|
|
  |
Главная страница / Архитектура отрасли Обзор рынка информационной безопасностиВ первую очередь надо бояться «чужих среди своих». Именно свои сотрудники, знающие, где и что «плохо лежит», могут нанести непоправимый вред своему работодателю. Об этом свидетельствуют различные западные и российские компании и организации, проводившие исследования по информационной безопасности в 2005 г. По данным CSI и ФБР, изнутри атаки были зафиксированы в 56% компаний; остальные 44% просто не знали о возможных атаках со стороны своих сотрудников. И хотя цифра в 56% отличается от часто приводимого в прессе соотношения 80/20 в пользу внутренних атак, все равно серьезность этой проблемы заставляет задумываться многих руководителей. В частности, на Западе сейчас активно развиваются корпоративные программы обучения по информационной безопасности (Security Awareness Program), ориентированные на все категории сотрудников (не только из ИТ- или ИБ-департаментов). В России, к сожалению, подобные идеи возникают лишь а отдельных компаниях. Однако нельзя сбрасывать со счетов и внешние атаки. Если внутренняя угроза касается в основном кражи конфиденциальной информации, то внешние злоумышленники могут иметь более приземленные цели – взломать большое количество узлов, объединить их в виртуальную сеть (так называемый botnet) и рассылать через нее спам или организовывать направленные атаки «отказ в обслуживании». Такой «бизнес» очень активно развивается и на различных интернет-аукционах: нередко можно встретить объявления о сдаче в аренду или продаже сетей, состоящих из десятков тысяч «зомби»-машин. Опасность состоит в том, что взламываются обычно ничего собой не представляющие компьютеры, не обрабатывающие важную информацию или не участвующие в критичных бизнес-процессах. Следовательно, безопасности этих узлов внимание уделяется в самую последнюю очередь, что и приводит к тому, что взлом и «зомбирование» таких компьютеров не обнаруживается месяцами, и они выполняют свое «черное дело». В тройку нарушений-лидеров за последний год, по данным отчета института компьютерной безопасности (CSI) и ФБР, вошли: вредоносное ПО (подробнее см.: Лукацкий А. Рынок защиты от вредоносного ПО – инновации будущего // Connect! Мир связи. 2006. № 2) – около 75% компаний столкнулись с этой проблемой; нарушения со стороны собственных сотрудников – около 50% пострадали от этой угрозы; кража мобильных устройств (смартфонов, КПК и лэптопов) – около 50%. Парадокс в том, что защита от вредоносного ПО (вирусов, «червей», шпионского и рекламного ПО и т. п., занимающих первые места не только по распространенности, но и по наносимому ими ущербу) используется, по данным консалтинговой компании Ernst&Young, в 99,5% компаний (по данным CIS/ФБР – в 96% компаний, InfoWatch – 100% компаний). Таким образом, защитой пользуются все, но проблему это абсолютно не решает. Ответ достаточно прост – традиционные антивирусные средства в принципе не способны бороться с современными вредоносными программами. Этот же факт подтверждают и многочисленные исследования, проводимые в разных странах мира. Например, в исследовательской лаборатории компании Hewlett-Packard было доказано, что сигнатурная модель (а именно она превалирует в антивирусах) имеет фундаментальные слабости и не может использоваться в современных системах как основной метод обнаружения несанкционированной активности. На сцену вышел второй метод – контроль поведения и идентификация аномального поведения процессов и приложений. Этот подход позволяет зачастую обнаруживать и неизвестные вредоносные программы, для которых пока не написаны сигнатуры. Интересно попадание в тройку лидеров мобильных устройств. Обычно «наладонники», смартфоны и лэптопы защищаются в последнюю очередь (если вообще защищаются), что и привело к таким печальным результатам. По данным Gartner (Magic Quadrant for Mobile Data Protection), «к 2006 г. 90% мобильных устройств корпоративных пользователей не будут иметь сколько-нибудь серьезных средств защиты, способных противостоять среднеквалифицированному злоумышленнику». Аналогичную проблему высветил и отчет Global Information Security Survey 2005, опубликованный компанией Ernst & Young: 53% компаний считают, что необходимо обратить серьезное внимание на безопасность мобильных устройств. Большую озабоченность также вызывает низкий уровень защищенности портативных устройств хранения (USB-флэшки, iPod, Ziv и т. п.), беспроводных сетей и IP-телефонии. К сожалению, надо признать, что если с безопасностью VoIP и Wi-Fi вопрос практически решен (надо только уметь грамотно использовать имеющиеся механизмы защиты), то с портативными и мобильными устройствами ситуация кардинально иная. Серьезных средств защиты этих технологий на рынке практически не представлено, а имеющиеся далеки от совершенства. К тройке лидеров вплотную примыкают атаки «отказ в обслуживании» (Denial of Service), которые наносят все больший и больший ущерб не только операторам связи, но и обычным компаниям. Все более широкое использование web-сервисов привело к повышению числа атак на них. По данным CSI\ФБР, в прошлом году 95% компаний зафиксировали более 10 серьезных инцидентов безопасности на своих ресурсах. Производитель систем защиты конфиденциальной информации – InfoWatch – единственная из российских компаний, занимающаяся исследованиями в области внутренней ИТ-безопасности, также выделила спам как одну из основных угроз. Но я скептически отношусь к данной проблеме. На мой взгляд, проблема спама слишком раздута и во многом не стоит тех усилий, которые на нее тратятся. Согласно исследованию The Global State of Information Security 2005, проведенному журналом CIO Magazine и компанией PricewaterhouseCoopers, две трети (68%) всех проблем исходят от электронной почты. Еще 26% – от известных «дыр» в операционных системах. Примерно столько же (21%) проблем связано с некорректными правами доступа и использованием учетных записей. О чем говорят эти факты? О непонимании истинной роли информационной безопасности в бизнесе компаний. Многие воспринимают ИБ как чисто техническую задачу, решаемую путем применения дорогих и широко разрекламированных средств защиты. А ведь названные основные источники проблем устраняются грамотной настройкой имеющегося программного обеспечения. К сожалению, об этом мало кто думает, поэтому рынок «навесных» средств защиты будет процветать еще долго. Отчет PwC выявил еще одну проблему, о которой раньше почти не упоминалось, – атаки со стороны клиентов (раньше все атаки обычно делились на две категории – извне и изнутри). В 2005 г. 11% всех атак произошло со стороны заказчиков, подключенных к сетям своих поставщиков. Доступ внешних компаний к внутренним ресурсам облегчает жизнь многих компаний, получающих возможность точно контролировать складские запасы, сокращать время на выпуск новых продуктов или доставку товаров потребителю, снижать издержки и т. п. Но при этом нельзя забывать и о безопасности – забывчивость может дорого обойтись бизнесу. Примеры многих мобильных операторов, дающих доступ своим дилерам к внутренним ресурсам и теряющих большие деньги на мошенничестве со стороны своих партнеров, ярко иллюстрируют это. Почему проблемы нарастают как снежный ком? В основном из-за их недооценки. Компании по-прежнему используют традиционные, но уже морально устаревшие технологии – антивирусы и межсетевые экраны. По данным различных отчетов, уровень распространения этих типов защитных средств составляет от 80 до 100%. Конечно, они необходимы для защиты компании, но при современном развитии хакерских технологий их явно недостаточно. Системы предотвращения атак используются всего в 35% компаний (а морально устаревшие системы обнаружения атак – в 72% организаций), регулярная смена паролей выполняется только на 52% предприятий. А ведь безопасность – это не только технические средства защиты. И пока данная проблема не найдет понимания со стороны руководства компаний, ситуация в лучшую сторону не изменится. Одной из самых горячих тем в 2005 году, стала безопасность на конечных узлах (end-point security). Уже никого не удивляет, что большинство атак исходит от инсайдеров. Ущерб, наносимый ими, превосходит ущерб от вирусов и спама, если учитывать тот факт, что компании подвергшиеся атакам изнутри стараются не раскрывать свои потери. Среди внутренних угроз 2005 г. однозначно выделяется угроза хищения данных через USB и FireWire-порт. Последний случай, когда секретные ядерные разработки японской энергетической компании попали в файлово-обменную сеть из-за вируса, привнесенного на внешнем USB-диске, доказывает, что не всегда внутренние угрозы исходят от злоумышленников, даже лояльные сотрудники могут стать причиной утери информации, сами того не желая. В качестве защиты нужно использовать специальное ПО. Простое отключение «опасных» портов уже не является решением, т. к. оно делает невозможным использование необходимых и безопасных устройств, таких как мышь, сканер и т.п. В декабре 2005 г. «Лаборатория Касперского» совместно с информационным порталом SecurityLab.ru провела опрос пользователей. Было задано много вопросов, касающихся информационной безопасности, но наиболее интересны несколько фактов: 43% респондентов хранят на своих компьютерах конфиденциальную информацию (номера кредитных карточек, пароли доступа, другую финансовую информацию), около 27% – уже пользуются услугами электронных банков, еще 18% – собираются использовать эти услуги, 28% – периодически что-либо покупают в on-line-магазинах (20% – собираются воспользоваться этой возможностью). Если взглянуть на эти данные глазами злоумышленника, то получается, что уже сегодня около 35% пользователей являются потенциальными жертвами (то есть на их компьютерах есть что воровать), а в ближайшем будущем еще 25% пользователей станут интересны злоумышленникам. Таким образом, более чем у 60% пользователей ПК установленная троянская программа потенциально сможет украсть некоторую сумму. С другой стороны, про угрозу вредоносных программ говорят уже более 15 лет, и последние два года речь идет о возможности потерять из-за действий вредоносных программ не только файлы, но и деньги. Но, несмотря на это, до сих пор около 13% пользователей не установили персональный антивирус на свои ПК. При этом даже наличие антивирусной программы не несет гарантии безопасности для пользователей – каждый шестой пользователь не чувствует себя защищенным от вирусов. Обеспокоенность защитой конфиденциальной информации сегодня является определяющей в стратегии развития корпоративных систем информационной безопасности. По данным компании InfoWatch, печальную группу лидеров возглавляют такие угрозы, как кража информации и халатность сотрудников: соответственно 64 и 43% респондентов поставили их во главе шкалы опасности. Иными словами, вирусы, хакеры и другие внешние ИТ-угрозы переходят в разряд неизбежного зла, о котором все знают и уже не воспринимают как нечто из ряда вон выходящее. В противоположность этому – инсайдеры: их тоже все знают, но еще не умеют или не могут эффективно защищаться. Надежду вселяет готовность российских организаций к внедрению специализированных средств защиты: в течение 3 лет 83% планируют такие шаги, причем большинство предпочитает именно комплексные системы для контроля всех источников угрозы конфиденциальной информации. Действительно, ситуация с отношением к информационной безопасности в подавляющем большинстве организаций довольно печальна. К сожалению, руководство многих компаний не осознает возможную фатальность последствий легкомысленного отношения к данной проблеме. Необходимо помнить, что сигнатурный анализ, наряду с системами обнаружения вторжений, безнадежно устарел, а традиционные средства, такие как сетевые экраны, VPN-шлюзы, снифферы и т. п., не обеспечивают защиту от атак, инициируемых изнутри корпоративной сети. И, тем не менее, выходом из сложившейся ситуации может стать использование качественно новых устройств, которые смогли бы контролировать и идентифицировать аномальное поведение сетевого трафика. Современный антивирус является простым продуктом – его достаточно установить и только обновлять, о чем он сам регулярно напоминает. Однако известным фактом является то, что большая часть компьютеров, подключенных к сети, не защищены. И именно эта часть является основной средой обитания вредоносных программ. И в основном из-за этого вредоносный программный код является угрозой № 1 последние годы, хотя есть и другие причины. Неправильным будет считать, что современные антивирусы пользуются только сигнатурными, то есть реактивными, а значит, априори ущербными методами защиты. В арсенале современных разработчиков есть целый букет проактивных технологий: всевозможные эвристики, песочницы, защиты от переполнения буфера, и тому подобное. И хотя поведенческие блокираторы могли бы дополнить этот список, большинство антивирусных вендоров не спешат брать на вооружение этот подход, так как у него есть принципиальный недостаток – поведенческий блокиратор нужно обучать. Увы, не под силу автоматике самой определить, является ли данное действие злонамеренным. В корпоративной среде внедрение такого средства многократно усложняется. Сомнительно, что владельцы упомянутых в начале сотен тысяч незащищенных компьютеров поставят поведенческий блокиратор и смогут его толком обучить, если они не используют относительно простой традиционный антивирус. В заключение хочется отметить, что сигнатурный метод может быть только дополнен, а не заменен проактивными технологиями, так как только точное опознание «заразы» по ее сигнатуре, позволяет узнать (сверившись с вирусной энциклопедией вендора), какая от нее исходит угроза. Считаю, что основная проблема скрывается внутри компаний, как было сказано, надо опасаться «чужих среди своих». В настоящее время это главные риски, которые несут предприятия, неконтролирующие своих сотрудников. Если с внешними угрозами как-то научились бороться, то с внутренними еще и не начинали. Статистика не отражает полной картины рисков внутри компании, большинство предприятий даже не знают о взломах изнутри, или о воровстве конфиденциальной информации. Многие компании пытаются принять примитивные меры по борьбе с внутренними угрозами. Дело порой доходит до абсурда: руководство известной компании, пытаясь минимизировать риски воровства информации через USB-устройства, распорядилось их запаять. Конечно, такие меры вызваны незнанием рынка решений, которые помогают закрыть явные дыры внутри компании. Но, с другой стороны, рынок таких решений еще молод. Анализ печальной статистики данных многочисленных исследований угроз в сфере информационной безопасности неизбежно приводит к традиционно русским вопросам: «что делать?» и «кто виноват?». В России такому положению дел есть ряд причин. Темпы развития современных информационных технологий значительно опережают темпы разработки отечественной законодательной и нормативно-правовой базы в области обеспечения информационной безопасности. Применение отдельных организационных и программно-технических мер защиты не приносит ожидаемого результата, так как осуществляется без надлежащей поддержки со стороны руководства организации или компании и без единого проекта создания современной системы ИБ. В большинстве организаций и компаний обеспечение ИБ осуществляется только с точки зрения защиты информации в ИС, а другие важнейшие аспекты информационной безопасности не рассматриваются. Методология оценки эффективности и качества систем ИБ не используется. При выборе и реализации мер защиты, как правило, не применяется системный подход к управлению ИБ всей компании, основанный на методологии оценки и управления информационными рисками и т. п. Естественно, ответ на вопрос «чего и кого бояться?» кроется в анализе рисков. Это и инвентаризация существующих информационных активов, анализ уязвимостей системы, построение модели злоумышленника и, в конечном счете, принятие решения по управлению рисками. Другая серьезная проблема связана с плачевно низким уровнем безопасности большинства ИС, подключенных к глобальной сети. Среди факторов, напрямую влияющих на уровень их безопасности, стоит отметить наличие большого количества уязвимостей в системном и прикладном программном обеспечении, для которого быстрый вывод продукта на рынок зачастую имеет большее значение, чем его безопасность. Взломщиками и независимыми исследовательскими группами постоянно выявляются ошибки в таком ПО, а информация о них публикуется на специальных сайтах. Таким образом, обнаруженная уязвимость может с успехом использоваться, в том числе и криминальными элементами, в сотнях тысяч систем, на которых установлен незащищенный продукт. Но основные ошибки зачастую связаны с архитектурными решениями, настройкой отдельных подсистем, некачественной системой управления ИБ. Это объясняется тем, что многие системы изначально строились «на коленке», и сейчас встает реальная проблема серьезного аудита существующих систем и определения приоритетов в построении систем ИБ. Главная страница / Архитектура отрасли |