система защиты внедрена и работает. что дальше?
Сегодня уже всем ясно, насколько важна защита информационных ресурсов. Многие также понимают, что система информационной безопасности — это не просто защита от прямых материальных потерь, но и конкурентные преимущества, репутация на рынке и более высокая степень доверия со стороны клиентов и партнеров. Поэтому на данный момент финансовые вложения в защиту своих ресурсов в том или ином объеме сделаны практически во всех компаниях: отдельные средства или комплексные системы безопасности установлены в каждой ИТ-системе.
Основная задача на этапе эксплуатации системы — это поддержание достигнутого уровня безопасности. Данное требование является таким же жестким, как и требование обеспечения отказоустойчивости ИТ-компонентов и непрерывности работы ИС в целом. Эксплуатация информационных систем, оснащенных современными средствами защиты — довольно сложная и специфичная задача.
специфика эксплуатации защищенных ИТ-систем
Основная особенность эксплуатации средств и систем безопасности (в отличие от других ИТ-компонентов) заключается в том, что информационная система, которая сегодня надежно защищена, завтра может оказаться уязвимой, причем владелец не обязательно будет знать об этом.
Серверный комплекс может надежно работать несколько лет, не требуя внесения изменений в его конфигурацию. При этом его неработоспособность (например, поломка процессора) станет очевидной сразу. В то же время система защиты, не учитывающая появление новых угроз безопасности или неправильно эксплуатируемая, через несколько месяцев утрачивает адекватность и становится уязвимой. Причем владелец заметит это лишь тогда, когда наступят последствия хакерской атаки, проникновения вируса, халатных действий пользователей и других инцидентов безопасности. Тому есть несколько объективных причин глобального характера.
Во-первых, сложность информационных систем возрастает, и это неизменно вызывает рост числа уязвимостей в ИТ-компонентах и средствах защиты. Эти уязвимости активно используются злоумышленниками для проведения различных видов атак, организации сбоев в работе критических приложений, сетей передачи данных и в предоставлении сервисов, а также в кражах конфиденциальных данных и в других подобных действиях.
Во-вторых, появляются новые угрозы безопасности, вирусы, способы атак. Методы и инструменты проведения атак постоянно совершенствуются, скорость их распространения стремительно растет (корпоративную систему можно вывести из строя за несколько секунд), а последствия иногда оказываются катастрофическими для бизнеса.
Есть также ряд особенностей, которые могут быть в той или иной степени присущи конкретной компании и конкретной информационной системе. Например, в больших и сложных информационных системах набор применяемых решений по защите бывает достаточно широк. Используются средства защиты разных производителей, взаимосвязи между этими средствами в рамках комплексной системы безопасности довольно сложны. Кроме того, механизмы работы современных средств защиты становятся все сложнее, применяются все более тонкие методы обнаружения атак, фильтрации трафика и реализации других защитных функций (например, контекстный анализ).
Таким образом, для реального контроля безопасности ресурсов нужна целостная картина работы множества сложных взаимосвязанных средств — задача непростая как с точки зрения техники, так и для персонала, ответственного за эксплуатацию такой системы.
Еще одна проблема, особенно актуальная для обслуживания и поддержки комплексных систем безопасности, — производители постоянно выпускают новые версии продуктов, содержащие улучшения, изменения, вводящие новый функционал и программные коррекции, исправляющие ошибки. И нужно постоянно проводить мониторинг выпуска этих изменений и устанавливать их в своей системе. Не секрет, что многие уязвимости, которые использовались для осуществления атак на корпоративные системы, на момент атаки были уже обнаружены и известны производителям средств защиты или атакуемых ИТ- компонентов. Эти уязвимости можно было устранить за несколько недель или месяцев до атаки, просто установив соответствующую заплатку (патч). Чтобы уследить за всеми нововведениями, необходимо постоянно их отслеживать и проводить мониторинг такого рода событий. Если же этим не заниматься, то система безопасности довольно быстро перестанет выполнять свои задачи.
эволюция ИТ-инфраструктуры и безопасность
Определенные особенности характерны и для эксплуатации защищенных ИТ-систем, в состав и структуру которых вносятся изменения. Как показывает опыт, информационная система, обеспечивающая работу достаточно большой организации, практически никогда не бывает статичной. Расширение, добавление новых компонентов и прочие изменения — естественный и непрекращающийся процесс, поскольку ИТ- системы работают в тесной связи с основными процессами деятельности, которые меняются. Появляются новые информационные сервисы, активно внедряются новые информационные технологии, на определенном этапе возникает необходимость оптимизировать систему. Как следствие, решения по обеспечению информационной безопасности корпоративных ресурсов, принятые в процессе проектирования, быстро утрачивают соответствие той системе, ресурсы которой они призваны защищать.
Например, рост объема информации, добавление новых сегментов, увеличение количества рабочих мест снижают эффективность механизмов и процедур защиты, и для сохранения требуемого уровня защищенности ресурсов требуется масштабирование и самой системы обеспечения безопасности. Расширение возможностей ИТ-системы — добавление новых информационных сервисов и внедрение новых технологий (например, Wi-Fi) — приводит к появлению дополнительных рисков и уязвимостей в защите. Чтобы эти риски нейтрализовать, необходимо незамедлительно учесть все специфичные для новой технологии аспекты защиты информации. Поэтому в изменяющихся информационных системах важно не просто внедрить адекватные механизмы защиты, но и поддерживать заданный уровень безопасности в процессе эксплуатации. А для этого необходимо не только поддерживать работоспособность средств защиты, но и проводить разовые или периодические работы по контролю уровня защищенности ресурсов, что позволяет гарантировать этот уровень даже в условиях внесения изменений в информационную систему.
кадры решают все
Современные угрозы безопасности в принципе преодолимы, уязвимости — устранимы, и в целом задача обеспечения защиты ресурсов выполнима даже в тех сложных условиях, описанных выше, нужно только грамотно эксплуатировать и поддерживать систему безопасности. Это подразумевает проведение целого комплекса непрерывных и периодических работ, таких как техническая поддержка средств защиты, мониторинг и анализ событий безопасности, происходящих в системе, периодический контроль защищенности ресурсов, преодоление нештатных ситуаций и ликвидация последствий.
Для выполнения названных работ, во-первых, требуется соответствующее техническое и программное обеспечение, а во-вторых, нужен персонал необходимой численности, квалификации и имеющий достаточный опыт. Современные технологии безопасности действительно довольно эффективны и хороши, но они все равно не заменят человека, его мышление и опыт, особенно в преодолении критических проблем в системе защиты корпоративных ресурсов.
Многие фирмы и предприятия, в основном крупные, имеют собственные отделы, службы или даже целые управления по обеспечению информационной безопасности. На сегодня в большинстве крупных компаний есть назначенные руководители служб безопасности, несущие ответственность за защиту корпоративных ресурсов. Некоторые организации практически не привлекают внешние специализированные компании на этапе эксплуатации систем защиты, поскольку считают, что расходы на содержание собственного штата специалистов меньше, чем существующие риски для защищаемых ИТ-систем. Иногда это может соответствовать действительности, но только при выполнении целого ряда условий.
Интересный факт: половина компаний, пострадавших в 2004 г. из-за проблем в системе защиты своих ресурсов (а таких в мире по разным оценкам насчитывается до 80%!), полагали, что достаточно хорошо оснащены средствами защиты и имеют квалифицированный во всех необходимых областях персонал. Однако заметим, что в компаниях, которые в течение последнего года не пострадали (или не понесли ощутимого ущерба) от брешей в системе защиты, количество сотрудников, занимающихся данной задачей, составляет примерно 10% штата ИТ-специалистов, и это достаточно хорошее соотношение. Но таких компаний, к сожалению, меньшинство (в среднем, в мире не более четверти). Компьютерный парк быстро увеличивается, внедряются современные сложные средства автоматизации — системы управления производством, системы управления базами данных, системы документооборота, электронной коммерции и т.д., системы информационной безопасности, наконец. Но при этом штат обслуживающих подразделений увеличивается далеко не пропорционально сложности и объему подлежащих решению задач.
На практике эффективное решение задач эксплуатации и обслуживания систем безопасности силами собственного подразделения означает постоянное присутствие на предприятии персонала в необходимом количестве.
Кроме того, специалисты, занимающиеся поддержкой и обслуживанием систем безопасности, должны иметь высокую квалификацию в области информационной безопасности и смежных областях информационных технологий, поскольку набор используемых в большинстве компаний средств защиты довольно широк, а механизмы их работы усложняются год от года. Уровень подготовки персонала, ответственного за корректную и - главное - эффективную работу систем защиты, всегда должен соответствовать таким условиям работы. То есть необходимо обеспечить сотрудникам возможность проходить специализированное обучение по всему набору средств и систем защиты. В больших и сложных информационных системах выполнение этого условия также требует серьезных затрат.
Существенное значение имеет опыт работы специалистов, особенно в части преодоления нештатных ситуаций. Чем чаще они сталкиваются с нештатными ситуациями, тем более адекватны и точны будут их действия по локализации и устранению сбоев и решению других возможных проблем, тем меньше вероятность для компании понести ущерб. Такой персонал, естественно, требует соответствующего уровня оплаты труда, что для многих предприятий является непростым условием.
Обслуживание комплексных систем безопасности невозможно и без должной степени автоматизации администраторских и других эксплуатационных функций. Это означает наличие соответствующего технического и программного обеспечения для администраторов безопасности и их руководителей (начальников отделов и служб): сканеров, средств мониторинга и управления безопасностью, корреляции событий, анализа защищенности ИТ-компонентов, средств получения статистики и генерации отчетов — еще одна затратная статья.
Тем не менее, даже при выполнении всех перечисленных условий сотрудники, ответственные за защиту корпоративных ресурсов, сталкиваются с множеством проблем.
типичные проблемы для администраторов безопасности
Самая очевидная и часто встречающаяся проблема для администраторов — постоянный поток множества (тысяч или десятков тысяч) сообщений от обслуживаемых ими средств защиты и смежных ИТ-компонентов: сетевых устройств, имеющих встроенные функции защиты, межсетевых экранов, систем контроля содержимого, обнаружения атак и других. Все эти сообщения так или иначе связаны с проблемами безопасности, хотя подавляющее большинство, строго говоря, не являются критичными и не свидетельствуют о реальных атаках и других критичных событиях. Однако среди них есть малая часть событий, которые в самом деле могут нанести ущерб ресурсам защищаемой сети и требуют немедленной реакции. Администратору в таких условиях работы необходимо решать две задачи: правильно трактовать события, выделяя только те, которые действительно требуют внимания, и правильно и быстро реагировать на действительно критичные сообщения.
Очевидно, что даже при использовании средств автоматизации администраторских функций (анализа и корреляции событий от множества средств защиты) обслуживающему персоналу сложно ориентироваться в таком потоке событий, поэтому существует реальный риск отреагировать на пустое или ложное сообщение и пропустить другое, критичное и влекущее за собой тяжелые последствия.
Помимо этой проблемы, персонал службы безопасности сталкивается еще с одной: для повышения уровня понимания событий, происходящих в системе, необходимо углубляться в ИТ-специфику, однако тогда у этих сотрудников не остается времени и возможностей на анализ и другие работы, имеющие специфику именно безопасности.
Есть и другой вариант — передать ИТ-службам все вопросы, касающиеся функционирования ИТ-компонентов средств защиты. Например, система обнаружения атак сообщает о попытке взлома сервера СУБД Oracle по протоколу SQL*Net. Чтобы понять серьезность этой атаки, администратору безопасности нужно разбираться в тонкостях работы сервера Oracle на уровне администратора СУБД. И таких событий из области сетевых технологий и сетевого оборудования, веб- и других приложений, доменов Windows и Novell и других областей могут быть сотни.
Получается, что служба безопасности должна либо иметь специалистов, разбирающихся во всех областях информационных технологий, способных объективно интерпретировать события (например, аудита), либо переложить эту функцию на ИТ-службу, у которой много и своих забот.
типичные проблемы для начальников отделов и служб безопасности
Основная задача руководителей отделов и служб безопасности — обеспечение стабильного уровня защиты информационных ресурсов компании при любых условиях. Подавляющее большинство (86% в мире) руководителей таких отделов и служб отвечают за безопасность компании и отчитываются непосредственно перед высшим руководством.
Очевидно, что начальнику службы безопасности нужны эффективные средства получения информации об уровне защищенности системы в целом на настоящий момент, а также средства контроля этого уровня в динамике. В большинстве случаев бывает трудно получить такую информацию от собственных сотрудников — нужны, как минимум, специальные технические средства анализа защищенности ресурсов и методики оценки уровня защищенности, а также время. Кроме того, полученная информация не будет объективной при проведении оценки собственными сотрудниками, а не внешними компаниями-экспертами.
Поскольку ответственность за сохранение состояния защищенности информационных ресурсов компании полностью лежит на руководстве службы безопасности, именно оно должно организовать и обеспечить выполнение работ по поддержанию корпоративной системы безопасности в состоянии, соответствующем современным условиям. К таким работам относятся мониторинг новых угроз безопасности и видов атак, появляющихся достаточно часто, отслеживание узявимостей в используемом программном и аппаратном обеспечении (не только системы защиты, но и всей информационной системы). Результатом этих работ должно быть своевременное внесение соответствующих изменений в настройки средств и систем защиты и ИТ-компонентов или дополнение/модернизация системы защиты в соответствии с новыми условиями ее эксплуатации, а также изменение проектной и эксплуатационной документации на систему. Данная задача сама по себе является сложной и трудоемкой, иногда — неподъемной для существующей службы безопасности. Но в любом случае руководитель этой службы должен организовать выполнение необходимых работ (возможно, с привлечением внешней специализированной компании) и, как результат, получить четкую картину безопасности.
Еще одна сложная проблема для ответственных за безопасность лиц — поддержка уровня защищенности ресурсов информационных систем, подвергающаяся изменениям (см. главу "Эволюция ИТ-инфраструктуры и безопасность"). Те или иные изменения вносятся в структуру и состав практически каждой защищаемой ИТ-системы, и если в одних случаях они не очень существенны с точки зрения безопасности и практически не требуют изменений в систему защиты, то в других могут потребовать ее полной модернизации.
Во многих компаниях, особенно крупных и динамично развивающихся (например, у операторов сотовой связи), руководителям служб безопасности каждую неделю (если не чаще) попадают на стол проекты по развитию и модернизации ИТ-инфраструктуры, направленные на развитие бизнеса, — освоение новых рынков, предоставление новых услуг и т.д. И все эти проекты, содержащие предложения по добавлению новых сегментов, подключению новых офисов и филиалов, внедрению новых, более современных технологий, приложений и т.д., — требуют экспертизы с точки зрения информационной безопасности, во всех проектах должны быть соответствующие требования, которые впоследствии будут выражены в адекватном изменении корпоративной системы защиты. Повторим, что экспертиза ИТ-проектов с точки зрения безопасности является трудоемкой и требует высокой квалификации специалистов, и задача внедрения необходимых изменений также требует материальных и человеческих ресурсов.
проблемы для руководства компании
Результатом усилий руководителей отделов и служб безопасности должна быть работающая информационная система, ресурсы которой надежно защищены в соответствии с существующими на данный момент условиями. Это, конечно, подразумевает определенное финансирование работ. Как известно, бюджет на информационную безопасность должен составлять 10% от ИТ-бюджета. Почти в половине компаний в мире он составляет около 3%, у трети фирм — в пределах 4—6%, и только десятая часть компаний выделяет примерно 10% стоимости ИТ-системы на защиту ее ресурсов.
Для того чтобы выделять (или не выделять) средства на закупку тех или иных программно-технических средств и проведение определенных мероприятий по защите, руководство компании должно понимать, каким образом это отразится на уровне безопасности ИТ-системы и бизнеса компании в целом. Насколько корпоративные ресурсы защищены (или уязвимы) в данный момент и как эта ситуация меняется во времени? В чем реальная причина существующих проблем в защите (недостаточность используемых средств и систем безопасности, халатность персонала, невозможность заставить службу ИТ внести необходимые корректировки в настройки, потому что для них задача безопасности стоит на последнем месте и т.д.)?
Сегодня примерно треть компаний вообще не выполняют такого рода анализ и не проводят контроль уровня защищенности своих ресурсов. Часто необходимые средства на информационную безопасность не выделяются, а работы не проводятся до тех пор, пока "гром не грянет" (такие ситуации бывают на руку компаниям, специализирующимся в этой области), и только в одной трети фирм в мире должный контроль проводится на регулярной основе.
Статистика также показывает, что отчеты руководству о состоянии информационной безопасности компании, существующих рисках и инцидентах предоставляются недостаточно качественно, полно и часто. Чуть более трети компаний составляют отчеты о состоянии безопасности ежеквартально или даже раз в полгода, еще треть не делают этого вовсе или, в лучшем случае, готовят некие специальные отчеты по особым случаям. Руководству компании (в отличие от администраторов безопасности и руководителей соответствующих отделов и служб) нужен короткий и внятный отчет-обоснование, для чего ему вкладывать средства в безопасность ресурсов, или отчет-оценка эффективности инвестиций в защиту корпоративных ресурсов. Зачастую (даже при наличии соответствующих средств получения статистики и генерации отчетов о состоянии безопасности ресурсов) сотрудникам и руководителям отделов и служб безопасности сложно собрать подробные технические отчеты и преобразовать их в аргументированное обоснование затрат. Здесь есть и технические сложности, и проблемы выбора действительно необходимых мер и средств защиты, адекватных по стоимости и другим критериям. Отчасти по этой причине руководство может не осознавать уязвимости своего бизнеса и его зависимости от надежной и безопасной работы информационной системы.
проблемы взаимодействия подразделений
Очевидно, что обеспечение и контроль защищенности ресурсов информационной системы — общая задача руководителей служб ИТ и безопасности. В некоторых ситуациях сотрудникам службы безопасности нужно контролировать работу службы ИТ. Это, например, уже упоминавшиеся задачи развития ИТ-инфраструктуры, которые требуют не только соответствующих средств и мер защиты, но часто и внесения изменений собственно в ИТ-проекты (настройки ИТ-компонентов, схемы их подключения и т.д.), если такие изменения продиктованы соображениями безопасности. Существуют также и повседневные, более мелкие задачи, требующие согласованного взаимодействия нескольких служб (ИТ-подразделения, службы информационной безопасности, службы охраны, HR-подразделения и т.д.). Например, прием на работу нового сотрудника, выделение ему рабочего места, предоставление полномочий доступа и т.д.
По нашему наблюдению, взаимодействие служб ИТ и безопасности не всегда достаточно эффективно для решения поставленных задач. Надо отметить нечетко очерченное разделение сфер ответственности и обязанностей между всеми участниками процесса обеспечения информационной безопасности, существует "конфликт интересов" между этими службами (в службе ИТ задачи информационной безопасности часто имеют низкий приоритет). В комплексе с вышеназванными кадровыми и другими проблемами все это вызывает сложности с реальным контролем защищенности эксплуатируемой системы, с адекватным реагированием на нештатные ситуации и т.д.
пользователи
Эту категорию сотрудников полезно рассмотреть, поскольку именно они занимаются эксплуатацией защищенных рабочих мест и используют защищенные информационные и иные ресурсы компании. В связи с этим дисциплина и грамотность пользователей имеет большое значение для обеспечения информационной безопасности предприятия. В то же время пользователи на предприятиях часто считают, что защита информации не входит в их обязанности и является навязанной функцией. Последнее время в условиях быстрого роста автоматизации деятельности предприятий средний уровень знаний, навыков и профессионализма пользователей часто отстает. А это означает, что небрежность действий сотрудника может иметь весьма серьезные последствия — от нарушения работы его собственной рабочей станции до блокирования критичных для компании подсистем и сервисов (например, систем электронной почты или веб-сервисов). Тем самым все усилия предприятия по построению корпоративной системы защиты будут сведены на нет. Предоставление или ограничение прав доступа — еще одна проблема на многих предприятиях: пользователи обращаются к администраторам с просьбой предоставить доступ к ресурсам (внутренним или внешним), которые им на самом деле не нужны (по крайней мере, в рабочее время), или предоставить им расширенные (административные) права в какой-либо системе (своей рабочей станции), чтобы иметь возможность самостоятельно устанавливать и настраивать "нужное" им программное обеспечение. Администратор может отказать, если имеет соответствующие инструкции, но бывают ситуации, когда довольно высокая должность сотрудника, обратившегося с просьбой о расширении своих прав, или дружба с ним не позволяют этого сделать. В случае недостаточной квалификации и дисциплины такого сотрудника негативные последствия могут быть весьма ощутимыми.
Масштаб бедствия окажется еще больше, если внутренний сотрудник будет преднамеренно выполнять определенные действия против собственной компании, поскольку законный пользователь имеет для этого массу возможностей и способов, в том числе простых для использования и не требующих от него особой квалификации или знаний.
Статистика показывает, что в 2004 г. основные источники проблем с безопасностью (а отмечены они у 80% компаний) были внешние, а в течение первого полугодия 2005 г. у большинства фирм, пострадавших от брешей в системах защиты (всего за шесть месяцев пострадали уже около 30% компаний), источники были именно внутри компании. По некоторым оценкам, сегодня на долю внутренних сотрудников приходится свыше 70% всех нарушений в системах безопасности. Доля финансовых потерь от внутренних источников также продолжает стремительно увеличиваться с каждым годом.
Рис 1. Причины нарушений в работе защищенных ИС, март 2005 г.
Как видно из диаграммы (Рис. 1), треть всех проблем в защите составляют неумышленные (халатные) действия. Среди остальных инцидентов, связанных с использованием существующих уязвимостей в компонентах информационных систем и "слабых" настроек ИТ-компонентов, есть атаки, совершаемые внутренними злоумышленниками (именно такие атаки наиболее опасны). Это подтверждает, что сейчас защита информационных ресурсов и технологий от недобросовестного или просто халатного легального пользователя стала очень важной, причем по сравнению с уже известными и хорошо освоенными областями информационной безопасности, она требует особого подхода и применения специальных программно-технических средств. Решение этой задачи обязательно должно быть включено в комплекс работ, проводимых на предприятии в процессе эксплуатации защищенных информационных систем.
Рис 1. Причины нарушений в работе защищенных ИС, март 2005 г.
в результате...
Как видно из вышеизложенного, главное для предприятий, эксплуатирующих защищенные информационные системы, — владение информацией о реальном уровне безопасности (или уязвимости) корпоративных ресурсов и контроль над ним. Это означает, кроме прочего, и возможность эффективно воздействовать на этот уровень, то есть выявлять и пресекать нарушения, контролировать действия персонала (как пользователей, так и администраторов), избегать негативных последствий для бизнеса. В конечном счете, все это является серьезным обоснованием инвестиций в корпоративную безопасность.
Однако в реальности далеко не все компании, вложившие средства в создание систем информационной безопасности, уверены, что на этапе эксплуатации их ресурсы защищены от всех существующих сегодня угроз и атак. По-прежнему не у всех руководителей есть ясная и объективная картина защищенности ресурсов и уверенность в оправданности инвестиций в корпоративную безопасность. Ведь пока в большинстве случаев становится известно только о последствиях уже произошедших нарушений, да и то лишь "ярко выраженных".
Наталья Баталова, консультант отдела продвижения и маркетинга,¶ Борис Симис, начальник отдела сопровождения систем безопасности, компания Jet Infosystems.
Основная задача на этапе эксплуатации системы — это поддержание достигнутого уровня безопасности. Данное требование является таким же жестким, как и требование обеспечения отказоустойчивости ИТ-компонентов и непрерывности работы ИС в целом. Эксплуатация информационных систем, оснащенных современными средствами защиты — довольно сложная и специфичная задача.
специфика эксплуатации защищенных ИТ-систем
Основная особенность эксплуатации средств и систем безопасности (в отличие от других ИТ-компонентов) заключается в том, что информационная система, которая сегодня надежно защищена, завтра может оказаться уязвимой, причем владелец не обязательно будет знать об этом.
Серверный комплекс может надежно работать несколько лет, не требуя внесения изменений в его конфигурацию. При этом его неработоспособность (например, поломка процессора) станет очевидной сразу. В то же время система защиты, не учитывающая появление новых угроз безопасности или неправильно эксплуатируемая, через несколько месяцев утрачивает адекватность и становится уязвимой. Причем владелец заметит это лишь тогда, когда наступят последствия хакерской атаки, проникновения вируса, халатных действий пользователей и других инцидентов безопасности. Тому есть несколько объективных причин глобального характера.
Во-первых, сложность информационных систем возрастает, и это неизменно вызывает рост числа уязвимостей в ИТ-компонентах и средствах защиты. Эти уязвимости активно используются злоумышленниками для проведения различных видов атак, организации сбоев в работе критических приложений, сетей передачи данных и в предоставлении сервисов, а также в кражах конфиденциальных данных и в других подобных действиях.
Во-вторых, появляются новые угрозы безопасности, вирусы, способы атак. Методы и инструменты проведения атак постоянно совершенствуются, скорость их распространения стремительно растет (корпоративную систему можно вывести из строя за несколько секунд), а последствия иногда оказываются катастрофическими для бизнеса.
Есть также ряд особенностей, которые могут быть в той или иной степени присущи конкретной компании и конкретной информационной системе. Например, в больших и сложных информационных системах набор применяемых решений по защите бывает достаточно широк. Используются средства защиты разных производителей, взаимосвязи между этими средствами в рамках комплексной системы безопасности довольно сложны. Кроме того, механизмы работы современных средств защиты становятся все сложнее, применяются все более тонкие методы обнаружения атак, фильтрации трафика и реализации других защитных функций (например, контекстный анализ).
Таким образом, для реального контроля безопасности ресурсов нужна целостная картина работы множества сложных взаимосвязанных средств — задача непростая как с точки зрения техники, так и для персонала, ответственного за эксплуатацию такой системы.
Еще одна проблема, особенно актуальная для обслуживания и поддержки комплексных систем безопасности, — производители постоянно выпускают новые версии продуктов, содержащие улучшения, изменения, вводящие новый функционал и программные коррекции, исправляющие ошибки. И нужно постоянно проводить мониторинг выпуска этих изменений и устанавливать их в своей системе. Не секрет, что многие уязвимости, которые использовались для осуществления атак на корпоративные системы, на момент атаки были уже обнаружены и известны производителям средств защиты или атакуемых ИТ- компонентов. Эти уязвимости можно было устранить за несколько недель или месяцев до атаки, просто установив соответствующую заплатку (патч). Чтобы уследить за всеми нововведениями, необходимо постоянно их отслеживать и проводить мониторинг такого рода событий. Если же этим не заниматься, то система безопасности довольно быстро перестанет выполнять свои задачи.
эволюция ИТ-инфраструктуры и безопасность
Определенные особенности характерны и для эксплуатации защищенных ИТ-систем, в состав и структуру которых вносятся изменения. Как показывает опыт, информационная система, обеспечивающая работу достаточно большой организации, практически никогда не бывает статичной. Расширение, добавление новых компонентов и прочие изменения — естественный и непрекращающийся процесс, поскольку ИТ- системы работают в тесной связи с основными процессами деятельности, которые меняются. Появляются новые информационные сервисы, активно внедряются новые информационные технологии, на определенном этапе возникает необходимость оптимизировать систему. Как следствие, решения по обеспечению информационной безопасности корпоративных ресурсов, принятые в процессе проектирования, быстро утрачивают соответствие той системе, ресурсы которой они призваны защищать.
Например, рост объема информации, добавление новых сегментов, увеличение количества рабочих мест снижают эффективность механизмов и процедур защиты, и для сохранения требуемого уровня защищенности ресурсов требуется масштабирование и самой системы обеспечения безопасности. Расширение возможностей ИТ-системы — добавление новых информационных сервисов и внедрение новых технологий (например, Wi-Fi) — приводит к появлению дополнительных рисков и уязвимостей в защите. Чтобы эти риски нейтрализовать, необходимо незамедлительно учесть все специфичные для новой технологии аспекты защиты информации. Поэтому в изменяющихся информационных системах важно не просто внедрить адекватные механизмы защиты, но и поддерживать заданный уровень безопасности в процессе эксплуатации. А для этого необходимо не только поддерживать работоспособность средств защиты, но и проводить разовые или периодические работы по контролю уровня защищенности ресурсов, что позволяет гарантировать этот уровень даже в условиях внесения изменений в информационную систему.
кадры решают все
Современные угрозы безопасности в принципе преодолимы, уязвимости — устранимы, и в целом задача обеспечения защиты ресурсов выполнима даже в тех сложных условиях, описанных выше, нужно только грамотно эксплуатировать и поддерживать систему безопасности. Это подразумевает проведение целого комплекса непрерывных и периодических работ, таких как техническая поддержка средств защиты, мониторинг и анализ событий безопасности, происходящих в системе, периодический контроль защищенности ресурсов, преодоление нештатных ситуаций и ликвидация последствий.
Для выполнения названных работ, во-первых, требуется соответствующее техническое и программное обеспечение, а во-вторых, нужен персонал необходимой численности, квалификации и имеющий достаточный опыт. Современные технологии безопасности действительно довольно эффективны и хороши, но они все равно не заменят человека, его мышление и опыт, особенно в преодолении критических проблем в системе защиты корпоративных ресурсов.
Многие фирмы и предприятия, в основном крупные, имеют собственные отделы, службы или даже целые управления по обеспечению информационной безопасности. На сегодня в большинстве крупных компаний есть назначенные руководители служб безопасности, несущие ответственность за защиту корпоративных ресурсов. Некоторые организации практически не привлекают внешние специализированные компании на этапе эксплуатации систем защиты, поскольку считают, что расходы на содержание собственного штата специалистов меньше, чем существующие риски для защищаемых ИТ-систем. Иногда это может соответствовать действительности, но только при выполнении целого ряда условий.
Интересный факт: половина компаний, пострадавших в 2004 г. из-за проблем в системе защиты своих ресурсов (а таких в мире по разным оценкам насчитывается до 80%!), полагали, что достаточно хорошо оснащены средствами защиты и имеют квалифицированный во всех необходимых областях персонал. Однако заметим, что в компаниях, которые в течение последнего года не пострадали (или не понесли ощутимого ущерба) от брешей в системе защиты, количество сотрудников, занимающихся данной задачей, составляет примерно 10% штата ИТ-специалистов, и это достаточно хорошее соотношение. Но таких компаний, к сожалению, меньшинство (в среднем, в мире не более четверти). Компьютерный парк быстро увеличивается, внедряются современные сложные средства автоматизации — системы управления производством, системы управления базами данных, системы документооборота, электронной коммерции и т.д., системы информационной безопасности, наконец. Но при этом штат обслуживающих подразделений увеличивается далеко не пропорционально сложности и объему подлежащих решению задач.
На практике эффективное решение задач эксплуатации и обслуживания систем безопасности силами собственного подразделения означает постоянное присутствие на предприятии персонала в необходимом количестве.
Кроме того, специалисты, занимающиеся поддержкой и обслуживанием систем безопасности, должны иметь высокую квалификацию в области информационной безопасности и смежных областях информационных технологий, поскольку набор используемых в большинстве компаний средств защиты довольно широк, а механизмы их работы усложняются год от года. Уровень подготовки персонала, ответственного за корректную и - главное - эффективную работу систем защиты, всегда должен соответствовать таким условиям работы. То есть необходимо обеспечить сотрудникам возможность проходить специализированное обучение по всему набору средств и систем защиты. В больших и сложных информационных системах выполнение этого условия также требует серьезных затрат.
Существенное значение имеет опыт работы специалистов, особенно в части преодоления нештатных ситуаций. Чем чаще они сталкиваются с нештатными ситуациями, тем более адекватны и точны будут их действия по локализации и устранению сбоев и решению других возможных проблем, тем меньше вероятность для компании понести ущерб. Такой персонал, естественно, требует соответствующего уровня оплаты труда, что для многих предприятий является непростым условием.
Обслуживание комплексных систем безопасности невозможно и без должной степени автоматизации администраторских и других эксплуатационных функций. Это означает наличие соответствующего технического и программного обеспечения для администраторов безопасности и их руководителей (начальников отделов и служб): сканеров, средств мониторинга и управления безопасностью, корреляции событий, анализа защищенности ИТ-компонентов, средств получения статистики и генерации отчетов — еще одна затратная статья.
Тем не менее, даже при выполнении всех перечисленных условий сотрудники, ответственные за защиту корпоративных ресурсов, сталкиваются с множеством проблем.
типичные проблемы для администраторов безопасности
Самая очевидная и часто встречающаяся проблема для администраторов — постоянный поток множества (тысяч или десятков тысяч) сообщений от обслуживаемых ими средств защиты и смежных ИТ-компонентов: сетевых устройств, имеющих встроенные функции защиты, межсетевых экранов, систем контроля содержимого, обнаружения атак и других. Все эти сообщения так или иначе связаны с проблемами безопасности, хотя подавляющее большинство, строго говоря, не являются критичными и не свидетельствуют о реальных атаках и других критичных событиях. Однако среди них есть малая часть событий, которые в самом деле могут нанести ущерб ресурсам защищаемой сети и требуют немедленной реакции. Администратору в таких условиях работы необходимо решать две задачи: правильно трактовать события, выделяя только те, которые действительно требуют внимания, и правильно и быстро реагировать на действительно критичные сообщения.
Очевидно, что даже при использовании средств автоматизации администраторских функций (анализа и корреляции событий от множества средств защиты) обслуживающему персоналу сложно ориентироваться в таком потоке событий, поэтому существует реальный риск отреагировать на пустое или ложное сообщение и пропустить другое, критичное и влекущее за собой тяжелые последствия.
Помимо этой проблемы, персонал службы безопасности сталкивается еще с одной: для повышения уровня понимания событий, происходящих в системе, необходимо углубляться в ИТ-специфику, однако тогда у этих сотрудников не остается времени и возможностей на анализ и другие работы, имеющие специфику именно безопасности.
Есть и другой вариант — передать ИТ-службам все вопросы, касающиеся функционирования ИТ-компонентов средств защиты. Например, система обнаружения атак сообщает о попытке взлома сервера СУБД Oracle по протоколу SQL*Net. Чтобы понять серьезность этой атаки, администратору безопасности нужно разбираться в тонкостях работы сервера Oracle на уровне администратора СУБД. И таких событий из области сетевых технологий и сетевого оборудования, веб- и других приложений, доменов Windows и Novell и других областей могут быть сотни.
Получается, что служба безопасности должна либо иметь специалистов, разбирающихся во всех областях информационных технологий, способных объективно интерпретировать события (например, аудита), либо переложить эту функцию на ИТ-службу, у которой много и своих забот.
типичные проблемы для начальников отделов и служб безопасности
Основная задача руководителей отделов и служб безопасности — обеспечение стабильного уровня защиты информационных ресурсов компании при любых условиях. Подавляющее большинство (86% в мире) руководителей таких отделов и служб отвечают за безопасность компании и отчитываются непосредственно перед высшим руководством.
Очевидно, что начальнику службы безопасности нужны эффективные средства получения информации об уровне защищенности системы в целом на настоящий момент, а также средства контроля этого уровня в динамике. В большинстве случаев бывает трудно получить такую информацию от собственных сотрудников — нужны, как минимум, специальные технические средства анализа защищенности ресурсов и методики оценки уровня защищенности, а также время. Кроме того, полученная информация не будет объективной при проведении оценки собственными сотрудниками, а не внешними компаниями-экспертами.
Поскольку ответственность за сохранение состояния защищенности информационных ресурсов компании полностью лежит на руководстве службы безопасности, именно оно должно организовать и обеспечить выполнение работ по поддержанию корпоративной системы безопасности в состоянии, соответствующем современным условиям. К таким работам относятся мониторинг новых угроз безопасности и видов атак, появляющихся достаточно часто, отслеживание узявимостей в используемом программном и аппаратном обеспечении (не только системы защиты, но и всей информационной системы). Результатом этих работ должно быть своевременное внесение соответствующих изменений в настройки средств и систем защиты и ИТ-компонентов или дополнение/модернизация системы защиты в соответствии с новыми условиями ее эксплуатации, а также изменение проектной и эксплуатационной документации на систему. Данная задача сама по себе является сложной и трудоемкой, иногда — неподъемной для существующей службы безопасности. Но в любом случае руководитель этой службы должен организовать выполнение необходимых работ (возможно, с привлечением внешней специализированной компании) и, как результат, получить четкую картину безопасности.
Еще одна сложная проблема для ответственных за безопасность лиц — поддержка уровня защищенности ресурсов информационных систем, подвергающаяся изменениям (см. главу "Эволюция ИТ-инфраструктуры и безопасность"). Те или иные изменения вносятся в структуру и состав практически каждой защищаемой ИТ-системы, и если в одних случаях они не очень существенны с точки зрения безопасности и практически не требуют изменений в систему защиты, то в других могут потребовать ее полной модернизации.
Во многих компаниях, особенно крупных и динамично развивающихся (например, у операторов сотовой связи), руководителям служб безопасности каждую неделю (если не чаще) попадают на стол проекты по развитию и модернизации ИТ-инфраструктуры, направленные на развитие бизнеса, — освоение новых рынков, предоставление новых услуг и т.д. И все эти проекты, содержащие предложения по добавлению новых сегментов, подключению новых офисов и филиалов, внедрению новых, более современных технологий, приложений и т.д., — требуют экспертизы с точки зрения информационной безопасности, во всех проектах должны быть соответствующие требования, которые впоследствии будут выражены в адекватном изменении корпоративной системы защиты. Повторим, что экспертиза ИТ-проектов с точки зрения безопасности является трудоемкой и требует высокой квалификации специалистов, и задача внедрения необходимых изменений также требует материальных и человеческих ресурсов.
проблемы для руководства компании
Результатом усилий руководителей отделов и служб безопасности должна быть работающая информационная система, ресурсы которой надежно защищены в соответствии с существующими на данный момент условиями. Это, конечно, подразумевает определенное финансирование работ. Как известно, бюджет на информационную безопасность должен составлять 10% от ИТ-бюджета. Почти в половине компаний в мире он составляет около 3%, у трети фирм — в пределах 4—6%, и только десятая часть компаний выделяет примерно 10% стоимости ИТ-системы на защиту ее ресурсов.
Для того чтобы выделять (или не выделять) средства на закупку тех или иных программно-технических средств и проведение определенных мероприятий по защите, руководство компании должно понимать, каким образом это отразится на уровне безопасности ИТ-системы и бизнеса компании в целом. Насколько корпоративные ресурсы защищены (или уязвимы) в данный момент и как эта ситуация меняется во времени? В чем реальная причина существующих проблем в защите (недостаточность используемых средств и систем безопасности, халатность персонала, невозможность заставить службу ИТ внести необходимые корректировки в настройки, потому что для них задача безопасности стоит на последнем месте и т.д.)?
Сегодня примерно треть компаний вообще не выполняют такого рода анализ и не проводят контроль уровня защищенности своих ресурсов. Часто необходимые средства на информационную безопасность не выделяются, а работы не проводятся до тех пор, пока "гром не грянет" (такие ситуации бывают на руку компаниям, специализирующимся в этой области), и только в одной трети фирм в мире должный контроль проводится на регулярной основе.
Статистика также показывает, что отчеты руководству о состоянии информационной безопасности компании, существующих рисках и инцидентах предоставляются недостаточно качественно, полно и часто. Чуть более трети компаний составляют отчеты о состоянии безопасности ежеквартально или даже раз в полгода, еще треть не делают этого вовсе или, в лучшем случае, готовят некие специальные отчеты по особым случаям. Руководству компании (в отличие от администраторов безопасности и руководителей соответствующих отделов и служб) нужен короткий и внятный отчет-обоснование, для чего ему вкладывать средства в безопасность ресурсов, или отчет-оценка эффективности инвестиций в защиту корпоративных ресурсов. Зачастую (даже при наличии соответствующих средств получения статистики и генерации отчетов о состоянии безопасности ресурсов) сотрудникам и руководителям отделов и служб безопасности сложно собрать подробные технические отчеты и преобразовать их в аргументированное обоснование затрат. Здесь есть и технические сложности, и проблемы выбора действительно необходимых мер и средств защиты, адекватных по стоимости и другим критериям. Отчасти по этой причине руководство может не осознавать уязвимости своего бизнеса и его зависимости от надежной и безопасной работы информационной системы.
проблемы взаимодействия подразделений
Очевидно, что обеспечение и контроль защищенности ресурсов информационной системы — общая задача руководителей служб ИТ и безопасности. В некоторых ситуациях сотрудникам службы безопасности нужно контролировать работу службы ИТ. Это, например, уже упоминавшиеся задачи развития ИТ-инфраструктуры, которые требуют не только соответствующих средств и мер защиты, но часто и внесения изменений собственно в ИТ-проекты (настройки ИТ-компонентов, схемы их подключения и т.д.), если такие изменения продиктованы соображениями безопасности. Существуют также и повседневные, более мелкие задачи, требующие согласованного взаимодействия нескольких служб (ИТ-подразделения, службы информационной безопасности, службы охраны, HR-подразделения и т.д.). Например, прием на работу нового сотрудника, выделение ему рабочего места, предоставление полномочий доступа и т.д.
По нашему наблюдению, взаимодействие служб ИТ и безопасности не всегда достаточно эффективно для решения поставленных задач. Надо отметить нечетко очерченное разделение сфер ответственности и обязанностей между всеми участниками процесса обеспечения информационной безопасности, существует "конфликт интересов" между этими службами (в службе ИТ задачи информационной безопасности часто имеют низкий приоритет). В комплексе с вышеназванными кадровыми и другими проблемами все это вызывает сложности с реальным контролем защищенности эксплуатируемой системы, с адекватным реагированием на нештатные ситуации и т.д.
пользователи
Эту категорию сотрудников полезно рассмотреть, поскольку именно они занимаются эксплуатацией защищенных рабочих мест и используют защищенные информационные и иные ресурсы компании. В связи с этим дисциплина и грамотность пользователей имеет большое значение для обеспечения информационной безопасности предприятия. В то же время пользователи на предприятиях часто считают, что защита информации не входит в их обязанности и является навязанной функцией. Последнее время в условиях быстрого роста автоматизации деятельности предприятий средний уровень знаний, навыков и профессионализма пользователей часто отстает. А это означает, что небрежность действий сотрудника может иметь весьма серьезные последствия — от нарушения работы его собственной рабочей станции до блокирования критичных для компании подсистем и сервисов (например, систем электронной почты или веб-сервисов). Тем самым все усилия предприятия по построению корпоративной системы защиты будут сведены на нет. Предоставление или ограничение прав доступа — еще одна проблема на многих предприятиях: пользователи обращаются к администраторам с просьбой предоставить доступ к ресурсам (внутренним или внешним), которые им на самом деле не нужны (по крайней мере, в рабочее время), или предоставить им расширенные (административные) права в какой-либо системе (своей рабочей станции), чтобы иметь возможность самостоятельно устанавливать и настраивать "нужное" им программное обеспечение. Администратор может отказать, если имеет соответствующие инструкции, но бывают ситуации, когда довольно высокая должность сотрудника, обратившегося с просьбой о расширении своих прав, или дружба с ним не позволяют этого сделать. В случае недостаточной квалификации и дисциплины такого сотрудника негативные последствия могут быть весьма ощутимыми.
Масштаб бедствия окажется еще больше, если внутренний сотрудник будет преднамеренно выполнять определенные действия против собственной компании, поскольку законный пользователь имеет для этого массу возможностей и способов, в том числе простых для использования и не требующих от него особой квалификации или знаний.
Статистика показывает, что в 2004 г. основные источники проблем с безопасностью (а отмечены они у 80% компаний) были внешние, а в течение первого полугодия 2005 г. у большинства фирм, пострадавших от брешей в системах защиты (всего за шесть месяцев пострадали уже около 30% компаний), источники были именно внутри компании. По некоторым оценкам, сегодня на долю внутренних сотрудников приходится свыше 70% всех нарушений в системах безопасности. Доля финансовых потерь от внутренних источников также продолжает стремительно увеличиваться с каждым годом.
Рис 1. Причины нарушений в работе защищенных ИС, март 2005 г.
Как видно из диаграммы (Рис. 1), треть всех проблем в защите составляют неумышленные (халатные) действия. Среди остальных инцидентов, связанных с использованием существующих уязвимостей в компонентах информационных систем и "слабых" настроек ИТ-компонентов, есть атаки, совершаемые внутренними злоумышленниками (именно такие атаки наиболее опасны). Это подтверждает, что сейчас защита информационных ресурсов и технологий от недобросовестного или просто халатного легального пользователя стала очень важной, причем по сравнению с уже известными и хорошо освоенными областями информационной безопасности, она требует особого подхода и применения специальных программно-технических средств. Решение этой задачи обязательно должно быть включено в комплекс работ, проводимых на предприятии в процессе эксплуатации защищенных информационных систем.
Рис 1. Причины нарушений в работе защищенных ИС, март 2005 г.
в результате...
Как видно из вышеизложенного, главное для предприятий, эксплуатирующих защищенные информационные системы, — владение информацией о реальном уровне безопасности (или уязвимости) корпоративных ресурсов и контроль над ним. Это означает, кроме прочего, и возможность эффективно воздействовать на этот уровень, то есть выявлять и пресекать нарушения, контролировать действия персонала (как пользователей, так и администраторов), избегать негативных последствий для бизнеса. В конечном счете, все это является серьезным обоснованием инвестиций в корпоративную безопасность.
Однако в реальности далеко не все компании, вложившие средства в создание систем информационной безопасности, уверены, что на этапе эксплуатации их ресурсы защищены от всех существующих сегодня угроз и атак. По-прежнему не у всех руководителей есть ясная и объективная картина защищенности ресурсов и уверенность в оправданности инвестиций в корпоративную безопасность. Ведь пока в большинстве случаев становится известно только о последствиях уже произошедших нарушений, да и то лишь "ярко выраженных".
Наталья Баталова, консультант отдела продвижения и маркетинга,¶ Борис Симис, начальник отдела сопровождения систем безопасности, компания Jet Infosystems.
Сетевые решения. Статья была опубликована в номере 01 за 2006 год в рубрике save ass…