Информационная безопасность. 21

Информационная безопасность (ИБ) как индустрия начиналась с  простейших программных продуктов - антивирусов, файерволов и т.д. До поры до времени восприятие ИБ на предприятиях сводилось к весьма узкому термину "IT-безопасность", который, прежде всего, обозначает безопасность информационных технологий. В современных же условиях под информационной безопасностью подразумевается существенно более глобальная область, охватывающая информацию в любом виде, причем IT-безопасность является ее неотъемлемой составной частью. На фоне активного развития телекоммуникационных технологий и все более частого преобразования информации в электронные формы хранения во главе угла IT-безопасности становится функция обеспечения защиты от сетевых атак. В последнее время в этой отрасли наметился переход от программных к аппаратным и комплексным решениям, поскольку отдельные приложения уже не справляются с существующей нагрузкой и требуемой скоростью обработки информации. Поэтому большинство производителей выпускают на рынок либо программно-аппаратные решения, либо сугубо аппаратные решения. В качестве примера можно привести инициативы корпорации Intel по продвижению аппаратных технологий Trusted Protected Module и AMT, которые нашли свое воплощение в новой платформе для корпоративных ПК под названием Intel vPro. Данные технологии обеспечивают безопасность на уровне материнских плат. По мнению экспертов, рынок программных и аппаратных решений движется к логическому слиянию: в будущем в основе средств безопасности будут лежать аппаратные решения, дополненные программными продуктами, неотделимыми друг от друга с технологической точки зрения.

Традиционно рынок ИБ развивается  с небольшим отставанием вслед  за IT. Появляются новые технологии, которые провоцируют новые угрозы, а вслед за этим рождаются новые  способы борьбы и защиты. Несмотря на то что в целом уровень развития IT в России несколько уступает Западу, в области информационной безопасности отставания нашей страны от ведущих зарубежных держав как такового нет. В России, как и на Западе, в массе своей применяются одни и те же продукты - межсетевые экраны, системы предотвращения межсетевых атак, антивирусы и т.д. Во многом это связано с тем, что до последнего момента информационная безопасность рассматривалась представителями отечественного бизнеса как сугубо техническая область, а все возникающие проблемы решались путем применения новейших технических средств. Однако на Западе исторически система управления и менеджмента развита намного сильнее, большинство компаний подходят к ИБ как к процессу, которым необходимо управлять для его увязки с бизнесом в целом.

Весной корпорация Intel инициировала в 9 ведущих европейских государствах проведение исследования, посвященного отношению бизнеса к проблемам ИБ. Опрос проводили сотрудники независимой исследовательской компании Coleman Parkes по телефону в апреле-мае 2006 года. В результате ответы на вопросы дали порядка 900 IT-менеджеров крупных компаний, насчитывающих не менее 500 сотрудников. Выборка составила по 100 представителей из Великобритании, Франции, Германии, Италии, Испании, России, Польши, Чехии и Швеции и охватила различные отрасли и регионы. 74% опрошенных считают обеспечение ИБ в масштабах предприятия одной из главных своих задач, при этом 66% из них полагают, что наибольшую угрозу для сетевой безопасности представляют сами пользователи. 77% опрошенных отметили, что весьма сложно убедить пользователей в необходимости соблюдения правил сетевой безопасности. 10% респондентов отметили, что сложность IT-среды, в которой они работают, создает определенные проблемы управления (во Франции так считают почти 20% IT-менеджеров). В качестве основных задач на ближайшее время половина опрошенных назвали интеграцию разнородных IT-систем, а также консолидацию аппаратных и программных ресурсов.

Трудности взаимопонимания

Серьезной проблемой является обоснование  эффективности ИБ на предприятии. 85% IT-менеджеров в ходе все того же опроса особенно отметили тот факт, что  они не имеют возможности рассчитать совокупную стоимость владения IT-ресурсами  и инструментами ИБ, в которые  планируется вкладывать средства (в  Великобритании число указавших на эту проблему опрошенных составило 96%). Результаты опроса также показывают, что в целом европейские компании неспособны оценить значение для бизнеса инвестиций в информационную безопасность. Ситуацию усугубляет тот факт, что менеджеры отделов IT и ИБ не могут найти общий язык с высшим руководством своих компаний. 68% опрошенных IT-руководителей указали, что самое трудное для них - это обоснование соответствия между затратами на ИБ и задачами бизнеса для боссов своих компаний. При этом 62% опрошенных стремятся доказать, что новые технологии способствуют совершенствованию управления, а 57% пока что не в состоянии убедить руководителей, не связанных напрямую с IT и ИБ, что информационные технологии могут обеспечить успех компании в целом.

Увы, современных руководителей  бизнеса действительно никогда  не учили тому, как нужно правильно  относиться к функциям IT и безопасности. Даже в таких популярных у топ-менеджеров курсах, как MBA и Executive MBA, эти области практически не затрагиваются. Возможно именно поэтому для большинства руководителей понятия IT и ИБ в первую очередь ассоциируются с компьютерами и Windows, и им абсолютно невдомек, как отдельные программные приложения или аппаратные средства могут влиять на бизнес. Увы, все непонятное обычно игнорируется или воспринимается со знаком "-". Изменить существующее положение дел можно лишь направленным на установление взаимопонимания действием снизу: начальники технических подразделений должны научиться находить общий язык с руководством компаний и доказывать ему важность функций своих отделов. В идеале на предприятии могут эффективно сосуществовать два полноценных отдела: IT и ИБ. Специалисты по безопасности должны разрабатывать политику безопасности в компаниях, доводить ее до всех сотрудников и следить за ее исполнением. А функция претворения этой политики в жизнь лежит на сотрудниках IT-отдела. В тех случаях, когда в компании не удается поддерживать два полноценных отдела или из-за небольшого штата на предприятии попросту не хватает рук для решения этих проблем, функции IT и ИБ можно отдавать на аутсорсинг. Этот прием уже активно применяется в малых и средних западных компаниях и является оправданным как с экономической точки зрения, так и с точки зрения безопасности, поскольку позволяет делегировать соответствующие полномочия профессионалам и не отвлекаться от зарабатывания денег.

Современные информационные угрозы

По данным экспертов "Лаборатории  Касперского", второй квартал 2006 года стал одним из самых спокойных  за последние годы: в этот период не наблюдалось каких-либо серьезных  эпидемий вирусов, сетевых червей и  хакерских атак. Злоумышленники сконцентрировались на разработке новых методов противодействия  современным средствам информационной безопасности и на поиске новых брешей в ее системах. Специалисты отмечают несколько типов угроз, на которые  имеет смысл обратить самое пристальное  внимание в ближайшее время.

1. Офисные системы. Несмотря  на то что страсти вокруг "дыр" в операционных системах к концу 2005 года поутихли, программное обеспечение, устанавливаемое на современные ПК, по-прежнему представляет собой одно из самых слабых мест любой защиты. В конце весны под прицел хакеров попал пакет Microsoft Office. Реализованная в нем модель работы с OLE-файлами, несмотря на документацию, до сих пор обладает большим числом критически важных областей OLE-объектов и запутанной структурой взаимодействия между ними. Еще в 2003 году это спровоцировало уязвимости в документах MS Office, с помощью которых можно было запускать произвольный код при открытии специально созданного документа. В основе новых, обнаруженных в первой половине этого года брешей лежала неправильная проверка некоторых данных в описании OLE. Современные информационные атаки и угрозы перенесли свои акценты на прикладную часть: теперь под удар все чаще попадают ERP- и CRM-системы, XML, SOAP, а также некоторые веб-сервисы и офисные пакеты. Большинство современных средств защиты вообще не работают на этом уровне: они не понимают специфику прикладной части. Технологии защиты начинали развитие с сетевого уровня, затем вышли на уровень операционной системы, а в настоящий момент разработчики пытаются вывести их на уровень приложений и баз данных. В ближайшие несколько лет акцент необходимо делать именно на прикладную часть, поскольку с технологической точки зрения и аппаратным, и программным решениям в этом направлении есть куда развиваться.

2. Ransomware. Этот класс вредоносных программ иначе называют вирусами-шантажистами, которые портят критически важные данные путем их шифрования. Впервые такие вирусы дали о себе знать в конце 2004 года, активно развивались на протяжении всего 2005 года и в этом году оказались на пике своей активности. Постепенно от примитивных алгоритмов шифрования и порчи системного реестра они перешли к методике сжатия данных в запароленные архивы и более совершенным методам криптования. Единственным по-настоящему эффективным способом защиты от ransomware являются превентивные меры: создание резервных копий всех используемых документов, баз данных и почтовых баз. В свою очередь, разработчикам антивирусного ПО необходимо усилить разработку проактивных методов, позволяющих не допускать сами факты архивирования и шифрования пользовательских данных.

3. Скриптовый полиморфизм. Термин "полиморфизм" стал применяться  по отношению к компьютерным  вирусам в далеком 1990 году и  обозначает способность отдельных  вредоносных программ постоянно  мутировать код для затруднения  их обнаружения антивирусным  ПО. Полиморфные вирусы активно развивались до начала двадцать первого века: полиморфизм прошел путь от простейшего побайтного xor-шифрования до метаморфа, использующего сложнейшие криптографические алгоритмы. Современные полиморфы подверглись модернизации с учетом современных знаний и вычислительных мощностей. Начиная с 2003 года в Интернете стали появляться пока еще немногочисленные полиморфы нового поколения. В начале 2006 года полиморфизм нашел свои воплощения в скриптовых вирусах-червях. Если для борьбы с бинарными полиморфами давно созданы многочисленные эмуляторы кода и эвристические анализаторы, то для борьбы со скриптовыми червями такой необходимости не было, поскольку ранее на языках скриптов реализовывались лишь отдельные эксплойты уязвимостей в браузерах. Современный скриптовый полиморф представляет собой обычную страничку html, призванную ослабить внимание пользователей, которые уже привыкли, что почтовые вирусы обычно "поставляются" в виде исполняемых файлов, графики или документов MS Office. При открытии такой странички происходит выполнение полиморфного кода, в результате чего в систему записывается основное тело червя. Затем генерируются его новые копии в виде Java-скриптов, которые отличаются друг от друга настолько, что в них нельзя найти ни одного общего куска кода. Это и есть результат работы полиморфного движка червя. Потом такие файлы рассылаются с зараженного компьютера по всем найденным адресам электронной почты и цикл повторяется. К сожалению, современные технологии проверки трафика на лету применительно к полиморфным вирусам в большинстве случаев оказываются бессильными.

4. Концепты. Под этим названием  разработчики антивирусов подразумевают  червей, которые используют для  размножения и распространения  бреши в работе скрипт-движков популярных веб-сервисов: бесплатных почтовых систем, блогов, онлайн-дневников и т.д. В своей работе таким программам не требуется прямое проникновение на ПК: достаточно того, чтобы их код был активирован при просмотре письма в браузере или в ходе посещения какого-либо сайта. В 2006 году активность концептов возросла: появились троянцы для мобильной платформы J2ME, первый вирус для операционной системы MacOS X. Подобная активность, в частности, объясняется тем, что усилиями правоохранительных органов разных стран были расформированы несколько крупных группировок разработчиков вредоносного ПО. Увы, их место тут же заняли новые и пока не известные умельцы, жаждущие отметиться на страницах истории компьютерных вирусов.

В завершение обзора информационных угроз стоит отметить, что на сегодняшний  день наибольшую опасность для информации по-прежнему представляет собой пресловутый  человеческий фактор. И это при  том, что даже на уровне операционной системы Windows (без установки дополнительного ПО) каналы утечки информации и доступа к ней можно серьезно ограничить и регистрировать все факты обращения к ним. К сожалению, многие этим либо не пользуются, либо пользуются неправильно.

Безопасность в  телекоммуникациях

Важной проблемой современных  систем и служб ИБ является телекоммуникационная отрасль, включающая в себя проводные  и беспроводные сети частных предприятий  и операторов связи, а также сеть Интернет. Львиная доля злодеяний  в данной области подпадает под  действие главы 13 Кодекса Российской Федерации об административных правонарушениях, которые именуются "административными  правонарушениями в области связи  и информации". Наиболее часто  такие нарушения проходят по статье 13.4, ограничивающей незаконное использование  высокочастотных радиоэлектронных средств, вносящих помехи в работу оборудования государственного назначения. Пик появления "кустарных" беспроводных сетей  пришелся на начало 2003 года, когда началось массовое лицензирование малых предприятий, стремящихся предоставлять услуги передачи данных и доступа к своим  локальным сетям и сети Интернет. Мало кто из получавших тогда лицензии связи соблюдал порядок осуществления деятельности по ней и получал специальное разрешение, а также отдельную лицензию на использование радиооборудования. Это объяснялось стремлением без особых временных и финансовых затрат решить проблему "последней мили", поскольку пройти с кабелем по некоторым районам крупных российских городов достаточно сложно и очень дорого: для негосударственной структуры или маленькой организации это практически невозможно. Для многих единственным доступным решением проблемы "последней мили" как раз и стал радиодоступ. Но увы: предоставление платных услуг посредством нелицензированного оборудования квалифицируется как незаконное предпринимательство.

Среди прочих правонарушений в области  телекоммуникаций стоит отметить так  называемый "вардрайв" - проникновение в чужую сеть посредством радиоканала, а также блокирование и модификацию чужой информации, подпадающие под действие 28 Главы Уголовного кодекса. В отношении операторов связи, предоставляющих услуги междугородной, международной телефонии, распространились случаи мошенничества, связанные с передачей голосового трафика посредством безлимитных тарифов сотовых операторов. По статистике лишь в 0,1% случаев подобные случаи бывают связаны с какими-то внешними факторами. Как правило, подобные противоправные действия совершаются так называемыми "инсайдерами", собственными сотрудниками компаний, ставшими настоящим бичом начала XXI века. В случае возникновения подобных проблем операторам необходимо искать злоумышленников в первую очередь в собственном штате.

Прогнозы развития индустрии ИБ

В ходе летней конференции по информационной безопасности, ежегодно проводимой в  городе Сочи "Академией информационных систем", Алексей Лукацкий, бизнес-консультант  по безопасности компании Cisco Systems и признанный эксперт в области ИБ, выступил с докладом, посвященным прогнозу развития данной индустрии на международном рынке в целом и в России в частности. Далее я приведу некоторые выдержки из его повествования, характеризующие основные направления, которые должны оказаться в фокусе внимания разработчиков систем ИБ в ближайшие несколько лет.

- Мобильный и виртуальный  офис. Сегодня уже все понимают, что сидя в офисе, денег не заработаешь: многим по долгу работы приходится активно перемещаться с места на место. Примером могут служить врачи, страховые агенты или торговые представители. При этом у любого мобильного сотрудника остается потребность в доступе к различным информационным ресурсам корпоративной сети. При использовании мобильных средств (телефонов, коммуникаторов, КПК и т.д.) четко очертить периметр такой корпоративной сети становится очень сложно. При этом установить на мобильное устройство полноценный межсетевой экран пока что не представляется возможным. Это направление требует детальной проработки с позиций ИБ.

- Открытые сети. Полностью закрыть свои информационные ресурсы от доступа партнеров или клиентов зачастую попросту невозможно. И в этом случае возникают серьезные проблемы безопасности: требуется четкое разграничение доступа к той или иной информации. Эта важная проблема с точки зрения ИБ требует новых технических решений.

- Аутсорсинг IT и  ИБ. Передача управления техническими функциями внешнему подрядчику активно применяется в современных моделях бизнеса. Заказчик должен четко понимать, что именно он отдает на аутсорсинг, должен иметь некие метрики оценки эффективности этого аутсорсинга, а также уметь правильно составить договор на оказание данной услуги с четким определением зоны ответственности исполнителя. В свою очередь, у аутсорсинговой компании должны быть четко проработаны все процессы и иметься соответствующий персонал и инфраструктура. Если все это есть, то аутсорсинг будет одинаково эффективно работать и для оператора связи, и для крупного производства, и даже для малых частных фирм.

- Беспроводные сети (3G, WiMAX и Wi-Fi). Существующие технические решения позволяют на уровне проводных технологий контролировать всех участников информационного обмена. При использовании же беспроводных технологий злоумышленника обнаружить гораздо сложнее, поскольку периметр сети становится неточным, модель угроз меняется, а сам он географически может находиться практически где угодно. Кроме того, в последнее время огромное распространение получили портативные устройства: флэш-карты, USB-драйвы, сотовые телефоны, КПК и т.д. Все эти продукты потенциально являются оборудованием для переноски информации, посредством которого может осуществляться ее бесконтрольная утечка. Кроме того, эти устройства являются также отличным каналом проникновения угроз. Неслучайно уже сегодня все они изымаются на входе в некоторые режимные учреждения. К сожалению, это на сегодняшний день пока что практически единственный реальный метод противодействия подобной угрозе, и специалистам в области ИБ есть над чем подумать.

- Рост интернет-доступа. В связи с тем, что широкополосный проводной доступ в Интернет стал доступен практически всем, стремительно растет количество интернет-атак. Вместо dial-up'а приходит xDSL и выделенные каналы: количество и скорость атак посредством их постоянно растет, что требует особенного внимания со стороны специалистов служб ИБ.

- Новые технологии. На сегодняшний день такие прогрессивные технологии, как RFID, веб-сервисы, IP-телефония и некоторые мобильные сервисы, разрабатываются без учета практических вопросов безопасности. Яркий пример того, к чему это может привести, - протокол IP, который также создавался в 70-х годах, и до сих пор с ним существуют серьезные проблемы по части ИБ. При разработке новых стандартов и протоколов требуется серьезным образом относиться к аспектам информационной безопасности и учитывать их во всех новых технологиях.

- СПАМ во всех его  проявлениях. Это настоящий бич последнего времени, причем в дополнение к почтовому СПАМу появился также мобильный СПАМ, бороться с которым намного сложнее, а последствия его действия - намного печальнее. Стоит ожидать пристального внимания разработчиков к данной теме и появления новых эффективных способов борьбы с данной напастью.

- Уязвимость встроенных  операционных систем в мобильных телефонах, банкоматах и автомобильных компьютерах - пока что редкие мишени для злоумышленников. Последствия от атак на эти системы в комментариях не нуждаются, и уже сегодня необходимо готовиться к тому, что в ближайшие два года число несанкционированных действий в данной области будет стремительно расти.

- Межсетевые экраны. По-прежнему это наиболее эффективные инструменты для защиты от сетевых атак. В ближайшем будущем в связи с ростом пропускной способности сети и объемов сетевого трафика стоит ожидать серьезного технологического усовершенствования данных продуктов. Вместе с межсетевыми экранами будут развиваться и другие средства пресечения сетевых атак.

- Стандарты ИБ. Стандартизация, которая приходит из IT в информационную безопасность, это правильный и необходимый процесс, который позволяет специалистам и регулирующим органам общаться на одном языке, а также определяет минимальный уровень систем безопасности компаний различных отраслей.

Список литературы:

1. Журнал "Information Security/ Информационная безопасность" #3, 2005
2. Доктрина информационной безопасности (утверждена Президентом РФ 9 сентября 2001 года).
3. Петров В.П., Петров С.В. Информационная безопасность человека и общества: учебное пособие / В.П. Петров, С.В. Петров – М. : Изд-во НЦ ЭНАС, 2007.