2010: год Stuxnet, 200+ виртуальных серверов и трёх регуляторных аудитов
Итоги 2010-го: виртуализовали более 200 серверов у клиентов, прошли три аудита по 152-ФЗ, и впервые занялись защитой промышленных систем после Stuxnet.
2010 год: год Stuxnet, массового перехода на Windows 7, взрывного роста виртуализации и первых серьёзных требований регуляторов по 152-ФЗ.
Декабрь - самое время собрать, что за год вышло. Не в смысле презентации для клиентов, а для себя: где выросли, где налажали, что оказалось сложнее ожидаемого.
Виртуализация: перевалили за двести
Главная цифра года - более двухсот виртуальных серверов у клиентов под управлением. Год назад было существенно меньше. Рост не потому что мы продавали агрессивнее - просто ESXi 4.1 с августа закрыл последние реальные вопросы по HA-кластерам, Veeam показал себя надёжно в работе с дедупликацией, и у клиентов исчезли причины тянуть.
Физического железа стало меньше пропорционально, но не вышло в ноль - гипервизорные хосты, сетевое оборудование, несколько узкоспециализированных задач. Соотношение виртуальных к физическим примерно 4:1 - это уже не эксперимент, это нормальная операционная реальность.
Что стало понятно по итогам года: главная экономия от виртуализации - не в железе. Это скорость реакции. Новый тестовый стенд - час, не неделя ожидания поставки. Восстановление упавшего сервера - минуты по снапшоту, не день перебора железных причин. Перенос нагрузки на период обслуживания хоста - без окна недоступности. Это в итоге изменило темп работы больше, чем любые отдельные технические фичи.
Windows 7 при этом тоже шла параллельно - корпоративные внедрения начались с января, и к декабрю у нескольких клиентов парк полностью переведён с XP. Там где был нормальный SCCM - шло ровно, там где patch management держался на ручном обходе - хаотично.
152-ФЗ: три аудита, реальные находки
Три полноценных регуляторных аудита по 152-ФЗ за год - это для нас рекорд. Приказы ФСТЭК по моделям угроз вышли ещё в феврале, и с весны регулятор начал разворачиваться всерьёз. Июльский ГОСТ Р 54008 по ISMS добавил методологии, PCI DSS 2.0 в декабре - отдельная история для одного из клиентов.
Что реально нашли в ходе аудитов:
- Доступ к персональным данным без журналирования. Пользователи читают базы, никто не пишет, что читал и когда. Это не злой умысел, это просто не было настроено.
- Резервные копии без шифрования. Лента с бэкапом кадровой базы лежала в незащищённом шкафу. Технически - за периметром ИСПДн, фактически - дыра.
- Сегментация на бумаге, не в железе. Схема сети в документе красивая, VLAN на коммутаторах настроены иначе. Классика.
Каждый раз обнаруживали, что бумажная работа по 152-ФЗ сделана добросовестно, а техническая реализация за ней не поспела. Это не означает, что документы бесполезны - они задают правильные вопросы. Но подписанная политика без технического контроля защищает только от формальной проверки, не от реального инцидента.
Stuxnet: когда промышленные системы стали нашей заботой
Это самая неожиданная история года. В марте появились первые сообщения о Stuxnet, в июле мы разобрали атаку на PLC Siemens детально. К осени несколько клиентов с промышленными площадками начали задавать конкретные вопросы: насколько их SCADA изолирована, как подключены инженерные станции, что происходит, если кто-то принесёт флешку на производство.
В мае мы уже писали про изоляцию SCADA, но тогда это воспринималось как теоретическое упражнение. После Stuxnet разговор изменился. Ноябрьский IEC 62443 и защита АСУ ТП дал нам нормативную рамку, с которой уже можно работать.
Практически: у двух клиентов провели обследование промышленного сегмента. Картина предсказуемая - инженерные станции с Windows XP без обновлений, USB-порты открыты, сеть АСУ подключена к офисной через единственный маршрутизатор без каких-либо правил. Не потому что кто-то халтурил, а потому что до этого года никто не считал это проблемой безопасности. Считали проблемой надёжности - и решали соответственно.
Закрыть это за один год нереально. Там свои циклы обслуживания, своё ПО, свои вендоры с лицензиями. Но хотя бы начать разговор и составить реальную карту угроз - это уже результат.
Мобильность: MDM как необходимость
Параллельная тема, которая нарастала весь год, - мобильные устройства. С марта мы работаем с MDM-политиками и к концу года у нескольких клиентов это уже не опциональная надстройка, а часть стандартной схемы. iPhone и Android-устройства с корпоративной почтой без пин-кода и шифрования - это сейчас норма, которая к нормальной безопасности отношения не имеет.
Что берём в следующий год
Первое - промышленная безопасность. Надо выстроить внятную методологию и предложение. Клиенты с АСУ ТП есть, вопросы задают, а у нас пока набор наблюдений без системы.
Второе - 152-ФЗ в глубину. Три аудита показали, что бумажный этап у клиентов закрыт, технический - нет. Значит, задача следующего года - техническая реализация: логирование, шифрование, сегментация как реальные конфигурации, не как строки в политике.
Третье - Hyper-V R2 как реальная альтернатива. Live Migration без SAN - это уже серьёзно. Для клиентов с Microsoft-инфраструктурой это разговор, который имеет смысл начать.
Год получился плотным и местами тревожным. Stuxnet изменил, как мы смотрим на промышленные сети. 152-ФЗ из абстрактного закона превратился в конкретные аудиты с конкретными находками. Виртуализация выросла настолько, что уже не требует обоснования. Это хороший фундамент - если не расслабляться.
- 152-ФЗ и ФСТЭК: два месяца на модель угроз и переписку с Роскомнадзором · 11 февраля 2010
- Stuxnet под микроскопом: что червь делает с S7-315 и S7-417 · 1 июля 2010