Рубрикатор |
Статьи | ИКС № 09 2011 |
Наталья БАТАЛОВА  | 13 сентября 2011 |
Технологические сети операторов. Посторонним вход воспрещен или Добро пожаловать?
Операторы связи предлагают сегодня своим абонентам новые услуги, в том числе в области ИБ. Между тем их собственные технологические сети могут оказаться слабым звеном с точки зрения безопасности, считает Наталья БАТАЛОВА, руководитель направления по работе с телекоммуникационными компаниями Центра информационной безопасности компании «Инфосистемы Джет».
– Технологические сети операторов строились, эксплуатировались и развивались десятилетиями. Почему сейчас их безопасность оказалась под сомнением?
– Корпоративные сети и ИТ-системы операторов в основном уже «обнесены тройным забором», сейчас здесь скорее стоят задачи оптимизации и управления ИБ. Что же касается технологических сетей, на которых, собственно, и оказываются услуги связи, то ранее они были довольно закрытыми, поскольку в них применялись специализированные системы и протоколы, они были разделены и защищены от типичных угроз IP-сетей. С переходом на стандартные платформы и протоколы, с объединением сетей, их взаимодействием с Интернетом угрозы, характерные для IP-сетей, перекочевывают в технологические сети. Теперь при наличии определенных условий – уязвимостей элементов продуктивной сети – злоумышленник может добраться сначала до периметровых устройств, а затем до внутренних ресурсов и транспортных узлов оператора. Следует отметить и появление понятия «технический фрод» – это мошенничество, основанное на уязвимостях компонентов технологических сетей: манипуляции с системами оператора, несанкционированный доступ к абонентскому оборудованию и услугам (взломы call-центров, PBX и IP-PBX) и др.
– Это гипотетические угрозы, или имеют место реальные инциденты на сетях операторов?
– Аудиты на продуктивных сетях операторов во многих случаях показывают, что для таких инцидентов существуют довольно благоприятные условия. Вполне реальны (а иногда, к сожалению, воплощаются в жизнь) угрозы проникновения во внутреннюю сеть оператора со стороны абонентов (взломы точек Wi-Fi, перехват парольной информации и т.д.), получения доступа к оборудованию технологических сетей, нарушения доступности сетевой инфраструктуры и прекращения предоставления услуг физическим лицам и корпоративным клиентам, атак на критичные приложения, вмешательства в передачу информации абонентами (перехват конфиденциальной информации), получения доступа к учетным записям абонентов (манипуляции со счетами, блокирование доступа к услугам) и т.д. Риски и потери оператора сложно переоценить: ущерб репутации, отток абонентов, санкции со стороны регулирующих органов и, разумеется, финансовые потери. Последние, в соответствии с расчетами нашей компании, могут исчисляться десятками и сотнями тысяч долларов в час в зависимости от вида услуги: это недополученная выручка от оказания услуги, авральная работа call-центров по обработке претензий (до нескольких десятков тысяч звонков от абонентов в час), расходы на поиск причин и восстановление услуги, в том числе оплата работы сервисных и аварийных служб. По нашей информации случались сбои, длившиеся не один час. Потери от технологического фрода исчисляются близкими величинами.
Согласитесь, при таком масштабе возможных потерь разумно заняться их предотвращением. Все понимают, что технологические сети – опора бизнеса операторов связи, что доходы операторов напрямую зависят от работоспособности и соответствия рыночным потребностям магистральных сетей, сетей мобильной и фиксированной связи. Для обеспечения их безопасности и защиты от мошенничества необходим системный подход, но реально проблемы пока решаются фрагментарно, по мере возникновения инцидентов безопасности и фактов мошенничества.
– И всему виной переход на IP?
– IP – это чисто техническая предпосылка, притом не единственная. В действительности причин уязвимостей сетей гораздо больше.
Технологические сети огромны по своему масштабу, разнообразию и количеству единиц оборудования (десятки и сотни тысяч), это очень сложный объект (а точнее, множество объектов) защиты как с технической, так и с организационной точки зрения.
Большинство крупных компаний-операторов, оказывающих сегодня разнообразные услуги мобильной и фиксированной связи, создавались путем слияний и поглощений более мелких. При объединении с сетями приобретенных компаний, зачастую имеющих более низкий уровень безопасности и защиты от мошенничества, угрозы перекочевывают в объединенную сеть, а проблемы с безопасностью одной сети влияют на работоспособность всей компании.
Гонка на опережение, в которой главное – поскорее запустить и анонсировать, скажем, новую услугу, вынуждает оставлять вопросы безопасности продуктивных сетей на втором плане. Быстрое развитие сетей, внедрение новых технологий, еще не исследованных с точки зрения безопасности, – головная боль для «безопасников». Ни компетенций, ни штата не хватает.
Дизайном и строительством сетей, поддержкой оборудования и управлением им (в том числе удаленно) занимаются множество подрядчиков, в телекомах внедряется практика передачи оборудования и целых сетей на аутсорсинг. И всё это создает дополнительные проблемы: нет гарантий безопасности и отсутствия «дыр», оставленных подрядчиками для своего удобства. Усугубляет ситуацию то, что вопросы строительства и обслуживания технологических сетей в регионах в ряде случаев технически слабо контролируются из центра.
Наконец, подразделения развития и эксплуатации технологических сетей и безопасности в большинстве случаев отделены друг от друга и не всегда находят общий язык.
В итоге в сетях бывает намешано всё – критичное и некритичное оборудование разного назначения, основное и вспомогательное; много не инвентаризированных, «забытых» устройств, физическое местонахождение и владельцы которых неизвестны; на критичном оборудовании работает устаревшее уязвимое ПО, используются «слабые» настройки либо настройки по умолчанию; в сетях работают устройства с незащищенными интерфейсами управления, открытыми портами; для администрирования оборудования применяются небезопасные способы и т.д.
Из-за отсутствия (в ряде случаев) единой системы инвентаризации возникают сложности со сбором информации о сетях, устройствах, конфигурациях, владельцах оборудования и др. Поэтому проблемы порой остаются без внимания годами, пока они не обнаружатся в процессе аудита или, что хуже, – не будут использованы злоумышленниками.
Очевидно, что проблема назрела, и сейчас операторы движутся в направлении безопасности своих продуктивных сетей.
– Какие задачи нужно решить для улучшения ситуации?
– В идеале требуется решить ряд задач, касающихся не только безопасности: это инвентаризация (поскольку без актуальной информации о структуре, составе, расположении элементов сетей подступаться к вопросам безопасности нереально); анализ дизайна сетей с точки зрения безопасности и оптимизации; оценка текущего уровня защищенности элементов данных сетей; контроль настроек оборудования с точки зрения безопасности и мошенничества; сбор, анализ и корреляция событий на критичном оборудовании, в том числе корректная отработка инцидентов безопасности в системах тикетинга; обеспечение правильно организованного, безопасного управления и администрирования, подключения абонентов и др. И это не только технические задачи – нужны также стандарты и регламенты по обеспечению безопасности технологических сетей. В их разработке и внедрении в жизнь, как уже понятно, должны участвовать не только подразделения ИБ, но и подразделения, ответственные за эксплуатацию и развитие технологических сетей.
Для слаженной и эффективной работы над решением такого огромного пласта задач необходимо, чтобы руководство телеком-компаний осознало существующие угрозы безопасности технологических сетей и, как следствие, угрозу бизнесу.
– Может ли оператор справиться с этими задачами самостоятельно, или потребуется привлекать экспертов?
– Как уже говорилось, огромный масштаб сетей, разнообразие и постоянное развитие технологий, обилие оборудования разных производителей означает, что службам безопасности просто нереально все это охватить. Полагаю, что операторам необходимо участие приглашенных экспертов по ИБ в проектах по построению/модернизации/развитию технологических сетей и их сегментов, систем мониторинга, управления, тикетинга, в работе над созданием системы контроля безопасности технологических сетей. Ценность системных интеграторов – наличие компетенций в нескольких областях, в данном случае – знание специфики технологических сетей операторов (применяемых технологий, протоколов, оборудования и ПО) с точки зрения безопасности, а значит, понимание того, где могут возникнуть проблемы, какие технологии, протоколы, типы устройств уязвимы. Особенная ценность интегратора в решении рассматриваемой проблемы – это способность наладить совместную работу служб ИБ и подразделений, ответственных за эксплуатацию и развитие технологических сетей, умение говорить и с теми и с другими на одном языке.