Мир реальный

Угроза терроризма растет, и, понимая это, Министерство национальной безопасности США HSD) в 2002 г. разработало специальную шкалу (Threat Advisory), дающую наглядное представление о текущем уровне угрозы (www.whitehouse.gov/news/releases/2002/03/20020312-5.html). Эта шкала содержит пять уровней, названных "состояниями угрозы" (Threat Conditions) риска террористических атак (www.dhs.gov/dhspublic/display?theme = 29). Нижний, первый уровень (Low) присваивается, когда опасность террористических атак невелика, а самый высокий, пятый (Severe), - когда угроза более чем реальна. Его можно было бы присвоить, например, событиям 11 сентября 2001 г. в США или 23 октября 2002 г. в Москве.

Такая шкала не является изобретением Министерства национальной безопасности. Подобную активно использовало и использует до сих пор Министерство обороны США. Те же пять уровней угрозы в ней получили название ThreatCon (www.angelfire.com/ca7/Security/threatcon.html), позже они были переименованы в FPCON (Force Protection Condition). Отсутствие угрозы получило название Normal, а реальная угроза со стороны террористов - Delta, промежуточные уровни именуются Alpha, Bravo и Charlie.

Мир виртуальный

Кибертерроризм также поднимает голову. Все большее число традиционных и электронных СМИ пестрят сообщениями о той или иной проделке хакеров - от взлома сайта неизвестной компании до проникновения в сети ядерных центров (см. статью "Хакеры управляют ядерным реактором" - pcweek.ru/?ID=292173). Даже обычный домашний пользователь может стать жертвой кибертеррористов, так как Интернет все чаще захлестывают эпидемии RedCode, Nimda, Klez, Slammer... Как рядовой пользователь Интернета может противодействовать этой угрозе?

Не надо изобретать велосипед. Можно просто перенести систему оповещения об уровне угрозы в виртуальный мир. Некоторые известные в мире информационной безопасности компании так и поступили, и теперь любой администратор или домашний пользователь может заранее узнать о возможной эпидемии или массовой атаке и подготовить к ней свою сеть или компьютер.

Выделяются три основных источника информации об уровне защищенности Интернета. Во-первых, ежедневно обновляемый сервис AlertCon (gtoc.iss.net/issEn/delivery/gtoc/index.jsp) компании Internet Security Systems (www.iss.net). Он не только дает представление о текущем уровне киберугрозы, но и позволяет понять, почему группа экспертов X-Force компании ISS предлагает именно такую оценку. Ключевым достоинством AlertCon является наличие рекомендаций, позволяющих быстро устранить причину проблемы.

Вторым источником информации об уровне угроз в Интернете можно назвать хорошо известный специалистам сайт SecurityFocus (www.securityfocus.com), купленный в прошлом году компанией Symantec. Этот сервис она, не мудрствуя лукаво, вслед за Минобороны США назвала ThreatCon. Он, так же как и AlertCon, содержит четыре постепенно нарастающих уровня угрозы - от нижнего до экстремального. Единственное отличие Symantec ThreatCon от ISS AlertCon - в отсутствии рекомендаций по защите своей сети.

Третьим по эффективности можно назвать сервис Infocon, поддерживаемый центром анализа Интернет-атак Internet Storm Center (isc.incidents.org/). Он информирует пользователей о существующем уровне угрозы, но не содержит ни подробного описания текущего состояния безопасности Интернета, ни рекомендаций по защите. Но, хотя сервис Infocon и не столь информативен, этот недостаток компенсируется сайтом центра, на котором специалист по информационной безопасности найдет много интересного, начиная от наиболее часто атакуемых сервисов и портов и заканчивая регулярно обновляемым списком адресов злоумышленников.

Аналогичную информацию предоставляют также Symantec и Internet Security Systems. Первая предлагает услугу X-Force Threat Analysis Service (xforce. iss.net/xftas/), а вторая - Symantec DeepSight Threat Management System (enterprisesecurity.symantec.com/products/products.cfm?ProductID=158). Подобные услуги не бесплатны и доступны только зарегистрированным пользователям. Однако, в отличие от Internet Storm Center компании ISS и Symantec предлагают информацию, персонифицированную для конкретного клиента, - например, сообщают обо всех атаках на его ПО и уязвимостях, обнаруженных в нем.

Аналогичный сервис необходим и отечественным пользователям. Его появление в России поможет анализировать текущий уровень Интернет-безопасности.

Кроме того, наши спецслужбы также могли бы разработать инструмент, аналогичный американскому Threat Advisory. Он облегчил бы жизнь рядовому обывателю и позволил адекватно оценивать текущую опасность. 4 С Алексеем Лукацким можно связаться по адресу: luka@infosec.ru.