Бреши в обороне

24.08.2007

Уровень зрелости защиты информации в компаниях зависит от зрелости их бизнеса. Когда несколько лет назад российские предприятия стремились увеличивать доходы, почти не оглядываясь на операционные расходы, они сосредоточились на расширении бизнеса путем приобретения конкурирующих и смежных фирм, на образовании холдингов, привлечении новых клиентов. Тогда даже об охране границ своих расширяющихся информационных владений заботились мало, не говоря уже о наведении порядка с информбезопасностью (ИБ) внутри компаний.

Сегодня процесс экстенсивного развития российского бизнеса завершился. С точки зрения ИБ необходимость в защите внешнего периметра наконец-то стала для наших компаний очевидной, а ряд из них переходит и к наведению внутреннего порядка — последние два года на рынке ИБ проходят под флагом обороны от внутренних угроз.

Тем временем специалисты по защите информации уже заговорили о сближении границ между корпоративными сетями и Интернетом вследствие повышения мобильности пользователей и о стирании границ между внутренними и внешними угрозами из-за использования в обоих случаях одних и тех же технологий.

Так чего же корпоративным пользователям стоит опасаться прежде всего, защищая свою информацию? Где чаще всего образуются бреши, через которые компаниям наносится наибольший урон? Куда устремлены ресурсы разработчиков? Как нужно действовать компаниям, чтобы не образовывались бреши в защите?

Защита снаружи и атаки изнутри

Проявляемое в последнее время повышенное внимание поставщиков средств информационной безопасности к внутренним угрозам порождает вполне определенные вопросы. Означает ли это, что проблемы защиты периметра корпоративной сети в целом решены, или же мы имеем дело с искусственно формируемой волной, направленной на расширение бизнеса поставщиков средств ИБ? Опрошенные нами эксперты высказывают разные мнения.

"На фоне постоянного общего роста числа атак и улучшения защиты по периметру корпоративной сети обострилась значимость внутренних атак, — считает Рамиль Яфизов. — Увеличилось их парциальное давление на защитную оболочку. Растут потери компаний от внутренних угроз, и это отражается как на спросе, так и на предложениях на рынке средств обеспечения информационной безопасности". Однако, по его мнению, это вовсе не означает, что внешний периметр защищен уже достаточно хорошо. Несмотря на мощный современный арсенал используемых для этого средств, очередная уязвимость в прикладных системах или в самих средствах ИБ может быть обнаружена и использована злоумышленниками для проникновения через внешний периметр в любое время. Поэтому рынок средств обороны от внешних угроз постоянно развивается, и там, как считает г-н Яфизов, есть где применить свои ноу-хау венчурным компаниям.

Иного мнения придерживается Алексей Сабанов. Он полагает, что внешний периметр защищен достаточно хорошо, а рынок соответствующих средств поделен между доминирующими производителями, куда новичкам вклиниться весьма затруднительно. А вот внутренние угрозы открывают перспективу развития средств обеспечения ИБ в виде нового рыночного сегмента, и там могут найти свое место, как признанные компании, так и начинающие.

В этом споре Алексей Раевский, возглавляющий сравнительно молодую фирму SecureIT, занимает среднюю позицию: "Рынок средств защиты периметра поделен между известными компаниями, среди которых есть очень крупные, с капитализацией в миллиарды долларов. Чтобы выйти на этот рынок, венчурная фирма должна найти свою очень узкую, четкую нишу". Вместе с тем, полагает г-н Раевский, нельзя утверждать, что сегодня компании защищают свой внешний периметр должным образом, поскольку защита информации в целом представляет собой процесс, а не разовое мероприятие.

Столь же некорректно, по мнению уже Бориса Симиса, разделять поиск брешей в обороне от внутренних или от внешних угроз, поскольку в одной и той же компании для разных бизнес-процессов значимыми могут оказаться разные угрозы: в одном случае внешние, в другом — внутренние. Поэтому компаниям нужно налаживать анализ рисков, связанных с обращением корпоративной информации, выявлять среди них наиболее значимые в наиболее важных для конкретной компании бизнес-процессах и затем организовывать адекватный заслон именно для них.

С ним солидарен и Виктор Сердюк: "Для каждой компании нужно разрабатывать собственную модель угроз на основе оценки рисков ИБ. Это позволяет понять, какие виды угрозы наиболее опасны для компании и исходя из этого применять те или иные меры защиты".

Уровень зрелости российских компаний в области ИБ

Покупка и внедрение средств обеспечения ИБ, особенно дорогостоящих, делается зарубежными компаниями только по результатам анализа рисков (проведенного самостоятельно или с привлечением внешних аудиторов), на которые эти средства должны повлиять. У нас практика аудита не развита. Так, в прошлом году, по результатам опроса "Лаборатории Касперского", к услугам внешнего аудита систем безопасности обратилось 12,5% российских фирм.

Сегодня в отечественных компаниях, по мнению Рамиля Яфизова, идет процесс осознания проблем безопасности, связанных с использованием информационных ресурсов, осуществляются разработка и принятие адекватных мер для их защиты. Но о других средствах, кроме антивирусного ПО и межсетевых экранов, пока мало кто думает.

Оценивая квалификацию отечественных специалистов по информбезопасности, Борис Симис полагает, что они не сильно отстают от западных. Но за рубежом умеют обходиться гораздо меньшими ресурсами защиты. В иностранных компаниях намного четче прописаны и исполняются процессы обеспечения ИБ, процедуры ответственности, регламенты, то есть главные проблемы российских корпоративных пользователей носят, как считает г-н Симис, организационный характер.

Многие наши компании опаздывают с внедрением адекватных способов защиты, порой даже игнорируя рекомендации аудиторов. Так, компания WebMoney, как рассказал Алексей Сабанов, только после понесенного ущерба в 1 млн. долл. последовала советам аудитора перейти на технологию смарткарт для снижения рисков, связанных с инсайдерами. Похожая ситуация, отметил он, складывается с ЭЦП: пока злоумышленники не воспользуются чьей-либо дискетой с ключами ЭЦП, организации будут продолжать использовать дискеты, а не более надежные носители в виде электронных USB-ключей или смарт-карт.

По мнению А. Сабанова, проблемы ИБ должным образом решаются только в 3—5% российских компаний, а в остальных не хватает кадров, нет внутрикорпоративной культуры, не организовано оказание услуг в области ИБ. Зачастую нет и специалистов, постоянно отвечающих за ИБ как за процесс. Г-н Сабанов объясняет это тем, что рынок ИБ у нас еще очень молодой. Аудиторы считают, что на ИБ должно расходоваться порядка 6% ИТ-бюджета компании. Из мировой практики известно, что в развитых странах этот показатель сейчас составляет 3%, а в России, по оценкам экспертов, — менее 2%.

Лучшее — враг хорошего

Все процессы, происходящие в компаниях, в том числе и функционирование системы ИБ, направлены на то, чтобы обеспечить условия для получения прибыли. И г-н Яфизов предлагает подходить к оценке брешей в системе ИБ именно с этих позиций. Если, например, оператор связи для выполнения соглашения об уровне качества услуг должен осуществлять соединение за 0,016 с, а, реализуя шифрование для повышения защищенности информации, увеличивает этот параметр до 0, 032 с (и тем самым нарушает требования SLA), то он потеряет клиентов. Бизнес закроется, казалось бы, из-за улучшения некоторых технических характеристик.

"Поэтому мероприятия по ИБ, — считает г-н Яфизов, — нужно в первую очередь оценивать с позиций влияния на прибыль, т. е. создания условий для ее увеличения или предотвращения снижения. Это значит, что в обеспечении информбезопасности компании бреши могут быть оставлены сознательно, потому что их устранение приведет к ухудшению совокупных показателей бизнеса". Привлекая ИТ к решению своих задач, бизнес получает огромные преимущества, но вместе с рисками использования этих технологий. Бизнесу нужно учиться учитывать эти риски, чтобы минимизировать их до оптимального уровня. Если ИТ в компании существенно влияют на бизнес, то и подход к ИБ вынужденно становится зрелым; если ИТ на бизнес не влияет, то и отношение к защите соответствующее.

"Года четыре назад, — рассказал Борис Симис, — мы проводили анализ рисков в одной из российских нефтяных компаний. На вопрос о размерах ущерба в случае заражения корпоративных компьютеров вирусами и вывода их из строя представители руководства ответили, что, даже если в случае стихийного бедствия все промысловые объекты будут разрушены, за две недели их можно будет восстановить и быстро компенсировать убытки. Вирусы тогда могли остановить работу офисов, но не добычу нефти — автоматизация процесса добычи в те времена была на низком уровне. А вот год назад представители той же компании, сказали, что остановка компьютеров для них уже означает остановку добычи и ведет к прямым убыткам".

Бреши как следствие усложнения информационных систем

Вместе с ростом ценности информационных ресурсов возрастает сложность корпоративных информационных систем, используемых для их обработки. Это дает повод, считает г-н Сердюк, говорить о росте количества уязвимостей в прикладных ИС. Эти уязвимости можно разделить на две категории: технологические, которые возникают на этапе проектирования и разработки систем, и эксплуатационные, проявляющиеся из-за некорректной настройки или использования ИС.

В том, что важные для корпоративного пользователя программные продукты оказываются проблемными с точки зрения ИБ, по мнению Алексея Сабанова, имеющего богатый личный опыт в области разработки промышленных программных продуктов, нет ничего удивительного: "Года три-четыре тому назад перед программистами задача обеспечения безопасности, за редким исключением, вообще не ставилась. Это делалось в единицах из тысяч поставляемых программных продуктов и только по требованию заказчиков. Создатели бизнес-приложений решают узкую задачу обеспечения поддержки определенного бизнес-процесса. В штате компаний-разработчиков зачастую просто нет специалиста, отвечающего за решение задач безопасности в продукте, а те, кто есть, считают, что эти задачи должны решаться средствами, встроенными в ОС, СУБД".

Бреши как следствие недостатков в организации бизнеса

Несколько иной точки зрения придерживается Борис Симис: "Проблемы порождают не бреши в прикладных системах, а отсутствие четкого разделения бизнес-ролей. Нет ясной классификации корпоративной информации. Наш опыт защиты прикладных систем показывает, что заказчики требуют от нас внедрять защиту не бизнес-процессов, а самих систем. Основные бреши связаны именно с этим, а не с уязвимостью прикладного ПО (хотя и оно доставляет немало хлопот). К примеру, конфиденциальную информацию можно просто унести на каком-либо резервном носителе, не используя при этом никаких уязвимостей в программно-аппаратных комплексах, а воспользовавшись незащищенностью процесса резервного копирования".

Борис Симис предлагает разделять бреши в ИБ на те, что существуют в программно-аппаратных комплексах и в бизнес-процессах (в терминологии Виктора Сердюка это соответствует технологическим и эксплуатационным уязвимостям). Как закрывать первые, известно давно: важно вовремя отслеживать обновления продуктов и устанавливать новые версии и исправления. Это относится как к средствам защиты, так и к самим защищаемым ресурсам (которые тоже являются источниками уязвимостей; надеяться на то, что появится производитель, у которого будут идеальные продукты, бессмысленно).

Бреши в бизнес-процессах, уверен г-н Симис, устраняются путем создания корпоративной системы защиты информации, в которую обязательно нужно включать организацию разбора инцидентов и внесения изменений в систему ИБ на основе анализа результатов разбора.

По мнению Михаила Кондрашина, проблемы обеспечения информационной безопасности, в том числе и защиты от инсайда, не упираются в нехватку технологий и продуктов, а кроются в ошибке построения инфраструктуры компании: не расписаны права доступа, нет четкой аутентификации пользователей, нет интеграции с физической безопасностью, с кадровой политикой. "У компании есть танк, но почему-то некоторые его люки закрываются на деревянную щеколду" — так образно он характеризует сложившуюся ситуацию.

"Многие российские компании считают, что для обеспечения ИБ достаточно купить и установить средства защиты, они воспринимают это как разовую задачу, а не как процесс, требующий постоянного мониторинга, переоценки рисков и выработки контрмер по их минимизации. Если в технологическом плане в отечественных организациях все обстоит более-менее благополучно, то в части нормативно-методического обеспечения (разработки политики безопасности, регламентов, инструкций), кадрового состава мы видим определенные проблемы", — констатирует Виктор Сердюк.

Кадры решают все

Нарушения персоналом разработанной политики ИБ, регламентов и инструкций нужно разделять на умышленные и неумышленные. Кстати, по наблюдениям "Лаборатории Касперского", значительная часть современных инцидентов порождается нарушениями без злого умысла. Это свидетельствует о явных пробелах в работе с персоналом.

Инсайдер по своему статусу имеет доступ к информации, поэтому кроме технических средств обеспечения защиты корпоративной информации руководству нужно выстраивать соответствующую кадровую политику. Ничто не защитит от злого замысла сотрудника фирмы, допущенного к ее секретам регламентом бизнеса.

Зачастую в компаниях забывают о том, что одновременно с внедрением той или иной информационной системы нужно обучить пользователей работе с нею, объяснить ее назначение, чтобы не столкнуться с саботажем или игнорированием нововведения.

"Основная причина существования брешей кроется в мозгах, — подытожил кадровые проблемы в области ИБ г-н Раевский. — Если в компании поставлена задача обеспечения ИБ, если ее решают адекватные люди, то риск возникновения брешей сводится к допустимому минимуму. Для того чтобы заниматься защитой информации, нужны не сертификаты, а призвание: определенный склад ума и характера. Если не относиться к ИБ именно так, то бреши останутся. Нужно, чтобы информбезопасностью ответственно занимались ответственные люди".

Безопасность в обмен на открытость и идентификацию

Непрозрачность российского рынка ИБ не способствует решению проблем, с которыми сталкиваются как разработчики, так и пользователи. Тема состояния защищенности корпоративного пользователя или "тонких мест" в продуктах разработчика — табу для публичного освещения.

В этой области, свидетельствует Алексей Сабанов, нет должного информационного обмена, сведения об уязвимостях скрываются. Изменить ситуацию, по его мнению, может только сообщество интеграторов. Каждая из компаний-интеграторов, считает он, на основе анализа результатов обследований заказчиков может привести статистику о наиболее часто встречающихся уязвимостях в тех организациях, с которыми они работали.

Ложное понятие чести мундира заставляет предприятия многое скрывать, хотя часто из-за своей непрозрачности они даже не в состоянии подсчитать собственные убытки, понесенные из-за нарушения ИБ. А пока мы можем судить о состоянии ИБ в стране по зарубежным данным, поскольку, как говорит г-н Сабанов, ситуация у нас во многом аналогична зарубежной. Так, согласно отчету Computer Security Institute и FBI за 2006 г., на первом месте по размерам причиненного ущерба компаниям США стоят вирусы, на втором — неавторизованный доступ, затем следуют кражи ноутбуков.

Тем не менее стремление к преодолению неразумной закрытости налицо. К этому все больше обязывает и законодательство (тот же закон о персональных данных). За "железным занавесом" компании отнюдь не всегда укрывают "железный" корпоративный порядок. Порой там царит хаос и безответственность от недостаточной персонификации использования данных и идентификации пользователей. При этом, как считает Алексей Сабанов, не важна конкретная технологическая реализация идентификации и аутентификации — важно уяснить, что главную роль здесь играют организационные меры, правильная политика ИБ на предприятиях.

Целенаправленность защиты против целенаправленности атак

Современные технологии, напомнил г-н Сабанов, позволяют создавать как хорошие системы защиты, так и оружие, разрушающее их. Все зависит от того, в каких целях технологии применяются.

Сегодняшние хакеры, как правило, хорошо образованные люди, нередко с учеными степенями и званиями. Они работают уже не за "спортивный интерес", а за большие гонорары, организуя целенаправленные адресные атаки против компаний и частных лиц. Целевая атака — это не обязательно атака на отдельную фирму. Ей может быть подвержена социальная группа, объединенная каким-либо общим интересом или интернет-сервисом. Подготовка и реализация таких атак с недавних пор стала самостоятельным доходным бизнесом.

Интересную идею, связанную с адресностью атак, высказал Михаил Кондрашин. Адресные атаки, полагает он, должны заставить производителя средств защиты теснее взаимодействовать с их потребителями. Однако попытки такого сближения пока не реализованы ни одним вендором в мире. Основная трудность, как считает г-н Кондрашин, заключается в разнообразии форм целевых атак.

Без системы информбезопасности нет информбезопасности

"Защита информации держится на трех китах: на классификации корпоративной информации, разработке политики ИБ, основанной на этой классификации, и на поддержке политики ИБ техническими средствами. Причина образования брешей — в нарушении целостности этой цепочки", — утверждает Николай Гребенников.

Со своей стороны, Виктор Сердюк напоминает, что все меры, направленные на создание надежной ИБ, должны быть комплексными, включать в том числе разработку нормативно-методического обеспечения ИБ, учитывать кадровые аспекты защиты информации и завершаться созданием системы управления ИБ, в основе которой лежит цикл Деминга и оценка рисков ИБ.

Чтобы предотвращать возникновение брешей, подчеркивает Борис Симис, нужно налаживать в компаниях процессы защиты информации, которые должны включать разработку первоначальной концепции обороны, анализ рисков, отслеживание инцидентов; эти процессы обязательно должны быть цикличными.

Один вендор — хорошо. А много?

Идеал заказчика — заполучить от одного вендора лучшие в своем классе средства защиты. Реально же в систему ИБ входит много разных продуктов и решений от различных производителей. Безусловно, с одним поставщиком работать для заказчика удобнее и выгоднее — это дает минимальную совокупную стоимость владения решением. Понимание этого факта приводит крупных разработчиков к расширению своих продуктовых портфелей. Но вендоров, способных предоставлять комплексные решения по защите информации, очень мало. К тому же следует учитывать, что такой подход увеличивает риски зависимости от разработчика. Поэтому решения одного вендора выгодно использовать для защиты отдельных определенных направлений. Если же одновендорный подход, даже при построении одного узла защиты, порождает у заказчика дополнительные риски, то нужно переходить к многовендорному варианту.

Практика показывает, что обойтись продуктами "из одних рук" редко удается и при организации только антивирусной защиты. Уже здесь многовендорный подход более эффективен, потому что существенно минимизирует риски инфицирования. Сегодня практически во всех крупных проектах компании-интеграторы предлагают эшелонированную оборону, построенную на решениях от разных производителей. Использование конкретных продуктов при этом в значительной степени зависит от специфики прикладных ИС заказчика.

Многовендорность порождает проблему эффективного объединения продуктов, весьма актуальную не только по изложенным выше причинам — этого также требует реально сложившаяся в компаниях инфраструктура, в которой используется большого количества самых разных средств защиты. Как следствие увеличивается время анализа информации, которая генерируется этими многочисленными средствами. Соответственно растет и время реакции на инциденты.

Один из возможных вариантов решения этой проблемы — использование продуктов третьих фирм в целях интеграции средств защиты если и не на уровне управления, то хотя бы на уровне мониторинга состояния безопасности. Промышленные системы мониторинга, в частности IBM Tivoli, HP Open View, позволяют собирать информацию о событиях безопасности, визуализировать ее на консоли администратора, классифицировать, выделять наиболее значимые из них. Использование таких систем повышает также и управляемость системы ИБ.

Готовность производителей к интеграции

Степень готовности производителей к интеграции оценивается экспертами по-разному. Рамиль Яфизов считает ее достаточно высокой и ссылается на количество успешных интеграционных проектов и потолстевшие после поглощений и слияний продуктовые портфели крупных производителей средств защиты.

Несмотря на то что клиентами такая интеграция востребована, г-н Кондрашин напоминает, что средства обеспечения безопасности специфичны, в каждом продукте есть свои тонкости, напрямую связанные с рисками безопасности, и такими сведениями разработчики обмениваться не будут, поскольку это приведет к потере ноу-хау. Поэтому интеграции между прямыми конкурентами ожидать не следует.

Алексей Сабанов тоже считает, что объединять свои решения в комплексы сами вендоры далеко не всегда готовы. Так, более двух лет назад производители отечественных СКЗИ договорились о совместимости своих средств. Реально же сегодня ее обеспечивают только три из них. Остальным, по его мнению, искать общий знаменатель нет резона. Они обещают совместимость, скорее всего даже имеют соответствующие версии, но для выпуска их в продажу не видят коммерческого смысла — у каждого из них свой рынок.

Ближе всех к реалистичному ответу на вопрос о готовности решений разных вендоров к объединению в комплексы, удовлетворяющие индивидуальные запросы заказчиков, находятся компании-интеграторы, решающие такие задачи в конкретных проектах. Хорошие темпы роста рынка интеграции средств ИБ свидетельствует о том, что здесь все обстоит более-менее благополучно.

Броня крепка?

Уровень современных средств защиты большая часть наших экспертов считает вполне достаточным, ассортимент широким, цены реальными. Однако при этом г-н Гребенников предупреждает, что почивать на лаврах не стоит: продукты нужно постоянно развивать, поскольку угрозы становятся комплексными и узконаправленными.

Для реальной оценки состояния средств защиты от внутренних угроз Виктор Сердюк предлагает их разделять по выполняемым функциям, поскольку найти один продукт, который бы полностью решал проблему, например, инсайдеров, на сегодняшний день невозможно. Ряд функций, по его мнению, в частности защита от несанкционированного копирования на внешние носители, реализованы очень хорошо, есть несколько конкурирующих продуктов. А вот продукты для полноценного мониторинга жесткого копирования, контроля жизненного цикла конфиденциальных документов, циркулирующих в информационных системах найти довольно сложно. Он оценивает этот сегмент рынка как молодой, с большим потенциалом развития, связанным с дальнейшим расширением функционала средств защиты информации.

Алексей Сабанов, наоборот, предлагает оценивать качество комплексов средств защиты, отдавая право решающего голоса пользователям: "Они сами поймут, для чего им комплексы нужны, помогут разработчикам сформулировать критерии сравнения, выбора".

К профессиональной информбезопасности через аутсорсинг

Михаил Кондрашин считает, что инициатива использования средств защиты должна исходить от профессионалов — аудиторов, интеграторов, и объективным и реализуемым в реальные сроки направлением развития обеспечения ИБ он видит переход на аутсорсинг, когда защитой информации будут заниматься профессионалы. В развитых странах развитие ИБ идет пусть неспешно, но именно в направлении аутсорсинга. На этом основании можно гарантировать, что и в других странах процесс пойдет так же.

О непростой ситуации с аутсорсингом в области ИБ в нашей стране можно судить хотя бы по терминологическому спору вокруг значения слова "аутсорсинг" в этой области. Г-н Яфизов видит в нем "любое переложение каких-то действий, функций на третьи лица". Алексей Раевский предлагает различать аутсорсинг приложений и услуг. Михаил Кондрашин считает, что услуги можно считать аутсорсингом, только "когда бизнес-подразделения заказчиков будут формулировать свои бизнес-задачи внешнему исполнителю, минуя собственные отделы ИБ".

Алексей Сабанов думает, что российские заказчики к аутсорсингу в области ИБ не готовы. Сначала, по его мнению, должны появиться компании, зарекомендовавшие себя как способные хранить тайны своих клиентов, компании, которым можно доверять.

У практиков, реально предлагающих услуги в области ИБ, более оптимистичная оценка состояния аутсорсинга в стране. Г-н Сердюк считает, что российский рынок аутсорсинга растет. "Мы не включаем в аутсорсинг ИБ услуги по проведению аудита безопасности, разработку нормативных документов и реализацию комплексных проектов — у нас это отдельная категория. Одним из примеров аутсорсинга, который предоставляется нашей компанией, является услуга по защите почтового трафика от спама. Данный сервис реализуется посредством перенаправления почтового трафика клиента на внешнюю защищенную площадку, где установлены средства защиты от спама. К заказчику в итоге поступает почтовый трафик, очищенный от нежелательной корреспонденции. За эту услугу клиент вносит абонентскую плату" — так он охарактеризовал состояние дел с аутсорсингом с позиций своей компании.

"Если понимать под аутсорсингом передачу службой ИБ ряда своих задач или функций внешним организациям, то таких проектов у нас очень много — 50% нашего бизнеса по направлению ИБ сегодня составляют услуги, и этот показатель постоянно увеличивается", — делится опытом работы с клиентами Борис Симис. Спектр предоставляемых его компанией услуг широк — аудит, проектирование, консалтинг по внедрению процессов. Есть среди них и периодические — мониторинг, отслеживание инцидентов, анализ тех или иных ситуаций, услуги центра компетенций, услуги по экспертизе ИБ-проектов. "Я не считаю, что рынок аутсорсинга у нас очень молодой, — заявил г-н Симис. — Мы на этом рынке работаем уже года три".

Валерий Васильев