05.08.2007

»сследование: "IM Ч Instant Messenger or Information Misuse?"

image

Ќар€ду с очевидными достоинствами, IM-программы имеют и р€д недостатков – они отвлекают служащих от своей основной де€тельности и, что более важно, €вл€ютс€ потенциальной брешью в системе безопасности предпри€ти€.

¬ведение

ѕрограммы обмена мгновенными сообщени€ми (IM – Instant Messaging), изначально рассчитанные на домашних пользователей, сегодн€ стали полноценным инструментом бизнес-коммуникаций. «ачастую, общение с помощью попул€рных IM-клиентов позвол€ет добитьс€ более тесных и дружественных контактов, нежели использование традиционных способов св€зи, таких как телефон или электронна€ почта. ќднако нар€ду с очевидными достоинствами, IM-программы имеют и р€д недостатков Ц они отвлекают служащих от своей основной де€тельности и, что более важно, €вл€ютс€ потенциальной брешью в системе безопасности предпри€ти€.

”грозы, св€занные с IM-технологи€ми, достаточно разнообразны. ¬о-первых, существует масса вредоносных программ, атакующих пользователей тех или иных IM-протоколов. ¬о-вторых, у€звимости в программах-клиентах могут служить прекрасной мишенью дл€ хакерских нападений. », в-третьих, через IM-сети посто€нно передаетс€ конфиденциальна€ информаци€, которую достаточно легко перехватить. Ќу а если в вашей компании по€вилс€ инсайдер, то эту информацию не надо даже перехватывать – ему вполне достаточно просто выслать своему внешнему контакту по IM-клиенту.

Ќасто€щее исследование посв€щено изучению рисков, которые возникают в компани€х при использовании IM-клиентов, а также тому, как организации реагируют на эти риски. ќсновна€ цель исследовани€ – определить угрозы »“-безопасности, св€занные с применением IM-программ в российских компани€х, и предложить наиболее эффективные методы защиты от них.

ќсновные выводы

  • ѕодавл€ющее большинство (92,4%) респондентов признают опасность IM-технологий, но практически каждый второй (48,6%) на практике бездействует и полностью игнорирует возникающие риски »“-безопасности.
  • ќсновна€ угроза, возникающа€ при использовании IM-клиентов, это утечка конфиденциальной информации (42,3%), что совершенно справедливо: каждый четвертый респондент (24,5%) согласилс€, что посто€нно пересылает классифицированные сведени€ через IM-клиент, а еще 15,8% затруднились дать однозначный ответ.
  • ѕочти половинка компаний (41, 4%), защищающихс€ от IM-угроз, используют блокировку трафика, а почти треть (27,0%) - административные ограничени€. “аким образом, респонденты предпочитают запрещать IM-трафик, вместо того, чтобы контролировать это эффективное средство коммуникации.
  • Ћишь чуть больше половины (57,9%) респондентов, использующих блокировку трафика, считают эту меру эффективной. Ќапротив, три четверти компаний уверены, что административные ограничени€ (74,7%) и мониторинг IM-трафика (78,9%) €вл€ютс€ эффективным средством защиты от IM-угроз.
  • Ќесмотр€ на высокие риски, компании малого бизнеса (до 100 рабочих станций) на 23,8% реже используют специальные средства дл€ защиты от IM-угроз, нежели крупные корпорации (более 501 пользовател€). ѕоследние защищаютс€ также далеко не всегда – меры принимаютс€ только в 66,8% случаев.

ћетодологи€ исследовани€

»сследование проводилось в период с 1 ма€ по 1 июн€ 2007 года. ¬ процессе сбора первичных статистических данных участвовал 1101 респондент из различных стран, заполнивших онлайн-анкеты (см. приложение) на портале SecurityLab.ru. ¬опросы, приведенные в анкете, были адресованы, прежде всего, профессиональной аудитории SecurityLab.ru, котора€ традиционно состоит из опытных специалистов в области информационных технологий и информационной безопасности.

ќтметим, что первое российское исследование, посв€щенное безопасности IM-клиентов в корпоративной среде, было проведено аналитическим центром InfoWatch в середине 2005 года («»нтернет-пейджеры: брешь внутренней безопасности или будущее средство бизнес-коммуникакий?»). Ќесмотр€ на то, что база респондентов в прошлом и насто€щем исследовани€х значительно отличаютс€, некоторые параллели между ними провести все-таки можно. ѕоэтому, сравнива€ нынешние результаты с показател€ми двухлетней давности, аналитический центр InfoWatch будет останавливатьс€ только на самых общих тенденци€х.

ѕриведенные ниже данные €вл€ютс€ округленными до дес€тых долей целых чисел. ¬ некоторых случа€х сумма долей ответов превосходит 100% из-за использовани€ многовариантных вопросов.

ѕотрет респондент

Ќа рис. 1 представлен портрет респондентов по количеству компьютеризированных рабочих мест в организации. Ќаибольша€ часть опрошенных сотрудников работают преимущественно в малых компани€х (61,3%), имеющих не более 100 рабочих станций. Ќа долю среднего бизнеса (101-500 компьютеризированных мест) пришлось 21,7%. ќставша€с€ часть респондентов (17,0%) представл€ет, соответственно, крупный бизнес. ¬ дальнейшем результаты опроса будут сегментированы в зависимости от размеров бизнеса респондентов.

»спользуемые IM-клиенты

—огласно результатам исследовани€ (рис. 2), подавл€ющее большинство пользователей (74,3%) используют сервис ICQ, что свидетельствует о высокой попул€рности данной программы в –оссии. ѕравда, более половины (54,3%) респондентов примен€ют не только ICQ, но и другие IM-программы, а значит, несколько увеличивают веро€тность возможных рисков. ѕо сравнению с результатами двухлетней давности, ситуаци€ практически не изменилась: IM-клиенты не используют 12,8% опрошенных, причем вли€ние отличий в базе респондентов на этот фактор можно считать несущественным.

“аким образом, технологии IM стали полноценным средством бизнес-коммуникации. ¬ерси€ об их возможном отмирании в св€зи с проблемами безопасности не выдержала проверки временем. Ѕизнес-выгода, которую приносит использование IM, настолько велика, что абсолютное большинство компаний готовы примен€ть IM-клиенты, невзира€ на их очевидную незащищенность. ѕоследний тезис прекрасно понимают и злоумышленники, что неизбежно приведет к распространению вредоносных программ, эксплуатирующих у€звимости пейджеров. Ќе стоит забывать и о внутренних угрозах – то есть, об инсайдерах, использующих IM-каналы.

¬ли€ние IM на »“-безопасность

Ќа рис. 3 приведена диаграмма, демонстрирующа€ основные угрозы, возникающие в св€зи с применением IM-программ. Ќетрудно заметить, что в списке угроз лидирует утечка конфиденциальной информации, которую отметили 42,3% опрошенных. –иски, св€занные с вирусными атаками и нецелевым использованием »“-ресурсов, набрали примерно по 20% голосов, спам и реклама - по 10,0%. ќтметим, что только 7,6% респондентов считают, что использование IM-клиентов полностью безопасно.

—ледующий вопрос исследовани€ касалс€ наиболее серьезной угрозы IM – утечки конфиденциальной информации (рис. 4).  ак вы€снилось, только 59,7% респондентов уверены в том, что они никогда не пересылают классифицированную информацию по IM-каналам, а 24,5% опрошенных, напротив, периодически ее пересылают. –искнем предположить, что реальное количество людей, занимающихс€ подобными вещами, гораздо выше Ц многие попросту не хот€т в этом себе признатьс€.

–егламенты и политик

¬ведение различных политик и регламентов €вл€етс€, наверное, самым простым способом снижени€ рисков от использовани€ IM-программ. “ем не менее, 62,0% респондентов представл€ют компании, которые таких регламентов не имеют. Ѕолее того, лишь у 14,9% респондентов действие политик можно считать эффективным. ƒанные, говор€щие о применении политик на предпри€ти€х, приведены на следующей диаграмме (рис. 6)

¬ таб. 1 показана зависимость факта использовани€ политик от размера организации-респондента. Ќетрудно заметить, что чем больше компани€ – тем выше веро€тность наличи€ регламента и его эффективного применени€. ¬месте с тем, с точки зрени€ малого бизнеса опасность утечек может оказатьс€ даже выше Ц если крупна€ корпораци€ потерпит убытки и восстановитс€, то небольша€ компани€ рискует стать банкротом после кражи всего нескольких важных документов.

“аб. 1. Ёффективность политик в компани€х различного размера

 

ѕолитика отсутствует

ѕолитика действует эффективно

ѕолитика есть, но он не имеет никакой силы

«атрудн€юсь ответить

ћалый бизнес

69,2%

9,3%

10,9%

10,6%

—редний бизнес

61,9%

18,0%

11,1%

9,0%

 рупный бизнес

39,5%

28,1%

13,7%

18,7%

— помощью таб. 2 можно проследить зависимость пересылки конфиденциальной информации от наличи€ корпоративной политики безопасности в сфере IM. »сход€ из полученных данных, напрашиваютс€ два основных вывода. ¬о-первых, эффективный регламент значительно (примерно в два раза) снижает риск утечки, однако не исключают его полностью. ¬о-вторых, наличие неэффективного регламента не только не снижает, но и даже повышает веро€тность пересылки конфиденциальных данных. ѕоэтому, если организаци€ хочет ввести регламент использовани€ IM-программ – то она должна позаботитьс€ об его эффективности.

“аб.2. ѕолитики и утечка конфиденциальной информации

 

ѕолитика действует эффективно

ѕолитика есть, но он не имеет никакой силы

ѕолитика отсутствует

 онфиденциальна€ информаци€ пересылаетс€

14,9%

31,1%

24,0%

 онфиденциальна€ информаци€ не пересылаетс€

78,1%

53,1%

60,3%

«атрудн€юсь ответить

6,9%

16,5%

16,1%

«ащита от IM-угроз на практике

ќстальные способы защиты от IM-угроз приведены в диаграмме на рис. 6. »з полученных данных следует, что практически половина компаний (46,6%) никак не защищаютс€ IM-угроз, а среди использующихс€ методов преобладают запретительные меры (блокировка трафика). „исто контролирующие меры (мониторинг) пока не получили широкого распространени€ – по всей видимости, их внедрение сопр€жено с техническими проблемами и сопротивлением пользователей.

 ак и следовало ожидать, крупные организации принимают различные меры защиты от IM-угроз гораздо чаще. ќгорчает другое – прирост наблюдаетс€ в основном за счет строго запретительных мер таких, как блокировка трафика. ѕрименение контролирующих мер, напротив, находитс€ во всех компани€х примерно на одном и том же низком уровне (8-10%).

ѕо мнению экспертов аналитического центра InfoWatch, сегодн€ существуют инструменты, позвол€ющие эффективно примен€ть контролирующие меры, такие как мониторинг и архивирование трафика. —кладыва€ всю информацию в хранилище, организаци€ существенно снижает веро€тность утечки. ѕользователи понимают, что пересылаема€ информаци€ где-то сохран€етс€, поэтому ведут себ€ осмотрительно. Ќу а в тех случа€х, когда утечка все-таки произошла, заархивированные данные помогут найти злоумышленника. Ќаконец, создание IM-архива €вл€етс€ об€зательным условием р€да нормативных актов и международных стандартов.

“аб.3.  оррел€ци€ между мерами защиты и размером фирмы-респондента

 

јдминистративные ограничени€

Ѕлокировка трафика

ћониторинг

јрхивирование

ƒругие меры

Ќикакие меры не примен€ютс€

ћалый бизнес

13,0%

16,5%

8,1%

0,6%

5,8%

56,0%

—редний бизнес

14,7%

29,4%

7,2%

1,9%

6,2%

40,6%

 рупный бизнес

14,9%

30,2%

9,9%

2,2%

10,6%

32,2%

¬ таб. 4 наход€тс€ данные, демонстрирующие зависимость примен€емых мер от наиболее опасных угроз. »з полученных результатов следует сразу несколько основных выводов. ¬о-первых, административные меры и блокировка трафика €вл€ютс€ некими универсальными способами защиты от большинства IM-угроз. ¬о-вторых, применение мониторинга наиболее разумно в тех случа€х, когда основной риск дл€ вашей компании заключаетс€ в утечке конфиденциальной информации. ¬-третьих, практически половина пользователей, признавших угрозы IM-программ, никак от этих угроз не защищаютс€.

“аб. 4. «ависимость защитных мер от степени опасности угрозы

 

јдминистративные ограничени€

Ѕлокировка трафика

ћониторинг

јрхивирование

ƒругие меры

Ќикакие меры не примен€ютс€

”течка конфиденциальной информации

14,2%

25,4%

12,0%

1,6%

6,6%

40,2%

¬ирусные атаки

14,3%

18,2%

4,9%

0,4%

5,9%

56,3%

Ќецелевое использование »“-ресурсов

16,4%

29,1%

5,3%

1,1%

4,3%

43,8%

–екомендации по защите от IM-угроз

ѕомимо вопроса об уже примен€ющих способах защиты, исследование также ставило своей целью вы€снить, какие методы защиты следует примен€ть по мнению самих респондентов.  ак оказалось, распределение ответов по используемым (рис. 6) и рекомендованным (рис. 7) мерам значительно отличаютс€. ќтметим, что на рис. 7 сумма ответов превосходит 100%, поскольку респондентам предлагалось выбрать несколько вариантов ответа.

¬ отличие от «используемых» методов, большинство Ђрекомендованныхї методов предполагают контролирующие способы воздействи€ на пользователей. — одной стороны, это объ€сн€етс€ непопул€рностью запретительных мер, с другой – понимаем преимуществ использовани€ IM с точки зрени€ бизнеса компании.

Ёффективность методов, примен€емых на практике

¬ рамках исследовани€, аналитический центр InfoWatch попыталс€ оценить эффективность «примен€емых» методов, в зависимости от Ђрекомендованныхї методов. ѕолученные результаты подтвердили тезисы предыдущего абзаца – только 57,9% респондентов, использующих блокировку трафика, назвали эту меру Ђрекомендованнойї. ¬ отношении административных ограничений и мониторинга эти доли заметно выше, они составл€ют 74,7% и 78,9% соответственно. “аким образом, можно сделать вывод о том, что блокировка трафика €вл€етс€ самой нерекомендуемой и непопул€рной мерой защиты от IM-угроз.

¬ завершение обратимс€ к диаграмме (рис. 8), демонстрирующей незащищенность респондентов, признавшихс€ в пересылках конфиденциальной информации. »сследование показало, что 60,3% компаний, в которых работают данные сотрудники, вообще не защищаютс€ от IM-угроз. ќчевидно, что если подобна€ ситуаци€ сохранитс€, то внутренние нарушители об€зательно ею воспользуютс€.

«аключение

ƒанное исследование подтвердило правильность тех тенденций, которые были сформулированы два года назад.  ак мы уже неоднократно отмечали, IM-технологии стали стандартным средством коммуникации, примен€емым в подавл€ющей массе компаний. ѕредставители этих фирм постепенно осознают угрозы, св€занные с IM, и начинают примен€ть различные методы защиты. ¬ то же врем€, до сих пор существует масса никак не защищенных организаций, €вл€ющихс€ потенциальной мишенью дл€ инсайдеров.

ƒальнейшее развитие IM-программ как средства бизнес-коммуникаций представл€етс€ вполне определенным. — одной стороны, будет расти количество инструментов защиты, с другой – спрос на эти инструменты со стороны клиентов. „исленность организаций, в принципе игнорирующих защиту IM-каналов, будет, таким образом, снижатьс€. ќчевидно, что усили€ компаний в области защиты IM (как поставщиков, так и заказчиков) будут подстегиватьс€ возрастающим количеством угроз, как со стороны внешних нарушителей, так и в особенности со стороны инсайдеров.

или введите им€

CAPTCHA
—траницы: 1  2  
06-08-2007 09:06:11
Communication server позвол€ет повысить безопасность на требуемый уровень ќчень похожа на заказную статью от ћакрософта, который активно толкает свой коммуникатор сервер
0 |
1
06-08-2007 09:22:45
Cогласен
0 |
1
06-08-2007 15:04:56
Acid'у: не понимаю, откуда така€ резка€ агресси€ на MS. кроме них нет никого? не только у Microsoft есть такие решени€. например, у IBM Sametime, Symantec IM Manager.
0 |
1
06-08-2007 15:10:41
”гу, стоит добавить что по моему опыту это чудо-поделие от микрософта... - »спользует SIP который дл€ доставки IM сообщений подходит как микроскоп дл€ забивани€ гвоздей. - „асто херит сообщени€ в процессе доставки. - ¬ 90% случаев при этом оно еще и не утруждает себ€ оповещением о том что сообщение не доставлено. - »ногда оно просто необъ€снимо глюкает.—ервер может например вспомнить о том что вы слали сообщение ¬асе.» доставить его ¬асе.„ерез полчаса.Instant, мл€.ƒл€ эстонцев? - »ногда LCS сервак просто глючит и загибаетс€ на ровном месте без видимых причин.√люкало! - –одной клиент (ака виндусь месенгер) с этой штукой работает никаковски.ћожет отвалитьс€ нафиг но делать вид что онлайн.ћожет врать насчет статуса.» еще много разных веселых закидонов, делающих Ё“ќ малоюсабельным. »того: вы кидаете сообщение.Ўансы что оно дойдет, даже при юзании TCP - вовсе не 100%.ј если не дойдет - вы об этом скорее всего никак и никогда не узнаете.—овершенно идиотски сделанный протокол (в ICQ например есть квитки доставки сообщений посылаемые клиентом получател€, если квиток получен, мессага железобетонно дошла и юзер даже смог это подтвердить, в этом гуано и близко ничего подобного нет).» вообще, какой-то alpha-quality софт.» они за это г еще и денег хот€т? P.S. действительно, полудохлый IM самый секурный.Ќе работает IM - нет и проблем св€занных с ним )))))
0 |
1
06-08-2007 19:08:04
не нравитс€ SIP? H.323 вам в руки и GNU Gatekeeper на €щик. „его это не подходит-то? как дл€ мультимедиа-св€зи, так и дл€ текстовой св€зи SIP подходит превосходно. ќсобенно, если учесть что слизан со стека H.323, и никаких преимуществ перед ним не имеет. Ќе нравитс€ LCS - используйте любой опенсорсный SIP-сервер. какие проблемы-то?
0 |
1
23-10-2007 17:35:24
„ем те sip не нравитс€. ƒл€ передачи голоса можешь предложить что-то другое? ј lcs такой функционал держит. ѕлюс открытый протокол, не то что скайп сраный. я с 2005 года с lcs работаю. Ќи одного случа€ "херень€" сообщений не знаю. », чтоб через час доходили сообщени€... может и так, но тож не замечал. ¬от тут только вычитал. »ногда глюкает - супер довод. Ёто все объ€сн€ет... ќсобенно, откуда у теб€ руки растут. ’отел себ€ самым умным выставить, а получилс€ самым рукожопым... поздравл€ю!
0 |
1
06-08-2007 09:52:26
ѕо моему стать€ не содержит никакой полезной информации, такие же рассуждени€ велись по отношению к мылу, но ситуаци€ не очень то изменилась... »спользование систем мониторинга трафика, стоит далеко не дешево, особенно если пользователи используют какой либо левый ICQ клиент с поддержкой криптозащиты переписки(слабенька€ конечно, но всЄ же).... “ак, что мелком€гким ещЄ долго не светит протолкнуть свою кор€вку на рынок средних и малых клиентов
0 |
06-08-2007 19:25:57
¬ообще-то это не стать€, а обзор, обобщающий результаты опроса, проведенного компанией Infowatch и SecurityLab. ѕричем тут ћайкрософт? ќн и в статье-то не упоминаетс€.
0 |
06-08-2007 21:16:02
Ќу и в чем пафос статьи? јбсолютно все то же самое можно сказать и об электронной почте, IP-телефонии, видеоконференци€х, да и простом серфинге. ƒа, потенциальна€ брешь и может отвлекать от работы. “очно так же злодеи могут влезть "через браузер" и точно так же сотрудники могут переписыватьс€ в непроизводственных цел€х по электронной почте. ј уж как отвлекает от производственной де€тельности серфинг по порносайтам! ƒавайте вообще в офисах отключим »нет, от него одни угрозы безопасности фирмы и соблазны сотрудникам.
0 |
Ќе задан ID пользовател€.

07-08-2007 12:21:58
Cтать€ обзорна€ и не содержит ничего нового, все и так достаточно очевидно. √ораздо интереснее обсудить решени€ этого вопроса, такие как создание внутренних IM серверов, а также создание Gateway IM серверов позвол€ющих не фильтровать информацию на выходе
0 |
1
08-08-2007 04:12:23
а что обсуждать-то? все придумано до нас: jabber с любыми гейтами.
0 |
1
09-08-2007 14:05:51
+1 верное решение, плюс настройки jabber-сервера, что в этой статье подразумевалось под защитой от угроз
0 |
11-08-2007 14:52:12
¬ аккутат такую задачу только что решил в конторе. Ќу - не на 100%, т.к. пару мес€цев должно "отсто€тьс€", но уже более-менее всем "заинтересованным лицам" распространил. ¬нутренний Jabber (openfire) с его же клиентом (Spark) - удобно распростран€ть массово msi-ками, авторизаци€/группы через AD, дл€ определенного круга лиц гейт в icq. Ѕонус - SIP через asterisk гейт с интеграцией в корпоративный PBX. ¬се аудититс€, бэкапитс€, автораспростран€етс€ и т.д. ѕростенько и весьма из€щно. ≈ссно - там тоже дыры есть и проблемки, но визуально значительно меньше чем с аськой и ее вечным адварем, падени€ми и невозможностью контрол€. ƒелюсь бесплатно.
0 |
1
12-08-2007 01:03:39
ƒобрый день, сегодн€ наткнулс€ на эту не мало интересную статью про IM. „то касаетс€ бреши в безопасности ICQ, MAgent и др. интернет балталок, то здесь однозначного ответа € думаю не будет на вопрос создают IM пробнемы безопасности или нет... ¬сего лишь могу подчеркнуть что во всех эти балталках в большинстве криптографии или какого либо шифровани€ напросто нет, сообщени€ в ICQ и др. IM спокойно перехватываютс€ 3-ми сторонами.... Ќедавно посмотрев инфу о MAgent'e на mail.ru, нашел довольно интересные сведени€ о использовании протокола соединени€ агента с сервером, на основе перечисленных там функций можно написать собственного клиента, да с одной стороны вроде бы ћаил.ру дала шанс проектировать своих "магентов" - при€тно:-) , но с другой можно и написать клиента с вреданостным кодом, например - тро€ном ... тогда угроза безопасности намного возрастает... в этом случае (качать лучше с офф сайта) ------------------------------------------ ¬ не малой степени можно обезопаситьс€ от у€звимости через IM это фильтраци€ трафика и его проксирование, так же ограничение доступа сотрудников (которым он профессионально не к чему) к сервисам IM, так же фильтрацией.... ------------------------------------------ ј вообще правильно смоделированна€ и реализованна€ сеть, а также не мало важно дисциплинированный персонал позвол€тет снизить веро€тность у€звимости через IM и других юзерлэнд приложений используемых сеть...
0 |
—траницы: 1  2