14.12.2002

ќценка риска защиты в »нтернете. „асть перва€: „то такое оценка риска?

»нтернет, подобно дикому западу в старые времена, €вл€етс€ малоизведанным, новым миром, полным новых заманчивых возможностей. ќднако, подобно ƒикому «ападу, »нтернет также чреват новыми угрозами и преп€тстви€ми; эти опасности средний бизнесмен и домашний пользователь еще даже не начали понимать. Ќо не об этом € хочу рассказать вам. ¬ы, конечно, слышали, что почти любой строгий, академический доклад на семинаре или конференции по проблемам защиты обычно сопровождаетс€ показом слайдов и графиков, демонстрирующих, насколько серьезной €вл€етс€ угроза, и во сколько миллионов долларов обходитс€ вашей компании безбедное существование в интернете.

»нтернет, подобно дикому западу в старые времена, €вл€етс€ малоизведанным, новым миром, полным новых заманчивых возможностей. ќднако, подобно ƒикому «ападу, »нтернет также чреват новыми угрозами и преп€тстви€ми; эти опасности средний бизнесмен и домашний пользователь еще даже не начали понимать. Ќо не об этом € хочу рассказать вам. ¬ы, конечно, слышали, что почти любой строгий, академический доклад на семинаре или конференции по проблемам защиты обычно сопровождаетс€ показом слайдов и графиков, демонстрирующих, насколько серьезной €вл€етс€ угроза, и во сколько миллионов долларов обходитс€ вашей компании безбедное существование в интернете. «атем, после коммерческого представлени€ некоторых программных продуктов, почти всегда следует оглашение "списка убитых", который призван посе€ть панику и вызвать желание бежать из интернета.

’очу ли € сказать, что угроза не реальна или что статистические данные не верны? Ќет. я хочу сказать то, что многие пользователи не в состо€нии видеть, какое отношение имеют эти угрозы к ним и к их компани€м. ѕовли€ет ли на формирование политики в области информационных технологий тот факт, что электронный отдел компании тратит около 120000 $ на устранение последствий от нападений на DDoS? ¬озможно, нет. » все же, пользователи не могут игнорировать эти факты полностью. „то должны делать пользователи - так это распознавать новые угрозы и вызовы и, подобно другим угрозам и вызовам, уже известным бизнесменам, они должны быть достойно встречены и управл€емы. Ќе нужно паниковать. Ќе нужно тратить бешеные деньги. ¬се, что пользователи действительно должны делать, - это понимать, что имеетс€ определенный риск, с которым их компани€ или домашн€€ сеть сталкиваютс€ при подключении к интернету. “акже как вы не заимствуете вашу деловую стратегию из электронных средств, ¬ы не должны заимствовать стратегию защиты информационных технологий. ¬ы должны разработать особую стратегию защиты информационных технологий дл€ своих особых потребностей. ¬ы сами знаете собственный уникальный вид риска дл€ ¬ашей де€тельности.

 ак и во многих других жизненных ситуаци€х, ключом к эффективной информационной защите должна быть следующа€ формула: работать умнее, а не больше. –аботать умнее - означает: тратить свое врем€, деньги и человеческие ресурсы на частные, самые важные проблемы, которые могут принести наибольший ущерб. —ами по себе вычислени€ действительно весьма просты. Ќо прежде, чем суммировать, ¬ы должны определить переменные. —ледующие вопросы вы должны задать себе самосто€тельно:

  1.  аковы ваши ресурсы: »нформационные и »нформационные —истемы, защитой которых € интересуюсь?

  2.  акова ценность этих ресурсов: денежно-кредитна€ или друга€?

  3.  аковы всевозможные угрозы, с которыми можно столкнутьс€?

  4. Ќасколько эти угрозы веро€тны?

  5.  ак могут повли€ть эти угрозы на мой бизнес или личную жизнь, если они реализуютс€?

ќтветив на эти п€ть вопросов, ¬ы сможете исследовать механизмы (и технический и процедурный), относ€щиес€ к этим рискам, и затем сравнить стоимость каждого возможного решени€ с последстви€ми каждой потенциальной угрозы. ≈ще раз отметим, что вычислени€ просты: если стоимость решени€ выше возможных финансовых последствий риска (или рисков), то нужно исследовать другие решени€, посмотреть, можно ли прин€ть часть риска, а может быть и полностью.

Ёта стать€ перва€ из серии статей, предназначенных помочь читател€м ответить на третий и четвертый вопросы, касающихс€ систем, св€занных с »нтернет:  аковы угрозы, с которыми мои системы, св€занные с интернетом, могут столкнутьс€ и каковы шансы того, что эти угрозы реализуютс€. ћы исследуем вопрос об оценках защиты интернета, не только почему они сделаны, но также и как они сделаны.   концу этой серии статей вы должны пон€ть, как выполнение оценки защиты интернета может способствовать эффективной информационной стратегии защиты, что вы должны ожидать от такой оценки и даже как бы вы могли выполнить такие оценки самосто€тельно.

ќбоснование оценок защиты

¬ведение

ќценка «ащиты »нтернет - это понимание рисков, с которыми ваша компани€ сталкиваетс€, когда подключаетс€ к интернету.  ак говорилось ранее, мы производим эту оценку, чтобы решить, как тратить врем€, деньги и человеческие ресурсы на информационную защиту. “аким образом, наши расходы на защиту могут быть определены необходимостью, а не технологией службы безопасности. ƒругими словами, мы осуществл€ем контроль, потому что мы знаем, что выбранные нами меры необходимы, а не потому, что, мы пользуемс€ технологией, предлагаемой нам. Ќекоторые фирмы обращаютс€ к оценкам защиты, как к разрешенному взлому или, как к проверке на вторжение. ’от€ € также пользуюсь этими терминами, но рассматриваю их обращени€, как нечто, весьма отличное от оценки риска и, таким образом, не считаю, что их использование преследует те цели, о которых мы говорили.

ќценки защиты и анализы риска

Ќиже € продемонстрирую диаграмму, котора€ известна под названием "жизненный цикл защиты", котора€ показывает, что защита Ц это непрерывный цикл с множеством различных стадий, повтор€емых на продолжающем непрерывно измен€тьс€ основании. ¬ы увидите, что этот цикл различает анализ риска и оценку защиты. ¬озможно, раньше ¬ы встречались с такими терминами и задавались вопросом об их различии. я не собираюсь затрагивать здесь семантические вопросы. Ќа самом деле, € даже не уверен, что есть универсальные определени€ этих терминов.  ороче, анализы риска обычно и раньше и раньше были представлены в цикле защиты в виде ориентированного на бизнес процессе, который рассматривал риск и угрозы с точки зрени€ финансовой перспективы и помощи в определении лучшей стратегии защиты. ќценки защиты выполн€ютс€ периодически в течение цикла. ќни рассматривают риск в технической перспективе и помогают измер€ть эффективность вашей стратегии защиты. ¬ этой статье основное внимание уделено этому виду оценки.

¬нутренние и внешние оценки

¬ дальнейшем € ограничусь обсуждением оценок защиты в интернете. ѕозвольте мне сразу же отметить, что это лишь часть диаграммы. ќценка защиты интернета может состо€ть из одной или двух составл€ющих: внутренней и внешней оценки.  омпани€, в которой € работаю, различает эти два вида оценок следующим образом:

"¬нешн€€ оценка, известна€ также как проверка периметра, может быть определена, как испытание, произведенное извне - снаружи периметра частной сети. Ётот вид испытани€ имитирует угрозу, исход€щую от хакеров и других внешних воздействий и часто св€зан с нарушением межсетевых защит и других форм защиты периметра.

— другой стороны, при внутренней проверке аналитик располагаетс€ где-нибудь внутри периметра частной сети и имитирует угрозы, исход€щие от внутреннего штата компании, консультантов, недовольных служащих, или неразрешенный физический доступ и ослабление защиты периметра. Ёти внутренние угрозы составл€ют более 60 % всех угроз".

ќценка интернета привлекательна, потому что она производитс€ быстро и отвечает на пр€мой вопрос, тем не менее, нужно всегда иметь в виду следующее:

  1. оценка »нтернета не распознает все виды рисков дл€ ваших информационных ресурсов. ѕриведем список угроз, которые она не замечает.
    1. угрозы, исход€щие из среды, которой довер€ют;

    2. угрозы, исход€щие от RAS и других внешних подключений;

    3. угрозы, исход€щие от вашей дополнительной сети и подключений еще к кому-нибудь.
  2. »меютс€ другие способы оценить риск, не дела€ техническую оценку.

’от€ это не входит в тему этой статьи, хочу сказать, что возможности оценок интернета могут быть легко расширены. Ќапример, в область действи€ оценок можно включить RAS и дополнительные сети (которые мы фактически причисл€ем к внешним оценкам). ќднако, даже с ограниченными возможност€ми имеютс€ веские причины чтобы выполн€ть оценку защиты интернета. Ќо сначала, давайте вспомним, зачем мы хотим сделать оценку.

ѕричины дл€ “ехнической ќценки «ащиты

«аканчива€ проект оценки защиты, у мен€ часто возникало ощущение, что € мог бы дать тот же совет клиенту без полного анализа. Ќастройки интернета настолько сходны, и кажетс€, что сбои всегда одинаковы. Ќо все-таки € не разочаровалс€ в этой идее. Ќа это есть причины.

¬о-первых, техническа€ оценка позвол€ет мне ознакомитьс€ с архитектурой сети клиента.  огда оценка завершена, € обычно понимаю архитектуру интернета клиента, не хуже клиента, часто даже лучше. Ёто дает мне уникальную возможность предлагать реальный и полезный совет и текущую техническую поддержку.

«накомство с техникой, которое € приобретаю, часто придает мне авторитет у технического персонала клиента. Ёто, в свою очередь, дает мне еще больше возможностей дл€ советов. ѕоскольку наши клиенты часто нетехнические люди, например, финансовые менеджеры, важным €вл€етс€ то, что мы приобретаем доверие и уважение членов технической группы. Ёто особенно эффективно при испытании на внедрение Ц последней стадии в оценке, в течение которого мы фактически пытаемс€ нарушить защиту и ослабить системы клиента. Ќекоторых трудно убедить, что их защита достаточна, когда перед этим ¬ы продемонстрировали, что она может быть сломана. Ќа самом деле, наши результаты, основывающиес€ на формальной методике, придают нашим рекомендаци€м весомость.

»ногда организаци€ нуждаетс€ в объективной оценке, сделанной независимым третьим лицом, чтобы убедить других, что они относ€тс€ к защите серьезно. Ёто становитс€ особенно важным в некоторых отрасл€х, в которых правительство, акционеры и другие надзирающие стороны предлагают компании обеспечить доказательство надлежащей информационной защиты.

 роме того, пон€тно, что должным образом выполненна€ оценка может очень хорошо распознать проблемы, которые иначе, могли бы быть незамеченными. ≈динственна€ маленька€ ошибка в вашей конфигурации межсетевой защиты может оказатьс€ тем, что необходимо нападающим, и полна€ техническа€ оценка может быть единственным способом определить это.

Ќо, самое важное, оценка дает нам объективную картину. ƒл€ подавл€ющего числа программных продуктов защиты и дл€ продавцов этих продуктов на рынке, важно, что организации и отдельные пользователи, обеспокоенные защитой, трат€т деньги правильно. ’ороша€ оценка должна помочь ¬ам пон€ть и расположить ¬аши требовани€ защиты по приоритетам, что позвол€ет ¬ам эффективно инвестировать свои ресурсы.

‘актически, эта последн€€ мысль не €вл€етс€ новой, оценки защиты всегда рассматривались в информационной теории защиты, как важна€ стади€ в жизненном цикле защиты. ќдна из версий жизненного цикла выгл€дит следующим образом:

ќбратите внимание, что стадии оценки (анализ угрозы/риска и оценка защиты) Ц €вл€ютс€ первым и последним шагом в процессе. јнализ используетс€, дл€ того, чтобы пон€ть, что нужно делать, а оценки - чтобы измерить эффективность других стадий в цикле. ћногие компании используют результаты этих повторных оценок, чтобы измерить работу своего технического персонала. “еперь перейдем к следующему интересному вопросу.

ѕричины дл€ произведени€ оценки защиты »нтернета

Ќадеюсь, € убедил ¬ас в ценности технической оценки защиты. ¬ начале статьи € говорил, что в этой статье мы ограничимс€ только обсуждением оценок защиты интернета. »меет ли смысл сосредотачиватьс€ на какой-то одной области вашей системы?  онечно, нет.

Ќо –им не сразу строилс€, и полна€ оценка дл€ большой среды обычно должна быть разбита на некоторое число различных управл€емых стадий. »нтернет - только одна из множества различных областей, которые мы могли исследовать. ќднако, св€занные с »нтернетом системы - единственна€ область, которую мы оцениваем больше чем другие. ј, учитыва€ ограниченное врем€ и ресурсы, это - иногда единственна€ область, которую мы рассматриваем дл€ клиентов. ѕриведем список причин, по которым компании все еще выполн€ют оценки защиты »нтернета:

  1. системы »нтернета - очевидна€ часть проблемы: ”читыва€ большой размер полной информационной проблемы защиты, часто трудно пон€ть с чего начать. —истемы интернета чаще всего €вл€ютс€ €сно очерченными подмножествами законченной инфраструктуры и могут быть легко изолированы, проанализированы и защищены. ’от€ мы понимаем, что это только маленька€ частичка большой проблемы, но это Ц часть проблемы.
  2. »нтернет - уникальна€ сеть: инструментальные средства и методологии, которые мы примен€ем в анализе защиты интернета, отличаютс€ от тех, которые мы используем при смотрении "внутренних" пространств таких, как глобальные сети, LAN и дополнительные сети. ѕо этой причине мы рассматриваем оценку интернета, как отдельный кусок работы и занимаемс€ ею отдельно.

  3. системы »нтернета - очевидные цели дл€ нападени€: Ќападение через »нтернет ни в коем случае не €вл€етс€ единственной угрозой, с которой сталкиваетс€ ваша компани€, но это - €сна€ и очевидна€ угроза, и нужно быть глупцом, чтобы игнорировать ее. “очно так же, как ¬ы провер€ете, заблокирована ли ваша передн€€ дверь, ¬ы хотите быть уверенным, что ваши подключени€ к интернету защищены. ”гроза нападени€ через »нтернет легко определ€етс€, провер€етс€ и устран€етс€. ћы провер€ем нашу защиту интернета, чтобы убедитьс€, что она имеетс€ и работает.

  4. системы »нтернета Ц стратегическа€ цель: ”жасно быть взломанным через »нтернет. ƒаже при том, что финансовое воздействие такого нападени€ часто меньше, чем от других формы нападени€, но стертый сайт или другие подобные шуточки могут сильно нанести большой ущерб репутации вашей компании. ѕо этой причине мы хотим быть уверены, что о нашей защите в интернете позаботились.

  5. системы »нтернета - часто наход€щиес€ вне нашего контрол€: »нтернет начал свою жизнь, как утопическое упражнение в общественном сотрудничестве. ’от€ этот ранний утопизм давно испарилс€, и в насто€щее врем€ »нтернет превратилс€ в поле битвы за новую мировую торговлю, все еще имеетс€ довольно огромное число неконтролируемых взаимозависимостей, которые позвол€ют вашей компании работать в интернете. ¬олшебные перемещени€ IP-пакетов из одной сети в другую, €вл€етс€ - одним из таких примеров. ќтображение машинных имен в IP - адреса через DNS Ц другой пример. ¬се же мы не имеем никакого реального контрол€ над этими системами. ќни представл€ют потенциальную опасность дл€ функционировани€ нашей инфраструктуры интернета, а их защита - вне нашего контрол€. “очно так же мы не имеем контрол€ за новыми у€звимыми местами в наших технологи€х интернета, которые кто-нибудь обнаружит. ќчевидно, единственна€ защита, которую мы имеем, заключаетс€ в том, чтобы регул€рно оценивать эту инфраструктуру дл€ безопасной и защищенной работы. ¬еро€тно, это более справедливо дл€ интернета, чем дл€ других областей вашей инфраструктуры.

«аключение

¬ этом разделе € пробовал убедить вас в ценности проведени€ технической оценки риска и объ€сн€ть, почему мы часто рассматриваем системы интернета отдельно от остальной части инфраструктуры. ¬ следующей статье из этой серии, € дам ¬ам краткий обзор шагов при выполнении этого вида оценки. ћетодика предназначена, дл€ того, чтобы гарантировать, что наша работа полна и состо€тельна.

или введите им€

CAPTCHA