БЕЗОПАСНОСТЬ
В начале нового года принято подводить итоги года минувшего. Я тоже не отступлю от этой традиции и рассмотрю в статье, какие тенденции наметились в области информационной безопасности.
Хакеры всех стран, объединяйтесь!
Несмотря на то что многие хакеры называют себя глубоко аполитичными людьми, зачастую это не соответствует действительности. Битвы на политической арене ведут за собой всплески и хакерской активности. Так было во время активных боевых действий в Чечне в конце 90-х годов, так было во время войны в Югославии в 2000-м, так было и в 2001 г.
Например, противостояние Китая и Тайваня, а также инцидент с американским самолетом-разведчиком, посаженным в Китае, вылились в то, что два ранее малоизвестных домена .cn (Китай) и .tw (Тайвань) вышли на второе и третье места по числу взломанных Web-серверов (разумеется, после домена .com) - 9% от числа всех взломанных сайтов (у домена com - 36%). Кстати, российский сегмент Интернета не может похвастаться большим числом взломов - меньше 1%.
Число взломанных серверов в Израиле, Индии и Пакистане тоже возросло вследствие нестабильности политической обстановки в этих странах - на 220, 205 и 300% соответственно.
Общее же количество взломов в первый год третьего тысячелетия увеличилось в несколько раз по сравнению с 2000 г. Например, по данным немецкой группы Alldas, число взломанных серверов возросло с 4393 в 2000 г. до 22 379 в 2001-м (в 1999-м было всего 1079). И хотя эти цифры немного отличаются от названных английской компанией Mi2g (30 388), все же рост числа взломов за прошедший год очень значителен.
Еще одна интересная цифра, которую приводит группа Alldas: на 60,82% всех взломанных серверов были установлены операционные системы компании Microsoft. На втором месте идет ОС Linux - 19,5%. Такой отрыв объясняется эпидемиями Интернет-червей RedCode, Blue Code, Nimda и т. д. Недаром 19 сентября 2001 г. консалтинговая группа Gartner Group порекомендовала отказаться от организации Web-узлов на базе MS Internet Information Server и предложила использовать для этих целей другие альтернативы (iPlanet или Apache).
Обнаружение атак - на высоте
Проводимый Институтом компьютерной безопасности (Computer Security Institute) и ФБР ежегодный опрос “2001 CSI/ FBI Computer Crime and Security Survey” (www.gocsi.com/prelea/000321.html) показал, что средства обнаружения атак стали использоваться существенно чаще, чем в предыдущем году, - 61% против 50%. То же самое и с межсетевыми экранами - 95% в 2001 г. против 78% в 2000 г.
Аналогичный опрос, проведенный в России представительством компании Ernst & Young в 2001 г. (www.cnews.ru/comments/security/ey_survey_rus.shtml), показал сопоставимые результаты - 38 и 76%. Однако, по правде говоря, я не вполне доверяю этим цифрам - зная целевую аудиторию этой фирмы, можно предположить, что она опрашивала только крупные российские компании, где гораздо лучше, чем в целом по стране, понимают необходимость применения средств защиты информации.
А вот антивирусные системы одинаково часто используются и в России, и за рубежом. Так, по данным CSI/FBI, 98% компаний применяют эти средства. В России - 96%. Такая повсеместная востребованность антивирусов связана с их дешевизной, а также с видимыми проявлениями деятельности вирусных инфекций.
Атаки изнутри и атаки снаружи
Можно отметить изменение соотношения числа атак изнутри и снаружи. Если раньше это соотношение описывалось правилом 80/20 (80% атак исходило изнутри), то сейчас соединение с Интернетом стало чаще использоваться для несанкционированных действий - почти 70% респондентов опроса CSI/FBI зафиксировало атаки из Интернета. Изнутри же атаки были зафиксированы в 31% компаний.
Распределение источников атак также осталось почти неизменным:
- Независимые хакеры - 81% (в 2000 г. - 77%).
- Конкуренты - 49% (в 2000 г. - 44%).
- Сотрудники - 76% (в 2000 г. - 81%).
А вот тип атак изменился достаточно существенно. Например, если в 2000 г. неавторизованный доступ со стороны сотрудников был зафиксирован в 71% компаний, участвующих в опросе CSI/FBI, то в первый год тысячелетия число таких компаний сократилось на 22%. Зато возрос процент злоупотреблений со стороны сотрудников (использование e-mail в личных целях, загрузка порнографии, покупки в Интернет-магазинах) - с 79% до 91%. Именно с этим связано усиление интереса российских компаний к средствам контроля содержания (например, семейство MIMEsweeper), о чем свидетельствует тот факт, что за последний год в России увеличилось число публикаций и семинаров на эту тему. Кстати, 74% зарубежных компаний контролируют использование сотрудниками Интернета, 72% отслеживают содержание электронной почты и 51% прослушивают телефонные переговоры.
Основные финансовые потери происходят вследствие вирусных эпидемий. На втором месте, как ни странно, находятся кражи ноутбуков (хотя для России эта беда пока еще не актуальна - по данным Ernst & Young, всего 2% российских компаний столкнулось с этой напастью). Третье место закономерно занимают вышеназванные злоупотребления. Возросли потери от проникновения в сеть внешних хакеров и кражи конфиденциальной информации, а вот потери от саботажа, финансовых мошенничеств, несанкционированного доступа и атак типа “отказ в обслуживании” уменьшились. При этом потери от телекоммуникационных мошенничеств сократились практически в 5 раз.
Уже упомянутые эпидемии Интернет-червей повлияли на число компаний, встретившихся с вирусами, - 94%. В 2000 г. таких компаний было только 85%.
Рот на замок
Интересны цифры, показывающие, почему компании не стремятся рассказывать о случаях проникновения в их сети даже государственным организациям, призванным решать вопросы информационной безопасности:
- “Мы боимся негативного отношения к нам со стороны внешних организаций” - 90% (в 2000 г. эта цифра составляла всего лишь 52%).
- “Наши конкуренты могут получить преимущество” - 75% (в 2000 г. - вдвое ниже - 39%).
- “Мы не знали, что надо о чем-то сообщать” - 54% (в 2000 г. - в четыре раза ниже - 13%).
Однако число компаний, заявивших о проникновении в свои сети, тоже возросло - с 25% в 2000 г. до 36% в 2001-м.
Заключение
Следует отметить, что, несмотря на постоянные исследования в области информационной безопасности и появление новых средств защиты информации, тенденция такова, что число атак и злоупотреблений растет. Растут и потери компаний вследствие этих несанкционированных воздействий со стороны внешних и, что немаловажно, внутренних злоумышленников.
С автором статьи можно связаться по адресу: luka@infosec.ru.
