Безопасность: едем вверх?
Сегодня я опять буду говорить о безопасности. Аналитические статьи такого типа я обычно начинаю с цитирования определения, взятого, например, из википедии или аналогичного источника. В этом материале будет представлено мое субъективное мнение. За все годы работы в сфере ИТ-безопасности у меня сформировался свой взгляд на обстановку как региональную, касающуюся только РБ, так и глобальную. Сегодня я постараюсь отобразить реальную картину вещей.
Для начала хочу, опять же, заострить внимание на значении слова "безопасность". Воспользуюсь простыми словами и опишу все на пальцах, так сказать. Все дело в том, что безопасность как таковая не является конечным продуктом либо результатом. Безопасность — это непрерывный процесс, который снижает все риски к минимуму или же вообще убирает некоторые. При этом нет разницы между безопасностью в сфере ИТ или же в любой другой. Если речь идет об изоляции машины от локальных сетей или же интернет, то полностью исключается факт сетевого взлома, при этом сохраняется необходимость сохранения данных от воздействия разного рода вредоносного ПО. Так что выражение "а зачем мне антивирус, я ведь не работаю в интернет" тут совсем неуместно, т.к. данными все равно вы обмениваетесь. Флэшки, жесткие диски, оптические накопители, — все это пути проникновения зловредов на компьютер в обход каких-либо коммуникаций. Вопреки сложившемуся в обществе мнению безопасность — это не установка антивируса или файрволла, это носит гораздо более широкий характер. Ведь сама по себе установка антивирусной системы не решает ровно никакой проблемы. Не раз мне приходилось оказывать услуги, начиная от друзей, родственников и заканчивая, так сказать, "друзьями друзей". Подавляющее большинство очень удивлялось, когда я находил сотни тел вирусов на их компьютерах. Вопрос был всегда один и тот же: "а откуда они взялись, ведь у меня стоит антивирус Касперского последней версии". Однако, как оказывалось, антивирус этот имел солидно просроченную БД вирусных сигнатур, ни разу не проводил полное сканирование системы на предмет вредоносного ПО, а еще мог быть и с давно закончившимся сроком использования лицензионного ключика. Вот и получается, что от этого антивируса было бы больше толку, если бы его вообще не было. Это ситуация, которая имеет место в отношении простых юзеров. Если брать в расчет продвинутых пользователей, то те в большинстве своем считают, будто постоянно работающий монитор проактивного модуля защиты решает все проблемы целиком и полностью, а в сканировании нет необходимости. Опять же, удивление в результате большое… Защита домашнего компьютера требует постоянного контроля со стороны пользователя. И при этом совсем не нужно быть большим специалистом в сфере безопасности. Достаточно просто правильно настроить все компоненты, отвечающие за безопасность, программы для защиты данных на уровне жесткого диска и операционную систему. Естественно, полностью безотказно обеспечить безопасность не получится ни простому пользователю, ни advanced. Если любому специалисту взяться за машину серьезно, то все равно на выходе система будет взломана. Собственно, необходимости в высоком уровне безопасности в этой нише ИТ-мира нашего общества нет. Домашний компьютер не хранит на своем винчестере никаких секретных данных, да и интернет-банкинг не используется жителями Беларуси за исключением нескольких процентов населения.
На Западе картина обстоит немного лучше. Доступ к интернету не вызывает никаких осложнений, и практически каждый европеец или американец без проблем пользуется глобальной сетью за копейки. У нас же услуги интернет-доступа хоть и стремительно развиваются, но пока еще далеки от уровня более развитых стран. Это вполне естественно. Однако же западный пользователь (кстати, равно как и восточный) без проблем выполняет обновление антивирусной системы, не боясь за свой карман. Да и для работы антивирусов не используется варез, лицензии в 80% покупаются, т.к. стоимость последних просто смешна, учитывая уровень дохода западных пользователей. Для нашего же пользователя пока еще трудновато выделить около 100-150 тысяч рублей (в зависимости от программы и производителя) на приобретение годовой лицензии. Еще один немаловажный фактор заключается в том, что информационная поддержка на Западе куда более развита. Литературы по ИБ (информационной безопасности) там намного больше, причем как профессиональной, так и любительской, рассчитанной на обычного пользователя. Что касается компаний, фирм и т.п., то тут ситуация практически такая же, как и с домашним сегментом. Правда, есть небольшие отличия, связанные с наличием на Западе специалистов высокого класса, которые реально знают свое дело и грамотно ведут политику безопасности вперед. Такие специалисты активно используются компаниями, и последние на выходе получают хорошую защиту. У нас все намного хуже: специалисты есть, но вот компании не сильно хотят нанимать лишнего человека. Давайте по порядку. Современность потребовала от компаний и фирм создания еще одного отдела — по ИБ (в крупных) и новой должности (в мелких). Это влечет за собой лишние затраты, естественно. А тут еще ибэшник говорит о надобности приобретения корпоративных лицензий на антивирусные программы, ПО для бэкапа данных, файрволлы (если речь идет о брандмауэр-системах, то и на покупку серверов и т.д.). Это все приводит к решению "до этого как-то жили — и сейчас проживем". Но, господа, не тут-то было — время идет, и прогресс не терпит консерватизма. Билл Гейтс сказал: "Если Вас нет в сети, то Вас нет и в бизнесе", — так что приходится считаться. Вот и получается, что коммуникации есть, инфраструктура есть, а вот следить за ней некому. Я вижу в этом полную анархию. Локальные сети похожи на проходные дворы: пролез через шлюз доступа в интернет, и готово — гуляй, сколько хочешь. Это не есть хорошо.
При всем этом в частных компаниях все еще кое-как налажено. Это и естественно, т.к. никому не охота терять сделанное своими руками. А вот в большинстве госорганизаций из всей безопасности имеется только наклеечка на мониторе "обработка секретной информации запрещена". Признаюсь, глядя на штат итэшников, трудно поверить, что есть хотя бы одна машина в организации, которая предназначена для обработки секретной информации. Все это, кроме улыбки и уныния, ничего больше не вызывает. При этом от помощи, даже безвозмездной, многие отказываются. Что касается специалистов, то таковых мало. Да, именно так и есть. Как ни прискорбно это осознавать, но современная система образования упустила из виду необходимость подготовки ибэшников. При этом я не беру в расчет людей, которые учатся криптографии, аппаратным средствам шифрования и т.д. Это именуется информационной безопасностью, однако это совсем не полное обучение. Чтобы специалист по безопасности отвечал современным требованиям, он должен знать работу современных средств защиты. А тому, как устроен и работает эмулятор кода или модуль эвристического анализа современной антивирусной программы, никто не учит этих людей. Поэтому получается классический специалист, не подготовленный к современным видам угроз. В таком случае остается только самообразование. Опять проблема, т.к. при устройстве на работу первым делом спрашивают, "а где вы учились?" или "какое образование?". На мой взгляд, специалист должен четко уметь "делать безопасность", а не объяснять, где он проучился и какое образование получил. На Западе такого специалиста просто бы протестировали и с удовольствием приняли на работу, т.к. человек, способный к продуктивному самообразованию, — очень ценный человек, и он разберется во всем. А в нашем случае очень долго будут думать и в большинстве случаев решат отрицательно. Результаты вы тоже можете наблюдать: выводы из строя машин от вирусов — это не просто неприятность, это стало уже обычным делом, "бытовухой", так сказать. И пока работник печатает какую-нибудь накладную, в списке активных процессов уже царствуют трояны, вирусы, черви и т.п.
"Пока гром не грянет, мужик не перекрестится" — есть такая народная мудрость. Ситуация, конечно, меняется, но очень медленно. Вместо того, чтобы сразу же взять на вооружение опыт других, предпочитаем учиться на своих ошибках. Любая компания, которая решила обзавестись локальной сетью или интернет-ресурсом, в первую очередь должна позаботиться о безопасности, а потом — о наличии других ИТ-специалистов. Заголовок статьи так и подталкивает меня сделать вывод в плане: так едем мы вверх или же вниз, а, может, и вообще стоим на месте. Естественно, вверх мы движемся, но не так быстро, как хотелось бы. А поэтому до удовлетворительного уровня предстоит еще долго идти. Надеюсь, что придем успешно и с минимумом ошибок. Делайте выводы.
Евгений Кучук, q@sa-sec.org, SASecurity group
Для начала хочу, опять же, заострить внимание на значении слова "безопасность". Воспользуюсь простыми словами и опишу все на пальцах, так сказать. Все дело в том, что безопасность как таковая не является конечным продуктом либо результатом. Безопасность — это непрерывный процесс, который снижает все риски к минимуму или же вообще убирает некоторые. При этом нет разницы между безопасностью в сфере ИТ или же в любой другой. Если речь идет об изоляции машины от локальных сетей или же интернет, то полностью исключается факт сетевого взлома, при этом сохраняется необходимость сохранения данных от воздействия разного рода вредоносного ПО. Так что выражение "а зачем мне антивирус, я ведь не работаю в интернет" тут совсем неуместно, т.к. данными все равно вы обмениваетесь. Флэшки, жесткие диски, оптические накопители, — все это пути проникновения зловредов на компьютер в обход каких-либо коммуникаций. Вопреки сложившемуся в обществе мнению безопасность — это не установка антивируса или файрволла, это носит гораздо более широкий характер. Ведь сама по себе установка антивирусной системы не решает ровно никакой проблемы. Не раз мне приходилось оказывать услуги, начиная от друзей, родственников и заканчивая, так сказать, "друзьями друзей". Подавляющее большинство очень удивлялось, когда я находил сотни тел вирусов на их компьютерах. Вопрос был всегда один и тот же: "а откуда они взялись, ведь у меня стоит антивирус Касперского последней версии". Однако, как оказывалось, антивирус этот имел солидно просроченную БД вирусных сигнатур, ни разу не проводил полное сканирование системы на предмет вредоносного ПО, а еще мог быть и с давно закончившимся сроком использования лицензионного ключика. Вот и получается, что от этого антивируса было бы больше толку, если бы его вообще не было. Это ситуация, которая имеет место в отношении простых юзеров. Если брать в расчет продвинутых пользователей, то те в большинстве своем считают, будто постоянно работающий монитор проактивного модуля защиты решает все проблемы целиком и полностью, а в сканировании нет необходимости. Опять же, удивление в результате большое… Защита домашнего компьютера требует постоянного контроля со стороны пользователя. И при этом совсем не нужно быть большим специалистом в сфере безопасности. Достаточно просто правильно настроить все компоненты, отвечающие за безопасность, программы для защиты данных на уровне жесткого диска и операционную систему. Естественно, полностью безотказно обеспечить безопасность не получится ни простому пользователю, ни advanced. Если любому специалисту взяться за машину серьезно, то все равно на выходе система будет взломана. Собственно, необходимости в высоком уровне безопасности в этой нише ИТ-мира нашего общества нет. Домашний компьютер не хранит на своем винчестере никаких секретных данных, да и интернет-банкинг не используется жителями Беларуси за исключением нескольких процентов населения.
На Западе картина обстоит немного лучше. Доступ к интернету не вызывает никаких осложнений, и практически каждый европеец или американец без проблем пользуется глобальной сетью за копейки. У нас же услуги интернет-доступа хоть и стремительно развиваются, но пока еще далеки от уровня более развитых стран. Это вполне естественно. Однако же западный пользователь (кстати, равно как и восточный) без проблем выполняет обновление антивирусной системы, не боясь за свой карман. Да и для работы антивирусов не используется варез, лицензии в 80% покупаются, т.к. стоимость последних просто смешна, учитывая уровень дохода западных пользователей. Для нашего же пользователя пока еще трудновато выделить около 100-150 тысяч рублей (в зависимости от программы и производителя) на приобретение годовой лицензии. Еще один немаловажный фактор заключается в том, что информационная поддержка на Западе куда более развита. Литературы по ИБ (информационной безопасности) там намного больше, причем как профессиональной, так и любительской, рассчитанной на обычного пользователя. Что касается компаний, фирм и т.п., то тут ситуация практически такая же, как и с домашним сегментом. Правда, есть небольшие отличия, связанные с наличием на Западе специалистов высокого класса, которые реально знают свое дело и грамотно ведут политику безопасности вперед. Такие специалисты активно используются компаниями, и последние на выходе получают хорошую защиту. У нас все намного хуже: специалисты есть, но вот компании не сильно хотят нанимать лишнего человека. Давайте по порядку. Современность потребовала от компаний и фирм создания еще одного отдела — по ИБ (в крупных) и новой должности (в мелких). Это влечет за собой лишние затраты, естественно. А тут еще ибэшник говорит о надобности приобретения корпоративных лицензий на антивирусные программы, ПО для бэкапа данных, файрволлы (если речь идет о брандмауэр-системах, то и на покупку серверов и т.д.). Это все приводит к решению "до этого как-то жили — и сейчас проживем". Но, господа, не тут-то было — время идет, и прогресс не терпит консерватизма. Билл Гейтс сказал: "Если Вас нет в сети, то Вас нет и в бизнесе", — так что приходится считаться. Вот и получается, что коммуникации есть, инфраструктура есть, а вот следить за ней некому. Я вижу в этом полную анархию. Локальные сети похожи на проходные дворы: пролез через шлюз доступа в интернет, и готово — гуляй, сколько хочешь. Это не есть хорошо.
При всем этом в частных компаниях все еще кое-как налажено. Это и естественно, т.к. никому не охота терять сделанное своими руками. А вот в большинстве госорганизаций из всей безопасности имеется только наклеечка на мониторе "обработка секретной информации запрещена". Признаюсь, глядя на штат итэшников, трудно поверить, что есть хотя бы одна машина в организации, которая предназначена для обработки секретной информации. Все это, кроме улыбки и уныния, ничего больше не вызывает. При этом от помощи, даже безвозмездной, многие отказываются. Что касается специалистов, то таковых мало. Да, именно так и есть. Как ни прискорбно это осознавать, но современная система образования упустила из виду необходимость подготовки ибэшников. При этом я не беру в расчет людей, которые учатся криптографии, аппаратным средствам шифрования и т.д. Это именуется информационной безопасностью, однако это совсем не полное обучение. Чтобы специалист по безопасности отвечал современным требованиям, он должен знать работу современных средств защиты. А тому, как устроен и работает эмулятор кода или модуль эвристического анализа современной антивирусной программы, никто не учит этих людей. Поэтому получается классический специалист, не подготовленный к современным видам угроз. В таком случае остается только самообразование. Опять проблема, т.к. при устройстве на работу первым делом спрашивают, "а где вы учились?" или "какое образование?". На мой взгляд, специалист должен четко уметь "делать безопасность", а не объяснять, где он проучился и какое образование получил. На Западе такого специалиста просто бы протестировали и с удовольствием приняли на работу, т.к. человек, способный к продуктивному самообразованию, — очень ценный человек, и он разберется во всем. А в нашем случае очень долго будут думать и в большинстве случаев решат отрицательно. Результаты вы тоже можете наблюдать: выводы из строя машин от вирусов — это не просто неприятность, это стало уже обычным делом, "бытовухой", так сказать. И пока работник печатает какую-нибудь накладную, в списке активных процессов уже царствуют трояны, вирусы, черви и т.п.
"Пока гром не грянет, мужик не перекрестится" — есть такая народная мудрость. Ситуация, конечно, меняется, но очень медленно. Вместо того, чтобы сразу же взять на вооружение опыт других, предпочитаем учиться на своих ошибках. Любая компания, которая решила обзавестись локальной сетью или интернет-ресурсом, в первую очередь должна позаботиться о безопасности, а потом — о наличии других ИТ-специалистов. Заголовок статьи так и подталкивает меня сделать вывод в плане: так едем мы вверх или же вниз, а, может, и вообще стоим на месте. Естественно, вверх мы движемся, но не так быстро, как хотелось бы. А поэтому до удовлетворительного уровня предстоит еще долго идти. Надеюсь, что придем успешно и с минимумом ошибок. Делайте выводы.
Евгений Кучук, q@sa-sec.org, SASecurity group
Компьютерная газета. Статья была опубликована в номере 43 за 2008 год в рубрике безопасность