БЕЗОПАСНОСТЬ
В последнее время все больше проводится семинаров и конференций, посвященных вопросам защиты информации. Присутствующие на них профессионалы пытаются убедить сотрудников и руководителей отделов защиты информации различных банков, нефтяных компаний и других организаций приобрести те или иные средства защиты. Большинство выступлений посвящено либо продвижению определенного продукта (решения), либо теоретическим вопросам, далеким от специалистов-практиков. Однако самое интересное на таких конференциях, независимо от их тематики, происходит в кулуарах. Именно там представители заказчиков и исполнителей живо обсуждают наболевшие темы. И несмотря на активное освещение темы защиты информации в прессе, некоторые мифы продолжают жить. В этой статье я попытаюсь показать несостоятельность некоторых из них. Приведу высказывания, которые я услышал за последний год. Если вы сами не раз говорили такие слова или слышали их из уст своих начальников, то будьте уверены: в системе защиты вашей организации - очень большая прореха.
Мифы об информационной безопасности
- “Усиление защиты укажет хакерам направление приложения их сил”. Действительно, не стоит на каждом углу кричать об используемых в сети средствах защиты и настройках защитных механизмов. Но и не ставить преграды для хакеров тоже неразумно: отсутствие защиты сделает им доступ в сеть полностью беспрепятственным.
- “Закрывать существующие лазейки в защите слишком дорого и трудно”. Как показывает опыт и статистика, стоимость восстановления информации и ИТ-ресурсов после атак намного превосходит стоимость даже самых дорогих средств защиты. С другой стороны, не обязательно тратить деньги на средства поиска уязвимостей, такие, как Internet Scanner. Все, что нужно для устранения дыр, это подписаться на списки рассылки или ежедневно проверять новости серверов, публикующих информацию об обнаруженных дырах, - CERT, X-Force, SecurityFocus и т. д. Автоматизировать эту работу можно и не тратя больших средств - достаточно использовать бесплатный сканер Nessus.
- “У нас никогда не было проблем с безопасностью!” Если их не было, еще не значит, что их и не будет. И хотя отечественные потребители живут согласно русской поговорке “пока гром не грянет, мужик не перекрестится”, все же лучше следовать другому постулату: “Пожар легче предупредить, чем ликвидировать”. Разумнее выделить некоторую сумму на построение системы защиты, чем в десятки и сотни раз больше потратить потом на ликвидацию ущерба от реализованной атаки. По адресу www.infosec.ru/actions/estimation_of_damage.html вы можете рассчитать сумму потерь вследствие атак, направленных на ваши ресурсы.
- “Наша информация не нужна никому, кроме нас”. Это очень распространенное заблуждение. Но хакеры совершают свои действия не только из-за денег, но и по другим причинам - из любопытства, шутки ради, по политическим или идеологическим мотивам. Кроме того, примечателен пример с распределенными атаками “отказ в обслуживании” в феврале 2000 г. Тогда многие известные серверы (CNN.com, ZDNet.com, Amazon.com и т. д.) “легли” в результате атак, одновременно направляемых с нескольких тысяч узлов Интернета. При этом атакующие компьютеры принадлежали ничего не подозревавшим пользователям и организациям, проигнорировавшим рекомендации специалистов по защите информации. Эти машины использовались как промежуточные узлы для реализации несанкционированных действий. Однако это не снимает ответственности с компаний, чьи компьютеры были “зомбированы”. Тем более что в российском уголовном кодексе имеется статья 274, определяющая наказание за неправильную эксплуатацию средств вычислительной техники.
- “Мы открыты для сотрудничества, и применение средств защиты влечет за собой исчезновение доверия, которое наша компания стремится расширять”. Да, вы правы, но открытость должна быть разумной. Современные средства защиты информации позволят найти компромисс между защищенностью вашей сети и ее доступностью для заказчиков. Помните, что, став жертвой хакеров, вы можете тем самым отпугнуть имеющихся и потенциальных клиентов.
- “Чем менее известна система защиты, тем лучше она защищает”. К сожалению, это заблуждение приходилось слышать и от представителей российских компаний, предлагающих свои решения по защите информации.
Мифы о хакерах
- “Хакеры - это высококвалифицированные люди, и их усилий не хватит на всех”. С одной стороны, это утверждение верно. Но с другой+ Если вспомнить, что сейчас хакерами называют всех, кто может запустить WinNuke на своего соседа, то это утверждение не кажется безупречным. Огромная категория пользователей, называющих себя настоящими хакерами, таковыми не является. Для них даже придуман специальный термин “script kiddies”, что означает любителей, использующих готовые средства реализации атак, не понимая сути их действия. Получив какую-либо программу для взлома, они сразу задают в ней адрес своего друга, насолившего им соседа или просто случайного компьютера и приводят ее в действие. Если видимого результата нет, то они переходят к следующему адресу и т. д. А вреда такие “специалисты” могут нанести ничуть не меньше квалифицированных хакеров.
- “Хакеры всемогущи!” Еще один распространенный миф. Хакеры - такие же люди, как и мы с вами. Только их энергия направлена на другие цели. Абсолютное большинство атак осуществляют злоумышленники менее квалифицированные, чем вы. Но если в дело вступит “хакер-эксперт”, то считайте, что вам не повезло. На рисунке показана зависимость вероятности обнаружения злоумышленника от его квалификации и квалификации персонала, отвечающего за информационную безопасность. Если квалификация персонала выше, то в большинстве случаев злоумышленники будут обнаружены. Если ниже, то обнаружить злоумышленника очень трудно и часто невозможно. Если же квалификация администратора безопасности адекватна квалификации злоумышленника, то все зависит от того, кто первым допустит ошибку.
- “Основная опасность исходит снаружи, из Интернета”. Этот миф культивируется средствами массовой информации, особенно телевидением. Однако попробуйте представить, что вы попали в трущобы Пекина и вам необходимо добраться до ближайшего аэропорта.
Не зная ни языка, ни города, сделать это нелегко. Так же и внешний злоумышленник, попав в вашу сеть, будет, как слепой котенок, тыкаться во все углы, выискивая, чем бы поживиться. Анализ ситуации вторжения хакеров в корпоративные сети показывает, что они либо подменяли главную страницу (deface) Web-сервера, либо здесь не обходилось без вмешательства сотрудников самой организации. Только такой симбиоз позволяет хакеру быстро найти самые ценные и важные ресурсы корпоративной сети и украсть их.
- “Хакеры всегда на шаг впереди средств защиты, и поэтому защищаться бессмысленно”. Это не совсем корректное утверждение. Специалисты по защите информации также исследуют различное программно-аппаратное обеспечение, стремясь обнаружить дыры и залатать их до того, как они станут известны. В качестве примера можно назвать преемника известного списка рассылки Bugtraq - сервер SecurityFocus (www.securityfocus.com), на котором ежедневно публикуются сообщения со всего мира о найденных экспертами новых уязвимостях и способах их устранения, или группу X-Force (xforce.iss.net), или CERT (www.cert.org). Кроме того, многие производители средств защиты своевременно поставляют новые заплаты к своим программным решениям. Существуют и специализированные компании - скажем, Internet Security Systems (www.iss.net) разрабатывает специализированные средства, предназначенные для поиска дыр в программном обеспечении.
- “Нас взломали на прошлой неделе, и больше хакеры не вернутся!” Не обольщайтесь. Не вернутся эти, так придут другие. Ведь хакерских групп и хакеров-одиночек достаточно для того, чтобы они могли случайно или намеренно набрести именно на вашу компанию и взломать сеть или заменить главную страницу сайта. Это не такая уж редкость. Известны случаи, когда сеть компании взламывали повторно, оставляя сообщение вроде такого: “Умные администраторы учатся на чужих ошибках, а глупые - на своих”. Например, на сайт www.parliament.ru вторгались неоднократно. В последний раз на его главной странице хакеры оставили запись: “Мы вас ломаем уже второй раз за эту неделю. Поставьте же наконец обновленное программное обеспечение+”.
- “Зачем защищаться, если хакеры все равно могут нас взломать?” Поставив перед собой цель взломать вашу сеть, рано или поздно хакер добьется своего (разумеется, при наличии соответствующих ресурсов и квалификации). Ну а если это потребует огромного напряжения от него? Защитные средства делают усилия хакеров бесполезными или настолько затратными, что они теряют интерес к вашей сети. Когда речь идет о краже информации с целью ее последующей продажи, то вряд ли хакер потратит на проникновение в сеть больше средств, чем он получит от продажи украденных данных.
Мифы о средствах защиты
- “Защитные механизмы слишком неудобны и вызывают только раздражение”. Только приверженец командной строки Unix может говорить такие вещи. Уже прошли те времена, когда управление средствами защиты осуществлялось путем редактирования конфигурационных файлов. Современные средства обладают удобным графическим интерфейсом, что значительно облегчает их контроль, управление и интеграцию в единую ИТ-инфраструктуру компании. Кроме того, при правильной реализации защитные механизмы становятся абсолютно прозрачными для конечных пользователей.
- “Межсетевой экран - вот панацея от всех бед”. Этот миф постепенно развеивается, но иногда все же такое утверждение проскакивает у некоторых сотрудников отделов защиты информации, особенно у отставников силовых ведомств, всю жизнь занимавшихся вневедомственной охраной и волею судеб попавших на ниву информационной безопасности. Существует ряд проблем, о которых я уже неоднократно рассказывал и которые можно в очередной раз проиллюстрировать на примере. Межсетевой экран - это просто ограждение вокруг вашей сети. Оно может быть очень высоким или толстым, чтобы через него нельзя было перелезть или проделать в нем дыру. Но он не поможет, если кто-то сделает под ним подкоп или попытается пройти по мостику, переброшенному через ограждение. Межсетевой экран просто ограничивает доступ к некоторым точкам за вашим ограждением.
- “Такая-то технология поможет защититься от всех напастей”. Это более широкое толкование предыдущего мифа. Никакая, даже самая лучшая на данный момент технология не совершенна и не может защитить от постоянно возникающих угроз. Лишь создание комплексной системы защиты информации, учитывающей не только технические, но и организационные меры, сделает корпоративную сеть неприступной для хакеров. 4
С автором можно связаться по адресу: luka@infosec.ru.
