Исследование: "IM — Instant Messenger or Information Misuse?"

Исследование: "IM — Instant Messenger or Information Misuse?"

Наряду с очевидными достоинствами, IM-программы имеют и ряд недостатков – они отвлекают служащих от своей основной деятельности и, что более важно, являются потенциальной брешью в системе безопасности предприятия.

image

name="p1"> Введение

name="p1"> Программы обмена мгновенными сообщениями (IM – Instant Messaging), изначально рассчитанные на домашних пользователей, сегодня стали полноценным инструментом бизнес-коммуникаций. Зачастую, общение с помощью популярных IM-клиентов позволяет добиться более тесных и дружественных контактов, нежели использование традиционных способов связи, таких как телефон или электронная почта. Однако наряду с очевидными достоинствами, IM-программы имеют и ряд недостатков – они отвлекают служащих от своей основной деятельности и, что более важно, являются потенциальной брешью в системе безопасности предприятия.

name="p1"> Угрозы, связанные с IM-технологиями, достаточно разнообразны. Во-первых, существует масса вредоносных программ, атакующих пользователей тех или иных IM-протоколов. Во-вторых, уязвимости в программах-клиентах могут служить прекрасной мишенью для хакерских нападений. И, в-третьих, через IM-сети постоянно передается конфиденциальная информация, которую достаточно легко перехватить. Ну а если в вашей компании появился инсайдер, то эту информацию не надо даже перехватывать – ему вполне достаточно просто выслать своему внешнему контакту по IM-клиенту.

name="p1"> Настоящее исследование посвящено изучению рисков, которые возникают в компаниях при использовании IM-клиентов, а также тому, как организации реагируют на эти риски. Основная цель исследования – определить угрозы ИТ-безопасности, связанные с применением IM-программ в российских компаниях, и предложить наиболее эффективные методы защиты от них.

name="p1"> name="p2"> Основные выводы

  • name="p2"> Подавляющее большинство (92,4%) респондентов признают опасность IM-технологий, но практически каждый второй (48,6%) на практике бездействует и полностью игнорирует возникающие риски ИТ-безопасности.
  • name="p2"> Основная угроза, возникающая при использовании IM-клиентов, это утечка конфиденциальной информации (42,3%), что совершенно справедливо: каждый четвертый респондент (24,5%) согласился, что постоянно пересылает классифицированные сведения через IM-клиент, а еще 15,8% затруднились дать однозначный ответ.
  • name="p2"> Почти половинка компаний (41, 4%), защищающихся от IM-угроз, используют блокировку трафика, а почти треть (27,0%) - административные ограничения. Таким образом, респонденты предпочитают запрещать IM-трафик, вместо того, чтобы контролировать это эффективное средство коммуникации.
  • name="p2"> Лишь чуть больше половины (57,9%) респондентов, использующих блокировку трафика, считают эту меру эффективной. Напротив, три четверти компаний уверены, что административные ограничения (74,7%) и мониторинг IM-трафика (78,9%) являются эффективным средством защиты от IM-угроз.
  • name="p2"> Несмотря на высокие риски, компании малого бизнеса (до 100 рабочих станций) на 23,8% реже используют специальные средства для защиты от IM-угроз, нежели крупные корпорации (более 501 пользователя). Последние защищаются также далеко не всегда – меры принимаются только в 66,8% случаев.

name="p2"> name="p3"> Методология исследования

name="p3"> Исследование проводилось в период с 1 мая по 1 июня 2007 года. В процессе сбора первичных статистических данных участвовал 1101 респондент из различных стран, заполнивших онлайн-анкеты (см. приложение) на портале SecurityLab.ru. Вопросы, приведенные в анкете, были адресованы, прежде всего, профессиональной аудитории SecurityLab.ru, которая традиционно состоит из опытных специалистов в области информационных технологий и информационной безопасности.

name="p3"> Отметим, что первое российское исследование, посвященное безопасности IM-клиентов в корпоративной среде, было проведено аналитическим центром InfoWatch в середине 2005 года ( «Интернет-пейджеры: брешь внутренней безопасности или будущее средство бизнес-коммуникакий?» ). Несмотря на то, что база респондентов в прошлом и настоящем исследованиях значительно отличаются, некоторые параллели между ними провести все-таки можно. Поэтому, сравнивая нынешние результаты с показателями двухлетней давности, аналитический центр InfoWatch будет останавливаться только на самых общих тенденциях.

Приведенные ниже данные являются округленными до десятых долей целых чисел. В некоторых случаях сумма долей ответов превосходит 100% из-за использования многовариантных вопросов.

name="p4"> Потрет респондент

name="p4"> На рис. 1 представлен портрет респондентов по количеству компьютеризированных рабочих мест в организации. Наибольшая часть опрошенных сотрудников работают преимущественно в малых компаниях (61,3%), имеющих не более 100 рабочих станций. На долю среднего бизнеса (101-500 компьютеризированных мест) пришлось 21,7%. Оставшаяся часть респондентов (17,0%) представляет, соответственно, крупный бизнес. В дальнейшем результаты опроса будут сегментированы в зависимости от размеров бизнеса респондентов.

name="p4"> name="p5"> Используемые IM-клиенты

name="p5"> Согласно результатам исследования (рис. 2), подавляющее большинство пользователей (74,3%) используют сервис ICQ, что свидетельствует о высокой популярности данной программы в России. Правда, более половины (54,3%) респондентов применяют не только ICQ, но и другие IM-программы, а значит, несколько увеличивают вероятность возможных рисков. По сравнению с результатами двухлетней давности, ситуация практически не изменилась: IM-клиенты не используют 12,8% опрошенных, причем влияние отличий в базе респондентов на этот фактор можно считать несущественным.

name="p5"> Таким образом, технологии IM стали полноценным средством бизнес-коммуникации. Версия об их возможном отмирании в связи с проблемами безопасности не выдержала проверки временем. Бизнес-выгода, которую приносит использование IM, настолько велика, что абсолютное большинство компаний готовы применять IM-клиенты, невзирая на их очевидную незащищенность. Последний тезис прекрасно понимают и злоумышленники, что неизбежно приведет к распространению вредоносных программ, эксплуатирующих уязвимости пейджеров. Не стоит забывать и о внутренних угрозах – то есть, об инсайдерах, использующих IM-каналы.

name="p5"> name="p6"> Влияние IM на ИТ-безопасность

name="p6"> На рис. 3 приведена диаграмма, демонстрирующая основные угрозы, возникающие в связи с применением IM-программ. Нетрудно заметить, что в списке угроз лидирует утечка конфиденциальной информации, которую отметили 42,3% опрошенных. Риски, связанные с вирусными атаками и нецелевым использованием ИТ-ресурсов, набрали примерно по 20% голосов, спам и реклама - по 10,0%. Отметим, что только 7,6% респондентов считают, что использование IM-клиентов полностью безопасно.

name="p6"> Следующий вопрос исследования касался наиболее серьезной угрозы IM – утечки конфиденциальной информации (рис. 4). Как выяснилось, только 59,7% респондентов уверены в том, что они никогда не пересылают классифицированную информацию по IM-каналам, а 24,5% опрошенных, напротив, периодически ее пересылают. Рискнем предположить, что реальное количество людей, занимающихся подобными вещами, гораздо выше – многие попросту не хотят в этом себе признаться.

name="p6"> name="p7"> Регламенты и политик

name="p7"> Введение различных политик и регламентов является, наверное, самым простым способом снижения рисков от использования IM-программ. Тем не менее, 62,0% респондентов представляют компании, которые таких регламентов не имеют. Более того, лишь у 14,9% респондентов действие политик можно считать эффективным. Данные, говорящие о применении политик на предприятиях, приведены на следующей диаграмме (рис. 6)

name="p7"> В таб. 1 показана зависимость факта использования политик от размера организации-респондента. Нетрудно заметить, что чем больше компания – тем выше вероятность наличия регламента и его эффективного применения. Вместе с тем, с точки зрения малого бизнеса опасность утечек может оказаться даже выше – если крупная корпорация потерпит убытки и восстановится, то небольшая компания рискует стать банкротом после кражи всего нескольких важных документов.

name="p7"> Таб. 1. Эффективность политик в компаниях различного размера

 

Политика отсутствует

Политика действует эффективно

Политика есть, но он не имеет никакой силы

Затрудняюсь ответить

Малый бизнес

69,2%

9,3%

10,9%

10,6%

Средний бизнес

61,9%

18,0%

11,1%

9,0%

Крупный бизнес

39,5%

28,1%

13,7%

18,7%

name="p7"> С помощью таб. 2 можно проследить зависимость пересылки конфиденциальной информации от наличия корпоративной политики безопасности в сфере IM. Исходя из полученных данных, напрашиваются два основных вывода. Во-первых, эффективный регламент значительно (примерно в два раза) снижает риск утечки, однако не исключают его полностью. Во-вторых, наличие неэффективного регламента не только не снижает, но и даже повышает вероятность пересылки конфиденциальных данных. Поэтому, если организация хочет ввести регламент использования IM-программ – то она должна позаботиться об его эффективности.

name="p7"> Таб.2. Политики и утечка конфиденциальной информации

 

Политика действует эффективно

Политика есть, но он не имеет никакой силы

Политика отсутствует

Конфиденциальная информация пересылается

14,9%

31,1%

24,0%

Конфиденциальная информация не пересылается

78,1%

53,1%

60,3%

Затрудняюсь ответить

6,9%

16,5%

16,1%

name="p7">

name="p7"> name="p8"> Защита от IM-угроз на практике

name="p8"> Остальные способы защиты от IM-угроз приведены в диаграмме на рис. 6. Из полученных данных следует, что практически половина компаний (46,6%) никак не защищаются IM-угроз, а среди использующихся методов преобладают запретительные меры (блокировка трафика). Чисто контролирующие меры (мониторинг) пока не получили широкого распространения – по всей видимости, их внедрение сопряжено с техническими проблемами и сопротивлением пользователей.

name="p8"> Как и следовало ожидать, крупные организации принимают различные меры защиты от IM-угроз гораздо чаще. Огорчает другое – прирост наблюдается в основном за счет строго запретительных мер таких, как блокировка трафика. Применение контролирующих мер, напротив, находится во всех компаниях примерно на одном и том же низком уровне (8-10%).

name="p8"> По мнению экспертов аналитического центра InfoWatch, сегодня существуют инструменты, позволяющие эффективно применять контролирующие меры, такие как мониторинг и архивирование трафика. Складывая всю информацию в хранилище, организация существенно снижает вероятность утечки. Пользователи понимают, что пересылаемая информация где-то сохраняется, поэтому ведут себя осмотрительно. Ну а в тех случаях, когда утечка все-таки произошла, заархивированные данные помогут найти злоумышленника. Наконец, создание IM-архива является обязательным условием ряда нормативных актов и международных стандартов.

name="p8"> Таб.3. Корреляция между мерами защиты и размером фирмы-респондента

 

Административные ограничения

Блокировка трафика

Мониторинг

Архивирование

Другие меры

Никакие меры не применяются

Малый бизнес

13,0%

16,5%

8,1%

0,6%

5,8%

56,0%

Средний бизнес

14,7%

29,4%

7,2%

1,9%

6,2%

40,6%

Крупный бизнес

14,9%

30,2%

9,9%

2,2%

10,6%

32,2%

name="p8"> В таб. 4 находятся данные, демонстрирующие зависимость применяемых мер от наиболее опасных угроз. Из полученных результатов следует сразу несколько основных выводов. Во-первых, административные меры и блокировка трафика являются некими универсальными способами защиты от большинства IM-угроз. Во-вторых, применение мониторинга наиболее разумно в тех случаях, когда основной риск для вашей компании заключается в утечке конфиденциальной информации. В-третьих, практически половина пользователей, признавших угрозы IM-программ, никак от этих угроз не защищаются.

name="p8"> Таб. 4. Зависимость защитных мер от степени опасности угрозы

 

Административные ограничения

Блокировка трафика

Мониторинг

Архивирование

Другие меры

Никакие меры не применяются

Утечка конфиденциальной информации

14,2%

25,4%

12,0%

1,6%

6,6%

40,2%

Вирусные атаки

14,3%

18,2%

4,9%

0,4%

5,9%

56,3%

Нецелевое использование ИТ-ресурсов

16,4%

29,1%

5,3%

1,1%

4,3%

43,8%

name="p8"> name="p9"> Рекомендации по защите от IM-угроз

name="p9"> Помимо вопроса об уже применяющих способах защиты, исследование также ставило своей целью выяснить, какие методы защиты следует применять по мнению самих респондентов. Как оказалось, распределение ответов по используемым (рис. 6) и рекомендованным (рис. 7) мерам значительно отличаются. Отметим, что на рис. 7 сумма ответов превосходит 100%, поскольку респондентам предлагалось выбрать несколько вариантов ответа.

name="p9"> В отличие от «используемых» методов, большинство «рекомендованных» методов предполагают контролирующие способы воздействия на пользователей. С одной стороны, это объясняется непопулярностью запретительных мер, с другой – понимаем преимуществ использования IM с точки зрения бизнеса компании.

name="p9"> name="p10"> Эффективность методов, применяемых на практике

name="p10"> В рамках исследования, аналитический центр InfoWatch попытался оценить эффективность «применяемых» методов, в зависимости от «рекомендованных» методов. Полученные результаты подтвердили тезисы предыдущего абзаца – только 57,9% респондентов, использующих блокировку трафика, назвали эту меру «рекомендованной». В отношении административных ограничений и мониторинга эти доли заметно выше, они составляют 74,7% и 78,9% соответственно. Таким образом, можно сделать вывод о том, что блокировка трафика является самой нерекомендуемой и непопулярной мерой защиты от IM-угроз.

name="p10"> В завершение обратимся к диаграмме (рис. 8), демонстрирующей незащищенность респондентов, признавшихся в пересылках конфиденциальной информации. Исследование показало, что 60,3% компаний, в которых работают данные сотрудники, вообще не защищаются от IM-угроз. Очевидно, что если подобная ситуация сохранится, то внутренние нарушители обязательно ею воспользуются.

name="p10"> name="p11"> Заключение

name="p11"> Данное исследование подтвердило правильность тех тенденций, которые были сформулированы два года назад. Как мы уже неоднократно отмечали, IM-технологии стали стандартным средством коммуникации, применяемым в подавляющей массе компаний. Представители этих фирм постепенно осознают угрозы, связанные с IM, и начинают применять различные методы защиты. В то же время, до сих пор существует масса никак не защищенных организаций, являющихся потенциальной мишенью для инсайдеров.

name="p11"> Дальнейшее развитие IM-программ как средства бизнес-коммуникаций представляется вполне определенным. С одной стороны, будет расти количество инструментов защиты, с другой – спрос на эти инструменты со стороны клиентов. Численность организаций, в принципе игнорирующих защиту IM-каналов, будет, таким образом, снижаться. Очевидно, что усилия компаний в области защиты IM (как поставщиков, так и заказчиков) будут подстегиваться возрастающим количеством угроз, как со стороны внешних нарушителей, так и в особенности со стороны инсайдеров.

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.