Журнал "Information Security/ Информационная безопасность" #5, 2025

менных решений (МДР), задачей которых является обеспечение контроля за пере- даваемыми потоками данных, в том числе на основании выводов о безопас- ности данных от профильных СЗИ, таких как антивирус, песочница, система пред- отвращения утечек и др. Использование двух профильных СЗИ обусловлено их наличием в двух раз- личных сетевых сегментах: корпоратив- ном и сегменте хранилища черного дня. Такой подход повышает уровень защи- щенности за счет невозможности изме- нить конфигурацию СЗИ, расположен- ного за диодом данных. Злоумышлен- нику потребуется скомпрометировать оба сетевых сегмента, что существенно усложнит атаку или сделает ее невоз- можной, и даст дополнительное время службе информационной безопасности на ее обнаружение. В условиях получе- ния комплексного решения с однона- правленным шлюзом такая система обладает высочайшим уровнем стойко- сти к внешним атакам. Еще одной из возможных ошибок организации процесса резервного копи- рования, связанной с правилом "3", является отсутствие контроля за целост- ностью хранящихся резервных копий. Из-за различных аппаратных и систем- ных ошибок файл резервной копии может быть поврежден, что не позволит провести процедуру восстановления. Для обеспечения контроля могут исполь- зоваться файлы контрольных сумм, кото- рые были рассчитаны до попадания резервной копии в хранилище черного дня. Такие файлы хранятся рядом с резервными копиями и должны регу- лярно сверяться с текущими контроль- ными суммами резервных копий. В слу- чае, если возможность формирования контрольных суммв системе резервного копирования отсутствует, эту задачу может взять на себя МДР, которое фор- мирует контрольную сумму при передаче резервной копии в хранилище и поме- щает файл контрольной суммы в ту же директорию. Правило "3-2-1-0" Правило "3-2-1" учитывает только аспекты процесса резервного копиро- вания, который логически неотделим от процесса восстановления, хотя каждый из них выполняется отдельно – органи- зационно и пространственно. Поэтому острым остается вопрос организации соединений изолированных хранилищ резервных копий (как хранилища чер- ного дня, так и любых других отделяемых хранилищ) с менее доверенной или уже скомпрометированной инфраструктурой организации. В случае, если последствия атаки не были полностью нейтрализо- ваны или атака еще развивается, суще- ствует риск заражения, повреждения или уничтожения резервных копий из хранилища. Для гарантии безопасности сохраненных резервных копий нужно стремиться к минимизации соединений хранилища черного дня с менее дове- ренными сегментами, в том числе нужно минимизировать время сопряжения сег- ментов по двунаправленным каналам. Двунаправленные каналы могут быть использованы не только для восстанов- ления или контроля, но и для организа- ции атаки. Таким образом, должно быть сформулировано еще одно правило – "0", которое расширяет правило "3-2-1": хранилище черного дня не должно соеди- няться с другими сетями постоянным двунаправленным каналом. Необходимо использовать альтернативные инстру- менты, которые могут использоваться для передачи резервных копий из хра- нилища и для контроля состояния хра- нилища. В качестве возможного технического решения может выступать диод данных, направленный из хранилища резервных копий, с помощью которого можно пере- давать копии в открытую инфраструктуру организации. Наличие двух разнона- правленных диодов данных не открывает возможности непосредственного исполь- зования двунаправленных сетевых про- токолов и не расширяет поверхность атаки на хранилище. Альтернативным может стать средство временной коммутации сетей (InfoRelay), которое позволяет соединять сеть орга- низации хранилища черного дня с вре- менным и строго регламентированным каналом. Если такой вре- менный канал является двунаправленным, что может требоваться при проведении некоторых видов работ, то его использование требует применения дополнительных компенсирующих мер защиты и особой осторожности. Таким образом, "золотое и безопас- ное" правило резервного копирования должно звучать следующем образом: l "3": необходимо иметь не менее трех резервных копий данных, каждая из которых прошла проверку профильными СЗИ и контроль целостности. l "2": резервные копии должны раз- мещаться не менее чем в двух хранили- щах с разными типами физических носи- телей. l "1": хотя бы одно из хранилищ резервных копий должно являться хра- нилищем черного дня, изолированным от основной инфраструктуры диодом данных, и размещаться на удаленной площадке. l "0": хранилище черного дня не долж- но соединяться с другими сетями посто- янным двунаправленным каналом. Желательно исключить такие соедине- ния даже при восстановлении инфор- мационных систем после успешной атаки. Для реализации первых трех из выше- указанных принципов может применять- ся МДР InfoDiode 1 от АМТ-ГРУП. В его основе используется однонаправленный шлюз АПК InfoDiode PRO, который гаран- тирует отделение сетей на физическом уровне за счет гальванической и опти- ческой развязки сетевых сегментов. В МДР InfoDiode реализованы внутрен- ние политики контроля передачи данных, интеграция с антивирусными системами и песочницами, а также возможность формирования контрольных сумм для резервных копий. Для реализации чет- вертого принципа при восстановлении инфраструктуры после успешной атаки помимо однонаправленного шлюза АПК InfoDiode PRO может использоваться АПК InfoRelay от АМТ-ГРУП, позволяю- щий создавать временный строго рег- ламентированный одно- или двунаправ- ленный канал с хранилищем резервных копий. l • 61 ЗАЩИТА СЕТЕЙ www.itsec.ru Рис. 1. Восстановление инфраструктуры организации с помощью диода данных Рис. 2. Восстановление инфраструктуры организации с помощью средства временной коммутации сетей АДРЕСА И ТЕЛЕФОНЫ АМТ-ГРУП см. стр. 74 NM Реклама 1 https://infodiode.ru/