Согласно мнению аналитиков, объем украинского рынка услуг в области информационной безопасности (ИБ) в 2011 г. составил около 20 млн долл., что превышает показатель предшествующего года. Причем многие эксперты прогнозируют дальнейший рост и в этом, и следующем году. Таким образом, можно констатировать, что это один из наиболее быстро развивающихся сегментов украинского ИТ-рынка.
Факторы, которые стимулируют данный рост, можно разделить на общемировые и региональные. К общемировым относится количественный и качественный рост кибератак. Для их организации киберпреступники применяют уникальные технологии и методы. Поэтому, с одной стороны, значительно возросла цена утечки информации, а с другой, объектами атак теперь становятся не только отдельные (в том числе и крупные) предприятия, но и целые государства.
Важным фактором роста украинского ИБ-рынка служит также увеличившаяся осведомленность ИТ-потребителей в вопросах ИБ, их более зрелый подход к защите информации. Не последнюю роль в этом играют и конференции, проводимые для заказчиков вендорами, дистрибуторами и ведущими ИТ-изданиями.
Прошедшая в сентябре конференция PC Week/UE «Information Security 2012: Миссия выполнима» преследовала цель помочь ИТ-директорам, руководителям служб информационной безопасности и ИТ-специалистам идентифицировать основные угрозы в области ИБ в 2012 г и найти средства их предотвращения. Это касалось и таких актуальных сфер, как облачные технологии, мобильные устройства, социальные сети и др. В рамках мероприятия лучшие эксперты страны в области ИБ представили участникам конференции знаковые проекты в Украине и за рубежом, показали векторы развития данной индустрии.
Эволюция угроз
Множество инцидентов, произошедших в 2011 г. в области информационной безопасности, обозначили несколько ярко выраженных трендов. Прежде всего, стоит отметить движение хактивизм, активными драйверами которого являются группы Anonymous, AntiSec, LulzSec и TeamPoison, сообщил в своем докладе Алексей Денисюк, «Лаборатория Касперского». Так, в апреле 2011-го в результате атаки на облако Sony Playstation Network было компрометировано 77 млн учетных записей, а в октябре Playstation Network снова взломана. Стоит отметить и появление такой угрозы, как Advanced Persistent Threat (APT). Под новым термином подразумеваются атаки на корпоративные сети с целью хищения данных. Активизируется и кибер-шпионаж, ярким представителем которого является троян Duqu.
Еще несколько лет назад число вирусов для мобильных устройств можно было пересчитать едва ли не на пальцах одной руки. Однако сегодня количество мобильных зловредов быстро растет и Android становится для них доминирующей платформой. Необходимо упомянуть и повсеместное распространение QR-кодов, весьма удобных в использовании, но при этом потенциально опасных.
До конца 2012 г., по мнению Алексея Денисюка, стоит ожидать усиления трендов APT и кибер-шпионажа, задействующих кражу подлинных сертификатов. Кроме того, возрастет число мобильных угроз, вирусов под MacOS и router-вредоносов, а также атак на облако.
Принимая во внимание общемировые тенденции по постоянному повышению рисков, связанных с обработкой финансовой информации, многие державы на законодательном уровне предприняли попытку поднять уровень защиты ИТ-систем в финансовых организациях. Национальный Банк Украины еще в конце 2010 г. разработал серию стандартов по построению системы управления информационной безопасностью (СУИБ) в отечественных банках. В своем докладе Ирина Ивченко, директор по консалтингу, аудиту и сертификации в компании SICenter (а в прошлом ― начальник Управления защиты информации Департамента информатизации НБУ), перечислила основные проблемы с внедрением СУИБ в банках и ключевые подходы к автоматизации управления ИБ. Формальный подход, основанный на автоматизации процесса оценки рисков, обычно базируется на фиксированном наборе пар уязвимость/угроза с выставлением оценок. Это дает возможность автоматически генерировать отчеты по оценке рисков.
Но есть и другой подход, основанный на возможности контроля и управления информационной безопасностью в режиме реального времени. Он обеспечивает механизмы контроля инфраструктуры, программного и аппаратного обеспечения, персонала, бизнес-процессов, рисков в режиме онлайн. При этом используются гибкие механизмы настройки и сбора информации в различных разрезах для быстрого и эффективного анализа ситуации.
Ирина Ивченко также отметила набор функций, необходимых для контроля событий ИБ. Это сбор и консолидация данных с различных систем, нормализация полученных данных, мониторинг и анализ в реальном времени, реакция на события, автоматизация разрешения документов и отчетность о состоянии контролируемых систем.
Владислав Круковский, менеджер направления информационной безопасности компании «ИТ Лэнд», в своем докладе уделил внимание управлению инцидентами и событиями безопасности на примере решения LogRhythm SIEM 2.0. Эта платформа корпоративного класса органично сочетает управление логами, контроль целостности файлов, а также мониторинг сети и пользователей в едином интегрированном решении.
Репутация превыше всего
Массовое распространение облаков во всех секторах ИТ-индустрии привело к появлению новых технологий в области информационной безопасности. О преимуществах и недоставках применения репутационных сервисов поведал гостям конференции Владимир Безмалый, эксперт в области информационной безопасности. Облачные технологии (данные из Kaspersky Security Network) используются для создания белых списков приложений. Известные легитимные приложения автоматически распределяются по категориям (игры, коммерческое ПО и т.д.). При формировании белых списков приложений используются данные, предоставляемые более чем 200 ведущими производителями ПО.
«Как это работает? Пользователь запускает неизвестный файл. Локальный антивирус проверяет его — файл чист. Однако выясняется, что файл странно прописывает себя в реестр, пытается получить доступ к системным сервисам, устанавливает подозрительные соединения. В итоге файл блокируется, а его действия откатываются», ― говорит Владимир Безмалый. Среди преимуществ такого подхода спикер отмечает возможность выявления не только новых недетектируемых угроз, но и источников их распространения. Кроме того, уровень ложных срабатываний при детектировании с помощью облаков как минимум в 100 раз ниже обычного сигнатурного детектирования. Использование облачной защиты позволяет минимизировать и размеры скачиваемых пользователем сигнатурных баз.
С другой стороны, данной технологии присущи свои недостатки. Среди таковых Владимир Безмалый отметил детектирование только по хеш-функции объекта, проблему с трафиком на «узких» каналах (DialUp/GPRS/etc.), работу только с исполняемыми файлами и отсутствие аутентификации и проверки корректности отправляемых источниками данных.
Хранители ключей
Важную роль в сфере ИБ играет защита так называемых носителей ключевой информации (НКИ) ― устройств, применяемых в качестве электронного идентификатора, носителя персональной информации, средства формирования ЭЦП, шифрования данных с неизвлекаемым закрытым ключом.
«За последние три года мы перешли на совершенно новый уровень носителей ключевой информации. Сегодня используются устройства на новом смарт-чипе компании NXP. Он сделал возможной универсализацию этих устройств», ― отметил Андрей Карпов. Недавно «АВТОР» представил новое решение ― носитель информации в формате карты MicroSD, которая используется почти во всех мобильных телефонах. В состав этого миниатюрного носителя, помимо обычной флеш-памяти, входит смарт-чип. Он может выполнять функции проверки электронно-цифровой подписи, шифрования данных с помощью мобильного телефона, аутентификации доступа к определенным ресурсам.
Проверка боем
Нередко случается, что в достаточно мощной и надежной на первый взгляд комплексной системе защиты есть несколько лазеек, которые сводят на «нет» все её преимущества. Для проверки наличия уязвимостей в готовых системах используется методика так называемых «тестов на проникновение» или penetration test (кратко – «пентест»). Процедура эта недешевая, поэтому особо «досадно», когда неверное истолкование задачи пентеста приводит к пустой трате финансовых средств. По словам Ильи Колесниченко, ведущего консультанта Департамента консалтинга в компании Инком, чем больше компаний приходят к необходимости проведения тестов на проникновение, тем заметнее искажение понимания «правильного» пентеста. Появляются проблемы с постановкой задачи, неясны процедуры пентеста и некорректно трактуются результаты.
Одна из наиболее массовых ошибок заказчика ― запрос на тестирование «одного сервера», исключая остальной периметр. Ведь если компания внедряет новую систему и попробует разместить ее в инфраструктуре, информационная безопасность которой не проверена, то скорее всего новая система будет скомпрометирована после взлома слабозащищенных компонентов ИТ-инфраструктуры.
Пентест может проводиться в режимах, когда ИТ-специалисты заказчика не знают о тестировании и когда они осведомлены о его проведении. Первый вариант позволяет проверить реальную работу некоторых процессов управления информационной безопасностью, в частности мониторинга и реагирование на инциденты информационной безопасности. С другой стороны, в случае непредвиденных ситуаций (а их исключить нельзя, поскольку ИТ-системы содержат ошибки) действия тестировщика могут вызвать отказ в обслуживании (Denial of Service). Для восстановления регламентной работы потребуется быстрая реакция системных администраторов. Впрочем, компания Инком берёт на себя ответственность за стабильность работы и ненарушение сервисов. При проведении пентестов используются как коммерческие, так и open source продукты.
Выбор второго варианта позволяет избежать нарушения работы системы или быть готовым к ее восстановлению, но влечет за собой угрозу противодействия ― системные администраторы начинают мешать тестированию. «Например, был случай, когда администраторы начали хаотично устанавливать обновления на все ИТ-системы в рамках проекта. В результате первоначальные условия изменились, были закрыты старые уязвимости, но появились новые», ― отмечает спикер.
На корпоративном уровне одна критическая уязвимость редко приводит к серьезным последствиям. В большинстве случаев проникновение возможно на базе совокупности мелких, не критичных уязвимостей. «Успешный пентест в первую очередь зависит от правильной постановки задачи. А тщательная проработка всех деталей позволяет максимально вернуть инвестиции», ― подчеркивает Илья Колесниченко. Нередко для обеспечения высокого уровня защищенности достаточно перенастроить существующие системы и методики контроля, организационно выстроить ключевые процессы ИБ без срочной покупки новых решений и продуктов.
Безпека базується на багатьох фундаментальних принципах
Олексій Денисюк, інженер передпродажної підтримки у Східній Європі, «Лабораторія Касперського»
Проблему безпеки корпоративних систем розв’язати дуже не просто. Якщо я скажу «купіть якісну антивірусну систему і все у вас буде добре» ― буду не правий. Адже щогодини з’являються нові віруси, зростає комплексність систем, відповідно збільшуються вимоги до професіоналізму співробітників, які ними керують. З’явилося поняття «соціальна інженерія». Скільки коштує ваша система? В деяких випадках скільки ж, як зарплата офіцера безпеки. Інформацію можна просто купити, домовившись з людиною, або увійшовши до неї в довіру, тобто вибудовуючи соціальні відносини з потрібними людьми. А люди завжди робитимуть помилки.
Необхідно розробити політики інформаційної безпеки і використовувати інструменти, що дозволяють їх реалізувати. Наприклад, має бути політика інформаційної безпеки для захисту від вірусів, де чітко вказано що, як і коли потрібно захищати. Велике значення мають внутрішні правила: як в компанії організовують роботу, кому надають доступ. Наприклад, які вимоги до роботи з USB-носіями, як обмежений доступ до певних веб-ресурсів.
Але для успішного захисту ІТ-систем в будь-якому випадку потрібні зручні та ефективні інструменти. Наша компанія рекомендує використовувати засоби, адаптовані до нашої ділянки Інтернету. Адже ми знаходимося в особливій зоні, що має свою специфіку. Наприклад, при використанні вбудованої системи захисту Windows Defender зверніть увагу на те, скільки російськомовних зловмисних сайтів вона блокує ― це дуже низький процент. Тобто при виборі інструменту необхідно враховувати фактор вашого місцезнаходження. З іншого боку, жодний антивірусний засіб не виявить 100% шкідливого коду, якщо взяти, наприклад, 200 тисяч вірусів.
Але наші сучасні технології дозволяють виявити шкідливий код на доволі високому рівні. Справді велику роль в цьому відіграють новітні хмарні технології. Можливо, саме наші «хмари» трохи успішніші й надають більше інформації, ніж у інших виробників, адже ми отримуємо дані з усіх куточків світу й у величезних масштабах.
Пять слоев успеха
Олег Шабуров, руководитель направления ИБ компании Symantec
Для построения успешной системы информационной безопасности в её основу необходимо положить анализ рисков. Ведь только располагая оценкой рисков, можно ими управлять. Второй слой системы ИБ – это защита инфраструктуры корпоративных сетей. Далее следует управление системами безопасности. Четвертый слой – защита информации. Это очень важный момент, поскольку информация постоянно перемещается между различными элементами. Пятый слой описывает доверие между всеми элементами нашей инфраструктуры. Когда партнеры компании присылают свою информацию, мы должны быть уверены в том, что они не являются злоумышленниками. В этом слое используются такие направления, как аутентификация, цифровая подпись, цифровые сертификаты.
Сигнатурными методами сегодня определяется менее 50% вирусов, поэтому активно применяются другие методики. Так, до выпуска сигнатуры на тот или иной вредоносный код основной удар на себя берет система предотвращения вторжений, анализ поведения и репутационные технологии. Последние можно назвать разведывательными методами. Мы анализируем файлы с точки зрения зловредности, определяем, как давно они были созданы, у скольких пользователей в наличии, с какого ресурса поступают. По совокупности этих и некоторых других данных можно сделать вывод о том, содержит ли файл какие-либо угрозы.
Естественно, разработка таких технологий стоит недешево. Более того, подобная технология доступна не для всех вендоров, ведь для эффективной работы надо собрать информацию об огромном количестве файлов. Если на вопрос «файл хороший или плохой?» система не может дать ответа, она будет только замедлять работу антивируса, не обеспечивая при этом защиты. На сегодня базы Global Intelligence Network Symantec содержат данные о миллиардах файлов, поэтому наши решения способны очень быстро идентифицировать угрозу.
Стоит отметить, что задача производителей средств информационной безопасности состоит в том, чтобы защищать не системы, а данные, само рабочее пространство пользователя. Если раньше объектом защиты был компьютер c подключенными к нему различными устройствами, то теперь это фактически персональное облако, к которому можно получить доступ с телефона, рабочей станции т. д. И с появлением новых устройств будет возникать все больше вызовов производителям в области ИБ.
Такими новыми устройствами могут стать телевизоры, холодильники, системы сигнализации, автомобили. Например, автомобиль самостоятельно проводит диагностику, определяет неисправности и выдает отчет, как и где их можно устранить. Но ведь к системе может подключиться злоумышленник и направить водителя в такое место, где машину попросту украдут. То есть фронт работ для вендоров в области ИБ разрастается.
Современные файрволы должны обладать расширенным функционалом
Артем Тарашкевич, менеджер по развитию бизнеса Barracuda Networks, группа компаний «БАКОТЕК»
Сегодня заказчиков уже не устраивают простые файрволы, которые блокируют неиспользуемые соединение и контролируют трафик. Им требуется многофункциональное решение, и продукт от Barracuda как раз соответствует их запросам. Устройства этого производителя предлагают не только защиту или контроль доступа пользователей к приложениям, но и оптимизацию трафика, контроль и идентификацию приложений и пользователей.
Barracuda проводит достаточно привлекательную политику лицензирования, предлагая решения, которые можно применять в организации без необходимости дополнительного приобретения лицензий. При этом, если заказчик использует технологии виртуализации, то он может получить аналогичный функционал в виде виртуального, а не физического устройства. То есть, инфраструктуру можно строить, не привязываясь к какому-либо определенному подходу.
Загрузка сигнатурных баз предоставляется на условиях подписки, решение Barracuda здесь не отличается от других производителей. Однако вендор делает акцент на качестве. Большой штат сотрудников работает над тем, чтобы сигнатуры приложений или уязвимостей постоянно обновлялись. Информация в сигнатурные базы собирается со множества серверов, расположенных в различных точках мира.
Стоит отметить, что линейка продуктов Barracuda очень хорошо масштабируется. Устройства начального уровня рассчитаны для домашнего офиса, а наиболее высокого — для применения в датацентрах и корпорациях.
