По обнародованным недавно данным зарубежных опросов, тенденции в области информационной безопасности носят все более угрожающий характер: если в 1994 г. только 35% организаций имели серьезные проблемы из-за нарушения безопасности информационных систем, то в 1997 г. - уже 45%, а прогноз на 2000 г. - 60%. Связано это с тем, что мощность вычислительных средств постоянно растет и на вскрытие какой-либо информационной системы теперь требуется гораздо меньше времени и материальных затрат. Если убытки от кражи коммерческой информации в 1997 г. составили менее 1 млрд. долл., то в 1999 г. эта сумма оценивается уже в 43 млрд. долл., а на самом деле урон еще больше, так как около 50% компаний суммы потерь называть отказываются.
Все эти данные прозвучали 25 ноября в московском Доме ученых, где фирма Jet Infosystems провела семинар “Аудит безопасности информационных систем”.
Аудит безопасности информационных систем позволяет получить данные о том, насколько защищены компьютерные системы, сети, БД и т. д. На данном семинаре речь шла об активном аудите, обеспечивающем выявление злоумышленных и нетипичных действий пользователей. К первым относится незаконное приобретение полномочий и незаконные действия в рамках уже имеющихся полномочий. Во втором случае прямого нарушения политики безопасности не происходит, но, как правило, “нетипичность” является следствием либо некорректной (или сознательно измененной) работы аппаратуры/программ, либо действий злоумышленников, маскирующихся под легальных пользователей.
Активный аудит - средство, дополняющее традиционные защитные механизмы, поскольку, как сказал один из выступивших на семинаре, “помимо строительства заборов приходится заботиться об "отлавливании" тех, кто смог через эти заборы перелезть”. Как отмечалось на семинаре, системы активного аудита (САА) должны быть интегрированы с общей системой защиты: на передних рубежах защиты их разумно использовать совместно со сканерами безопасности, определяющими уязвимости информационной системы, а на последнем рубеже - вместе со средствами контроля целостности данных. Поскольку САА выполняют типичные управляющие функции и в этом смысле сходны с подсистемами сетевого управления, их также имеет смысл интегрировать со средствами управления сетью.
Рынок САА растет стремительно: если в 1997 г. он оценивался в 40 млн. долл., то к 1998 г. вырос до 100 млн., а в 2000 г., по прогнозам, достигнет 600 млн. долл. Уже появились довольно развитые системы и адекватные решения в области активного аудита и начинают формироваться стандарты, обеспечивающие взаимодействие компонентов САА разных производителей и систем безопасности в целом. Над их созданием трудятся Рабочая группа по обнаружению вторжений (Intrusion Detection Working Group, IDWG) Тематической группы по технологиям Интернета (Internet Engineering Task Force, IETF), а также группа исследовательских организаций, финансируемых агентством DARPA.
На семинаре были рассмотрены методы активного аудита, САА, наиболее интересные с точки зрения архитектуры или реализованных в них идей, а также критерии выбора систем безопасности, предлагаемых разными поставщиками. Было отмечено, что, хотя должно пройти еще 3 - 5 лет, прежде чем коммерческие системы активного аудита станут пригодными для массовой эффективной эксплуатации, уже сейчас их можно использовать для повышения безопасности критически важных сервисов или отдельных участков сети.
