Код кибербезопасности ЦОД: подходы, решения, практика. Блок 2. Риски и угрозы, меры предотвращения

Вчера в 22:08

Стратегическая сессия

Центры обработки данных входят в контур объектов критической информационной инфраструктуры (КИИ), однако их защита до сих пор страдает от системного разрыва между подходами к физической и кибербезопасности. Редакция журнала RUБЕЖ провела заочную стратегическую сессию с ведущими отраслевыми экспертами в сфере методов и средств технической защиты дата-центров. «Хранители секретов» раскрыли подходы к проектированию систем безопасности, формированию карты угроз и назвали некоторые действенные меры предотвращения инцидентов в ЦОД.

Участники дискуссии: 

• Дмитрий Кузнецов, руководитель департамента системной интеграции Уральского центра систем безопасности (УЦСБ)

• Константин Горбунов, ведущий эксперт по сетевым угрозам компании «Код Безопасности»

• Игорь Каменский, руководитель российского офиса компании ITeaQ

• Антон Паламарчук, основатель агентства ИБ-консалтинга Expice Security

• Дмитрий Малоедов, старший инженер по информационной безопасности компании «Инфосистемы Джет»

• Дмитрий Казмирчук, эксперт по реагированию на инциденты компании «Инфосистемы Джет»

• Никита Бережанский, руководитель направления разработки аппаратного обеспечения компании «Айсорс»

• Вячеслав Селихов, ведущий пресейл-инженер Cloud Networks

БЛОК 2. РИСКИ И УГРОЗЫ, МЕРЫ ПРЕДОТВРАЩЕНИЯ

Программируемые контроллеры для инженерных систем: «серая зона» безопасности

Дмитрий Малоедов («Инфосистемы Джет»): Инженерная инфраструктура остается одной из наиболее проблемных зон в контуре информационной безопасности, особенно в контексте управления уязвимостями. Находясь на стыке ИТ и операционных технологий (ОТ), она аккумулирует все негативные особенности обеих сфер. Первая и главная проблема — длительный жизненный цикл оборудования. С эксплуатационной точки зрения нет смысла менять исправно работающий контроллер, который служит уже 10 лет и прослужит еще столько же. Однако с позиции ИБ старое оборудование накапливает за десятилетия уязвимости, протоколы связи устаревают, а средства защиты информации (СЗИ) перестают его поддерживать. Ситуация усугубляется зависимостью от вендоров, отсутствием обновлений безопасности и критическими рисками: взлом старого контроллера ведет не просто к утечке данных, а к остановке производства или, в худшем случае, к аварии с угрозой жизни персонала.

Процесс выявления уязвимостей также осложнен: агрессивное сетевое сканирование вызывает ложные срабатывания и рискует нарушить стабильность работы оборудования из-за некорректной обработки команд. Поэтому необходимо использовать безопасные профили сканирования, проводить работы исключительно в технологические окна и активно применять пассивный мониторинг трафика для инвентаризации активов и фиксации аномалий без вмешательства в процессы.

Значительная часть инцидентов связана не с отсутствием патчей, а с ошибками конфигурации и архитектурными недочетами. В таких условиях помогают компенсирующие меры: строгая сегментация сетей, изоляция контроллеров, межсетевые экраны с поддержкой промышленных протоколов и контроль доступа.

Формирование белых списков, ведение реестра принятых рисков и исключений полностью соответствует современным требованиям регулятора к управлению рисками на значимых объектах КИИ (ЗОКИИ). В гетерогенной среде, где обновления недоступны, управление уязвимостями должно строиться на риск-ориентированном подходе с акцентом на снижение вероятности эксплуатации. Инвентаризация «теневых» активов, интеграция сканеров уязвимостей с SIEM и NTA-системами, а также обязательный план замены для каждого неисправляемого актива формируют эшелонированную защиту.

Цель — не устранить все уязвимости, а создать условия, при которых их эксплуатация станет технически невозможной или экономически нецелесообразной для атакующего.

DDoS-атаки нового поколения и привилегированный доступ: эволюция угроз

Дмитрий Кузнецов (УЦСБ): Одна из наиболее критичных уязвимостей современных ЦОД — служебные порты управления серверами и инженерными системами, обеспечивающие «внеполосный» доступ (IPMI, iDRAC, KVM). Через них инженеры и подрядчики получают полный контроль над оборудованием в обход операционных систем. При отсутствии контроля злоумышленник или недобросовестный сотрудник способен дистанционно отключить целые серверные стойки, не оставив следов в основных журналах. Рекомендация однозначна: все подключения к таким портам должны проходить через шлюз управления привилегированным доступом (PAM), который фиксирует каждое действие и требует обязательной двухфакторной аутентификации. В аварийных ситуациях допустим упрощенный вход, но строго с записью сессии.

Для инженерных систем целесообразно внедрять поведенческий контроль: например, попытка изменить порог температуры в три часа ночи должна автоматически инициировать запрос подтверждения у руководителя смены. Бизнес-выгода от такого подхода заключается в полном исключении скрытого доступа, сокращении времени расследования инцидентов с недель до минут и сохранении возможности оперативных действий при авариях. Без PAM взлом служебного порта позволяет выключить серверы одной командой, и стандартные системы защиты этого не заметят, а без записи сессий установить виновного практически невозможно.

Константин Горбунов («Код Безопасности»): Современные DDoS-атаки действительно сместились на уровень приложений (L7), имитируя легитимное поведение и фокусируясь на «тяжелых» запросах, требующих максимальной ресурсоемкости сервера. Атакующие целенаправленно используют механизмы поиска, фильтрации, некорректную пагинацию или отсутствие постраничного чтения данных, чтобы истощить вычислительные мощности. Традиционной фильтрации на периметре уже недостаточно.

Защита должна выстраиваться многоуровнево: фильтрация по GeoIP, балансировка нагрузки, веб-брандмауэры (WAF), поведенческий анализ, кэширование и, что критически важно, оптимизация самого приложения. Входящие запросы необходимо не только фильтровать, но и снижать «стоимость» их обработки за счет асинхронности, очередей задач, жестких лимитов на ресурсоемкие операции и разделения контуров для API и пользовательского трафика.

Другая зона риска — привилегированный доступ инженеров и подрядчиков к консолям, KVM, IPMI или iDRAC. Физический доступ к стойке фактически дает возможность обхода большинства прикладных мер защиты. Для минимизации рисков требуется внедрение PAM-систем с фиксацией сеансов, выдача временных учетных записей под конкретные задачи и обязательная настройка многофакторной аутентификации. Эффективность этих мер напрямую зависит от дисциплины процессов: регулярной инвентаризации учетных записей, полного отказа от общих аккаунтов и настройки строгих парольных политик.

Страхование ЦОД как мера снижения рисков: чем должен быть оснащен «идеальный объект»?

Дмитрий Кузнецов (УЦСБ): Страховые компании все активнее включают параметры кибербезопасности в расчет тарифных коэффициентов. Идеальный для страховщика ЦОД — это объект, где затраты на защиту соразмерны потенциальным потерям, а меры безопасности не только внедрены, но и верифицированы. Ключевые требования сегодня включают сегментацию сети, контроль привилегированных доступов с обязательной записью сессий, системы обнаружения вторжений, двухфакторную физическую аутентификацию и регулярное проведение киберучений.

Выполнение этих условий позволяет среднему ЦОД получить скидку на страховой полис в несколько миллионов рублей ежегодно и гарантирует полноту выплат при наступлении страхового случая. Экономическое обоснование прозрачно: рядовой инцидент в ЦОД обходится бизнесу в сумму от 0,5 до 1,5 млн долларов, минута простоя крупного дата-центра стоит 5–17 тыс. долларов, а для финансового сектора или e-commerce этот показатель достигает 1 млн долларов. Пожар может привести к ущербу в 5 млн долларов, затопление — в 2 млн. При этом стоимость систем физической защиты (СКУД, видеонаблюдение) составляет всего 10–30% от стоимости размещенного оборудования, а противопожарных систем — 5–15% от инженерной инфраструктуры.

Экономия на безопасности при таких объемах потенциальных убытков экономически нецелесообразна. Заложить требования страховщиков и пожарные нормы в техническое задание на этапе проектирования значительно дешевле, чем дооснащать работающий ЦОД или покрывать убытки из операционного бюджета.

Продолжение: Блок 3 читайте на портале RUБЕЖ.