Настораживает то, какой процент отечественных компаний и организаций на сегодняшний день, не задумываются на тему серьезности существующих проблем в области ИТ-безопасности, не видят назревшей необходимости квалифицированного решения задач защиты информации.
ИТ-безопасность: никто не готов к новым угрозам. Так ли все серьезно и каковы причины?
А.Ю.Щеглов, д.т.н, проф.
ЗАО «НПП «Информационные технологии в бизнесе»
www.npp-itb.spb.ru
Вместо введения приведем следующее, несколько шокирующее сообщение, весьма ярко иллюстрирующее то положение дел, которое мы имеем с компьютерной безопасностью (здесь и далее в работе воспользуемся материалами, опубликованными в открытой печати):
Честно говоря, в это не хочется верить. Попробуем провести собственное исследование и каким-либо способом оценить, а насколько все действительно ужасно. Если же наши опасения подтвердятся, попытаемся ответить на вопрос, а что же мы противопоставляем «расширяющейся пропасти», что мы делаем, чтобы адекватно отреагировать на риски ИТ-безопасности. С этой целью рассмотрим основу основ ИТ-безопасности – компьютерную безопасность.
Только факты.
В качестве критерия оценки эксплуатационной (реальной) безопасности системного средства целесообразно рассматривать коэффициент его готовности обеспечивать защиту информации в процессе эксплуатации. Тогда в качествеосновных параметров защиты следует рассматривать интенсивности отказов и восстановления средства защиты.
Сначала рассмотрим статистику обнаружения уязвимостей в ОС. Проиллюстрируем положение дел некоторой подборкой новостей, опубликованных в открытой печати:
По данным mi2g ежегодно хакерами взламывается до 90% сетей предприятий.
Динамика роста обнаруженных уязвимостей представлена на рис.1.
* — за 7 месяцев
Рис.1. Динамика роста обнаруженных уязвимостей
Возможно, что подобное положение дел касается только одного конкретного системного средства. Отнюдь. Подтвердим сказанное:
Следуя данной новости, появляется надежда на то, что все-таки можно отыскать те ОС, которые можно отнести к безопасным? Но вот очередная новость:
Теперь, в нескольких словах, об интенсивности исправления уязвимостей в ОС. На наш взгляд, весьма показателен следующий пример. Обратимся к публикации К.Касперски «Обзор эксплойтов» в журнале «Хакер» от декабря 12(96) 2006, см. стр.60-65. Приведем без комментариев несколько выдержек из этой статьи «Просто поразительно, как гиганты компьютерной индустрии реагируют на сообщения об ошибках, которые они не могут исправить. 22 октября 2004 года основатель группы Argeniss Information Security и ее CEO в одном лице – Cesar Cerrudo обнаружил серьезнейшую ошибку в Windows, о чем тут же сообщил в Microsoft. Но та продолжила выпускать дырявые операционные системы, а для уже существующей заплатка отсутствует и по сей день». Следующая выдержка «…система не препятствует ремапингу секции с атрибутами чтения/записи, что позволяет любому локальному пользователю проникнуть на уровень ядра…». Далее «По заявлению Argeniss Research Team, уязвимости подвержены W2K (до W2K SP4) и XP (до XP SP2) и не подвержены Server 2003 и Vista beta 2». Что же нам, как потребителям, рекомендует автор этой статьи «Официальной заплатки от Microsoft до сих пор нет, и все, что нам остается – это мигрировать на Server 2003 или Vista, в которых огрехи проектирования без лишнего шума были устранены (но, как известно, исправляя одну ошибку, Microsoft добавляет десяток новых; Vista – это не вариант, а вот над переходом на Server 2003 можно подумать)».
Чудовищно, критическая уязвимость существует более двух лет и не исправляется производителем. В это трудно поверить! Однако, исходный код эксплойта для данной уязвимости, в подтверждение сказанному, автор привел в своей статье. Заметим, что описанная атака не так и критична – в результате запуска эксплойта увидим «синий экран». Однако сам автор заявляет, что это лишь один из примеров, и существует возможность реализации иных воздействий на компьютер.
Небольшое исследование.
На основании приведенного выше исследования, можем сделать неутешительный вывод о том, что уязвимости системных средств ежегодно обнаруживаются десятками (причем, обратим внимание, к уязвимости системного средства могут приводить и ошибки в приложениях, что определенным образом характеризует архитектурные решения по реализации защиты этих средств), а их устранение (исправление архитектурных ошибок и ошибок программирования) может составлять месяцы, а то и годы. Проведем небольшое исследование и попытаемся ответить на вопрос, а как же все это сказывается на уровне эксплуатационной безопасности системного средства. Насколько же оно реально защищено?
Для оценки эксплуатационной (реальной, или истинной) безопасности системного средства может быть построена математическая модель с использованием аппарата теории массового обслуживания (по аналогии с тем, как это делается в теории надежности, ведь, в конечном счете, применительно к средству защиты информации,надежность – это свойство средства обеспечивать защиту информациив течение заданного промежутка времени).Приведем пример простейшей математической модели. Будем считать, что потоки обнаружения уязвимостей – отказов средства защиты, и процесс их устраненияявляются пуассоновскими (описывающими наиболее случайные события), причем уязвимости устраняются по очереди (не одновременно – будем использовать модель с одним обслуживающим прибором), по мере их обнаружения (наверное, именно в этом состоит некая «грубость» данной математической модели, однако, на практике, в большинстве случаев, подобное упрощение уместно, если речь идет об одном системном средстве, особенно в предположении, что интенсивность обнаруживаемых уязвимостей и время их устранения разработчиком невелики – в противном случае и анализировать-то нечего). В данных предположениях,вероятность того, что в любой момент времени объект защищен (определяется тем условием, что число не устраненных уязвимостей равно 0) можно оценить по следующей простейшей формуле:
для различных значений интенсивностей обнаружения уязвимостей (значения интенсивностей обнаружения уязвимостей заданы в единицах: число/год, а интенсивность устранения уязвимостей – ось абсцисс, заданы в 1/неделя – за сколько недель в среднем устраняется одна уязвимость), рассчитанные с использованием нашей математической модели, приведены на рис.2.
На этом рисунке следует обратить внимание на выделенную пунктирную прямую (на рис.2 имеет красный цвет). Она характеризует, что в любой момент времени объект защищен с вероятностью 0,5. Это означает, что в любой момент времени системное средство либо защищено, либо нет. Все значения, располагаемые ниже этой прямой, характеризуют следующее свойство средства защиты – системное средство скорее не защищено, чем защищено, располагаемые выше этой прямой – системное средство скореезащищено, чем не защищено.
Рассмотрим гипотетически идеальный случай – в среднем обнаруживается одна уязвимость в год (зеленая кривая на рис.2). Эта зависимость нам интересна с точки зрения того, как влияет на эксплуатационную безопасность интенсивность устранения уязвимостей. Видим, что подобное влияние весьма заметно. Из рис.2 следует, что если в среднем уязвимость (в частности, ошибка программирования) исправляется разработчиком за 1 месяц, то получаем в нашем гипотетически идеальном случае, что в любой момент времени объект защищен лишь с вероятностью менее 0,92. А что такое 0,92 – это означает, что практически в любой момент времени системное средство незащищено с вероятностью близкой к 10% (а ведь мы рассматриваем гипотетически идеальную ситуацию), т.е. около 10% рабочего времени системное средство незащищено. А что такое 1 месяц на устранение ошибки в сложном системном средстве, его потребуется только тестировать после внесения исправления не меньше месяца, иначе сразу сталкиваемся с проблемами надежности (отказоустойчивости) и корректности функционирования системного средства. А ведь этот месяц включает в себя после обнаружения уязвимости злоумышленником: получение об этом информации производителем, собственно устранение уязвимости, в той или иной мере крупномасштабное тестирование системного средства после исправления, получение обновления потребителем и внедрение обновления в системное средство. Месяц для выполненияподобной совокупности условий – это очень мало!
Рис. 2. Результаты моделирования
А теперь посмотрим на кривую синего цвета (интенсивность обнаружения уязвимостей - 10 в год), определим вероятность того, что в любой момент времени системное средство защищено в предположении, что пакеты обновлений появляются 1 раз в месяц, получаем менее 0,2. Но тогда, о какой безопасности может идти речь в принципе, если только 20% рабочего времени компьютер защищен (а ведь 10 уязвимостей в год это далеко не предел для современных системных средств)!
Вот вам и количественная оценка того, в какой мере «расширяется пропасть» - мы работаем практически на незащищенных компьютерах!
А ведь, наверное, целесообразно предположить, что при обработке конфиденциальной информации должно выполняться условие:
Мы, конечно же, не настаиваем на этом значении, приведенном лишь в качестве примера. Однако согласитесь, нельзя же обрабатывать конфиденциальную информацию в предположении, что 10%(или более) рабочего времени компьютера информация не защищается.
Самый ужасный вывод, который мы можем сделать в результате нашего исследования, состоит в том, что подобный уровень безопасности для сложного системного средства, которым является современная универсальная ОС, даже гипотетически недостижим (посмотрите на кривую зеленого цвета, представленную на рис.2). Что же делать? А возможно только одно решение – использовать добавочные средства защиты информации, причем, желательно те из них, которые позволяют противодействовать атакам на уязвимости ОС, связанные с архитектурными недостатками системных средств и ошибками программирования в системном и прикладном ПО! Возможно, читатель предложит иные рецепты?
Что же мы противопоставляем «расширяющейся пропасти»?
А вот теперь, самое интересное. Ранее мы видели, что в мире «бьют тревогу» и тому есть весьма веские причины. Работа на незащищенных компьютерах чревата, и, к сожалению, не только (а возможно, и не столько) потенциальной угрозой хищения конфиденциальной информации. В этом случае появляется угроза выведения из строя не только отдельных компьютеров, но и целиком корпоративных сетей!
Поневоле хочется узнать, как мы-то реагируем на сложившуюся ситуацию.
А для ответа на этот вопрос, прежде всего, обратимся к одному интересному исследованию:
· (Новость от 18.10.2006). Российский рынок средств защиты информации сегодня развивается довольно динамично. При этом в нашей стране отмечается значительное ежегодное увеличение количества зарегистрированных преступлений в сфере компьютерной информации. Следует отметить, что свыше 99% правонарушений совершается умышленно. Несмотря на то, что проблема информационной безопасности с каждым годом становится все острее, некоторые промежуточные результаты исследования "Средства защиты информации от несанкционированного доступа", проводимого журналом "Информационная безопасность/Information Security" (компания "Гротек") носят парадоксальный характер. Большая часть опрошенных (39,8%) считают, что отечественные компании и организации весьма неохотно идут на увеличение расходов на информационную безопасность (см. диаграмму, рис.3). Для сравнения: в большинстве зарубежных компаний, затраты на информационную безопасность составляют в среднем около 15% от бюджета информационных технологий компаний.
Рис. 3. Результаты исследования
Что обусловливает подобное отношение к ИТ-безопасности – непонимание проблемы, безответственность, незнание возможных путей решения? Честно говоря, у автора нет ответа на этот вопрос.
Но рынок есть рынок. Есть спрос, будет и предложение. Достаточно познакомиться с тем, как позиционируют возможность применения сертифицированной по требованиям безопасности ОС Windows XP Professional некоторые поставщики услуг в области защиты информации:
«Применение сертифицированной ОС Microsoft позволяет легально обрабатывать на клиентских рабочих местах конфиденциальную информацию, защищаемую в соответствии с законодательством Российской Федерации.
Преимущества использования сертифицированной ОС:
Не правда ли, следуя результатам исследований, приведенным на рис.3, можем сделать вывод, что подобное решение проблем информационной безопасности на сегодняшний день будет востребованным!
Самым, на наш взгляд, шокирующим в позиционировании подобного решения является следующее «снижение требований к объему знаний администратора безопасности». Но нельзя же отрицать очевидное, что без соответствующей квалификации лиц, отвечающих за решение задач защиты информации, эффективно эти задачи решены быть не могут. Квалификация – это же основа основ, особенно в такой сложно области знаний, как информационная безопасность!
Проведение сертификационных испытаний (проверка функционала) системного средства, дающее право легально обрабатывать на клиентских рабочих местах конфиденциальную информацию – это, безусловно, хорошо. Но при чем же здесь все остальное - квалификация администраторов безопасности, отсутствие необходимости установки дополнительных сертифицированных «наложенных» средств защиты информации, призванных решать совершенно иные задачи, в частности, задачи повышения уровня эксплуатационной безопасности системного средства. А как еще обеспечить эффективную защиту?
Что же нам ожидать, будет ли преодолеваться сложившийся кризис в ИТ-безопасности в нашей стране (иначе, как кризисом, отношение к ИТ-безопасности, проиллюстрированное на рис.3, назвать сложно).
Обратимся к статье «Сколько стоит утечка на самом деле?», опубликованной 16.03.07 на сайте www.cnews.ru, к которой представленоинтересное исследование.
В исследовании "2006 Annual Study — Cost of a Data Breach", проведенном Ponemon Institute (было опрошено 9 тыс. человек), респонденты рассказывали, как они поступили бы с провинившейся компанией. Выяснилось, что подавляющее большинство граждан (59%) либо уже отказалось от услуг ненадежной фирмы (под «провинившейся» в статье понимается компания, не обеспечивающая должного уровня ИТ-безопасности), либо собирается прервать сотрудничество в ближайшем будущем, что проиллюстрировано на рис.4.
Источник: Ponemon Institute, 2006
Рис.4. Действия клиента в случае компрометации приватных данных
Как отмечается в статье, для коммерческих предприятий именно отношение клиентов зачастую является главной целью. Если лояльные клиенты рассержены и покидают компанию или даже переходят к конкурентам, то дела такой компании плачевны, поэтому наибольший ущерб приносят отнюдь не прямые и косвенные убытки на выявление и устранение утечек, а снижение привлекательности торговой марки или ухудшение репутации.
На наш взгляд, рано или поздно, но руководители предприятий осознают столь очевидную истину, что ИТ-безопасность сегодня играет весьма заметную роль в бизнесе любой компании, и к ее обеспечению на предприятии необходимо относиться очень серьезно. В противном случае возможны необратимые последствия для любой компании. Доверие клиентов легко потерять, трудно вернуть!
В заключение отметим, что, конечно же, далеко не все одинаково относятся к вопросам защиты информации. Но, настораживает то, какой процент отечественных компаний и организаций на сегодняшний день (это мы видим из результатов исследования, представленных на рис.3), не задумываются на тему серьезности существующих проблем в области ИТ-безопасности, не видят назревшей необходимости квалифицированного решения задач защиты информации. А ведь время идет и «пропасть расширяется»!
Спойлер: она начинается с подписки на наш канал