Операционная безопасность (Operations Security, OpSec) – процесс оценки и защиты организациями общедоступных данных о себе, которые при должном их анализе грамотным противником и объединении с другими данными позволяет получить общую картину, хранимую организацией в секрете. Дисциплина, имеющая военное происхождение, в цифровой век приобретает жизненно важное значение и для правительственных и частных организаций. Любому директору по безопасности следует задуматься о том, какие меры необходимо принять для совершенствования OpSec.
Термин «операционная безопасность» впервые появился в армии США во время войны во Вьетнаме в результате действий группы Purple Dragon. Там заметили, что противники США словно читают стратегию и тактику американских войск. При этом известно было, что Северный Вьетнам и Вьетконг не обладают силами и средствами, которые позволяли бы расшифровывать передаваемые сообщения. Не имелось у них и разведки для сбора информации изнутри. Таким образом, армия США сама непреднамеренно передавала врагу жизненно важные сведения. В Purple Dragon первыми предложили определение OpSec: «Умение держать информацию о своих силах и слабостях в тайне от враждебных сил».
Со временем эта концепция, распространившаяся из армии и на другие американские министерства и частные компании, была проработана более подробно. У минэнерго, отвечающего за ядерный арсенал государства, имелось собственное определение OpSec: «Операционная безопасность включает процесс определения неклассифицированной или управляемой критически важной информации, требующей защиты в течение какого-то ограниченного или достаточно продолжительного времени… цель OpSec заключается в идентификации, управлении и защите важной неклассифицированной информации о целях, операциях или действиях, а также для организации противодействия стремлению врага мешать достижению этих целей, и выполнению операций или действий».
Провалы OpSec
Пожалуй, один из лучших способов понять, что представляет собой OpSec на практике, заключается в изучении масштабных провалов OpSec – ситуаций, позволивших получить на основе общедоступной информации общую картину, которую субъект этой информации хотел бы держать в секрете.
Начнем с событий, произошедших не так давно. В марте 2017 года, когда Джеймс Коми еще исполнял обязанности директора ФБР, автор публикаций в Gizmodo Эшли Файнберг сумела отследить его учетные записи в Instagram и Twitter, используя всего несколько бит общедоступных данных. Эта история стала классическим примером поиска ключей среди пользователей в социальных сетях. Файнберг знала, что сын Коми Брайен входил в спортивную команду колледжа Кеньон, и обнаружила видео с его участием в Instagram спортивного факультета университета. В одном из комментариев содержалась ссылка на личный Instagram Брайена. Воспользовавшись специально созданной для этого учетной записью, Файнберг отправила запрос на подписку, зная, что в ответ Instagram предоставляет учетные записи, связанные с тем аккаунтом, на который вы хотите подписаться. В данном случае речь шла о заблокированной учетной записи 'reinholdniebuhr', названной в честь теолога, которому была посвящена дипломная работа Джеймса Коми. Файнберг предположила, что это и есть аккаунт Коми. В Twitter оказалось всего несколько учетных записей с различными вариациями имени 'niebuhr', в том числе и запись @projectexile7, названная, судя по всему, в честь программы, направленной на снижение уровня насилия с применением оружия, в реализации которой в 1990-е годы Коми принимал участие. У @projectexile7 имелся всего один подписчик – блогер Бенджамин Уиттс, личный друг Коми. В октябре стало ясно, что выбранный Файнберг путь оказался верным.
Это прекрасный пример того, какие подсказки можно найти в социальных сетях – даже профессионалы в сфере безопасности не всегда понимают, какие следы оставляют за собой. В Facebook и других социальных сетях можно найти информацию, которая с военной точки зрения носит разрушительный характер. Например, несмотря на официальную позицию российских властей, в соответствии с которой повстанцы на востоке Украины действуют сами по себе, российские военные не раз размещали в Instagram фотографии с геотегами, подтверждающими их местонахождение по ту сторону границы. В похожей ситуации популярный фитнес-трекер Strava, загружающий данные в облако, разместил подробную карту маршрутов своих пользователей, проводивших беговые тренировки. А поскольку этот сервис пользуется особенной популярностью у американских солдат, изучение соответствующих карт позволило определить местоположение целого ряда секретных военных баз США.
Провалы OpSec на корпоративном уровне не наносят ущерба национальной безопасности, но могут иметь катастрофические последствия для связанных с ними компаний. Профессионалы в сфере OpSec рассказывают об обнаруженных ими проблемах в блоге Digital Guardian DataInsider. Так, Шай Бредеволд пояснил, как возникают утечки корпоративной информации: «Чрезмерно усердный сотрудник характеризует свою должность таким образом, что это позволяет узнать о пройденной им переподготовке, которая в противном случае была бы скрыта от глаз широкой публики. В женском форуме жены рассказывают о том, какую нагрузку испытывают их мужья в связи с готовящимся в следующем месяце выпуском нового концептуального продукта». Еще одним потенциальным указателем направления могут стать пароли: в условиях, когда бреши в системе безопасности веб-сайтов носят повсеместный характер, многие сочетания имен и паролей пользователей оказываются в общем доступе, чем с удовольствием пользуются хакеры, сравнивающие эти идентификационные данные с данными сотрудников компаний и пытающиеся задействовать полученные пароли в своих интересах.
Процедура OpSec
Американские военные рекомендуют пятиэтапную процедуру, с помощью которой организации могут оценить свои данные и инфраструктуру и выработать план их защиты. В блоге SecurityTrails эта процедура описывается подробно, мы же хотим привести ее краткое резюме.
1. Оцените критически важную для OpSec информацию. Для начала нужно определить, какие данные способны нанести вред вашей организации в случае их попадания в руки противника. Круг этих данных может варьироваться от клиентской информации и финансовых записей до интеллектуальной собственности.
2. Определите типы угроз OpSec. Следующий вопрос, который нужно задать себе: кто является вашим противником? Их круг также может быть широк, начиная от преступных хакеров и заканчивая конкурентами в бизнесе. Учтите, что разных противников могут интересовать разные данные.
3. Проанализируйте уязвимости OpSec. Этот этап должен занимать центральное место в обеспечении безопасности любой организации: проводите полный аудит системы безопасности для выявления слабых мест в вашей инфраструктуре.
4. Оцените риски OpSec. На этом шаге определяются уровни угроз путем анализа влияния уязвимостей, выявленных на третьем этапе, на критически важные данные, полученные на первом этапе, с учетом круга противников, очерченного на втором этапе. Нужно понимать, какой ущерб может нанести использование внешних уязвимостей и насколько вероятна такая атака.
5. Составьте план OpSec. Располагая всей этой информацией, разработайте план, который позволит блокировать имеющиеся уязвимости и сохранить свои данные в безопасности.
Меры для укрепления операционной безопасности
Все вышесказанное звучит несколько абстрактно. А какие конкретные меры можно принять для реализации собственного плана OpSec? HackerCombat рекомендует придерживаться следующих рекомендаций.
— Внедряйте процедуры управления изменениями.
— Ограничивайте доступ к сетевым устройствам по принципу того, что «нужно знать».
— Предоставляйте сотрудникам минимально необходимые права доступа и придерживайтесь правила наименьших привилегий.
— Автоматизируйте операции для устранения слабых мест, обусловленных человеческим фактором.
— Планируйте ответные меры, которые необходимо принимать при возникновении инцидентов, и процедуры восстановления.
В материалах SecurityTrails описываются области, на которые должно быть ориентировано планирование OpSec. Естественно, в первую очередь вам хотелось бы сосредоточиться на важных персональных идентификационных данных, к которым относятся имена, IP-адреса, языки, электронная почта и т.д. Но нельзя забывать и о взаимодействии с людьми – в частности, с вашими собственными коллегами, для которых менталитет OpSec должен стать их второй натурой. Необходимо обучить их ряду приемов, связанных с шифрованием данных и устройств, мониторингом передачи данных и ограничением доступа к некоторым видам данных. Они должны быть осведомлены обо всех ошибках, которые мы упоминали ранее, особенно о тех, которые обусловлены активностью в социальных сетях. Лозунг времен Второй мировой войны «длинный язык корабли топит» в полной мере применим и к вашей сегодняшней организации (распространяясь и на сообщения в Facebook).
Кто осуществляет надзор за OpSec?
И наконец последний вопрос, который, наверное, вас интересует: кто в компании должен отвечать за OpSec? Здесь ситуация постоянно меняется, и лучшим, пожалуй, кандидатом, станет тот, кто заинтересован в этом и обладает соответствующими возможностями, независимо от занимаемой должности и места в организационной иерархии.
Некоммерческая организация Operations Security Professional's Association главной своей целью считает поддержку профессионалов в сфере OpSec. В публикациях из серии «Что работает в OpSec» обобщается накопленный в этой области передовой опыт, позволяющий оценить соответствующие карьерные перспективы и должностные обязанности. Некоторые направляют на OpSec всю свою энергию, тогда как для других это лишь одна из многих областей, к которым они проявляют интерес. Вам же нужно определить, как лучше претворить в жизнь концепцию OpSec в своей организации.