Алексей Гребенюк Директор центра технической поддержки “Доктор Веб”
С ростом электронного документооборота предприятия увеличивается зависимость успеха его деятельности от непрерывности функционирования корпоративной информационной системы (КИС) как единого целого и от сохранности корпоративной информации в процессе ее обработки и хранения на электронных носителях. Это и есть главное условие обеспечения непрерывности бизнес-процессов. К сожалению, информация — наиболее ценный ресурс для развития бизнеса — не всегда защищена адекватно.
Целостность информации — это существование информации в неискаженном виде, т.е. в неизменном по отношению к некоторому фиксированному ее состоянию. Доступность информации — это свойство системы, характеризующееся способностью обеспечивать своевременный и беспрепятственный доступ к информации субъектов в соответствии с запросами.
Большинство существующих угроз нарушения целостности информации можно свести к следующим:
• Уничтожение носителей информации.
• Внесение несанкционированных изменений в программы и данные.
• Установка и использование нештатного программного обеспечения.
• Заражение вирусами.
• Внедрение дезинформации.
Концепции информационной безопасности
Практически все вышеперечисленное присуще воздействиям на информацию и корпоративные системы при вирусных атаках. На схеме представлена собранная ФБР в 2005 году статистика, показывающая уровень затрат на ликвидацию тех или иных видов угроз. Вирусы — на первом месте. Поэтому даже когда речь идет о главных требованиях к системе корпоративной информационной безопасности (комплексности и разумной достаточности), будем говорить только о частном случае реализации угроз информации, а именно — о вирусных атаках.
Принцип комплексности подразумевает согласование всех разнородных средств при построении целостной системы защиты, перекрывающей все существенные каналы реализации угроз и не содержащей слабых мест на стыках отдельных ее элементов.
Разумная достаточность предполагает, что при достаточном количестве времени и средствах преодолевается любая защита. Поэтому имеет смысл создавать только такой уровень защиты, при котором затраты, риск, размер возможного ущерба были бы приемлемы. Стандартных слов о том, что критичная для бизнеса информация должна быть доступной, целостной и конфиденциальной, явно недостаточно. Угрозы безопасности информации носят вероятностный характер, а решения по защите часто стоят немалых денег. Очевидно, для начала необходимо определить бизнес-задачу информационной безопасности и антивирусной безопасности.
В контексте информационной безопасности система антивирусной защиты — это частный случай предотвращения несанкционированного доступа к информации. В широком смысле вирус — это программное средство получения неавторизованного несанкционированного доступа к вычислительным ресурсам КИС. Поэтому принцип разумной достаточности точно так же необходим при ее разработке. Отсюда следует основная рекомендация при подходах к разработке системы информационной безопасности для КИС — начинать нужно с обследования сети и выбора оптимальной схемы защиты, для чего определяется ценность информации и риски от ее потери.
Как правило, конфигурации корпоративных сетей достаточно сложны, особенно если они включают узлы, работающие на разных платформах (Windows, Unix/Linux, Novell и др.). Важно выбрать схему защиты, оптимальную как с точки зрения эффективности, так и возможностей внедрения, управляемости, масштабируемости и цены.
Комплексный анализ сети, используемого аппаратного и программного обеспечения, политик безопасности позволит выявить наиболее уязвимые места и спроектировать комплексную систему антивирусной безопасности, оптимальную для конкретной компании.
После того, как средства защиты выбраны, необходимо быстро внедрить антивирусный комплекс (или более широкий комплекс, обеспечивающий защиту от спама, хакерских атак, внутренних угроз и т. п.) и обеспечить его корректную эксплуатацию, которая включает установку и настройку пакетов обновлений и полнофункциональных версий антивируса на всех объектах защиты корпоративной информационной системы (КИС).
Векторы атак
Сегодня интернет захватила новая волна сетевых угроз: phishing, pharming, spyware, adware и др. За прошедший 2006 год угрозы можно разделить на несколько основных категорий.
Так называемые “0day exploits”, эксплуатирующие те или иные уязвимости, обнаруженные в программном обеспечении, пользуются особой популярностью у вирусописателей и хакеров. Они позволяют удалённо устанавливать и выполнять произвольный код на целевом компьютере. Кроме того, как показала практика, для поражения компьютеров часто используют старые бреши, для которых уже выпущены соответствующие обновления. В качестве примера можно привести распространение почтового червя массовой рассылки Win32.HLLM.Oder. Вложение представляло собой запароленный ZIP-архив, содержащий либо файл с расширением EXE, либо WMF-файл с указанием пароля в теле письма. WMF-файл (Windows Meta File) представлял собой эксплойт, эксплуатирующий уязвимость, которая допускала запуск произвольного кода. Данная уязвимость была обнаружена ещё в конце 2005 года и была закрыта в январе 2006, но атаки, использующие ее, по-прежнему происходят.
Большое распространение получили мошеннические приёмы, направленные на похищение конфиденциальных данных пользователей. Типичный пример — фишинговые письма, которые распространяются от имени какой-либо банковской системы с призывом обновить аккаунт. Для этого пользователю предлагается пройти по указанной в теле письма ссылке и подтвердить свои данные. Разумеется, наибольший интерес для мошенников представляют пароли.
В 2006 году возросло количество вредоносных программ, скрывающих своё присутствие в системе маскировкой файлов, записей в реестре. Достаточно популярным является использование компьютеров для рассылки спама. Типичным примером является вредоносная программа, получившая наименование Trojan.Spambot.
Вторая тенденция в мировой паутине — это бизнес, построенный на компьютерной преступности и краже конфиденциальной информации, поскольку время вирусописателей — “романтиков” ушло в прошлое.
Рыночные тенденции
Основная тенденция рынка — изменение активности заказчиков. Лидерами на рынке антивирусных решений долгое время были госструктуры и крупные корпоративные клиенты. Однако на данный момент эти сегменты практически насыщены: так, в процентном выражении доля предприятий госсектора среди заказчиков ИБ в целом и антивирусной защиты в частности не растет или вообще сокращается. Зато все более заметным становится рынок SMB. Он уже практически сравнялся с госсектором и в ближайшее время будет расти опережающими темпами. Этот рынок отличает ряд особенностей. Одна из основных — отсутствие администраторов и спрос на услуги аутсорсинга. Аутсорсинг в этом контексте подразумевает проведение работ по проектированию и регулярному мониторингу системы антивирусной защиты (АВЗ) предприятия, которые берут на себя специализированные компании. Это значительно уменьшает как возможные риски, так и общую стоимость владения системой АВЗ. Некоторые источники утверждают, что ИБ и антивирусная защита представляет собой вспомогательный процесс как некое дополненение к существующим бизнес-процессам. Действительно, основная цель всякого бизнеса — зарабатывать деньги, а информационные технологии лишь помогают в этом (снижают издержки, повышают эффективность продаж и т.п.). Чем более зависимым становится бизнес от ИТ, тем более высокими риски от инцидентов в ИБ.
Поэтому основная тенденция рынка — рост спроса на услуги — является отчетливым признаком его зрелости. Если несколько лет назад 90-95% рынка составляли коробочные продукты, то сейчас востребованы аудит, консалтинг, аутсорсинг и другие услуги.
Происходят изменения на рынке решений для интернет-провайдеров. Пока интернет был дорог и пользователи платили за трафик, позиция некоторых не вполне добросовестных провайдеров была такова: “Спам и вирусы — это хорошо, это дополнительный доход от клиентов, поскольку каждый мегабайт приносит деньги”.
Сегодня услуги дешевеют, пользователи все больше и больше предпочитают безлимитные тарифы. Провайдеры, посчитав убытки, начинают активно предлагать заказчикам антиспам-решения. Оказалось, что на продаже такой услуги тоже можно зарабатывать.
В секторе SMB ощущается дефицит подготовленных администраторов и специалистов по безопасности. Это связано и с финансовым положением предприятий и c достаточно высокой стоимостью услуг хорошего администратора. Некоторые предприятия нанимают малоподготовленных специалистов, другие — просто “приходящего” администратора. Такие специалисты обычно инсталлируют стандартный антивирус, внедряют стандартные процедуры архивирования, установки заплаток, фильтрации трафика и т.п.
Многим стандартные процедуры представляются достаточными, однако их использования часто нивелирует системный подход к построению систем безопасности и управляемости. В результате отсутствует единая система центрального управления и сбора информации о вирусных атаках, техническая поддержка поставленного ПО, программа действий в экстремальных ситуациях. Ликвидация последствий вирусной атаки происходит медленно и некачественно, утерянные данные не восстанавливаются.
Клиенты, которые еще недавно готовы были платить только за оборудование, осознали важность профессиональной разработки, внедрения и сопровождения проекта. Поэтому сервис и поддержка решений в области ИБ выступают важной составляющей рынка. Сегодня потребитель заинтересован не в решениях “из одной коробки”, а в комплексных проектных решениях и консалтинге. Конечным результатом таких проектов становится комплексная системы информационной безопасности с последующим сопровождением и поддержкой.
Компании получают преимущества при реализации системного подхода к управлению антивирусной системой и контент-безопасностью. Специализированная компания проводит обследование и определяет состояние антивирусной защиты в каждом конкретном случае. Также проводится аудит системы информационной безопасности на соответствие международным и отечественным требованиям. После проведения исследования защитные меры оказываются значительно более дешевыми и эффективными, если они заложены в информационные системы и сервисы на стадиях задания требований и проектирования. Повышенное внимание уделяется управлению всей сложной инфраструктурой и производительности. Целью специализированной компании становится обеспечение высокого уровня корпоративной безопасности как услуги, арендуемой потребителями. И ответственность за выполнение договорных условий достаточно высока.
Заключение
Аутсорсинг систем безопасности может быть востребован корпоративными клиентами, которые стремятся обеспечить высокий уровень информационной безопасности, но в то же время не готовы инвестировать значительные средства в формирование собственной защиты от программных угроз. Эти компании могут воспользоваться услугой провайдера, который возьмет на себя заботу об удаленном управлении средствами программной защиты. Такой подход может оказаться рациональным как с точки зрения затрат, так и управления бизнесом в целом.