Цель этой статьи - рассказать руководителям компаний, что представляет собой «информационная безопасность», зачем и как именно следует защищать компьютеры в ваших компаниях.
Марчук Валерий
Microsoft MVP Enterprise Security
Введение
Взлом, кибервойны, хакеры, вирусы, черви, троянские кони и еще много страшных слов… Мы все их слышим почти каждый день от наших коллег/друзей, читаем о них на новостных сайтах, смотрим репортажи по телевиденью. Для решения проблем с компьютерами мы зовем человека, именуемого «компьютерщиком», который за скромные деньги может установить «суперзащиту» (как правило, это обычный антивирус) или переустановить операционную систему, если совсем «ничего не помогает». Такова суровая действительность многих представителей малого бизнеса.
Цель этой статьи - рассказать руководителям компаний, что представляет собой «информационная безопасность», зачем и как именно следует защищать компьютеры в ваших компаниях.
Информационная безопасность – это состояние информационных систем, полученное вследствие выполненных работ, направленных на обеспечение безопасности вашего бизнеса. Это состояние продолжается до того момента, пока ваши системы не будут скомпрометированы.
Следует понимать, что не существует такого понятия, как «абсолютная безопасность», так как любые средства защиты можно обойти тем или иным способом.
Прежде чем что-либо защищать, необходимо понимать, что именно мы будем защищать и от чего. Если в вашей компании есть несколько компьютеров, которые используются исключительно для чтения анекдотов, просмотра погоды на неделю и игры в косынку, тогда вам безопасность совершенно не нужна. Т.к. неработоспособность или взлом ваших систем никаким образом не повлияет на ведение вашего бизнеса. Вы можете время от времени приглашать все того-же «компьютерщика» для установки бесплатного антивируса или переустановки операционной системы.
Но если ваши сотрудники используют компьютеры для доступа к платежным online системам/системам управления банковским счетом, хранения базы ваших клиентов и другой ценной информации, злоумышленник может потенциально похитить важные данные и воспользоваться ими в личных целях или уничтожить их. В этом случае, для вас будет выгоднее потратить определенные средства на обеспечение безопасности, чтобы максимально защититься от злоумышленника и не дать ему возможность получить контроль над вашими счетами и своровать у вас деньги/информацию.
Прежде чем рассказывать о различных угрозах для гипотетической компании я попрошу читателя представить себе, что может произойти, если злоумышленник получит полный доступ ко всем компьютерам в вашей компании и сможет незаметно для вас выполнять те же действия с данными, которые хранятся на этих компьютерах, что и обычные сотрудники. Если вам стало страшно, тогда читаем дальше.
Согласно исследованию компании Perimetrix, специализирующейся на расследованиях инцидентов безопасности, самыми опасными угрозами ИБ в 2009 году были:
Правильным решением по борьбе с инцидентами безопасности является их предотвращение. Для того, чтобы иметь возможность предотвратить потенциальные утечки данных, защитится от вирусов и хакеров необходимо понимать, откуда исходят угрозы и что они из себя представляют.
Условно все источники угроз можно разделить на следующие типы: атаки общей направленности и целенаправленные атаки.
Атаки общей направленности
Если ваши компьютеры подключены к сети Интернет, они постоянно подвергаются различным автоматизированным атакам. Цель этих атак – получить максимальный доступ к компьютерам компании, найти на них потенциально важные данные (пароли к различным сервисам в Интернет, социальным сетям, банковским счетам и пр.) и подключить компьютеры к своей бот-сети. Бот-сеть – это сеть, состоящая из зараженных компьютеров, контролируемых злоумышленниками. Зараженные системы могут использоваться для проведения атак на другие компании, рассылки спама и прочего.
Этому типу атак подвергаются абсолютно все пользователи сети Интернет. Для защиты от этого типа атак в большинстве случаев помогают общие рекомендации, описанные ниже в этой статье.
Источником утечек ценной информации могут стать также похищенные ноутбуки, телефоны, накопители информации, документы и прочее.
Список основных угроз ИБ, которым ежедневно может подвергаться компания:
Пример фишинг атаки:
Рис.1 Фишинг атака с элементами социальной инженерии
Внимание, не посещайте ссылку, указанную в письме!
Это письмо было получено на почтовый ящик, защищенный спам-фильтром от Лаборатории Касперского. Как видно по результату, злоумышленникам удалось обойти спам-фильтр. При наведении курсора мыши на ссылку, присутствующую в письме, мы можем увидеть путь к сайту. Поскольку я никогда не был на этом сайте, моей учетной записи на нем также нет. При нажатии на ссылку мы попадем на скомпрометированный сайт, который запросит у нас учетные данные. После ввода учетных данных, эти данные будут сохранены злоумышленником, а нас перенаправят на сайт email.com. Это стандартный метод сбора учетных данных для проведения последующих атак.
Это атаки, направленные непосредственно на системы или сотрудников вашей компании. В большинстве случаев целью подобных атак является доступ к данным и частичное или полное нарушение нормальной работы компании. Не зависимо от мотивов атакующего, успешные атаки приводят, как правило, к финансовым потерям компании. Защититься от подобных атак довольно сложно и зачастую они оканчиваются успехом для опытного хакера. Для целенаправленных атак характеры те же угрозы, что и для атак общей направленности, но в этом случае злоумышленник владеет некоторой информацией о компании, которая может увеличить вероятность успешного взлома.
Существенную угрозу для безопасности бизнеса представляют также недобросовестные сотрудники. Согласно отчету E-Crime за 2007 год 37% успешных атак было осуществлено сотрудниками компаний (далее, инсайдеры). В исследовании за 2010 год 64% компаний опасались кражи важных данных инсайдерами или бывшими сотрудниками.
Рейтинг угроз безопасности от инсайдеров в 2008 году (по данным компании Perimetrix (http://www.securitylab.ru/analytics/368176.php)):
Теперь, когда мы знаем, чего следует опасаться, мы может определиться с тем, как защищать свой бизнес.
http://www.mozilla.com/en-US/plugincheck/
Эти сайты позволяют обнаружить уязвимые компоненты на ваших системах и дать рекомендации по устранению уязвимостей. Проверка осуществляется путем анализа информации, отправляемой браузером.
Во всех современных операционных системах есть возможность запускать приложения от имени другого пользователя. Если по какой-то причине вы работаете на системе с привилегиями администратора или опытного пользователя, не обязательно запускать все приложения с этими привилегиями. Вы можете запускать, например, браузер с привилегиями гостевой учетной записи.
Для доступа к банковским счетам или платежным online системам я рекомендую использовать отдельные компьютеры или виртуальную ОС с ограниченным доступом к сети на рабочем месте и к сети Интернет. Компания Microsoft выпустила Windows Virtual PC – это приложение, которое позволяет запустить внутри себя любую операционную систему, работая в основной ОС. Из этой системы вы можете, например, осуществлять платежи, управлять счетами. После окончания работы с банковским приложением, вы останавливаете работу Virtual PC. Если на основной системе присутствуют вредоносные приложения, они не смогут получить доступ к виртуальной системе и похитить потенциально важные данные. Кроме того, многие вредоносные приложения преднамеренно не запускаются в виртуальной среде. Это объясняется тем, что виртуальные системы используются аналитиками антивирусных компаний для изучения поведения вредоносного ПО. С точки зрения обеспечения безопасности личных данных, этот недостаток можно использовать в своих полезных целях.
Защита информации
Также у Microsoft есть комплексное решение по защите от угроз, ориентированное на небольшие компании – Microsoft Forefront Security Suite.
После выполнения всех рекомендаций по защите от атак общей направленности, можно приступить к защите от целенаправленных атак. Следует понимать, что от подобных атак полностью защититься невозможно. Существует возможность лишь максимально увеличить расходы атакующего на проведение самой атаки и тем самым сделать эту атаку нерентабельной. Никто не будет тратить десятки тысяч долларов для того, чтобы получить информацию, которая этих денег не стоит.
Утечка данных (преднамеренная и случайная) исходит, как правило, от сотрудников компании. Существуют средства противодействия утечкам информации или DLP (Data Leakage Prevention) системы.
Ниже приведена обзорная таблица подобных решений от разных производителей.
Приложение |
Производитель |
Стоимость |
Примечание |
McAfee Host DLP |
McAfee |
5400$ |
стоимость 100 рабочих мест без интеграции |
Trend Micro DLP for Endpoint |
Trend Micro |
4700$ |
стоимость 100 рабочих мест без интеграции |
Symantec DLP |
Symantec |
от 25000$ |
|
Дозор-Джет |
|
от 25$/почтовый ящик |
|
Check Point DLP |
Check Point |
от $3000 |
встраиваемое лезвие в устройства Check Point |
SearchInform |
SearchInform |
от 13000$ |
Стоимость для 100 хостов |
В случае корректно внедрения, эти приложения способны обнаружить и предотвратить утечку данных.
В качестве обязательного превентивного средства является подписание соглашения о неразглашении конфиденциальной информации с сотрудниками компании.
Корректное разграничение доступа пользователей к информационным ресурсам позволяют минимизировать потенциальный урон от атаки.
Кроме стандартного набора антивируса и брендмауэра на каждой рабочей станции в сети должна присутствовать система обнаружения/предотвращения вторжения (IDS/IPS). Наличие подобной системы при условии ее корректного внедрения, позволит минимизировать риски, связанные с хакерскими атаками и усложнить процесс взлома.
Резюмируя вышеизложенное, я бы хотел озвучить 2 самых главных правила информационной безопасности:
Это две диаметрально противоположные аксиомы, которыми в настоящий момент руководствуется индустрия информационной безопасности. Атака целесообразна тогда, когда злоумышленнику будет выгодно потратить определенные средства на достижение своей цели. Чем выше стоимость взлома – тем ниже вероятность его успеха.
В этой статье была сделана попытка кратко изложить суть проблемы информационной безопасности и дать общие рекомендации по защите от угроз ИБ.