|
Представим, что Вы руководитель какой-либо компании, которая занимается тем или иным бизнесом. В своей работе вы используете компьютеры. Либо для решения повседневных задач, заключающихся в набивке приказов и распоряжений, работе с 1С:Бухгалтерия и т.п. Т.е. компьютеры в этом случае являются вспомогательным средством, облегчающим труд ваших сотрудников. Такая роль возлагается на компьютеры, например, в автомобильных компаниях. Другой случай, когда без вычислительной техники работа вашей компании является в принципе невозможной. Например, в банке или у оператора телекоммуникационных услуг. Но в том или ином случае перед Вами, как перед человеком, принимающим решения, раньше или позже, возникнет вопрос: "Надо ли мне защищать свои ресурсы и как?" В принципе ответ на этот вопрос однозначен. Защищать надо. Вот только зачем, от кого и от чего, как и чем? В своей статье я постараюсь последовательно ответить на эти вопросы.
Зачем надо защищаться?
Ответов на этот вопрос может быть множество, в зависимости от структуры и целей Вашей компании. Для одних первой задачей является предотвращение утечки информации (маркетинговых планов, перспективных разработок и т.д.) конкурентам. Другие могут пренебречь конфиденциальностью своей информации и сосредоточить свое внимание на ее целостности. Например, для банка важно в первую очередь обеспечить неизменность обрабатываемых платежных поручений. Например, чтобы злоумышленник не смог несанкционированно дописать в платежку еще один нолик или изменить реквизиты получателя. Для третьих компаний на первое место поднимается задача обеспечения доступности и безотказной работы информационных систем компании. Например, для провайдера Interner-услуг; компании, имеющей Web-сервер, или оператора связи, первейшей задачей является именно обеспечение безотказной работы всех (или наиболее важных) узлов своей информационной системы. Расставить такого рода приоритеты можно только в результате анализа деятельности компании.
Обычно, когда речь заходит о безопасности компании, ее руководство недооценивает важность информационной безопасности. Основной упор делается на физической безопасности (пропускной режим, охрана, системы видеонаблюдения и т.д.). Однако за последние годы ситуация существенно изменилась. Для того, чтобы проникнуть в тайны компании нет необходимости перелезать через заборы и обходить периметровые датчики, вторгаться в защищенные толстыми стенами помещения, вскрывать сейфы и т.п. Достаточно проникнуть в информационную систему и перевести сотни тысяч долларов на чужие счета или вывести из строя какой-либо узел корпоративной сети. Все это приведет к огромному ущербу. Причем не только к прямому ущербу, который может выражаться в цифрах с многими нулями, но и к косвенному. Например, выведение из строя того или иного узла приводит к затратам на восстановление его работоспособности, которые заключаются в обновлении или замене программного обеспечения, зарплате обслуживающего персонала. А атака на публичный Web-сервер компании и замена его содержимого на любое другое может привести к снижению доверия к фирме и, как следствие, потере части клиентуры и снижению доходов.
От кого надо защищаться?
Попробуйте задать этот вопрос обычному человеку и в абсолютном большинстве случаев вы получите ответ: "От хакеров". Не вдаваясь в терминологию, можно сказать, что по мнению большинства наших сограждан основная опасность исходит именно от внешних злоумышленников, которые проникают в компьютерные системы банков и военных организаций, перехватывают управление спутниками и т.д. Весь этот ажиотаж вызван средствами массовой информации, которые за последние полгода выдали немало публикаций и репортажей о хакерах и их опасности. Стоит только вспомнить репортажи телекомпании НТВ о питерских хакерах, которые вторгались в американские банки и переводили миллионы долларов на подставные счета или публикации о российских "профессиналах-одиночках", которые проникали в компьютерные сети Пентагона, крали важнейшую информацию с грифом "TOP SECRET" и оставляли после себя надписи: "Здесь был Вася!"
Не спорю, такая опасность существует и нельзя ее недооценивать. Но! Она слишком уж преувеличена. Обратимся к статистике. Ее цифры неумолимы. До 70-80% всех компьютерных преступлений связаны с внутренними нарушениями, т.е. осуществляются сотрудниками компании. Нынешними или уволенными. Представьте, что вам удалось найти лазейку в системе информационной безопасности какой-либо компании. Используя эту дыру, вы проникаете в корпоративную сеть, а затем, к святая святых - к финансовым данным или перспективным разработкам. И что? Не являясь специалистом в области, в которой работает компания, разобраться без посторонней в мегабайтах и гигабайтах информации попросту невозможно. Злоумышленник, использующий уязвимости в системе защиты, будет находиться в растерянности, не зная, что из открытой перед ним информацией является ценной, а что - бесполезный хлам. Свой сотрудник - совсем другое дело. Он знает, что к чему. Он может реально оценить стоимость той или иной информации. И зачастую он обладает привилегиями, которые не являются необходимыми для него.
"Зачем моему сотруднику обкрадывать меня?" - спросите Вы. Причин может быть множество. Однако к самым распространенным можно отнести неудовлетворенность своим положением или зарплатой, затаенная обида и т.д. Можно привести массу случаев, когда сотрудник, считая, что его на работе не ценят, совершал компьютерное преступление, приводящее к многомиллионным убыткам. В широко известном случае с проникновением в американский Ситибанк не обошлось без помощи сотрудника. Однако это обычно умалчивается в публикациях или считается неважным. Другой пример - сотрудник при увольнении затаил обиду на весь свет и хочет отомстить своим обидчикам, т.е. компании или ее руководству. Если в своей работе он имел достаточно широкие права, то используя их он может очень существенно навредить и после своего ухода. Ведь обычно увольнение сотрудника сопровождается изъятием у него пропуска и все. Во всех компьютерных базах запись о нем, как правило, остается и он по-прежнему может использовать вычислительные ресурсы компании в своих целях. В "лучшем" случае особого вреда он не нанесет. Например, известен случай, когда после увольнения бывший сотрудник отдела автоматизации одной компании еще в течение года пользовался доступом в Internet, зарегистрированном на данную компанию. При увольнении этого сотрудника никто не удосужился сменить пароли к которым он имел доступ в рамках своих служебных обязанностей. На самом деле никто так и не заметил, что бывший сотрудник пользуется доступом в Internet и он мог и дальше наносить ущерб (хоть и небольшой) своей бывшей компании. Однако эта компания развалилась и больше не смогла оплачивать приходящие к ней счета за услуги Internet. Этот случай достаточно показательный, т.к. иллюстрирует очень распространенную практику увольнения в российских компаниях.
Однако самая большая беда может исходить не уволенных или обиженных обычных сотрудников (например, операционистов), а от тех, кто облечен очень большими полномочиями и имеет доступ к широкому спектру самой различной информации. Обычно это сотрудники отделов автоматизации, информатизации и телекоммуникаций, которые знают пароли ко всем системам, используемым в организации. Их квалификация, знания и опыт, используемые во вред, могут привести к очень большим проблемам. Кроме того, таких специалистов очень трудно обнаружить, поскольку они обладают достаточными знаниями о системе защиты организации, чтобы обойти используемые защитные механизмы.
Поэтому при построении системы защиты необходимо защищаться не только и не столько от внешних злоумышленников, сколько от злоумышленников внутренних.
От чего надо защищаться?
Этот вопрос - это тема отдельной статьи. Сейчас я бы хотел вкратце описать самые распространенные атаки, которые присущи абсолютному большинству компаний. Во-первых, это вирусы. По различным данным в прошлом году вирусным атакам было подвержено от 65 до 80 процентов компаний во всем мире. И эта цифра неуклонно растет. Далее следует назвать т.н. программы типа "троянский конь", которые могут быть незаметно для владельца установлены на его компьютер и также незаметно функционировать на нем. Самый распространенный вариант "троянского коня" выполняет всего лишь одну функцию - кража паролей, но есть и более "продвинутые" экземпляры, которые реализуют весь спектр функций для удаленного управления компьютером, включая просмотр содержимого экрана, перехват всех вводимых с клавиатуры клавиш, кража и изменение файлов и т.д.
Другим распространенным типом атак являются действия, направленные на выведение из строя того или иного узла сети. Эти атаки получили название "отказ в обслуживании" ("denial of service") и на сегодняшний день известно более сотни различных вариантов этих действий. Как уже отмечалось выше, выведение из строя узла сети даже на несколько часов или минут может привести к очень серьезным последствиям. Например, выведение из строя сервера платежной системы банка приведет к невозможности осуществления платежей и, как следствие, к большим прямым и косвенным финансовым потерям.
Именно эти атаки сейчас находятся у всех на слуху. Однако существуют и другие угрозы, которые могут привести к серьезным последствиям. Например, система обнаружения атак RealSecure обнаруживает более 600 различных событий, влияющих на безопасность и относящихся к атакам. Поэтому рассказать обо всех них в одной статье не представляется возможным.
Как надо защищаться?
На этот, казалось бы, простой вопрос ответить не так-то просто. С одной стороны можно поступить просто - купить рекламируемые средства защиты, установить у себя в организации и потом хвалиться перед друзьями, что вот у меня установлена современнейшая система защиты, которая также используется в Министерстве Обороны США. Если компания богата, то она может позволить себе этот путь. Однако, как истинный руководитель, Вы должны правильно расходовать имеющиеся в Вашем распоряжении средства. Во всем мире сейчас принято строить комплексную систему защиту, следуя нескольким этапам. Первый этап, - информационное обследование, - самый важный. Именно на этом этапе определяется от чего в первую очередь необходимо защищаться компании.
На этом же этапе строится так называемая модель нарушителя, которая описывает вероятный облик злоумышленника, т.е. его квалификацию, имеющиеся средства для реализации тех или иных атак, обычное время действия и т.п. Т.е. на этом этапе вы получаете ответ на два вопроса, которые задавались вначале: "Зачем и от кого надо защищаться?" На этом же этапе выявляются и анализируются возможные пути реализации угроз безопасности, оценивается вероятность и ущерб от их реализации. По результатам этого этапа вырабатываются рекомендации по устранению выявленных угроз, правильному выбору и применению средств защиты. На этом этапе может быть рекомендовано не приобретать достаточно дорогие средства защиты, а воспользоваться имеющими в распоряжении. Например, в случае использования в организации мощного маршрутизатора может быть рекомендовано воспользоваться встроенными в него защитными функциями, а не приобретать межсетевой экран.
Наряду с анализом существующей технологии должна осуществляться разработка организационно-распорядительных документов, дающих необходимую правовую базу службам безопасности и отделам защиты информации для проведения всего спектра защитных мероприятий, взаимодействия с внешними организациями, привлечения к ответственности нарушителей и т.п.
Следующим этапом построения комплексной системы информационной безопасности служит приобретение, установка и настройка рекомендованных на предыдущем этапе средств и механизмов защиты информации. К таким средствам можно отнести системы защиты информации от несанкционированного доступа, системы криптографической защиты, межсетевые экраны, средства анализа защищенности и другие. Чуть ниже рассмотрим некоторые из них.
Для правильного и эффективного применения установленных средств защиты необходим квалифицированный персонал. Однако сложившаяся в России ситуация такова, что пока таких специалистов мало. Выходом из сложившейся ситуации могут быть курсы повышения квалификации, на которых сотрудники отделов защиты информации и служб безопасности получат все необходимые практические знания для использования имеющихся средств защиты, выявления угроз безопасности и их предотвращения.
Однако на этом процесс обеспечения безопасности не кончается. С течением времени имеющиеся средства защиты устаревают, выходят новые версии систем обеспечения информационной безопасности, постоянно расширяется список найденных уязвимостей и атак, меняется технология обработки информации, изменяются программные и аппаратные средства, приходит и уходит персонал компании. И необходимо периодически пересматривать разработанные организационно-распорядительные документы, проводить обследование АС или ее подсистем, обучать новый персонал, обновлять средства защиты.
Следование описанным выше этапам построения комплексной системы обеспечения информационной безопасности поможет достичь необходимого и достаточного уровня защищенности вашей автоматизированной системы.
Чем надо защищаться?
Условно можно выделить три категории средств защиты - традиционные, все остальные и криптографические. Криптографические средства защиты вынесены в отдельную категорию, потому что эти средства являют собой совершенно особый класс защитных средств, который не может быть отнесен к какому-либо другому классу. Традиционные средства защиты строились с учетом классических моделей разграничения доступа, разработанных в 60-70 гг. В то время сети еще не получили столь широкого распространения, да и разрабатывались эти модели в военных ведомствах. К таким средствам можно отнести системы разграничения доступа и межсетевые экраны. Первые средства реализуют разграничение доступа конкретных пользователей к ресурсам конкретного компьютера или всей сети, а вторые - разграничивают доступ между двумя участками сети с различными требованиями по безопасности. Ярким примером систем разграничения доступа являются системы семейства SecretNet, разработанные Научно-инженерным предприятием "Информзащита" и на сегодняшний день являющиеся лидерами российского рынка информационной безопасности. Из межсетевых экранов можно назвать продукты компаний CheckPoint и CyberGuard - Firewall-1 и CyberGuard Firewall соответственно. В частности, межсетевой экран CheckPoint Firewall-1 по данным независимых агентств охватывает более 40% мирового рынка защитных средств этого класса. К классу межсетевых экранов можно также отнести и многие маршрутизаторы, реализующие фильтрацию данных на основе специальных правил.
Однако у этих средств есть свои особенности. Например, если вы предъявите этим системам украденные идентификатор и секретный элемент (как правило, имя пользователя и пароль), то и системы разграничения доступа и межсетевые экраны "пропустят" вас в корпоративную сеть и дадут вам доступ к тем ресурсам, к которым допущен пользователь у которого вы украли имя и пароль. А получить пароль сейчас достаточно просто.
Для этого можно использовать большой арсенал различных средств, начиная от "взломщиков", перебирающих за короткое время огромное число возможных паролей и заканчивая анализаторами протоколов, которые анализируют трафик, передаваемый по сетям и вычленяющие из него именно те фрагменты, которые характеризуют пароли.
Для устранения данных недостатков были разработаны различные механизмы, из которых широкое распространение получили анализ защищенности и обнаружение атак. Анализ защищенности заключается в поиске в вычислительной системе и ее компонентах различных уязвимостей, которые могут быть использованы злоумышленниками для реализации атак. Именно наличие этих уязвимостей приводит к возможности несанкционированного проникновения в компьютерные сети и системы. Не было бы уязвимостей, не было бы и возможности реализовать атаки. Но… Программы пишут люди, которым свойственно ошибаться, а поэтому существует необходимость в средствах поиска и устранения таких ошибок. Самым известным продуктом в области анализа защищенности является семейство SAFEsuite американской компании Internet Security Systems, которое состоит из трех систем, обнаруживающих уязвимости и ошибки в программном обеспечении - систем Internet Scanner, System Scanner и Database Scanner. По данным консалтинговой компании IDC, опубликованным в августе этого года, компания ISS захватило 48% мирового рынка средств анализа защищенности.
Обнаружение атак - это вторая новая технология, которая получила распространение в последние годы. Ее отличительная особенность обнаружение любых атак, в т.ч. исходящих и от авторизованных пользователей и пропускаемых межсетевыми экранами и средствами разграничение доступа. На этом рынке также лидирует компания ISS со своей системой обнаружения атак RealSecure и 52% мирового рынка.
В заключении необходимо сказать о криптографических средствах, которые могут предназначены для защиты критических данных от несанкционированного прочтения и модификации. Эти средства обеспечивают достаточно высокий уровень защищенности информации, однако в России существует своя специфика их использования, не позволяющая широко применять их в коммерческом секторе.
Заключение
Итак, я попытался вкратце ответить на 5 вопросов, которые возникают у руководителя любого уровня, сталкивающегося с необходимостью защиты своих ресурсов. Удалось мне это или нет - судить вам. Мне кажется, что в рамках небольшой публикации я справился с этой задачей и осветил основные задачи, которые надо решать при построении системы защиты любой организации. Было описано, какие цели ставятся при защите корпоративных ресурсов; от кого и от чего в первую очередь надо защищаться; и в заключении я попытался описать, как надо строить комплексную систему обеспечения информационной безопасности. Возможно в ближайших номерах журнала каждый из этих вопросов будет рассмотрен более подробно.
1997-98-99
НИП "Информзащита"
|
Власть
