Анализ проблем инфобезопасности в Барбиленде

Не секрет, что нашумевший в кинотеатрах и на торрентах фильм «Барби» оставил много поводов для раздумий над слоями иронии, а также над политическими и идеологическими посылами, которые там присутствуют.

Но, помимо этого, Барбиленд — ещё и хороший пример того, как не надо выстраивать информационную безопасность. Под катом разберём, какие классические проблемы ИБ можно найти в фильме и что мы можем из этого вынести.

В статье Барбиленд представлен в виде большой системы, в которой есть те или иные проблемы, присущие информационной безопасности в корпоративной архитектуре. Я не претендую на охват всех аспектов безопасности и всего фильма и рассматриваю основные моменты, которые показались мне примечательными.

События описываются по порядку их появления в фильме.

Внимание! В тексте будут СПОЙЛЕРЫ. 

Проблема идентификации пользователей

В начале фильма можно заметить, что у всех персонажей (в зависимости от их половой принадлежности) есть только одно имя: либо Барби, либо Кен. Понять, к кому именно обращается тот или иной персонаж, можно только по тому, на кого он смотрит.

В фильме это не вызывало курьёзов, однако могло привести к ним. Кроме того, при ретроспекции будет сложно описывать, про кого идёт речь, и придётся использовать дополнительные характеристики: цвет волос, рост, отличительные признаки и так далее. 

В информационных системах подобная проблема может выражаться по-разному:

• в одинаковых идентификаторах (однако это маловероятно, поскольку в этом случае спорным будет процесс аутентификации, так как одному идентификатору соответствует несколько аутентификационных признаков, например паролей);

• в обезличенных/групповых учётных записях.

В самой банальной форме это выражается в случаях, когда для доступа в ту или иную систему несколько пользователей используют один и тот же идентификатор. Соответственно, при возникновении проблем выявление реального злоумышленника либо становится невозможным, либо требует дополнительных метаданных (IP-адресов, информации об операционных системах), что значительно усложняет процесс идентификации.

Также, как в мире Барби возможна ошибка из-за обращения не к той кукле, так и в мире цифровых технологий некоторые действия (например, разрыв сессии у группового пользователя) могут приводить не к тем результатам, которые требуются, так как совсем не очевидно, кто именно в данный момент пользуется учётной записью.

В современных системах для решения этой проблемы используются простые практики: запрет на использование групповых учётных записей (в том числе стандартных вроде admin), выдача индивидуальных идентификаторов каждому пользователю, выстраивание процессов создания, изменения и удаления идентификаторов. В крайнем случае может потребоваться внедрение дополнительных механизмов, которые уменьшат вероятность использования чужих учётных записей, таких как двухфакторная аутентификация и/или PKI (инфраструктура открытых ключей). 

Подробнее с процессами идентификации (и аутентификации) можно ознакомиться тут:

• Рекомендации ГОСТ Р ИСО/МЭК 58833-2020 (на русском): https://protect.gost.ru/document1.aspx?control=31&id=237136 

• Рекомендации NIST SP 800-63A (на английском): https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-63a.pdf

В рамках фильма решение данной проблемы не кажется очевидным. Разве что вводить какие-то дополнительные идентификаторы вроде упрощённых серийных номеров или, возможно, даже фамилий. 

Проблема неподготовленности к инцидентам и внештатным ситуациям.

В одной из первых сцен главная героиня утверждает, что всё будет прекрасно сегодня, завтра и всегда. Однако это высказывание опровергается буквально спустя пару моментов, когда происходит событие, к которому Барби не была готова и, соответственно, не планировала действия для нормализации ситуации.

В информационных системах подобная уверенность также может привести к нежелательным последствиям: потере большого объёма данных, утечке персональных данных, нарушению доступности процессов. Всё это может обернуться финансовыми потерями, а также юридическими проблемами (вплоть до уголовного преследования).  

Одним из фундаментальных принципов информационной безопасности является готовность к непредвиденным ситуациям и планирование своих действий на случай их возникновения (насколько это возможно). Здесь можно выделить мероприятия различного уровня:

• выстраивание процедур мониторинга и реагирования на отклонения и инциденты в системе;

• подготовка планов по восстановлению в случае инцидентов, проведение тестов по их реализации;

• внедрение программ повышения осведомлённости сотрудников в вопросах цифровой гигиены и информационной безопасности;

• изучение опыта других компаний;

• своевременное ознакомление с актуальной правовой информацией;

• освещение вопросов информационной безопасности на всех этапах жизнедеятельности компании, процессов разработки, реализации проектов и т. д.

Подробнее с подходами к выстраиванию комплексной информационной защиты (в том числе проактивными подходами) можно ознакомиться тут:

• Рекомендации ГОСТ Р ИСО/МЭК 27001-2021 (на русском): https://protect.gost.ru/document1.aspx?control=31&id=242006 

• Рекомендации NIST Cybersecurity Framework (на английском): https://www.nist.gov/cyberframework/framework 

В мире Барби в такой ситуации могла бы помочь готовность к подобного рода проблемам и отход от слепого оптимизма. Впрочем, персонажи фильма предпочитают синюю таблетку, как мы видим в одной из сцен. 

Проблема некорректно выстроенных процессов управления инцидентами

Уже в начале фильма становится ясно, что главная героиня является девиантом в мире Барби, обнаруживая некоторые человеческие качества и проблемы и нарушая тем самым устои жизни в розовом мире. Исходя из того что почти весь Барбиленд подчинён определённым правилам, можно сделать вывод, что такие отклонения являются нежелательным поведением. Подтверждение этому находится в сцене танца, когда внезапно сказанная главной героиней фраза поставила на ноги всех окружающих.

Тем не менее даже после такой реакции никто не засомневался в «кукольности» главной героини. Возможно, что и в дальнейшем никто бы не обнаружил её девиантного поведения, если бы она сама не раскрыла карты на следующий день.

Потенциально всё это могло привести к компрометации всего Барбиленда, так как девиантный субъект может обладать более опасными намерениями, чем Барби, что позже мы могли наблюдать на примере Кена. 

Основных проблем здесь три: 

• сначала никто не обнаруживал необычное поведение;

• при обнаружении его посчитали корректным;

• не последовало своевременного реагирования, а Барби пришлось самой разбираться с проблемой.

В мире информационных систем такая ситуация несёт гораздо больше рисков. Нарушитель мог бы незаметно компрометировать систему, распространиться и нанести серьёзный ущерб путём нарушения целостности, конфиденциальности или доступности данных.

Не допустить этого помогут проработанные процедуры обнаружения аномалий, процессы реагирования на них, а также анализ ложных срабатываний. Они позволят уменьшить вероятность успешной атаки и неблагоприятных исходов, вызванных другими факторами (человеческий фактор, техногенные проблемы и т. д.).

Подробнее с процессами управления инцидентами можно ознакомиться тут:

• Рекомендации ГОСТ Р 59711-2022 (на русском): https://protect.gost.ru/document1.aspx?control=31&id=246846 

• Рекомендации NIST SP 800-61r2 (на английском): https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r2.pdf 

В контексте фильма были бы полезны практики обнаружения аномалий и помощи куклам, которые позволили бы им более прозрачно и в более приемлемые сроки решать подобные проблемы.

Проблема подверженности компрометации инфраструктуры в мире мобильности и удалённой работы

Когда Барби стала разбираться со своей проблемой и вышла на Странную Барби (персонаж-изгнанник), она узнала, что между ней и девочкой в реальной жизни возникла связь, из-за чего поведение девочки повлияло на главную героиню.

Эта ситуация аналогична той, когда компрометация в одной системе, например в домашней сети, приводит к проникновению нежелательного кода в другую систему, например в организацию. Это может произойти, например, в случае получения злоумышленниками доступа к рабочей станции, подключённой по VPN к сети предприятия.

Для минимизации таких рисков следует как настраивать контроли внутри периметра организации, так и учитывать уязвимости элементов системы, которые находятся за пределами периметра, например сотрудников на удалёнке.

Важно помнить, что удалённая работа — это всегда точка входа во внутреннюю инфраструктуру из недоверенной среды, поэтому не следует предоставлять доступ к внутренним сервисам без дополнительных проверок (межсетевое экранирование, аутентификация и авторизация и т. д.) на периметре сети. Грамотно выстроенная архитектура может существенно уменьшить риски в наших реалиях работы откуда угодно.

Подробнее с защитой удалённого доступа можно ознакомиться тут:

• Рекомендации ФСТЭК от 20 марта 2020 года № 240/84/389 (на русском): https://fstec.ru/dokumenty/vse-dokumenty/informatsionnye-i-analiticheskie-materialy/informatsionnoe-soobshchenie-fstek-rossii-ot-20-marta-2020-g-n-240-84-389

• Рекомендации NIST SP 800-46r2 (на английском): https://nvlpubs.nist.gov/nistpubs/specialpublications/nist.sp.800-46r2.pdf 

Что же касается фильма, то в данном случае вряд ли возможны какие-то меры защиты, разве что готовность к подобным ситуациям и заблаговременная разработка плана действий. Например, персонажам пригодился бы тревожный чемоданчик с необходимой валютой, девайсами и рекомендациями по выживанию в жестоком реальном мире.

Проблема недостаточного контроля исходящего трафика на периметре сети предприятия

Отправляясь в реальный мир, главная героиня (как и другие Барби), пропустила спрятавшегося в машине Кена, что привело к проблемам после его возвращения в Барбиленд. 

Ситуация схожа с проблемой неконтролируемого трафика и потоков информации, выходящих за периметр предприятия. В данном случае речь идёт о контроле как сетевых пакетов, так и каналов передачи данных в принципе.

Неконтролируемые потоки данных могут приводить к проблемам по нескольким причинам (список не исчерпывающий):

• они могут говорить об утечке чувствительной информации;

• они могут быть признаком активности ботов/C&C (получения злоумышленниками постоянного доступа к заражённым ресурсам);

• они могут быть частью запросов, уходящих на потенциально опасные ресурсы.

Первая ситуация возникает при утечке данных как в единичном порядке, так и в массовом, что в итоге может привести в лучшем случае к небольшим финансовым потерям, а в худшем — к огромным штрафам, репутационным потерям, компенсациям пострадавшим от утечки данных.

Вторая ситуация опасна тем, что, с одной стороны, ресурсы организации расходуются на нелегитимную активность, а с другой — что компания может стать участником атак, попасть под юридические санкции, оказаться в чёрных списках IP-адресов и т. д.

Последний сценарий реализуется в те моменты, когда пользователи системы обращаются к ресурсам, которые либо потенциально опасны, либо не соответствуют их рабочим потребностям (социальные сети, сайты для взрослых, торрент-трекеры и т. д.). Такая активность может просто отвлекать сотрудников от работы, а может стать каналом проникновения вредоносного ПО. Кроме того, она нагружает сетевые ресурсы компании нежелательным трафиком.

В каждом случае следует решать проблему разными способами: контролировать исходящий трафик, внедрять средства проксирования, межсетевого экранирования, IDS/IPS для выявления признаков компрометации, в крайнем случае — средства глубокого контроля трафика (DPI).

Глобальным способом решения проблемы является инвентаризация и выстраивание процессов контроля трафика для понимания того, какие данные есть в системе, какие способы выхода за пределы инфраструктуры (в том числе с учётом удалённого подключения) заложены архитектурой, а какие могут появиться в обход них. Основная идея заключается в уменьшении вероятности появления нелегитимного исходящего трафика, представляющего угрозу в том или ином виде.

Для Барби же самым простым решением было бы проверить заднее сидение автомобиля и обнаружить там нежеланного попутчика. Хотя в этом случае фильм был бы не так интересен.

Проблема обнаружения вредоносного ПО

По возвращении из реального мира главная героиня обнаружила, что привычный Барбиленд изменился до неузнаваемости и доминирующей силой стали Кены с символичным логотипом в виде лошади. Этот захват власти создаёт сложности как главной героине, так и её подругам из реального мира.

В современном цифровом мире одной из больших проблем является вредоносное ПО. А одна из его самых известных форм — трояны, что перекликается с тем символом, который Кен принёс в Барбиленд. Стоит отметить, что все Барби приняли такой «подарок» и не возражали против него, что даёт ещё больше сходства с троянским конём. 

Вредоносное ПО может использовать разрешённые каналы и средства передачи информации для нелегитимной активности. Например, атаки классов RAT (троян удалённого доступа) и Reverse Shell могут инициироваться со стороны заражённого ПК и обходить блокировки доступа к инфраструктуре извне.

В корпоративных средах для недопущения этого используются различные инструменты:

• простые антивирусы, устанавливаемые на рабочие станции пользователей и серверные среды;

• более продвинутые решения, работающие на базе поведенческого анализа / обнаружения уязвимостей нулевого дня. Пример — защита от вредоносного ПО на уровне конечных устройств и/или сети. В случае Барби это могло бы помочь избавиться от проблемы ещё на границе Барбиленда.

Отдельно стоит упомянуть действия на случай возникновения инцидентов при запуске вредоносного ПО — от обнаружения заражения до сдерживания его распространения и устранения последствий. В этом могут помочь процессы детектирования и оперативного реагирования. При этом процедуры сдерживания распространения заражения подразумевают изоляцию заражённых ресурсов от остальной инфраструктуры, а дальнейшие действия включают в себя глубокое сканирование остальной сети и анализ инфраструктуры/ресурсов на предмет остаточных признаков заражения, а также переустановку образов операционных систем в случае необходимости.

Подробнее с защитой от вредоносного ПО можно ознакомиться тут:

• Рекомендации NIST SP 800-83r1 (на английском): https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-83r1.pdf 

В случае Барби одним из решений могло бы быть дальнейшее путешествие по реальному миру с Кеном и недопущение его тайного возвращения в Барбиленд. 

Другим способом избежать проблем могла бы стать предварительная работа с другими Барби с целями подготовки их к такой ситуации и обучения выявлять подобные вторжения в устои Барбиленда. 

Проблема недостаточного контроля входяшего трафика на периметре сети предприятия

Ещё одним неожиданным событием в мире Барби становится появление в нём управляющих компании Mattel, которые воспользовались тем же входом в Барбиленд, которым ранее пользовались другие персонажи для перемещения между мирами. Несмотря на то что это событие в фильме не привело ни к каким проблемам, в других обстоятельствах оно могло бы оказаться деструктивным для розового мира.

В сфере информационной безопасности недостаточный уровень безопасности на границе сети может открыть двери злоумышленникам. Проблема актуальна как для классических корпоративных сетей, так и для других сред: беспроводных сетей, домашних сетей, IoT-устройств и т. д.

Второй проблемой здесь является контроль доступа в принципе, а именно отсутствие понимания того, кто и как должен иметь легитимный доступ в систему (Барбиленд). 

Нужно помнить, что контроль периметра сети является одним из важнейших способов защиты от угроз, в том числе со стороны глобальной недоверенной сети (интернета).

Стоит придерживаться принципов ограничения сетевого доступа (межсетевого экранирования), оценки возможных точек входа в инфраструктуру и контроля входящего трафика. В ситуациях, требующего повышенного уровня безопасности, можно использовать более комплексные решения вроде IPS.

Кроме того, может быть актуальным определение правил доступа к защищаемым ресурсам, а также внедрение мер, обеспечивающих контроль доступности элементов корпоративной информационной системы, вроде описанных выше. Следует помнить про логирование доступа для дальнейшего расследования спорных ситуаций и инцидентов.

Подробнее с обеспечением безопасности входящего трафика (в разрезе межсетевого экранирования) можно ознакомиться тут:

• Рекомендации ГОСТ Р ИСО/МЭК 27033-4-2021 (на русском): https://protect.gost.ru/document.aspx?control=7&id=240711 

• Рекомендации NIST SP 800-41r1 (на английском): https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-41r1.pdf 

В Барбиленде проблема могла бы решиться как установкой соответствующих конструкций, ограничивающих въезд, так и выделением кукол для слежения за границей. Кстати, впоследствии новой администрацией было принято первое из предыдущего предложения решение, однако было ли оно реализовано после возвращения власти Барби, — большой вопрос.

Проблема подверженности атакам, приводящим к дефейсу

Одним из действий, которое совершил Кен после возвращения в Барбиленд, было изменение облика всего и вся, пускай и с молчаливого согласия обитательниц этого мира, но против его изначальных правил. Среди изменений можно выделить появление везде символики коней, смену интерьерных решений, переименование различных объектов.

В терминах кибербезопасности одним из видов атак явлется дефейс (deface). Его суть заключается в нелегитимном изменении «облика» ресурса (например, веб-сайта) с публикацией там содержимого нежелательного характера (политического, провокационного и т. д.).

Защитой от этого выступает контроль доступа к внутренним ресурсам в целом и усложнение проведения операций на запись в частности с выдачей соответствующих привилегий по принципу минимальных необходимых прав, а также выстраивание контролей, описанных выше (управление инцидентами, контроль трафика и т.д.).

Аналогично в мире Барби могли бы быть внедрены соответствующие ограничения, не позволяющие в одностороннем порядке без каких-либо стоп-факторов изменить облик мира, моментально превратив его в нечто трудноузнаваемое.

Проблема обнаружения компрометации

Если исходить из того, что после перехода Барбиленда во власть Кенов нам стоит рассматривать ситуацию с их ракурса, то первой большой проблемой является необнаружение лагеря бунтовщиков, которые впоследствии вернули себе власть, обсуждая подобные инициативы со Странной Барби. 

По сути, лагерь и его обитатели являются элементом структуры (Барбиленда), а их усилия направлены на разрушение новых устоев. 

В кибербезопасности тоже есть аналогичное явление — проблема обнаружения компрометации элементов системы (рабочих станций, серверов), которые в дальнейшем используются либо для внешней нелегитимной активности (например, ботофермы), либо для внутренней (например, сканирование сети). Вовремя обнаруживать подобные действия помогают как простые решения вроде антивирусов, так и более сложные, направленные на анализ трафика на уровне конечных устройств и/или сети.

Отдельно стоит упомянуть сложные схемы компрометации, такие как APT-атаки. Как правило, они направлены на крупные компании и состоят из нескольких шагов, например: 

• разведка и подготовка ресурсов;

• проникновение в инфраструктуру;

• эскалация привилегий;

• закрепление злоумышленника в инфраструктуре;

• перемещение злоумышленника по инфраструктуре;

• причинение ущерба.

Советую ознакомиться с матрицей MITRE ATT&CK, в котором обозначены подобные шаги: https://attack.mitre.org/

Вероятно, Кены в данной ситуации могли бы направить усилия на устранение потенциальных бунтовщиков, что позволило бы им закрепиться у власти и не допустить обратного переворота. 

Проблема подверженности атакам социальной инженерии

Когда Барби решили восстановить прежний порядок, их основным инструментом стало отвлечение Кенов и насильственное возвращение Барби их собственной воли после промывки им мозгов мужской частью населения.

Аналогичным явлением в сфере информационной безопасности являются атаки с использованием социальной инженерии, когда для достижения нелегитимных целей используются механизмы работы с человеческими слабостями: устрашение, упор на необходимость быстрого принятия решения, обещание заработка и иные способы, отвлекающие внимание от реальной опасности.

Для борьбы с этим используются превентивные технические и административно-организационные меры.

К первым относятся:

• защита от спама;

• блокировка недоверенных сайтов на уровне прокси/DNS;

• двойной контроль при совершении значимых операций.

Примеры административно-организационных мер:

• обучение цифровой грамотности и повышение осведомлённости пользователей об актуальных угрозах;

• более пристальное внимание к деталям при работе с цифровыми ресурсами;

• осторожность при взаимодействии со злоумышленниками, например по телефону.

Социальная инженерия сегодня применима не только к корпоративным средам и соответствующим угрозам, но и к атакам, направленным на пользователей цифрового мира (с целью получения данных банковских карт, логинов и паролей, побуждения к совершению переводов на счета злоумышленников и т. д.). Важно помнить, что человек является одним из основных источников и проводников угроз, поэтому не следует пренебрегать этим фактором.

Кенам же следовало бы более внимательно относиться к происходящему и пресекать подобные попытки обвести их вокруг пальца, не позволяя Барби объединиться и вернуть себе власть.

Проблема однообразия мнений

И последнее, вытекающее из первого пункта. Отсутствие идентичности и единообразие мнений привели к тому, что всё происходило очень быстро, так как не было критического мышления и персонажа с альтернативным мнением, который мог бы указать на проблемы Барбиленда). 

В контексте информационной безопасности тоже важно иметь разнообразие мнений и возможность видеть ситуацию с разных сторон: руководства, коллег, бизнеса, информационных технологий, регуляторов, аудиторов и т. д.

Иногда информация о критичной проблеме приходит с той стороны, откуда её не ждёшь. И, возможно, как раз открытость к чужому мнению сможет помочь решить те вопросы, которые могут быть не видны по причине туннельного зрения.

Что касается Барби, им следовало бы шире смотреть на ситуацию и учитывать возможные последствия своих действий, обращать внимание на то, что происходит вокруг, и, возможно, снять розовые очки и посмотреть на свой мир более реалистично, к чему они частично и пришли ближе к концу фильма.

Заключение

Несмотря на то, что перечисленные пункты — лишь примеры, выделенные на основе сюжета фильма, полезно помнить, что халатное отношение к информационной безопасности в реальной жизни может привести к катастрофическим последствиям.

 

Источник