Щит и Меч. Основные проблемы ИТ-безопасности

 СЕРГЕЙ ЯРЕМЧУК, фрилансер. Автор более 800 статей и шести книг. С «СА» с первого номера. Интересы: сетевые технологии, защита информации, свободные ОС

Щит и Меч
Основные проблемы ИТ-безопасности

Безопасность – это процесс, непрерывный, динамический, требующий постоянных усилий. Любая ошибка может привести к потере данных и утрате доверия клиентов

Компьютерная безопасность это целый комплекс мер, направленных на решение простых по определению задач: защитить информацию и обеспечить непрерывность бизнес-процессов. Сегодня любая компания полностью зависит от ИТ-инфраструктуры, обеспечивающей связь, обмен и хранение данных. С момента появления первых компьютеров технологии постоянно развивались и усложнялись. Вместе с ними увеличивался и спектр потенциальных ИТ-угроз и возможных источников опасностей. Все это в итоге привело и к росту количества технологий систем защиты, которые, чтобы соответствовать современной ситуации, становились более разнообразными и не менее сложными и запутанными.

Сегодня придумано множество инструментов самого разного назначения: межсетевые экраны, системы обнаружения атак, сканеры безопасности, системы мониторинга событий, антивирусы и антишпионы, антиспам с немалым количеством сопутствующих технологий, вроде черных списков, расширений к протоколам и так далее. Назначение большинства из них известно практически каждому пользователю со стажем и составляет стандартный набор защитных приложений в любой организации. Настроек по умолчанию в большинстве ситуаций уже не достаточно, в каждом конкретном случае требуется подгонка параметров под конкретные требования, иначе система защиты не будет отрабатывать максимально эффективно.

Но ситуация в области угроз ИБ остается чрезвычайно сложной. В противостоянии «щит и меч» средства защиты часто проигрывают и находятся в постоянном догоняющем состоянии. Вначале злоумышленники придумывают инструмент или способ проникновения, это может быть вирус, троянская программа, эксплойт, использующий уязвимость в приложении или операционной системе, или просто ссылка на вредоносный ресурс, отправленная в спам-сообщении. Затем с некоторой задержкой следует ответный ход разработчиков систем безопасности. Ситуация повторяется с завидной периодичностью, и это при том, что большинство технологий защиты развивается уже не один десяток лет, и их алгоритмы, казалось бы, уже давно отточены.

В начале века большую проблему представляли вирусы и сетевые атаки, сегодня едва ли не наибольшая опасность исходит от веб-сайтов, содержащих злонамеренный код, социальных сетей, а также мобильных устройств и носителей. Объемы последних позволяют инсайдеру легко унести базу клиентов, достаточно лишь иметь возможность бесконтрольно подключить его к компьютеру.

По данным компании McAfee, различные организации по всему миру из-за преступлений в компьютерной сфере, связанных с утечкой информации и последующими расходами на ликвидацию последствий, ежегодно несут убытки в триллион долларов. При этом достоянием общественности становится лишь небольшой процент инцидентов. При том, что атакам подвергались компании самого разного уровня – от небольших фирм до мировых конгломератов. Компании неохотно делятся своими проблемами.

Современные тенденции в сфере ИТ-угроз

Чтобы проанализировать ситуацию, обратимся к данным нескольких источников: отчетам CSI [1], securelist.com, данным информационно-аналитического центра anti-malware.ru и отчету SECURIT Analytics об утечках корпоративных данных и персональной информации в 2010 году [2]. В открытом доступе отчет CSI 2010 пока не представлен, вся информация собрана с различных ресурсов, ссылающихся на выводы CSI 2010. Как и прежде, наибольшую опасность несут компьютерные вирусы, убыток от которых в 2010 году отметили 30% респондентов (2009 – 64,3%). Но радоваться рано: с наступлением весны 2011-го, после некоторого спада практически все антивирусные компании отметили увеличение количества попыток заражения компьютеров вирусами. Основной мотив вирусописателей – хищение информации (паролей, номеров кредитных карточек) и предоставление удаленного доступа к системе, в основном в целях создания бот-сетей. По данным Symantec, такие сети в марте 2011 года были использованы для рассылки 83,1% мирового спама. Кроме этого они используются для проведения DDOS-атак и размещения файлов (например, тела вируса) на удаленной системе.

В ТОП 10 вирусов за первый квартал 2011-го входят исключительно троянские программы, которые, вгрызаясь в систему, могут незаметно жить там годами (если не принимать меры), скачивая новые модули, обновляясь и наращивая функциональность. Разработчики операционных систем в основном разобрались с уязвимостями, а те, что обнаруживаются, довольно оперативно закрываются с помощью системы обновлений. Поэтому вирусописателей больше интересуют программы сторонних разработчиков – Oracle Java, Adobe Flash Player и Acrobat Reader – плюс уязвимости в браузерах и плагинах. Эти программы устанавливаются практически на каждом компьютере, но обновляются крайне редко, это и делает их интересными для хакеров. Большинство пользователей уже «знают» об опасностях, которые таят исполняемые файлы неизвестного происхождения, и относятся к ним с подозрением. Здесь же пользователь выполняет повседневную работу: открывает обычный с виду PDF-файл, заходит на веб-сайт, смотрит видео и так далее. В результате происходит заражение компьютера и установка троянской программы. Так, например, в марте 2011 года пять из десяти троянских программ использовали уязвимости в Java или JavaScript.

По данным Лаборатории Касперского, Россия стоит на первом месте в мире по количеству зараженных интернет-ресурсов, а также лидирует среди стран, в которых наибольшая вероятность заражения через Интернет.

Вывод простой. Для обеспечения безопасности необходимо постоянно обновлять не только операционную систему, но и стороннее программное обеспечение. Если последнее содержит возможность автоматического обновления, ни в коем случае не надо его отключать.

Многие современные антивирусы и системы защиты содержат модули проверки ссылок, расположенных на веб-странице, проверяющие ее на принадлежность к подозрительным веб-сайтам, и анализируют веб-трафик на наличие вредоносного кода (например, iframe, используемого при клик-джекинг). Как пример можно привести Модуль блокирования опасных веб-сайтов антивируса Касперского, Link Scanner в AVG AntiVirus (кстати, доступен и в бесплатной для персонального использования верcии Free Edition). Разработчики Dr.Web предлагают плагин Dr.Web LinkCheckers для Mozilla Firefox/Thunderbird, Internet Explorer и Opera. Подобные дополнения, хотя и не спасут от уязвимости, но могут блокировать переход по ссылке на вредоносный сайт (см. рис.1).

Рисунок 1. Некоторые современные антивирусы блокируют переход по опасной ссылке

Самое интересное, что, несмотря на все усилия, никуда не делись «черви», перемещающиеся с помощью съемных накопителей. Их представители Worm.Conficker.Win32, Worm.AutoRun.Win32 и orm.Palevo.Win32 занимают около 6% всех вирусных инцидентов. Причем уязвимость, используемая Conficker, уже давно устранена. Причина в том, что эти вирусы еще «живут», благодаря применению устаревших непатченных версий операционных систем и слабому контролю за использованием внешних носителей.

Количество новых вирусов растет в геометрической прогрессии. Взломы стали более персональными, вирусы и спам-рассылки уже давно пишутся под конкретную организации и в случае проникновения в сеть не обнаруживаются антивирусами, использующими традиционный сигнатурный метод. Конечно, совсем бесполезными их считать нельзя, в любом случае их применение снижает риски, но для обеспечения максимальной защиты их следует сочетать с другими типами программ.

Мобильные устройства – новый объект для хакеров

В 2010 году отмечен повышенный интерес хакеров к различного рода мобильным устройствам. Современный смартфон – это мини-компьютер, имеющий все возможности настольной ОС и содержащий часто не менее важную информацию. При этом пользователи в большинстве своем не очень уделяют внимание защите и загружают контент (в том числе и по ссылке, полученной в СМС), не особенно вникая в его происхождение. По данным Лаборатории Касперского, наибольшее внимание вирусописателей привлекает J2ME, последняя поддерживается и большинством современных телефонов, то есть теоретически под удар может попасть любой телефон.

Количество ПО, содержащего вредоносный код, обнаруженного на Android Market, исчисляется сотнями, целью хакеров является установка троянца и получение информации о телефоне (IMEI и IMSI). И вирусы далеко не безобидны. Уже обнаружены программы, осуществляющие звонки или отправляющие СМС на платные номера и ворующие код, используемый при проведении банковских операций в онлайн. По мнению аналитиков, количество вирусов под разные мобильные платформы в 2011 году как минимум удвоится.

На фоне увеличения вирусной активности зафиксировано и повышение количества сетевых атак. Так, в конце 2010 года в поддержку Wikileakes были подвергнуты DDОS-атакам сайты Mastercard, Visa, Paypal и некоторых правительственных организаций.

Следующие три места после вирусов, по данным CSI, занимают неавторизованный доступ (20,2%, 2009 – 15%), воровство ноутбуков и других мобильных устройств (12,7%, 2009 – 42%), а также доступ к приватной информации (11,5%, 2009 – 8%). Впрочем, следует отметить, что неправомерное использование сети инсайдером, которое в отчете 2007-го фигурировало на пятом месте, в отчете 2010 года переместилось на седьмое место (после DDOS-атак и финансовых махинаций). Остальные угрозы, вроде перехвата пароля, использования сервера не по назначению, обнаружения ботов, отметили не более одного процента респондентов. Конечно, на общем фоне их количество выглядит сравнительно небольшим, но подобные угрозы очень тяжело обнаруживаются. Да и их наличие говорит о серьезных проблемах в безопасности любой организации, о чем не все любят распространяться.

Кстати, в отчете новозеландской NZ Computer Crime & Security Survey [3] воровство ноутбуков и других мобильных устройств и связанные с ним потери данных стоят на первом месте, их отметили 43,6% опрошенных, хотя наибольшие убытки организации понесли от финансовых махинаций сотрудников.

Интересно выглядит ситуация в отчете SECURIT Analytics. В 2010 году зафиксировано 1014 утечек конфиденциальной информации (по четыре в день), что на 15,6% больше показателя 2009-го. Из них в России официально зафиксировано 37 инцидентов, что на 60,9% больше, чем в 2009 году. Причем, по оценкам SECURIT Analytics, общественности становится известно лишь об очень небольшой части инцидентов – примерно 0,1% от реального количества утечек информации. Главными каналами утечек остаются электронная почта (17,8%) и потерянные или украденные ноутбуки (22,5%). В 2010 году замечен рост доли утечек через мобильные накопители (+4,4%) и веб-сервисы (+3,2%).

Ранее считалось, что хакеров интересуют небольшие и средние организации, а крупные компании менее рискуют в силу большего бюджета на защиту и, следовательно, большей защищенности и возможности быстро принять ответные меры. Сегодня можно сказать, что это далеко не так. Были взломаны серверы RSA, BMI, сайты Play.com и wiki.php.net. Причем успешным атакам подвергаются даже компании, занимающиеся ИТ-безопасностью. Например, HBGary Federal, в клиентах которой числятся NSA и Интерпол, была взломана небезызвестной группой Anonymous. В результате того, что HBGary доверила свой веб-сайт уязвимой CMS (и немного социальной инженерии), была украдена и опубликована база клиентов HBGary, уничтожена информация компании и поврежден сам веб-сайт.

Спам никуда не делся

Хотя спам не фигурирует в некоторых отчетах, он по-прежнему входит в тройку наибольших угроз. Даже закрытие ботнета Rustock, дававшего 30-40% мирового спама, практически никак не повлияло на ситуацию. Вместо отрубленной головы гидры выросло две, буквально через неделю объем спама стал расти и превысил предыдущий уровень. Сегодня доля спам-трафика в почтовых сообщениях составляет приблизительно 80%, что, согласитесь, немало. Это лишняя нагрузка на почтовые серверы и каналы связи. Причем, кроме, в общем-то безобидной рекламы, отвлекающей от работы, письмо может использоваться для заманивания на зараженный или фишинговый веб-сайт, что может привести к финансовым потерям. Как и прежде, чтобы привлечь внимание получателя сообщения, спамеры используют все новости и события. Например, в марте 2011-го были замечены мошеннические спам-сообщения, предлагавшие отправить деньги на счет якобы гуманитарных организаций для пострадавших от землетрясения в Японии. Сегодня многие государственные организации для приема отчетов используют электронную почту, что тоже заинтересовало спамеров. На электронный ящик, например, может прийти сообщение якобы из налоговой службы о неправильно заполненной декларации и просьбе скачать новую версию отчета.

Опасности социальных сетей

Практически все, кто занимается вопросами безопасности, отмечают повышенное внимание киберпреступников к социальным сетям, различного рода сообществам, в том числе и Twitter. И если посетитель не смог попасть на сайт в связи с организованной DDOS-атакой (как это было с ЖЖ, который только в этом году подвергся четырем таким атакам), это неприятно, однако главные проблемы возникают у провайдера услуг.

Социальные сети давно используются для сбора информации о конкретных пользователях, рассылки спама и вирусов. Рядовой пользователь уже «привык», что сообщение с незнакомого почтового адреса может быть опасным, а вся почта проходит через несколько спам- и антивирусных фильтров, что снижает эффективность таких рассылок. Но в социальных сетях все чувствуют себя в безопасности. Многие активно обмениваются ссылками с «друзьями», не сильно разбираясь, кто они и откуда. В итоге вирусы распространяются очень быстро, и со временем социальные сети могут потеснить электронную почту в этой области.

Например, на волне анонса приложения Twitter для iPhone была использована ссылка на троянец Worm.Win32.VBNA.b, которая быстро распространялась в ретвитах. Сегодня многие компании используют социальные сети для привлечения новых клиентов, но такую работу можно доверить лишь подготовленным менеджерам. Причем сами аккаунты, связанные с организацией, лучше использовать лишь для одностороннего анонса событий.

Человеческий фактор

Проблема безопасности часто рассматривается исключительно технологически, человеческий фактор учитывается не всегда. А ведь преступления совершают не компьютеры, а люди. Информацией пользуются тоже люди. Они же создают и внедряют различные решения для защиты. А человеку свойственно ошибаться. Многие ошибки появляются еще на этапе внедрения технологий.

Бизнес очень много потерял из-за слабых паролей, социальной инженерии, забытых человеком носителей информации и так далее. И чем сложнее система, тем больше вероятность человеческой ошибки. Причем самая основная – недооценка реальной угрозы на любом уровне, начиная с руководства фирмы, не уделяющего вопросу безопасности должного внимания. Что уж говорить об обычном пользователе, который воспринимает компьютер как черный ящик, не особенно вникая в то, как он работает (а большинству это и не нужно), и соответственно мало отдавая себе отчет в последствиях того или иного шага. Между ними находится сисадмин, который, с одной стороны, должен реализовать хотя бы минимальные политики безопасности, с другой – сделать работу пользователей максимально удобной. Небольшое отклонение в любую сторону сразу же вызывает недовольство, и балансировать без должной поддержки «сверху» очень тяжело. Наличие разнообразных защитных систем часто только усугубляет ситуацию, создавая иллюзию полной защищенности.

Как пример беспечности можно привести историю с HBGary Federal. Кроме данных о почтовых аккаунтах, хакерами были восстановлены пароли двух пользователей, имеющих в должности названия вроде «генеральный» и «главный» и обладающих правами администратора.

Совет по безопасности №1 говорит, что нельзя применять один и тот же пароль в разных целях. Но очевидно такие советы пишутся не для всех. И в результате один и тот же пароль подходил для почты, твиттера, аккаунта LinkedIn, а также входа по SSH и Google Apps. Так хакеры получили практически полный доступ к основным серверам. Кроме этого был получен пароль root для другого сервера, но стандартная система безопасности Unix требует, чтобы первичная авторизация была выполнена с учетными данными обычного пользователя. И такой аккаунт был получен весьма простым способом – отправлено письмо одному из инженеров от имени «главного». Опять же большинство организаций, заботящихся о защите информации, давно уже перешло на авторизацию вместо паролей ключевой связки. Почему это не сделано в компании, занимающейся безопасностью, остается загадкой. Ведь только наличие авторизации сильно ограничило бы хакеров в возможностях, даже в случае успешного взлома.

Другой пример – человеческое любопытство, использованное при аудите безопасности компанией Secure Network Technologies. Вокруг офиса одной из фирм было разбросано несколько флешек, и практически все они были использованы на рабочих местах. Запустившийся троянец собрал и отправил SNT нужную информацию, которая уведомила об инциденте руководство фирмы.

Главной проблемой, связанной с атаками, основанными на социальной инженерии, является то, что каждая новая атака проводится индивидуально и в большинстве случаев не похожа на предыдущую. Если на уловки хакера попадаются специалисты, что уж говорить об обычном пользователе.

Большинство зарубежных организаций отметило, что тратят на безопасность до 5% бюджета, причем примерно 1% этой суммы уходит на обучение сотрудников.

Внутренние угрозы – инсайдеры

О беспечности сотрудников разного уровня можно говорить много, а ошибки устранять, информируя и контролируя пользователя на всех этапах. Сегодня доступны средства защиты и аудита, позволяющие привести текущую ситуацию к минимальным требованиям политик безопасности – указать требования к паролю, использовать смарт-карты для авторизации, ограничить приложения, доступные пользователю, установить IP-адреса, откуда возможна регистрация в системе, и так далее. Но огромную тревогу у работодателя вызывают инсайдеры – сотрудники компании, имеющие права в системе, обладающие информацией, недоступной широкой публике. От их действий компании могут пострадать (и страдают) очень серьезно, как финансово, так и в плане имиджа. Инсайдеру, как правило, не нужно прибегать к каким-либо инструментам взлома, он вполне легален. Всплеск зафиксированных инсайдерских взломов пришелся примерно на 2000-2007 годы, затем об инцидентах данного типа стали заявлять все меньше опрошенных.

Среди вероятных причин этого можно назвать растущие возможности сменных носителей информации. Если раньше, чтобы перенести базу в несколько гигабайт, требовалась не одна сотня дискет, а передавать такой объем по сети очень рискованно, то сегодня он легко помещается в карточку бюджетного телефона. Отсутствие контроля за использованием подобных устройств на первоначальном этапе и породило возможность, которую тут же использовали.

После последнего всплеска в 2007 года, когда в отчете CSI действия инсайдеров опередили вирусы, в 2008-м было отмечено уменьшение подобного вида инцидентов на 30%. В 2009 году процент стал еще ниже – 15%, а в 2010 – 3,5%. Основным мотивом инсайдеров практически в 90% случаев является получение финансовой выгоды. Остальные мотивы – месть, желание привлечь к себе внимание, недовольство политикой компании – занимают относительно небольшой процент, хотя оставлять их без внимания тоже нельзя. Кризис и связанные с ним неудобства заставляют инсайдеров искать дополнительные формы заработка.

Но, очевидно, большинство организаций приняли надлежащие меры (в первую очередь контроль за использованием внешних устройств), повсеместное распространение получили DLP-системы (Data Loss Prevention, системы противодействия утечкам информации) и средства мониторинга [4]. Также можно отметить изменение инструментов аудита, контроля внешних носителей и появление службы управления правами (Rights Management Services) в новых версиях операционных семейств Windows. Стали доступны инструменты для контроля внешних носителей сторонних производителей, имеющие еще более гибкие настройки. Как пример можно привести Zlock от SecurIT.

Но, учитывая мотивацию, проблема инсайдеров – это не столько техническое решение, ведь вынести информацию можно и на листке бумаги, сколько социальное. Чтобы снизить риск, необходим целый комплекс мероприятий, включающий постоянную работу с персоналом, который имеет доступ к закрытой информации, его обучение, а также хорошая зарплата, наличие соцпакета и, разумеется, здорового климата в коллективе.

***

Несмотря на повсеместное развитие и внедрение систем защиты, ситуацию в сфере ИТ-безопасности вряд ли можно назвать утешительной. Слишком долго боролись с последствиям, а не с источником опасностей. За это время взлом систем превратился в настоящий бизнес, имеющий серьезное финансирование и прибыль. Очевидно, только те компании, руководители которых осознают важность обеспечения информационной безопасности, имеют билет в будущее.

1. Сайт Computer Security Institute – http://gocsi.com.
2. Отчет SECURIT Analytics об утечках корпоративных данных и персональной информации в 2010 году – http://www.securit.ru/docs/securit_research_2010.pdf.
3. Сайт NZ Computer Crime & Security Survey – http://eprints.otago.ac.nz.
4. Бирюков А. Выбираем средство мониторинга событий ИБ. //«Системный администратор», №3, 2011 г. – С. 42-48.
5. Иванов В. Иллюзия безопасности или Размышления о рынке инсайдерских услуг. //«Системный администратор», №3, 2011 г. – С. 102-103 (http://samag.ru/archive/article/1209).

Комментарии могут оставлять только зарегистрированные пользователи