Информационная безопасность

Информационная безопасность (ИБ) как индустрия начиналась с  простейших программных продуктов - антивирусов, файерволов и т.д. До поры до времени восприятие ИБ на предприятиях сводилось к весьма узкому термину "IT-безопасность", который, прежде всего, обозначает безопасность информационных технологий. В современных же условиях под информационной безопасностью подразумевается существенно более глобальная область, охватывающая информацию в любом виде, причем IT-безопасность является ее неотъемлемой составной частью. На фоне активного развития телекоммуникационных технологий и все более частого преобразования информации в электронные формы хранения во главе угла IT-безопасности становится функция обеспечения защиты от сетевых атак. В последнее время в этой отрасли наметился переход от программных к аппаратным и комплексным решениям, поскольку отдельные приложения уже не справляются с существующей нагрузкой и требуемой скоростью обработки информации. Поэтому большинство производителей выпускают на рынок либо программно-аппаратные решения, либо сугубо аппаратные решения. В качестве примера можно привести инициативы корпорации Intel по продвижению аппаратных технологий Trusted Protected Module и AMT, которые нашли свое воплощение в новой платформе для корпоративных ПК под названием Intel vPro. Данные технологии обеспечивают безопасность на уровне материнских плат. По мнению экспертов, рынок программных и аппаратных решений движется к логическому слиянию: в будущем в основе средств безопасности будут лежать аппаратные решения, дополненные программными продуктами, неотделимыми друг от друга с технологической точки зрения.

Традиционно рынок ИБ развивается  с небольшим отставанием вслед  за IT. Появляются новые технологии, которые провоцируют новые угрозы, а вслед за этим рождаются новые  способы борьбы и защиты. Несмотря на то что в целом уровень развития IT в России несколько уступает Западу, в области информационной безопасности отставания нашей страны от ведущих зарубежных держав как такового нет. В России, как и на Западе, в массе своей применяются одни и те же продукты - межсетевые экраны, системы предотвращения межсетевых атак, антивирусы и т.д. Во многом это связано с тем, что до последнего момента информационная безопасность рассматривалась представителями отечественного бизнеса как сугубо техническая область, а все возникающие проблемы решались путем применения новейших технических средств. Однако на Западе исторически система управления и менеджмента развита намного сильнее, большинство компаний подходят к ИБ как к процессу, которым необходимо управлять для его увязки с бизнесом в целом.

Весной корпорация Intel инициировала в 9 ведущих европейских государствах проведение исследования, посвященного отношению бизнеса к проблемам ИБ. Опрос проводили сотрудники независимой исследовательской компании Coleman Parkes по телефону в апреле-мае 2006 года. В результате ответы на вопросы дали порядка 900 IT-менеджеров крупных компаний, насчитывающих не менее 500 сотрудников. Выборка составила по 100 представителей из Великобритании, Франции, Германии, Италии, Испании, России, Польши, Чехии и Швеции и охватила различные отрасли и регионы. 74% опрошенных считают обеспечение ИБ в масштабах предприятия одной из главных своих задач, при этом 66% из них полагают, что наибольшую угрозу для сетевой безопасности представляют сами пользователи. 77% опрошенных отметили, что весьма сложно убедить пользователей в необходимости соблюдения правил сетевой безопасности. 10% респондентов отметили, что сложность IT-среды, в которой они работают, создает определенные проблемы управления (во Франции так считают почти 20% IT-менеджеров). В качестве основных задач на ближайшее время половина опрошенных назвали интеграцию разнородных IT-систем, а также консолидацию аппаратных и программных ресурсов.

Трудности взаимопонимания

Серьезной проблемой является обоснование  эффективности ИБ на предприятии. 85% IT-менеджеров в ходе все того же опроса особенно отметили тот факт, что  они не имеют возможности рассчитать совокупную стоимость владения IT-ресурсами  и инструментами ИБ, в которые  планируется вкладывать средства (в  Великобритании число указавших на эту проблему опрошенных составило 96%). Результаты опроса также показывают, что в целом европейские компании неспособны оценить значение для бизнеса инвестиций в информационную безопасность. Ситуацию усугубляет тот факт, что менеджеры отделов IT и ИБ не могут найти общий язык с высшим руководством своих компаний. 68% опрошенных IT-руководителей указали, что самое трудное для них - это обоснование соответствия между затратами на ИБ и задачами бизнеса для боссов своих компаний. При этом 62% опрошенных стремятся доказать, что новые технологии способствуют совершенствованию управления, а 57% пока что не в состоянии убедить руководителей, не связанных напрямую с IT и ИБ, что информационные технологии могут обеспечить успех компании в целом.

Увы, современных руководителей  бизнеса действительно никогда  не учили тому, как нужно правильно  относиться к функциям IT и безопасности. Даже в таких популярных у топ-менеджеров курсах, как MBA и Executive MBA, эти области практически не затрагиваются. Возможно именно поэтому для большинства руководителей понятия IT и ИБ в первую очередь ассоциируются с компьютерами и Windows, и им абсолютно невдомек, как отдельные программные приложения или аппаратные средства могут влиять на бизнес. Увы, все непонятное обычно игнорируется или воспринимается со знаком "-". Изменить существующее положение дел можно лишь направленным на установление взаимопонимания действием снизу: начальники технических подразделений должны научиться находить общий язык с руководством компаний и доказывать ему важность функций своих отделов. В идеале на предприятии могут эффективно сосуществовать два полноценных отдела: IT и ИБ. Специалисты по безопасности должны разрабатывать политику безопасности в компаниях, доводить ее до всех сотрудников и следить за ее исполнением. А функция претворения этой политики в жизнь лежит на сотрудниках IT-отдела. В тех случаях, когда в компании не удается поддерживать два полноценных отдела или из-за небольшого штата на предприятии попросту не хватает рук для решения этих проблем, функции IT и ИБ можно отдавать на аутсорсинг. Этот прием уже активно применяется в малых и средних западных компаниях и является оправданным как с экономической точки зрения, так и с точки зрения безопасности, поскольку позволяет делегировать соответствующие полномочия профессионалам и не отвлекаться от зарабатывания денег.

Современные информационные угрозы

По данным экспертов "Лаборатории  Касперского", второй квартал 2006 года стал одним из самых спокойных  за последние годы: в этот период не наблюдалось каких-либо серьезных  эпидемий вирусов, сетевых червей и  хакерских атак. Злоумышленники сконцентрировались на разработке новых методов противодействия  современным средствам информационной безопасности и на поиске новых брешей в ее системах. Специалисты отмечают несколько типов угроз, на которые  имеет смысл обратить самое пристальное  внимание в ближайшее время.

1. Офисные системы. Несмотря  на то что страсти вокруг "дыр" в операционных системах к концу 2005 года поутихли, программное обеспечение, устанавливаемое на современные ПК, по-прежнему представляет собой одно из самых слабых мест любой защиты. В конце весны под прицел хакеров попал пакет Microsoft Office. Реализованная в нем модель работы с OLE-файлами, несмотря на документацию, до сих пор обладает большим числом критически важных областей OLE-объектов и запутанной структурой взаимодействия между ними. Еще в 2003 году это спровоцировало уязвимости в документах MS Office, с помощью которых можно было запускать произвольный код при открытии специально созданного документа. В основе новых, обнаруженных в первой половине этого года брешей лежала неправильная проверка некоторых данных в описании OLE. Современные информационные атаки и угрозы перенесли свои акценты на прикладную часть: теперь под удар все чаще попадают ERP- и CRM-системы, XML, SOAP, а также некоторые веб-сервисы и офисные пакеты. Большинство современных средств защиты вообще не работают на этом уровне: они не понимают специфику прикладной части. Технологии защиты начинали развитие с сетевого уровня, затем вышли на уровень операционной системы, а в настоящий момент разработчики пытаются вывести их на уровень приложений и баз данных. В ближайшие несколько лет акцент необходимо делать именно на прикладную часть, поскольку с технологической точки зрения и аппаратным, и программным решениям в этом направлении есть куда развиваться.

2. Ransomware. Этот класс вредоносных программ иначе называют вирусами-шантажистами, которые портят критически важные данные путем их шифрования. Впервые такие вирусы дали о себе знать в конце 2004 года, активно развивались на протяжении всего 2005 года и в этом году оказались на пике своей активности. Постепенно от примитивных алгоритмов шифрования и порчи системного реестра они перешли к методике сжатия данных в запароленные архивы и более совершенным методам криптования. Единственным по-настоящему эффективным способом защиты от ransomware являются превентивные меры: создание резервных копий всех используемых документов, баз данных и почтовых баз. В свою очередь, разработчикам антивирусного ПО необходимо усилить разработку проактивных методов, позволяющих не допускать сами факты архивирования и шифрования пользовательских данных.

3. Скриптовый полиморфизм. Термин "полиморфизм" стал применяться  по отношению к компьютерным  вирусам в далеком 1990 году и  обозначает способность отдельных  вредоносных программ постоянно  мутировать код для затруднения  их обнаружения антивирусным  ПО. Полиморфные вирусы активно развивались до начала двадцать первого века: полиморфизм прошел путь от простейшего побайтного xor-шифрования до метаморфа, использующего сложнейшие криптографические алгоритмы. Современные полиморфы подверглись модернизации с учетом современных знаний и вычислительных мощностей. Начиная с 2003 года в Интернете стали появляться пока еще немногочисленные полиморфы нового поколения. В начале 2006 года полиморфизм нашел свои воплощения в скриптовых вирусах-червях. Если для борьбы с бинарными полиморфами давно созданы многочисленные эмуляторы кода и эвристические анализаторы, то для борьбы со скриптовыми червями такой необходимости не было, поскольку ранее на языках скриптов реализовывались лишь отдельные эксплойты уязвимостей в браузерах. Современный скриптовый полиморф представляет собой обычную страничку html, призванную ослабить внимание пользователей, которые уже привыкли, что почтовые вирусы обычно "поставляются" в виде исполняемых файлов, графики или документов MS Office. При открытии такой странички происходит выполнение полиморфного кода, в результате чего в систему записывается основное тело червя. Затем генерируются его новые копии в виде Java-скриптов, которые отличаются друг от друга настолько, что в них нельзя найти ни одного общего куска кода. Это и есть результат работы полиморфного движка червя. Потом такие файлы рассылаются с зараженного компьютера по всем найденным адресам электронной почты и цикл повторяется. К сожалению, современные технологии проверки трафика на лету применительно к полиморфным вирусам в большинстве случаев оказываются бессильными.

4. Концепты. Под этим названием  разработчики антивирусов подразумевают  червей, которые используют для  размножения и распространения  бреши в работе скрипт-движков популярных веб-сервисов: бесплатных почтовых систем, блогов, онлайн-дневников и т.д. В своей работе таким программам не требуется прямое проникновение на ПК: достаточно того, чтобы их код был активирован при просмотре письма в браузере или в ходе посещения какого-либо сайта. В 2006 году активность концептов возросла: появились троянцы для мобильной платформы J2ME, первый вирус для операционной системы MacOS X. Подобная активность, в частности, объясняется тем, что усилиями правоохранительных органов разных стран были расформированы несколько крупных группировок разработчиков вредоносного ПО. Увы, их место тут же заняли новые и пока не известные умельцы, жаждущие отметиться на страницах истории компьютерных вирусов.

В завершение обзора информационных угроз стоит отметить, что на сегодняшний  день наибольшую опасность для информации по-прежнему представляет собой пресловутый  человеческий фактор. И это при  том, что даже на уровне операционной системы Windows (без установки дополнительного ПО) каналы утечки информации и доступа к ней можно серьезно ограничить и регистрировать все факты обращения к ним. К сожалению, многие этим либо не пользуются, либо пользуются неправильно.

Безопасность в  телекоммуникациях

Важной проблемой современных  систем и служб ИБ является телекоммуникационная отрасль, включающая в себя проводные  и беспроводные сети частных предприятий  и операторов связи, а также сеть Интернет. Львиная доля злодеяний  в данной области подпадает под  действие главы 13 Кодекса Российской Федерации об административных правонарушениях, которые именуются "административными  правонарушениями в области связи  и информации". Наиболее часто  такие нарушения проходят по статье 13.4, ограничивающей незаконное использование  высокочастотных радиоэлектронных средств, вносящих помехи в работу оборудования государственного назначения. Пик появления "кустарных" беспроводных сетей  пришелся на начало 2003 года, когда началось массовое лицензирование малых предприятий, стремящихся предоставлять услуги передачи данных и доступа к своим  локальным сетям и сети Интернет. Мало кто из получавших тогда лицензии связи соблюдал порядок осуществления деятельности по ней и получал специальное разрешение, а также отдельную лицензию на использование радиооборудования. Это объяснялось стремлением без особых временных и финансовых затрат решить проблему "последней мили", поскольку пройти с кабелем по некоторым районам крупных российских городов достаточно сложно и очень дорого: для негосударственной структуры или маленькой организации это практически невозможно. Для многих единственным доступным решением проблемы "последней мили" как раз и стал радиодоступ. Но увы: предоставление платных услуг посредством нелицензированного оборудования квалифицируется как незаконное предпринимательство.

Среди прочих правонарушений в области  телекоммуникаций стоит отметить так  называемый "вардрайв" - проникновение в чужую сеть посредством радиоканала, а также блокирование и модификацию чужой информации, подпадающие под действие 28 Главы Уголовного кодекса. В отношении операторов связи, предоставляющих услуги междугородной, международной телефонии, распространились случаи мошенничества, связанные с передачей голосового трафика посредством безлимитных тарифов сотовых операторов. По статистике лишь в 0,1% случаев подобные случаи бывают связаны с какими-то внешними факторами. Как правило, подобные противоправные действия совершаются так называемыми "инсайдерами", собственными сотрудниками компаний, ставшими настоящим бичом начала XXI века. В случае возникновения подобных проблем операторам необходимо искать злоумышленников в первую очередь в собственном штате.