасности от Microsoft образца 2004 года
- Памятка по кибербезопасности 20 лет спустя
- 10 законов киберриска в эпоху искусственного интеллекта
- Выводы
Введение
Часто можно слышать, что проблемы с кибербезопасностью связаны с определенными техническими ошибками, которые легко исправить. Но еще более 20 лет назад в Microsoft осознали, что основной угрозой для кибербезопасности являются ошибки, допускаемые самими людьми. Более того, эти ошибки не ограничиваются только технологиями.
В начале 2000-х годов на Microsoft TechNet был опубликован список из 10 основных правил, способствующих повышению безопасности пользователей. Точно установить дату их появления уже невозможно. Некоторые говорят, что это был 2000 год. Самая ранняя копия, которую мы смогли найти в архивах Интернета, датирована 2004 годом. Поэтому, как мы считаем, дата появления этого перечня остаётся неточной. Но важен сам факт — автором документа, получившего в оригинале название «10 Immutable Laws of Security», стала Microsoft (точнее, её центр реагирования — Microsoft Security Response Center).
Вспомним, с чем связано то время. Публикация этих «10 заповедей» близка по времени к запуску Windows 2000 (1999 г.). Microsoft позиционировала эту операционную систему как наиболее защищённую на тот момент. В частности, существенным улучшением в ней стала шифрованная файловая система EFS. Функции безопасности, такие как защита системных файлов, добавлялись и в Windows Millennium Edition, которая вышла в третьем квартале 2000 года. Уделяя внимание борьбе с угрозами, Microsoft задумывалась, вероятно, и об основах того, что сегодня могли бы назвать повышением осведомлённости пользователей (Security Awareness).
10 заповедей безопасности от Microsoft образца 2004 года
Как мы отметили выше, в оригинале использовалось слово «laws», т. е. «законы». По содержанию они больше похожи не на законы робототехники Азимова, например, а на законы физики: они описывают не столько директивы и обязанности, сколько следствия из заданных причин. По сути, Microsoft сформулировала базовые принципы, которые важно помнить всегда.
Впоследствии авторы немного уточнили формулировки, в результате чего появилась версия 2 (см. рис. 1 далее), но дух «законов» сохранился. Приведём их далее согласно второй редакции.
Закон № 1: если злоумышленник сумеет убедить вас запустить свою программу на вашем компьютере, то этот компьютер будет уже не только вашим.
Закон № 2: если злоумышленник сумеет модифицировать операционную систему на вашем компьютере, то этот компьютер будет уже совсем не вашим.
Закон № 3: если злоумышленник имеет неограниченный физический доступ к вашему компьютеру, то этот компьютер тоже уже совсем не ваш.
Закон № 4: если вы позволяете злоумышленнику запускать код (active content) на вашем веб-сайте, то этот сайт больше не является вашим.
Закон № 5: слабые пароли делают уязвимыми даже самые защищенные системы.
Рисунок 1. 10 заповедей по кибербезопасности от Microsoft, вторая редакция
Закон № 6: компьютер защищён в той мере, в какой можно доверять его администратору.
Закон № 7: защищенность зашифрованных данных определяется стойкостью ключа шифрования.
Закон № 8: если у антивируса неактуальные базы, то можно считать, что его вообще нет.
Закон № 9: полная анонимность недостижима на практике, ни в интернете, ни офлайн.
Закон № 10: технологии — не панацея.
Надо сказать, что эти законы выглядят вполне современно. Разве что антивирус играет сейчас не такую большую роль, как прежде.
Памятка по кибербезопасности 20 лет спустя
Кто помнит ИТ начала 2000-х гг., тот, наверное, согласится, что многие изменения в ИТ, которые произошли в последующий период, в начале пути были не до конца очевидны. Это коснулось и информационной безопасности.
В начале исходили из концепции, что есть определенный уровень «абсолютной безопасности», т.е. состояния, когда можно быть полностью уверенным, что система безопасна. Но реальная жизнь внесла свои коррективы. Ранее считавшиеся безопасными системы все равно были взломаны и скомпрометированы.
Через 20 лет с выпуска «10 заповедей» стало понятно, что новое время требует перемен. 25 мая 2024 года Microsoft опубликовала другой перечень, который теперь называется «10 законов киберриска».
Рисунок 2. Многообразие политик кибербезопасности
10 законов киберриска в эпоху искусственного интеллекта
Хотя количество законов осталось прежним, в Microsoft решили сместить акценты и лишний раз подчеркнуть, что кибербезопасность — это не состояние, к которому надо стремиться, а динамично развивающийся процесс. Соблюдая новые «заповеди», можно снизить риски и добиться более высокого уровня защищенности на современном ландшафте угроз.
Стоит сказать ещё раз, что старые законы вполне выдержали испытание временем, но новые лучше учитывают специфику киберрисков в наши дни, когда порог входа в киберпреступность снизился, а злоумышленники используют дипфейки и большие языковые модели.
Закон № 1. Успешна та киберзащита, которая делает атаки невыгодными.
Абсолютную безопасность не может обеспечить ни одна система защиты. Чтобы сдерживать злоумышленников, надо делать так, чтобы затраты на атаку превышали выгоду от компрометации. Поэтому старайтесь повышать трудоемкость кибератак и снижать их эффективность для самых важных активов.
Закон № 2. Нужно бежать со всех ног, чтобы только оставаться на месте.
Безопасность — это непрерывный процесс. Вы должны постоянно двигаться вперед, потому что для успешного взлома злоумышленникам будет требоваться все меньше усилий. Необходимо постоянно устанавливать обновления, менять стратегии, повышать осведомлённость об угрозах, совершенствовать инструментарий, развивать мониторинг, модели разрешений, охват платформ и прочее. Проще говоря, следите за всем, что меняется со временем.
Закон № 3. Для выполнения прикладных задач пользователи всегда готовы пренебречь безопасностью.
Собственные цели всегда важней для пользователей, чем соблюдение требований по безопасности. Если безопасность требует от них завышенных усилий, они неизбежно будут искать способы обойти её. Поэтому внедряя новые прикладные и системные решения, следует всегда убедиться, что они не только безопасны, но и удобны в использовании.
Закон № 4. Злоумышленники могут использовать любые средства для кибератаки.
Киберпреступники — прагматики и оппортунисты. Они не привередливы, им подойдёт любая точка входа: от облачных сервисов до «умных» термометров для аквариумов. Они уговаривают, давят, обманывают, используют ошибки конфигурации или небезопасно организованные процессы, а иногда просто просят сказать пароль в фишинговом письме. Для защиты нужно в первую очередь найти и исключить самые очевидные, наиболее дешёвые и самые эффективные варианты компрометации, например, позволяющие получить административный доступ.
Закон № 5. Приоритизация — залог выживания.
Устранить все возможные риски для любых элементов системы невозможно. На это не хватит ни времени, ни ресурсов. Следует всегда начинать с выявления того, что является наиболее важным для компании или наиболее привлекательным для злоумышленников, а потом постоянно перепроверять расстановку приоритетов в дальнейшем.
Рисунок 3. Современная редакция «10 заповедей» кибербезопасности от Microsoft
Закон № 6. Кибербезопасность — это командная игра.
Никто не всесилен. Если решение определенной задачи проще и дешевле получить через ИБ-вендора, облачного провайдера или поддержку сообщества, то эту задачу можно переложить на их плечи.
Закон № 7. Ваша сеть не так безопасна, как вы думаете.
Если вы полагаетесь только на пароли и автоматически доверяете любым устройствам во внутренней сети, то такая «безопасность» мало чем отличается от её отсутствия. Злоумышленники легко обходят подобные преграды. Поэтому уровень доверия должен постоянно подтверждаться и перепроверяться для каждого устройства, пользователя и приложения. Здесь вам поможет принцип «нулевого доверия» (Zero Trust).
Закон № 8. Изоляция не делает сеть безопасной.
Хотя полная изоляция сети (т. н. «воздушный зазор») в принципе способна обеспечить надёжную защиту, на практике примеры успешной её реализации встречаются крайне редко. Причина состоит в том, что буквально каждый узел должен быть надежно изолирован от внешних угроз. Нужно принимать меры для снижения риска возможной компрометации при подключении USB-носителей (которое может требоваться для установки исправлений встроенного ПО), при создании связей между внешними и внутренними устройствами (например, при подключении вендорских ноутбуков к производственной линии), а также предусмотреть защиту от внутренних угроз со стороны инсайдеров, которые могут обойти все установленные средства технического контроля.
Закон № 9. Невозможно гарантировать защиту данных только за счет шифрования.
Шифрование позволяет защищать сетевые пакеты, файлы или хранилища от несанкционированного доступа, но данные, как и 20 лет назад, защищены ровно настолько, насколько защищен их ключ дешифрования (криптостоек ли он, трудно ли его украсть или скопировать) и насколько безопасны другие авторизованные средства доступа.
Закон № 10. Проблемы, порождаемые людьми и логикой рабочих процессов, невозможно решить только техническими методами.
Хотя машинное обучение, искусственный интеллект и другие технологии создают колоссальные возможности для повышения защищенности (при правильном их применении), проблемы кибербезопасности, связанные с людьми никогда не будут решены только за счет технологий.
Рисунок 4. Современные риски для кибербезопасности
Выводы
Более 20 лет назад в Microsoft осознали, что сообществу пользователей необходимы собственные правила, следуя которым, они смогут сохранять безопасность на высоком уровне. Поскольку компьютерные технологии активно развивались в последующие годы, в 2024 году появилась новая версия «10 заповедей киберзащиты».
Процесс их формирования явно не завершен. Новые технологии, связанные с ИИ и развитием аппаратных приложений, создают новые риски. Ими будут пользоваться злоумышленники. Когда появится новая версия «скрижалей» — в 2050 году или раньше? А может она появится уже в 2028–2030 году, если применить закон Мура?
