Сьогодні чогось згадалося, як я кілька років тому майже одночасно спілкувався з двома джентльменами на тему неминучості настання інциденту, тобто факту компрометації інформаційних систем. Контексти були різні: в одному випадку ми обговорювали принципи побудови систем та процесів виявлення та реагування на інциденти (Security Operations Center, SOC), в іншому – доцільність проведення тесту на проникнення по соціальному каналу. Але реакція була майже однакова та досить типова: як це інцидент настане? що значить неминуче? та у нас тут і моніторинг, і реагування, і гайки скрізь закручені.
Пройшов час, і обидва ці джентльмени, точніше інфраструктури, безпеку яких вони забезпечували, стали цілями досить типових атак з використанням все тієї ж соціальної інженерії. Інциденти були досить потужні, але залишмо хоч трохи інтриги. Скажу лише, що це вочевидь вплинуло напрямок їхньої подальшої кар’єри.
До чого це я? Ні, я не про те, що коли ваші аргументи не діють, варто трохи почекати. Хоча інколи це непогана стратегія. Я просто хочу вам повторити те, що казав їм.
Вас зламають. Якщо у вас є що красти та якщо немає. Якщо у вас є Політика безпеки та якщо немає. Якщо у вас є сертифікат PCI DSS або ISO27000 та якщо є обидва. Якщо у вас три антивіруси або нуль. Якщо ви не проводите кібернавчання для персоналу та якщо ви їх проводите. Якщо ви робите пентести в повному обсязі та якщо ви навіть не скануєте периметр nmap-ом зі скриптами. Вас зламають: хтось, колись, з відомих або невідомих вам причин це зробить, тому що це можна зробити. Я знаю як — і повірте, це не вища математика (її я теж знаю). А ще, звичайно ж, я на власній шкурі знаю як це, коли вас зламують.
Тому кажу вам безплатно те, що їм сказав за гроші: інцидент неминучий. Є лише дві речі, на які ви можете вплинути. Це те, наскільки легко вас буде зламати, та чи будете ви та ваші колеги знати, що робити коли це станеться.
Бережіться.