Компьютерная безопасность: мифы vs. реальность
Проблема защиты информации становится все более актуальной год от года. Многочисленные в последнее время скандалы с утечкой (хищениями) персональных, коммерческих и прочих важных данных заставляют специалистов пересмотреть принципы организации защиты информации. Однако среди специалистов нет единства. К тому же, эксперты компаний, специализирующихся на компьютерной безопасности, и системные администраторы на местах, как правило, по-разному подходят к одним и тем же вопросам. В результате проблемы решаются плохо, зато рождаются многочисленные мифы о компьютерной безопасности.
Главный миф последних лет, наверное, пятнадцати звучит так: "Во всем виноваты хакеры". "Благодарить" за это мы должны средства массовой информации и Голливуд — для тех и других часто мифические "хакеры" стали неиссякаемым источником захватывающих сюжетов. При этом, однако, крайне редко упоминается тот факт, что хакеры чаще всего используют некомпетентность и халатность обслуживающего персонала и конечных пользователей. Можно сказать, что хакер — "санитар информационной инфраструктуры". Причем чаще всего атакующие организацию "извне" злоумышленники настоящими хакерами не являются. Хакером стать сложно — ими становятся только хорошо подготовленные профессионалы. Но использовать хакерский инструмент порой оказывается очень просто — достаточно владеть навыками работы с компьютером на уровне квалифицированного пользователя и прочесть описание, прилагаемое к хакерскому инструменту. Известны случаи вполне успешных взломов, которые осуществлялись людьми, не имеющими никакой квалификации, и даже подростками, самостоятельно разыскавшими в Интернете хакерский инструментарий.
Однако собственно внешние атаки со стороны настоящих или псевдохакеров — это только 40% всех серьезных инцидентов в сфере информбезопасности. А 60% негативных происшествий — результат действий "изнутри" пострадавшей структуры. Специалисты не зря говорят: "Компьютерная защита — это постоянная борьба "на два фронта": с глупостью пользователей и с интеллектом хакеров". Как правило, встречаются три варианта: некомпетентность пользователей, действия инсайдеров и безалаберность системных администраторов. Многие эксперты именно некомпетентность пользователей считают главной угрозой безопасности. Персональных компьютеров на рабочих местах становится все больше, и, соответственно, опытных пользователей (в процентном отношении) — все меньше. Уже классической стала проблема так называемых "слабых" паролей. Малоопытные пользователи для лучшего запоминания выбирают легко угадываемые пароли либо используют один и тот же пароль для различных служб и сервисов. Причем проконтролировать сложность пароля невозможно, и единственным выходом часто становится принудительное назначение паролей сисадмином. Другой аспект "проблемы ламеров" — неконтролируемый доступ сотрудников в Интернет. Не секрет, что, пользуясь Сетью в личных целях и посещая всевозможные "нехорошие" сайты (к примеру, скачивая порнографию), малоопытный пользователь сам "приглашает" в систему вирусы и "троянских коней". Тут также очень многое зависит от действий сисадмина, задачи которого — составлять "черные списки" сайтов и закрывать к ним доступ, правильно настраивать файрволлы, контролировать и анализировать входящий и исходящий трафик. Теперь инсайдеры. В одном случае это могут быть служащие, которые чем-либо недовольны (например, заработной платой). В другом — люди, вполне сознательно действующие в интересах некой сторонней структуры. Первые, как правило, просто вредят из мелкой мести — например, стирают или видоизменяют важные данные, изменяют настройки программ либо операционной системы. Более компетентные могут и вирус в локальную сеть запустить. Бороться с инсайдерами этой группы практически невозможно — этот вопрос уже выходит за рамки данной статьи и относится к области классического менеджмента. Вторая группа инсайдеров представляет гораздо большую опасность. Это "благодаря" им на "черном" рынке можно найти множество различных ведомственных баз данных, это они чаще всего ответственны за неожиданное полное крушение корпоративных информационных систем. То есть "осознанные" инсайдеры могут использоваться злоумышленниками либо для кражи важных данных (например, составляющих коммерческую тайну), либо для проведения внутренних информационных диверсий. Тем более, что технико- программных средств для того и другого на рынке более чем достаточно. Ну и, наконец, последняя из "внутренних" опасностей — безалаберность системных администраторов. Перечень распространенных прегрешений сисадминов очень широк: недостаточный контроль за пользователями, некорректная настройка файрволлов и антивирусов, несвоевременное обновление операционной системы и программных средств обеспечения безопасности, неправильная настройка локальной сети и многое, многое другое. Неправильно эксплуатируемые средства защиты — хуже, чем их отсутствие. Это создает ложное чувство уверенности в безопасности, в то время как реально никакой безопасности нет. Те задачи, для которых закупалось оборудование и ПО, не выполняются просто потому, что оно либо вообще не настроено, либо настроено некомпетентно, либо настроено, но не обслуживается должным образом. Невысокий уровень компетентности штатных IT-специалистов делает неэффективной любую, даже самую совершенную, систему безопасности. Плохо, если в рабочее время сисадмин предпочитает играть в компьютерные игры либо в свое удовольствие бродить по Интернету. Но еще хуже, если он, не связанный моральными нормами, начинает читать чужую электронную почту или интересоваться коммерческими секретами собственной компании. И то, и другое — уголовные преступления.
Другой распространенный миф сводится к мнению, что "Наша организация злоумышленникам (хакерам) неинтересна". Чистое заблуждение, причем даже если в сети предприятия не хранится никакой информации, кража или порча которой могла бы нанести хоть какой-то ущерб, и бизнес организации не зависит от работоспособности компьютерного оборудования (что уже давно стало редкостью). Даже в таком случае структура представляет интерес для злоумышленников — например, как площадка для нападений на другие сети, либо слабо защищенные серверы организации могут использоваться для рассылки спама или хранения контрафактного материала. В любом случае это приводит к проблемам. Практика показывает: абсолютно любая сеть или компьютерная система представляет интерес для хакерского сообщества и может быть подвергнута взлому. Еще одно заблуждение, особенно широко распространенное среди высоких начальников, сводится к тому, что информационная безопасность — это определенный набор программно-аппаратных средств и документов. Потратив порой сотни тысяч долларов на оборудование и месяцы на разработку руководящих документов и инструкций, руководители организаций считают свою работу выполненной. IT-специалисты, в свою очередь, установив и настроив оборудование и ПО, начинают верить, что безопасность поставлена на высоком уровне. И те, и другие чувствуют себя надежно защищенными. Мало кто, к сожалению, понимает, что безопасность — это процесс, непрерывно продолжающийся во времени. В тот момент, когда производилась установка и настройка оборудования и программного обеспечения, оно действительно обеспечивало безопасность, но уже через месяц ситуация изменится. Информационной защитой нужно заниматься постоянно: анализировать угрозы и принимать меры по их устранению. Например, недостаточно просто установить антивирус — необходимо правильно его настроить и эксплуатировать. Часто антивирусное ПО устанавливается только на серверах, через которые осуществляется взаимодействие пользователей с Интернетом — например, выполняющих роль шлюзов или почтовых серверов. Но вирус может попасть в корпоративную сеть множеством других путей — скажем, с CD- или Flash-дисков пользователей. Кроме того, есть множество вирусов и различных зловредных программ, не обнаруживаемых антивирусом. Это клавиатурные шпионы, "трояны" и программы, открывающие backdoors в корпоративную сеть. Их много, и они не обнаруживаются традиционным антивирусным ПО. Так что "чистить" локальную сеть и рабочие станции нужно регулярно и часто.
Очередной миф — это то, что коммерческие системы лучше и надежней защищены, чем ПО с открытым исходным кодом, которое "разрабатывается неизвестно кем". Достоинства "коммерческого" ПО сильно преувеличены. В продуктах крупных корпораций предостаточно уязвимостей, и большинство из них старательно не афишируются разработчиками. Считается, что за коммерческий продукт производитель несет какую-то ответственность, и в случае обнаружения уязвимости достаточно обратиться в службу поддержки. Но почитайте любое лицензионное соглашение! В нем будет ясно написано что-то вроде: "Производитель не несет ответственности за негативные последствия, которые могут наступить вследствие использования данного программного продукта". Переводится это так: "Деньги мы с вас, конечно, возьмем, но все равно ни за что не отвечаем". А вот ПО с открытым кодом непрерывно анализируется множеством независимых разработчиков и пользователей, так что системному администратору, чтобы быть в курсе всех новостей и опасностей, достаточно регулярно посещать соответствующие форумы. Ну и, наконец, последняя очень распространенная ошибка — мнение, что для защиты информации лучше всего использовать средства криптошифрования. Эта точка зрения, видимо, связана с тем, что с самого начала своего развития системы информационной безопасности разрабатывались для военных ведомств и спецслужб. Разглашение такой информации могло привести к огромным потерям, в том числе и к человеческим жертвам. Поэтому конфиденциальности в первых системах безопасности уделялось особое внимание. Видимо, из-за этого начальный этап развития компьютерной безопасности тесно связан с криптошифрами. Однако в наши дни конфиденциальность информации, обеспечиваемая криптографией, не является главным требованием при проектировании защитных систем. Процедуры криптокодирования и декодирования могут замедлить передачу данных и уменьшить их доступность, так как пользователь будет слишком долго ждать свои "надежно защищенные". В современных компьютерных системах это недопустимо. Поэтому система безопасности должна в первую очередь гарантировать доступность и целостность информации, а затем уже (если необходимо) — ее конфиденциальность. Принцип современной защиты информации можно выразить так: поиск оптимального соотношения между доступностью и безопасностью. Впрочем, криптошифрование на рынке информационной безопасности свои ниши все же имеет — например, при защите финансовых (банковских) сетей и данных.
P.S.: Полностью защищенный компьютер — это тот, который стоит под замком в бронированной комнате в сейфе, не подключен ни к какой сети (даже электрической) и выключен. Такой компьютер имеет абсолютную защиту, однако использовать его нельзя. В этом примере не выполняется требование доступности информации. "Абсолютности" защиты мешает не только необходимость пользоваться защищаемыми данными, но и усложнение защищаемых систем. Использование постоянных, не развивающихся механизмов защиты опасно, и этому есть множество причин. Кроме того, нельзя забывать о развитии и совершенствовании средств нападения. Техника так быстро меняется, что трудно определить, какое новое устройство или программное обеспечение, используемое для нападения, может обмануть вашу защиту. Извечное соревнование брони и снаряда продолжается.
Денис Лавникевич
Главный миф последних лет, наверное, пятнадцати звучит так: "Во всем виноваты хакеры". "Благодарить" за это мы должны средства массовой информации и Голливуд — для тех и других часто мифические "хакеры" стали неиссякаемым источником захватывающих сюжетов. При этом, однако, крайне редко упоминается тот факт, что хакеры чаще всего используют некомпетентность и халатность обслуживающего персонала и конечных пользователей. Можно сказать, что хакер — "санитар информационной инфраструктуры". Причем чаще всего атакующие организацию "извне" злоумышленники настоящими хакерами не являются. Хакером стать сложно — ими становятся только хорошо подготовленные профессионалы. Но использовать хакерский инструмент порой оказывается очень просто — достаточно владеть навыками работы с компьютером на уровне квалифицированного пользователя и прочесть описание, прилагаемое к хакерскому инструменту. Известны случаи вполне успешных взломов, которые осуществлялись людьми, не имеющими никакой квалификации, и даже подростками, самостоятельно разыскавшими в Интернете хакерский инструментарий.
Однако собственно внешние атаки со стороны настоящих или псевдохакеров — это только 40% всех серьезных инцидентов в сфере информбезопасности. А 60% негативных происшествий — результат действий "изнутри" пострадавшей структуры. Специалисты не зря говорят: "Компьютерная защита — это постоянная борьба "на два фронта": с глупостью пользователей и с интеллектом хакеров". Как правило, встречаются три варианта: некомпетентность пользователей, действия инсайдеров и безалаберность системных администраторов. Многие эксперты именно некомпетентность пользователей считают главной угрозой безопасности. Персональных компьютеров на рабочих местах становится все больше, и, соответственно, опытных пользователей (в процентном отношении) — все меньше. Уже классической стала проблема так называемых "слабых" паролей. Малоопытные пользователи для лучшего запоминания выбирают легко угадываемые пароли либо используют один и тот же пароль для различных служб и сервисов. Причем проконтролировать сложность пароля невозможно, и единственным выходом часто становится принудительное назначение паролей сисадмином. Другой аспект "проблемы ламеров" — неконтролируемый доступ сотрудников в Интернет. Не секрет, что, пользуясь Сетью в личных целях и посещая всевозможные "нехорошие" сайты (к примеру, скачивая порнографию), малоопытный пользователь сам "приглашает" в систему вирусы и "троянских коней". Тут также очень многое зависит от действий сисадмина, задачи которого — составлять "черные списки" сайтов и закрывать к ним доступ, правильно настраивать файрволлы, контролировать и анализировать входящий и исходящий трафик. Теперь инсайдеры. В одном случае это могут быть служащие, которые чем-либо недовольны (например, заработной платой). В другом — люди, вполне сознательно действующие в интересах некой сторонней структуры. Первые, как правило, просто вредят из мелкой мести — например, стирают или видоизменяют важные данные, изменяют настройки программ либо операционной системы. Более компетентные могут и вирус в локальную сеть запустить. Бороться с инсайдерами этой группы практически невозможно — этот вопрос уже выходит за рамки данной статьи и относится к области классического менеджмента. Вторая группа инсайдеров представляет гораздо большую опасность. Это "благодаря" им на "черном" рынке можно найти множество различных ведомственных баз данных, это они чаще всего ответственны за неожиданное полное крушение корпоративных информационных систем. То есть "осознанные" инсайдеры могут использоваться злоумышленниками либо для кражи важных данных (например, составляющих коммерческую тайну), либо для проведения внутренних информационных диверсий. Тем более, что технико- программных средств для того и другого на рынке более чем достаточно. Ну и, наконец, последняя из "внутренних" опасностей — безалаберность системных администраторов. Перечень распространенных прегрешений сисадминов очень широк: недостаточный контроль за пользователями, некорректная настройка файрволлов и антивирусов, несвоевременное обновление операционной системы и программных средств обеспечения безопасности, неправильная настройка локальной сети и многое, многое другое. Неправильно эксплуатируемые средства защиты — хуже, чем их отсутствие. Это создает ложное чувство уверенности в безопасности, в то время как реально никакой безопасности нет. Те задачи, для которых закупалось оборудование и ПО, не выполняются просто потому, что оно либо вообще не настроено, либо настроено некомпетентно, либо настроено, но не обслуживается должным образом. Невысокий уровень компетентности штатных IT-специалистов делает неэффективной любую, даже самую совершенную, систему безопасности. Плохо, если в рабочее время сисадмин предпочитает играть в компьютерные игры либо в свое удовольствие бродить по Интернету. Но еще хуже, если он, не связанный моральными нормами, начинает читать чужую электронную почту или интересоваться коммерческими секретами собственной компании. И то, и другое — уголовные преступления.
Другой распространенный миф сводится к мнению, что "Наша организация злоумышленникам (хакерам) неинтересна". Чистое заблуждение, причем даже если в сети предприятия не хранится никакой информации, кража или порча которой могла бы нанести хоть какой-то ущерб, и бизнес организации не зависит от работоспособности компьютерного оборудования (что уже давно стало редкостью). Даже в таком случае структура представляет интерес для злоумышленников — например, как площадка для нападений на другие сети, либо слабо защищенные серверы организации могут использоваться для рассылки спама или хранения контрафактного материала. В любом случае это приводит к проблемам. Практика показывает: абсолютно любая сеть или компьютерная система представляет интерес для хакерского сообщества и может быть подвергнута взлому. Еще одно заблуждение, особенно широко распространенное среди высоких начальников, сводится к тому, что информационная безопасность — это определенный набор программно-аппаратных средств и документов. Потратив порой сотни тысяч долларов на оборудование и месяцы на разработку руководящих документов и инструкций, руководители организаций считают свою работу выполненной. IT-специалисты, в свою очередь, установив и настроив оборудование и ПО, начинают верить, что безопасность поставлена на высоком уровне. И те, и другие чувствуют себя надежно защищенными. Мало кто, к сожалению, понимает, что безопасность — это процесс, непрерывно продолжающийся во времени. В тот момент, когда производилась установка и настройка оборудования и программного обеспечения, оно действительно обеспечивало безопасность, но уже через месяц ситуация изменится. Информационной защитой нужно заниматься постоянно: анализировать угрозы и принимать меры по их устранению. Например, недостаточно просто установить антивирус — необходимо правильно его настроить и эксплуатировать. Часто антивирусное ПО устанавливается только на серверах, через которые осуществляется взаимодействие пользователей с Интернетом — например, выполняющих роль шлюзов или почтовых серверов. Но вирус может попасть в корпоративную сеть множеством других путей — скажем, с CD- или Flash-дисков пользователей. Кроме того, есть множество вирусов и различных зловредных программ, не обнаруживаемых антивирусом. Это клавиатурные шпионы, "трояны" и программы, открывающие backdoors в корпоративную сеть. Их много, и они не обнаруживаются традиционным антивирусным ПО. Так что "чистить" локальную сеть и рабочие станции нужно регулярно и часто.
Очередной миф — это то, что коммерческие системы лучше и надежней защищены, чем ПО с открытым исходным кодом, которое "разрабатывается неизвестно кем". Достоинства "коммерческого" ПО сильно преувеличены. В продуктах крупных корпораций предостаточно уязвимостей, и большинство из них старательно не афишируются разработчиками. Считается, что за коммерческий продукт производитель несет какую-то ответственность, и в случае обнаружения уязвимости достаточно обратиться в службу поддержки. Но почитайте любое лицензионное соглашение! В нем будет ясно написано что-то вроде: "Производитель не несет ответственности за негативные последствия, которые могут наступить вследствие использования данного программного продукта". Переводится это так: "Деньги мы с вас, конечно, возьмем, но все равно ни за что не отвечаем". А вот ПО с открытым кодом непрерывно анализируется множеством независимых разработчиков и пользователей, так что системному администратору, чтобы быть в курсе всех новостей и опасностей, достаточно регулярно посещать соответствующие форумы. Ну и, наконец, последняя очень распространенная ошибка — мнение, что для защиты информации лучше всего использовать средства криптошифрования. Эта точка зрения, видимо, связана с тем, что с самого начала своего развития системы информационной безопасности разрабатывались для военных ведомств и спецслужб. Разглашение такой информации могло привести к огромным потерям, в том числе и к человеческим жертвам. Поэтому конфиденциальности в первых системах безопасности уделялось особое внимание. Видимо, из-за этого начальный этап развития компьютерной безопасности тесно связан с криптошифрами. Однако в наши дни конфиденциальность информации, обеспечиваемая криптографией, не является главным требованием при проектировании защитных систем. Процедуры криптокодирования и декодирования могут замедлить передачу данных и уменьшить их доступность, так как пользователь будет слишком долго ждать свои "надежно защищенные". В современных компьютерных системах это недопустимо. Поэтому система безопасности должна в первую очередь гарантировать доступность и целостность информации, а затем уже (если необходимо) — ее конфиденциальность. Принцип современной защиты информации можно выразить так: поиск оптимального соотношения между доступностью и безопасностью. Впрочем, криптошифрование на рынке информационной безопасности свои ниши все же имеет — например, при защите финансовых (банковских) сетей и данных.
P.S.: Полностью защищенный компьютер — это тот, который стоит под замком в бронированной комнате в сейфе, не подключен ни к какой сети (даже электрической) и выключен. Такой компьютер имеет абсолютную защиту, однако использовать его нельзя. В этом примере не выполняется требование доступности информации. "Абсолютности" защиты мешает не только необходимость пользоваться защищаемыми данными, но и усложнение защищаемых систем. Использование постоянных, не развивающихся механизмов защиты опасно, и этому есть множество причин. Кроме того, нельзя забывать о развитии и совершенствовании средств нападения. Техника так быстро меняется, что трудно определить, какое новое устройство или программное обеспечение, используемое для нападения, может обмануть вашу защиту. Извечное соревнование брони и снаряда продолжается.
Денис Лавникевич
Компьютерная газета. Статья была опубликована в номере 11 за 2006 год в рубрике безопасность
