Уязвимая безопасность
Дата: 14.04.2004Источник: "Сетевой журнал"
Автор: Сергей Лосев
... (от крохотных утилит в несколько килобайт до сложных ERP-систем размером в десятки мегабайт): контроль версий, баг-листы, форумы, файловые архивы и т.п. Таким образом отсекаются лишние и ненадежные компоненты, выстраивается многоуровневая защита и защищаются наиболее уязвимые модули информационной системы от атак злоумышленников как извне, так и внутри сети.Впрочем, многие громко сказанные слова о правильных настройках и проверенных компонентах программных систем хороши в теории – на практике о них частенько забывают. Основные причины плохой памяти в том, что обучению технологиям построения защищенных информационных систем и аппаратно-программным средствам защиты уделяется недостаточное внимание. Низкий уровень безопасности большинства информационных систем связан с неумением (или нежеланием) пользователей выполнять целый ряд на первый взгляд простых операций: загрузку обновлений (даже несмотря на то что во многих коммерческих продуктах эта процедура автоматизирована – одно-два нажатия мыши, и нужные файлы уже скачиваются), изменение настроек (далеко не всегда нужно залезать в дебри реестра Windows, чтобы «подкрутить» какой-нибудь параметр межсетевого экрана или антивирусного пакета).
Между тем учебных центров и авторизированных курсов навалом, сертифицированные преподаватели ждут своих слушателей, однако компании (не только российские, но и европейские, и американские) продолжают трубить о дефиците специалистов-безопасников как инженерных, так и юридических специальностей. Сотрудники 70% британских компаний заявляют, что не проходили обучения в этой области, а еще большее их количество (около 80%, а в США эта цифра достигает 93%) сталкивалось с реальными проблемами безопасности и было не в состоянии самостоятельно решить их. Видимо, поэтому возникают всевозможные казусы, связанные опять-таки с "самой надежной в мире операционной системой Linux". По недавним исследованиям компании mi2g (www.mi2g.com), проводившимся в январе этого года, оказалось, что лидером по числу хакерских атак стала именно Linux (около 80%), на втором месте с огромным отставанием была Windows (12%), все прочие системы (BSD, Mac OS X и другие еле-еле набирали 3%). Выходит, что о соответствующих курсах и грамотных специалистах компании должны позаботиться самостоятельно – именно по этому пути пошли многие российские фирмы, специализирующиеся в данной области.
Авторские курсы, нацеленные исключительно на решение реальных проблем, для различных категорий пользователей от руководителей высшего звена до системных администраторов созданы "Информзащитой", "Специалистом", сетевой академией "Ланит", академией "АйТи" и другими компаниями. Проходя дважды в год необходимые тренинги (по оценкам подавляющего числа специалистов по безопасности, такая периодичность позволяет держать себя, что называется, в форме и обновлять в памяти основные положения международного стандарта управления информационной безопасностью ISO 17799, который тоже постоянно совершенствуется и пополняется), можно не чувствовать себя абсолютно беспомощным из-за какого-нибудь очередного вируса MyDoom, при DoS-атаке и т.п., а решать конкретные задачи – от обоснования необходимости вложения средств в информационную безопасность до аудита информационных систем и окончательной проверки корпоративной системы на соответствие мировым стандартам (если таковая, конечно, важна).
Молодому специалисту с охапкой сертификатов и знаниями о безопасности открыты многие двери и в первую очередь одно из самых перспективных и быстро развивающихся на сегодняшний день направлений – системы раннего обнаружения атак. Рынок подобных средств необычайно велик: если шесть лет назад его объем достигал 140 млн. долл., то к этому году он увеличился в 7–8 раз и превысил 1 млрд. долл.
Никто не будет предупреждать заранее о том, что на ваш сервер или корпоративную интранет-сеть на следующей неделе готовится нападение. "Зевнуть" момент атаки можно запросто– человек, будь он хоть семи пядей во лбу, вряд ли способен обработать огромный объем трафика и выявить в гигабайтах информации те ничтожные килобайты, которые в момент "Х" несут угрозу корпоративному серверу. Однако программному или аппаратному сканеру это вполне по силам – поэтому спрос на ПО и оборудование, в котором интегрированы функции брандмауэра и средства для обнаружения атак, довольно высок. Первой компанией, предложившей подобное решение (в корпоративном секторе продукты для индивидуальных пользователей существуют еще со времен Windows 95, провозгласившей среди прочего курс на интернет), была Cisco Systems, вслед за ней потянулись и другие вендоры – Nokia, Nortel и т.д.
На этом список средств защиты не заканчивается – развиваются и другие технологии, к примеру, смарт-карты, USB-модули для аутентификации пользователей, программно-аппаратные комплексы для защиты беспроводных систем. Принятие ряда законов и нормативных актов (в частности, "Об ЭЦП") приведет к росту сайтов электронной коммерции – магазинам, витринам, контент-сайтам, распространяющим платную информацию. Весьма вероятно, что появятся клиент-серверные программно-аппаратные продукты для проведения безопасных микроплатежей через Сеть, которые учитывают, что наиболее уязвимые участки находятся на стыке между серверами, каналами связи и компьютерами клиентов: информация может быть перехвачена и изменена в тот момент, когда она покинула Web-сервер, курсирует по узлам Сети или загружается непосредственно в компьютер пользователя. Текущие стандарты и протоколы не гарантируют стопроцентную защиту, а потому появления новых технологий и алгоритмов шифрования для передачи данных по проводным и беспроводным сетям долго ждать не придется... Не обойдены вниманием и системная интеграция, роль которой сводится к выбору, поставкам, настройке, консультации и обслуживанию компонентов информационной сети, и аутсорсинг средств безопасности. Не секрет, что в защите нуждаются не только операционные системы, но и базы данных, офисные пакеты, бизнес-приложения ERP, CRM и т.п. Ожидается, что доля этого рыночного сегмента также возрастет в несколько раз – с 5% в 2002 году до 25% к концу 2004-го.
Рынок средств защиты необычайно широк: компьютерные системы и технологии развиваются и обновляются стремительно и постоянно, а это означает, что любая идея или концепция, которая сегодня кажется полезной и нужной, завтра может стать опасной. Не сказать, что исполнение почтовым клиентом Outlook скриптов на JavaScript или текстовым процессором Word макросов на Visual Basic for Applications столь уж бесполезная задача – с ее помощью можно спроектировать интерфейс, написать несложное приложение и реализовать отсутствующие функции, однако именно эта простота и доступность стала одним из главных методов проникновения компьютерных вирусов в систему. Другой пример: пиринговые сети, ставшие несколько лет назад безумно популярными благодаря возможности загружать "свежачок" (кино, музыка, литература, игры, программы), на самом деле тоже могут оказаться опасными, ведь по большому счету по Сети скачивается "черный ящик", внутри которого на деле оказывается все что угодно.
Корпоративная среда, возможно, лишена некоторых из этих уязвимых "прелестей": в компаниях закрыты многие лазейки во внешний мир – довольно часто ограничен доступ к некоторым сайтам, NNTP-, FTP-серверам. Конечно, в чем-то эта мера помогает обезопасить информационные сети, однако она является промежуточной. Многие крупные компании (в том числе Microsoft, Cisco Systems, Novell, SAP AG), работающие на корпоративном рынке, выпускают новые продукты, уделяя значительное внимание средствам безопасности. Уже не так страшны пираты – они уступили свое место в заголовках новостей компьютерных компаний таким понятиям, как спам, вирусы, атака, взлом. Например, Microsoft в самый первый выпуск Windows XP уже включила набор инструментов для защиты трафика (персональный брандмауэр), в скоро ожидаемом Service Pack 2 появится вирусный сканер, а кроме того, корпорация планирует нанести удар и по спам-рассылкам, разрабатывая технологию Caller ID for e-mail, суть которой состоит в том, чтобы видоизменить способ отправки письма адресату. Подобных примеров можно найти еще немало, и все они говорят об одном: борьба с уязвимостями компьютерных систем и с теми, кто умышленно пользуется "дырами", отнюдь не закончена.
| Добавить комментарий |
| Всего 0 комментариев |
