Вопрос, который задается в последние годы так часто, что сказать нечто принципиально новое по этому поводу уже практически невозможно.
Тем не менее, очевидно, насколько актуальна эта проблема, если практически каждый день появляются публикации, так или иначе затрагивающие такие аспекты обеспечения безопасности деловой информации, как аутентификация пользователей, шифрование передаваемых данных и речи, построение защищенных бизнес-процессов и совершенствование корпоративной культуры для устранения лазеек, которыми могут воспользоваться недоброжелатели и конкуренты.
У кого-то из-за этого может даже развиться навязчивая идея, что «режим секретности» — это приоритетная задача для современной компании. С другой стороны, повторение отнюдь не всегда благотворно действует на восприятие, и подчас «общее место» становится уже не просто банальностью, а чем-то настолько очевидным, что многие забывают даже самые несложные правила «гигиены», не считая нужным тратить время и силы на совершенствование средств защиты информации.
Эти люди нередко выдвигают два аргумента. Первый: «У нас есть проблемы и поважней, данные нашей компании, в сущности, — тайна Полишинеля, а необходимость во всех этих бастионах систем распознавания пользователей и управления — просто очередной маркетинговый „bull shit“». Несмотря на несколько «шапкозакидательское» настроение, сразу отмахиваться от этого соображения все же не стоит. Мы обсудим его несколько позже.
Второй аргумент звучит и вовсе странно, например, для специалиста, работающего в Западной Европе или США. У этого аргумента есть две ипостаси, на первый взгляд столь отличных друг от друга, что не сразу понимаешь — речь, в сущности, идет об одном и том же. Итак, другая причина, по которой многие сквозь пальцы смотрят на защиту данных от несанкционированного доступа, формулируется одними примерно так: «В этом нет смысла, потому как в нашей стране все равно большинство утечек идет через официальные структуры и ведомства, в которые мы обязаны передавать свою информацию по закону». Другие заявляют: «У нас хорошие, налаженные связи с силовыми министерствами и спецслужбами, так что связываться с нами не будут, а если даже кто-то и осмелится, то злоумышленник будет быстро найден».
Не приходится сомневаться, что компании, работающие в развитых странах, также время от времени сталкиваются с проблемами, возникшими из-за недобросовестности или некомпетентности государственных учреждений, имеющих доступ к части корпоративных данных. Однако едва ли где-то еще такие вещи могут принимать формы «собственного свечного заводика» конкретных чиновников или целых ведомств, выступающих как платная справочная служба для всех желающих или «патронирующих» аффилированные при них компании, зачастую возглавляемые «своими людьми».
Не хочется использовать слова вроде «коррупция», «сговор» или «феодализм». Да в этом и нет никакой необходимости. Те, кто работает в России, сами все прекрасно знают.
Какое это имеет отношение к информационной безопасности вообще и защите данных от несанкционированного доступа в частности? Самое прямое.
Банально, но…
В сущности, принципы, на которых строятся все подобные системы, довольно понятны. И здесь сразу возникает несколько замечаний. Во-первых, вы можете вложить большие объемы средств, ресурсов и времени в самую изощренную «линию фортификаций», оборудованную по последнему слову техники.
Но в этом случае вы все равно не сможете устранить самое «узкое место» — человеческий фактор — ибо защитить вас от некомпетентного, нелояльного или корыстного сотрудника пока не в состоянии ни одна инновационная технология. Кроме того, чем более масштабным окажется внедрение такой системы, тем труднее будет потом перестраивать, если потребуется, многие бизнес-процессы, вести сопровождение системы и, понятно, тем дороже будет приобретение и эксплуатация.
Наконец, очень часто мощные системы защиты данных не только крайне требовательны к квалификации персонала и эксплуатируемой ИТ-инфраструктуре, но и могут, например, «отъедать» большую часть пропускной способности каналов связи. Эту проблему еще можно как-то решить, вложив большие деньги в модернизацию собственной сетевой инфраструктуры, но возможность удаленной работы ваших сотрудников будет практически сведена на нет.
Во-вторых, надо всегда отдавать себе отчет в том, что ни одно решение не способно защитить вас от всех угроз информационной безопасности. Более того, осмелимся утверждать, что спланированная профессионалами акция, направленная на кражу ваших корпоративных данных или даже уничтожение части из них, практически наверняка увенчается успехом. Однако следует помнить о том, что сегодня такого рода «операции» грозят только военным предприятиям, связанным со стратегической информацией и гостайной, спецслужбам, ведущим исследовательским центрам, создающим прорывные технологии, да, пожалуй, крупным банковским сетям. Во всех остальных случаях большую часть необходимых данных можно, даже в отсутствие коррупции, «выловить» вполне легальным путем, в частности на основе открытой информации. В крайнем случае, можно «разговорить» инсайдеров.
Ну а смысла «форматировать» конкурентам жесткий диск и вовсе нет никакого, поскольку очевидно, что в любой серьезной компании утерянные данные будут быстро восстановлены. Так что в значительной степени решения информационной безопасности остаются «защитой от дураков» и случайных атак.
В-третьих, системы защиты данных от несанкционированного доступа не имеют никакого смысла в случае «лоскутного» внедрения. Они должны быть частью целого комплекса мер, направленных на сохранность корпоративной информации. Это очевидно. Однако очень часто руководство компаний полагает обязательным введение смарткарт, удостоверяющих право сотрудника войти в офис, системы сложных процедур аутентификации при запуске рабочей станции, но при этом не предпринимает практически ничего для того, чтобы защитить свою офисную инфраструктуру, например, от вторжения через глобальную сеть.
Конечно, в большинстве современных компаний, работающих в России, подход к этим вопросам можно назвать достаточно зрелым и квалифицированными. Это связано в первую очередь с тем, что собственных успешных ИТ-компаний в стране практически нет, в лучшем случае речь может идти об интеграторах и дилерах, строящих свой бизнес на импортном оборудовании и решениях. Понятно, что в развитых странах накоплена богатая экспертиза и опыт в том, что касается создания системы защиты корпоративных данных, которые с той или иной степенью успеха переносятся и на отечественные представительства и офисы партнеров. Также иногда удается провести «конверсию» собственных разработок, ранее использовавшихся лишь в силовых ведомствах. Однако эффективность (в том числе экономическая) этих систем, как правило, не столь высока. Причем она ниже не только желаемой, но даже возможной. И связано это не только с той «национальной спецификой», о которой шла речь выше.
Как это бывает
Как уже было сказано, средства защиты информации от несанкционированного доступа могут быть лишь одной из подсистем общей инфраструктуры безопасности компании.
К данной подсистеме относятся задачи общей идентификации и аутентификации пользователя, а также задачи разграничения доступа к различным участкам инфраструктуры в зависимости от прав (или потребностей) пользователя.
Идентификация пользователя сводится к проверке его права на доступ к вашей информации (или вашей сети) в целом. Для решения данной задачи, как правило, используются средства операционной системы, которая функционирует на предприятии. Пользователь имеет имя, пароль или другие признаки, которым соответствует право доступа к каким-либо сетевым ресурсам. Эти признаки проверяются средствами операционной системы при первой попытке подключения пользователя к вашей сети. Например, при использовании Windows NT вы можете предоставлять пользователю имя и пароль, контролируемые ОС.
Под аутентификацией подразумевается идентификация пользователя по дополнительным (косвенным) признакам, например по IP-адресу подсети пользователя или по электронной подписи. Также могут использоваться смарткарты, биометрические данные или электронные «жетоны». Данные признаки, как правило, отслеживаются специальными программами и средствами, такими, например, как брандмауэры или специальные компоненты веб-серверов.
Разграничение доступа к информации, в большинстве случаев, обеспечивается непосредственно веб-серверами, которые имеют независимые от ОС или интегрированные с ОС системы идентификации пользователей и внутренние системы каталогизации информации, напоминающие структуры размещения информации самих ОС или незначительно отличающиеся от них.
При использовании веб-сервера для предоставления статической информации (заранее подготовленных и хранящихся в файлах документов) решение всех задач по обеспечению разграничения доступа и идентификации пользователей ложится на средства операционной системы и веб-сервера.
Если же основной объем предоставляемой информации основывается на технологии динамической генерации HTML-страниц и использовании веб-приложений, проблема разграничения доступа к информации ложится непосредственно на эти решения. В последнем случае умелое комбинирование средств операционной системы, веб-серверов и веб-приложений приводит к минимизации затрат на обеспечение работы подсистемы защиты и открывает широкое поле деятельности для ее самостоятельного совершенствования и доработки.
В некоторых компаниях, вместо того чтобы начать работу по внедрению новых решений защиты с проектирования, анализа рисков и других нетехнических вопросов, эту стадию пропускают и переходят сразу к приобретению и установке готовых продуктов, которые представляются руководству приоритетными.
Например, не совсем корректное «продвижение» на рынок таких решений, как антивирусные системы и межсетевые экраны, привело к тому, что примерно 55 процентов топ-менеджеров полагает их панацеей от всех атак.
В действительности, исследование американского министерства обороны показало, что даже при правильном использовании этих систем они могут защитить лишь от 45 процентов внешних вторжений и, разумеется, практически не спасают от внутреннего «взлома».
Аналитики также указывают на то, что предлагаемые инструменты защиты просто не поспевают за новыми технологиями, используемыми для несанкционированного доступа.
О том, какой вред может нанести собственная «пятая колонна», мы уже говорили. По данным статистики, почти восемьдесят процентов компаний сталкиваются с различными злоупотреблениями со стороны собственных сотрудников при использовании Интернета, а сорок процентов руководителей признались, что сталкивались с атаками изнутри собственной компании.
По мере роста бизнеса головной болью департамента ИТ становится задача обеспечения доступа сотен пользователей из разных сегментов сети к сотням ресурсов, подчас разбросанных по огромной территории. Только представьте себе ситуацию, когда один пользователь должен ввести пароль для доступа к своему компьютеру, базе данных, внутреннему порталу, Интернету и другим ресурсам. А ведь пользователей могут быть и сотни и тысячи. Все они могут ошибаться, забыть один из паролей. В итоге критическая масса недовольства пользователей нарастает, на персонал, отвечающий за безопасность, обрушивается шквал звонков с просьбой срочно разобраться в ситуации и т. д. По мнению менеджера по развитию бизнеса Cisco в СНГ Алексея Лукацкого, важным этапом эволюции инфраструктуры информационной безопасности является внедрение системы единой аутентификации, которая может быть реализована по-разному, например на базе инфраструктуры открытых ключей (PKI).
Однако, дойдя до этой стадии модернизации своей инфраструктуры, компания сталкивается с проблемой, которая только недавно стала актуальной. Это лавина сообщений от разнородных средств защиты, установленных на самых уязвимых участках сети. И проблема не только в том, что эти решения поставляются различными производителями. Приобретая различные виды продуктов даже одного производителя, вы не получаете гарантии, что они смогут работать вместе. Также может сложиться ситуация, когда у каждой системы будет свой отдельный интерфейс и консоли, так что администратору просто физически не удастся сколько-нибудь эффективно управлять всем этим «зоопарком».
Апарт
Здесь стоит прерваться и ненадолго вернуться к упомянутой в начале этой статьи позиции некоторых менеджеров и ИТ-специалистов относительно нецелесообразности внедрения новых средств защиты от несанкционированного доступа из-за несоответствия затрат на эти системы их реальной экономической отдаче. Если абстрагироваться от устрашающих отчетов, которые в изобилии готовятся на деньги различных вендоров, заинтересованных в продвижении своих продуктов, надо признать, что в некоторых случаях такое мнение вовсе не безосновательно.
Поэтому при анализе структуры возможных инноваций следует перейти от технической к организационной составляющей. Подходить к решению этой проблемы надо не спонтанно, по случаю закупая в разное время различные средства защиты, а комплексно. Комплексность подразумевает выполнение работ с самых основ, то есть начиная с анализа бизнеса компании и влияния на него информационных технологий, изучения потоков движения информации и каналов (способов) ее несанкционированного получения и т. д. При этом большое значение имеет способность самостоятельно или с помощью приглашенных специалистов оценить вероятность возможных «атак», их последствия для каждого бизнес-процесса и финансовые потери. Только расставив приоритеты и смоделировав различные сценарии развития событий, в случае факта несанкционированного доступа к тому или иному элементу инфокоммуникационной инфраструктуры можно рассчитывать на то, что вы вложите деньги в действительно эффективные решения, оправдывающие потраченные инвестиции. Заканчивается процесс анализа рисков составлением подробного плана действий по созданию инфраструктуры безопасности, включающей в себя не только технические средства защиты информации, описанные выше, но и различные организационные, юридические и иные меры, направленные на повышение уровня защищенности корпоративных ресурсов.
Если вы считаете, что информация, циркулирующая в вашей корпоративной сети, действительно имеет большое значение для бизнеса, может быть предметом кражи и нуждается в постоянной защите, можно сформулировать несколько несложных советов, которые позволят избежать целого ряда проблем, связанных с несанкционированным доступом.
Регулярно проверяйте целостность ПО.
Все пакеты, приходящие и уходящие из вашей сети, должны проходить через межсетевые экраны. При этом должны осуществляться шифрование и маркировка пакетов.
Перед тем как приобрести новое программное обеспечение, почитайте о нем на «хакерских» серверах Интернета.
Все пути передачи пакетов в защищаемой сети должны быть статическими.
Минимизируйте число станций, предоставляющих услуги файлового сервера.
Не пренебрегайте аудитом. Мониторинг журнала аудита должен быть регулярным.
Регулярно тестируйте политику безопасности, принятую в вашей системе, специальными программами.
Так или иначе, всегда следует помнить о том, что «разруха» живет именно в головах. Технические средства и огромные инвестиции, погоня за новейшими решениями и самыми дорогими консультантами могут оказаться совершенно бесполезными из-за одной-единственной глупости, совершенной даже не на этапе проектирования и внедрения, а во время рутинной работы с ИТ-ресурсами. Не выключенный высокопоставленным пользователем во время обеденного перерыва компьютер или неквалифицированный системный администратор, который для собственного удобства на время подключения нового оборудования просто открывает доступ к части корпоративной инфраструктуры, могут свести на нет все усилия по защите столь значимых для вашего бизнеса данных и нанести больший урон, чем целая команда «хакеров-диверсантов».
Подбор пароля
Возможные методы подбора пароля:
неоптимизированный перебор;
перебор, оптимизированный по словарям вероятных паролей;
перебор, оптимизированный на основе встречаемости символов и биграмм;
перебор, ориентированный на информацию о подсистеме аутентификации ОС. Если ключевая система ОС допускает существование эквивалентных паролей, при переборе из каждого класса эквивалентности опробуется всего один пароль;
перебор с использованием знаний о пользователе. Как правило, опробуются пароли, использование которых представляется наиболее вероятным.
Понятно, что эти методы могут применяться в совокупности.
Если злоумышленник не имеет доступа к списку пользователей ОС, подбор представляет серьезную опасность, только если у кого-то из пользователей установлен очевидный пароль. Если же доступ к списку пользователей есть, можно осуществлять перебор, не имея прямого доступа к атакуемому компьютеру или сети.
Помимо этого, пароль может быть получен в результате его считывания при вводе пользователем. Эта процедура может осуществляться как специальной программой, так и непосредственно «на глаз», поскольку натренированный человек способен подсмотреть вводимый пароль, глядя только на движения рук по клавиатуре. В некоторых случаях возможно получение пароля из командного файла. Ряд ОС при сетевой аутентификации (подключении к серверу) допускают его ввод из командной строки. Если аутентификация происходит с использованием командного файла, пароль пользователя присутствует в этом файле в явном виде. Не следует забывать и про доступность злоумышленникам (например в результате кражи) внешнего носителя информации.
Использование таких инструментов повышает надежность защиты ОС, но при их утрате владельцем злоумышленник может быстро получить все необходимые ему данные.
Автор: Александр Загнетко
Опубликовано в журнале "CIO" №6 от 19 июня 2006 года