Главная страница - Конъюнктурный анализ средств безопасности

Компьютерная безопасность.



Вместо введения приведем следующее, несколько шокирующее сообщение, весьма ярко иллюстрирующее то положение дел, которое мы имеем с компьютерной безопасностью (здесь и далее в работе воспользуемся материалами, опубликованными в открытой печати, в частности на сайтах www.itsec.ru  и www.cnews.ru):

• (Новость от 01.02.2006) под названием «ИТ-безопасность: никто не готов к новым угрозам». Компания Ernst&Young провела ежегодный глобальный опрос ИТ-руководителей о проблемах информационной безопасности. Как оказалось, пропасть между угрозами ИТ-безопасности и тем, что делается для защиты от них, стала еще шире. Компания Ernst&Young выпустила очередную, восьмую, версию своего ежегодного отчета "Global Information Security Survey 2005". В опросе приняли участие высшие исполнительные лица более 1,3 тыс. коммерческих и государственных организаций в 55 странах мира, включая Россию. Основную массу респондентов составили директора информационных служб (CIO) и отделов ИТ-безопасности (CSO). Наиболее общим и, пожалуй, самым значимым выводом из этого исследования явилось то, что пропасть между угрозами ИТ-безопасности и тем, что делается для защиты от них, стала еще шире. Другими словами, риски, вызванные постоянным развитием бизнеса во всем мире, эволюционируют так быстро, что специалисты по ИТ-безопасности не успевает адекватно отреагировать на них. Эксперты компании Ernst&Young посчитали эту тенденцию настолько важной, что даже включили слова "Отчет о расширяющейся пропасти" ("Report on Widening Gap") в название своего исследования.

Честно говоря, в это не хочется верить. Попробуем провести собственное исследование и каким-либо способом оценить, а насколько все действительно ужасно. Если же наши опасения подтвердятся, попытаемся ответить на вопрос, а что же мы противопоставляем «расширяющейся пропасти», что мы делаем, чтобы адекватно отреагировать на риски ИТ-безопасности. С этой целью рассмотрим основу основ ИТ-безопасности – компьютерную безопасность.

Только факты.

В качестве критерия оценки эксплуатационной (реальной) безопасности системного средства целесообразно рассматривать коэффициент его готовности обеспечивать защиту информации в процессе эксплуатации. Тогда в качестве основных параметров защиты следует рассматривать интенсивности отказов и восстановления средства защиты.

Под «отказом» средства защиты понимается обнаружение уязвимости системного средства (например, это могут быть ошибки в реализации ОС, либо приложений), которая потенциально может привести к несанкционированному доступу к информации.

Под интенсивностью отказов средства защиты (интенсивностью обнаружения уязвимостей средства защиты) понимаем интенсивность обнаружения в нем уязвимостей в единицу времени.

Под интенсивностью восстановления средства защиты после отказа (обнаружения уязвимости) понимаем интенсивность устранения в нем уязвимостей в единицу времени.

Сначала рассмотрим статистику обнаружения уязвимостей в ОС. Проиллюстрируем положение дел некоторой подборкой новостей, опубликованных в открытой печати:

• (Новость от 02.12.2005). Несовершенство операционных систем и программного обеспечения — едва ли не главная причина колоссального ущерба, нанесенного мировой экономике компьютерными злоумышленниками. Большинство хакерских атак становится возможными из-за наличия уязвимостей в существующих ОС и ПО. В Сети появляется все больше вредоносного кода, который использует их для проникновения в компьютеры, выполнения запрограммированных действий и дальнейшего своего распространения. Статистика показывает, что количество уязвимостей растет год от года. С одной стороны, это связано с тем, что год от года растет количество ПО, а с другой, с тем, что сейчас уязвимости ищутся намеренно, как хакерами, так и компаниями производителями ПО и ОС. Первые преследуют криминальные цели — использовать «дыру» для получения доступа к чужим информационным ресурсам, вторые — чтобы не испортить свою репутацию и обезопасить информационные ресурсы своих клиентов.
По данным mi2g ежегодно хакерами взламывается до 90% сетей предприятий.

Динамика роста обнаруженных уязвимостей представлена на рис.1.

* — за 7 месяцев

Рис.1. Динамика роста обнаруженных уязвимостей

• (Новость от 12.01.2006). В минувшем (2005) году в ОС Windows было выявлено 812 «дыр» (исследования US-CERT). Специалисты из McAfee отмечают, что из 124 «дыр», обнаруженных в Windows XP Professional на сайте Secunia (Security Provider), 29 так и осталось не устраненными, что дало компании основание присвоить Windows статус критически опасной ОС.

• (Новость от 10.10.2006). Корпорация Microsoft в рамках ежемесячного обновления своих программных продуктов намерена на этой неделе выпустить одиннадцать патчей. Как сообщается в предварительном уведомлении, в операционных системах Windows различных версий выявлены шесть уязвимостей. Некоторые из них охарактеризованы как критически опасные и могут использоваться злоумышленниками с целью выполнения на удаленных компьютерах произвольных деструктивных операций. Четыре дыры найдены в офисных приложениях. По крайней мере, одна из них получила статус критически опасной. Кроме того, Microsoft выпустит заплатку для .NET Framework.

• (Новость от 07.11.2006). Microsoft распространила предупреждения о том, что во всех операционных системах Windows, кроме Server 2003, обнаружена очень опасная уязвимость, которая к тому же уже активно используется злоумышленниками. Уязвимость затрагивает механизм Microsoft XML Core Services 4.0, который тесно связан с XMLHTTP 4.0 ActiveX Conspanol. Уязвимость позволяет атакующему получить полный контроль над системой и компьютерными ресурсами. По словам представителей компании, эксплоит для этой уязвимость может распространяться при помощи спама и сторонних сайтов. В самой Microsoft никак не охарактеризовали опасность бага, однако специалисты по безопасности из компании Secunia охарактеризовали уязвимость как "экстремально опасную". В Microsoft пока не выпустили исправления для этой уязвимости.

• (Новость от 20.02.2007). Компания Microsoft опубликовала свои ежемесячные бюллетени безопасности. На этот раз в них вошли 12 патчей, исправляющие 20 уязвимостей. И один из них уже предназначен для новой операционной системы Windows Vista. Ее уязвимость находится в механизме защиты от вредоносных кодов, который может позволить выполнение удаленного кода.

• (Новость от 02.03.2007) В операционной системе Windows Vista, поступившей в широкую продажу 30 января, обнаружена одна из первых уязвимостей. Дыру в системе User Account Conspanol обнаружили специалисты компании eEye. Из соображений безопасности подробная информация об уязвимости не разглашается. Известно лишь, что задействовать ее может локальный пользователь с целью повышения уровня собственных привилегий в системе. Впрочем, удаленный злоумышленник также может воспользоваться брешью в том случае, если уже имеет доступ к компьютеру. Компания eEye проинформировала корпорацию Microsoft о дыре еще 19 января, однако патча пока выпущено не было…

• (Новость от 10.01.2007). Microsoft оставила Word под угрозой. Microsoft выпустила ежемесячное обновление безопасности, закрывшее 10 уязвимостей, включая критические в Office и Windows. Однако серьезные "дыры" типа "zero-day" в текстовом редакторе Word остались незакрытыми. Хакеры в последние месяцы уделяли повышенное внимание незакрытым уязвимостям в Word и Excel для проведения узконацеленных атак. Обычно их жертва получает электронное письмо с инфицированным вложением и текстом в теле письма, заманивающим открыть это вложение. В конце прошлого года было найдено множество уязвимостей офисного пакета Microsoft типа «zero-day», то есть они становились известными хакерам еще до выпуска соответствующего патча производителем. Причем многие из этих «дыр» обнаруживались и начинали активно эксплуатироваться хакерами сразу после выхода ежемесячного обновления безопасности софтверного гиганта, что говорит о приспособлении компьютерных преступников к графику выпуска патчей. Эксперты института SANS заявляют, что ко всем «залатанным» вчера уязвимостям, кроме как в Excel, существуют эксплойты. Минимум 3 уязвимости Word остаются незакрытыми, для их использования в арсенале хакеров также есть эксплойты. Возможно, что данная проблема будет решена с помощью внеочередного обновления безопасности Microsoft. Пока же пользователям остается быть бдительными и не открывать вложения форматов Word в письмах от недоверенных лиц.

Возможно, что подобное положение дел касается только одного конкретного системного средства. Отнюдь. Подтвердим сказанное:

• (Новость от 08.06.2005) Нарушение конфиденциальности информации – самая большая внутренняя ИТ-угроза":
- "Величина ущерба от действий хакеров разнится. Если по 2003 году исследователи более-менее пришли к общему мнению и определились, что сумма составляет 17 млрд. долларов, то по 2004 году оценки совершенно разные. По данным исследовательской компании Datamonitor, мировой экономический ущерб от хакерских атак - явных и скрытых - может достигнуть 155,5 млрд. долларов. По мнению экспертов, ежегодно хакерами взламывается до 90% сетей предприятий;
- Один из основных элементов безопасности - это операционная система компьютера. Британские исследователи из группы mi2g наиболее безопасными платформами считают Apple Mac OS X и открытую версию UNIX - BSD (Berkeley Software Disspanibution). Операционные системы Linux и Microsoft Windows, напротив, были признаны слабо защищенными. Свои выводы специалисты mi2g сделали, проанализировав 235 тыс. успешных хакерских атак, проведенных во всем мире с ноября 2003 по октябрь 2004 года;
- Среди компьютеров под управлением ОС Linux взломанными оказались 65%, под управлением Windows - 25%.

Следуя данной новости, появляется надежда на то, что все-таки можно отыскать те ОС, которые можно отнести к безопасным? Но вот очередная новость:
• (Новость от 15.03.2007). Apple устранила почти полсотни уязвимостей в Mac OS X. Компания Apple выпустила очередное комплексное обновление для операционной системы Mac OS X. Комплект обновлений Security Update 2007-003 содержит заплатки для 45 уязвимостей в различных компонентах операционной системы. Дыры, в частности, устранены в ядре программной платформы, модулях ColorSync, CoreGraphics, ImageIO, а также сетевой подсистеме Mac OS X. Несколько патчей закрывают уязвимости в продуктах сторонних производителей, в частности, плеере Adobe Flash Player, сервере MySQL и OpenSSH. Уязвимости имеют различную степень опасности. Большинство дыр могут быть использованы киберпреступниками с целью проведения DoS-атак или повышения собственных привилегий в системе. Однако несколько уязвимостей теоретически обеспечивают возможность получения несанкционированного доступа к удаленному компьютеру и последующего выполнения на нем произвольного вредоносного кода.

Теперь, в нескольких словах, об интенсивности исправления уязвимостей в ОС. На наш взгляд, весьма показателен следующий пример. Обратимся к публикации К.Касперски «Обзор эксплойтов» в журнале «Хакер» от декабря 12(96) 2006, см. стр.60-65. Это популярный журнал, тем интереснее. Приведем без комментариев несколько выдержек из этой статьи «Просто поразительно, как гиганты компьютерной индустрии реагируют на сообщения об ошибках, которые они не могут исправить. 22 октября 2004 года основатель группы Argeniss Information Security и ее CEO в одном лице – Cesar Cerrudo обнаружил серьезнейшую ошибку в Windows, о чем тут же сообщил в Microsoft. Но та продолжила выпускать дырявые операционные системы, а для уже существующей заплатка отсутствует и по сей день». Следующая выдержка «…система не препятствует ремапингу секции с атрибутами чтения/записи, что позволяет любому локальному пользователю проникнуть на уровень ядра…». Далее «По заявлению Argeniss Research Team, уязвимости подвержены W2K (до W2K SP4) и XP (до XP SP2) и не подвержены Server 2003 и Vista beta 2». Что же нам, как потребителям, рекомендует автор этой статьи «Официальной заплатки от Microsoft до сих пор нет, и все, что нам остается – это мигрировать на Server 2003 или Vista, в которых огрехи проектирования без лишнего шума были устранены (но, как известно, исправляя одну ошибку, Microsoft добавляет десяток новых; Vista – это не вариант, а вот над переходом на Server 2003 можно подумать)».

Чудовищно, критическая уязвимость существует более двух лет и не исправляется производителем. В это трудно поверить! Однако, исходный код эксплойта для данной уязвимости, в подтверждение сказанному, автор привел в своей статье. Заметим, что описанная атака не так и критична – в результате запуска эксплойта увидим «синий экран». Однако сам автор заявляет, что это лишь один из примеров, и существует возможность реализации иных воздействий на компьютер.

Что же делать? А возможно только одно решение – использовать добавочные средства защиты информации, причем, желательно те из них, которые позволяют противодействовать атакам на уязвимости ОС, связанные с архитектурными недостатками системных средств и ошибками программирования в системном и прикладном ПО! Возможно, читатель предложит иные рецепты?

Что же мы противопоставляем «расширяющейся пропасти»?

Мы провели небольшое количественное исследование, которое показывает, что необходимый уровень защищенности ОС при работе с конфиденциальными данными недостижим даже теоретически. Что же делать? А возможно только одно решение – использовать добавочные средства защиты информации, причем, желательно те из них, которые позволяют противодействовать атакам на уязвимости ОС, связанные с архитектурными недостатками системных средств и ошибками программирования в системном и прикладном ПО! Возможно, читатель предложит иные рецепты?

А вот теперь, самое интересное. Ранее мы видели, что в мире «бьют тревогу» и тому есть весьма веские причины. Работа на незащищенных компьютерах чревата, и, к сожалению, не только (а возможно, и не столько) потенциальной угрозой хищения конфиденциальной информации. В этом случае появляется угроза выведения из строя не только отдельных компьютеров, но и целиком корпоративных сетей!
Поневоле хочется узнать, как мы-то реагируем на сложившуюся ситуацию.

А для ответа на этот вопрос, прежде всего, обратимся к одному интересному исследованию:

• (Новость от 18.10.2006). Российский рынок средств защиты информации сегодня развивается довольно динамично. При этом в нашей стране отмечается значительное ежегодное увеличение количества зарегистрированных преступлений в сфере компьютерной информации. Следует отметить, что свыше 99% правонарушений совершается умышленно. Несмотря на то, что проблема информационной безопасности с каждым годом становится все острее, некоторые промежуточные результаты исследования "Средства защиты информации от несанкционированного доступа", проводимого журналом "Информационная безопасность/Information Security" (компания "Гротек") носят парадоксальный характер. Большая часть опрошенных (39,8%) считают, что отечественные компании и организации весьма неохотно идут на увеличение расходов на информационную безопасность (см. диаграмму, рис.3). Для сравнения: в большинстве зарубежных компаний, затраты на информационную безопасность составляют в среднем около 15% от бюджета информационных технологий компаний.




Рис. 3. Результаты исследования

Что обусловливает подобное отношение к ИТ-безопасности – непонимание проблемы, безответственность, незнание возможных путей решения? Честно говоря, у автора нет ответа на этот вопрос.
Но рынок есть рынок. Есть спрос, будет и предложение. Достаточно познакомиться с тем, как позиционируют возможность применения сертифицированной по требованиям безопасности ОС Windows XP Professional некоторые поставщики услуг в области защиты информации:
«Применение сертифицированной ОС Microsoft позволяет легально обрабатывать на клиентских рабочих местах конфиденциальную информацию, защищаемую в соответствии с законодательством Российской Федерации.

Преимущества использования сертифицированной ОС:
• эффективный механизм настройки параметров безопасности операционной системы;
• отсутствие необходимости установки дополнительных сертифицированных «наложенных» средств защиты информации и, как следствие:
• повышение скорости, устойчивости обработки информации;
• снижение стоимости защищенного автоматизированного места;
• снижение требований к объему знаний администратора безопасности;
• периодическое обновление операционной системы вместе с дополнительными «опциями безопасности»;
• выполнение требований нормативных документов, регламентирующих применение защищенных автоматизированных систем».

Не правда ли, следуя результатам исследований, приведенным на рис.3, можем сделать вывод, что подобное решение проблем информационной безопасности на сегодняшний день будет востребованным!
Самым, на наш взгляд, шокирующим в позиционировании подобного решения является следующее «снижение требований к объему знаний администратора безопасности». Но нельзя же отрицать очевидное, что без соответствующей квалификации лиц, отвечающих за решение задач защиты информации, эффективно эти задачи решены быть не могут. Квалификация – это же основа основ, особенно в такой сложно области знаний, как информационная безопасность!

Проведение сертификационных испытаний (проверка функционала) системного средства, дающее право легально обрабатывать на клиентских рабочих местах конфиденциальную информацию – это, безусловно, хорошо. Но при чем же здесь все остальное - квалификация администраторов безопасности, отсутствие необходимости установки дополнительных сертифицированных «наложенных» средств защиты информации, призванных решать совершенно иные задачи, в частности, задачи повышения уровня эксплуатационной безопасности системного средства. А как еще обеспечить эффективную защиту?

Что же нам ожидать, будет ли преодолеваться сложившийся кризис в ИТ-безопасности в нашей стране (иначе, как кризисом, отношение к ИТ-безопасности, проиллюстрированное на рис.3, назвать сложно).

Обратимся к статье «Сколько стоит утечка на самом деле?», опубликованной 16.03.07 на сайте www.cnews.ru, к которой представлено интересное исследование.

В исследовании "2006 Annual Study — Cost of a Data Breach", проведенном Ponemon Institute (было опрошено 9 тыс. человек), респонденты рассказывали, как они поступили бы с провинившейся компанией. Выяснилось, что подавляющее большинство граждан (59%) либо уже отказалось от услуг ненадежной фирмы (под «провинившейся» в статье понимается компания, не обеспечивающая должного уровня ИТ-безопасности), либо собирается прервать сотрудничество в ближайшем будущем, что проиллюстрировано на рис.4.



Источник: Ponemon Institute, 2006

Рис.4. Действия клиента в случае компрометации приватных данных

Как отмечается в статье, для коммерческих предприятий именно отношение клиентов зачастую является главной целью. Если лояльные клиенты рассержены и покидают компанию или даже переходят к конкурентам, то дела такой компании плачевны, поэтому наибольший ущерб приносят отнюдь не прямые и косвенные убытки на выявление и устранение утечек, а снижение привлекательности торговой марки или ухудшение репутации.

На наш взгляд, рано или поздно, но руководители предприятий осознают столь очевидную истину, что ИТ-безопасность сегодня играет весьма заметную роль в бизнесе любой компании, и к ее обеспечению на предприятии необходимо относиться очень серьезно. В противном случае возможны необратимые последствия для любой компании. Доверие клиентов легко потерять, трудно вернуть!

В заключение отметим, что, конечно же, далеко не все одинаково относятся к вопросам защиты информации. Но, настораживает то, какой процент отечественных компаний и организаций на сегодняшний день (это мы видим из результатов исследования, представленных на рис.3), не задумываются на тему серьезности существующих проблем в области ИТ-безопасности, не видят назревшей необходимости квалифицированного решения задач защиты информации. А ведь время идет и «пропасть расширяется»! Не пора ли нам «взяться за ум»?

А.Ю.Щеглов, д.т.н, проф. ЗАО «НПП «Информационные технологии в бизнесе» www.npp-itb.spb.ru




Похожие по содержанию материалы раздела: Опeративные IT-бригады в борьбе с кибер-терроризмом Генпрокурор оценил поддельный приговор Управление факторами риска региональной политики холдинга – 3 (окончание). (Мнение экономиста в штатском). Технологии инвестиционной безопасности — основной элементреализации инвестиционной стратегии Терминология терроризма SMS: орудие бунтующих масс ПСИХОЛОГИЯ БЕЗОПАСНОСТИ Ядерный алгоритм Ритейлеры не справляются с ворами Почему суд присяжных снова оправдал убийц В Мосгордуме обсудили возможные изменения в законодательстве для борьбы с рейдерством Россия совершенствует законодательство по борьбе с отмыванием денег Книга "Разведывательное и контрразведывательное обеспечение финансово-хозяйственной деятельности предприятия" Горячее будущее человечества "Жидкая смерть". В поиске первоисточника и составных частей суррогата Коррупция интернешнл НОВЕЙШИЕ ДОСТИЖЕНИЯ ТЕХНИЧЕСКОГО ПРОГРЕССА В ОБЛАСТИ ЗАЩИТЫ ИНФОРМАЦИИ Родину-мать не ругать! Bода – самый грозный вызов человечеству

(c) 2008
Видеонаблюдение,
охранная и
пожарная сигнализация