В рубрику "В фокусе" | К списку рубрик | К списку авторов | К списку публикаций
А.В.Крячков
Директор по маркетингу и продуктам
компании Aladdin
Данные, полученные в ходе исследования "Нарушения ИБ. Интернет и безопасность корпоративного информационного пространства", проведенного журналом "Information Security/Информационная безопасность", позволяют сделать ряд любопытных выводов о положении дел в области противостояния внешним и внутренним угрозам ИБ в российских компаниях, а также выявить тенденции прошлого года в этой сфере и проанализировать прогнозы
Портрет респондента
Исходя из данных о портрете респондента (рис. 1), можно сделать вывод о том, что большинство опрошенных составляют представители топ-менеджмента, руководители департаментов и IT-специалисты из отраслевых компаний (рис. 2 и 3), принадлежащих к сектору SMB (малый и средний бизнес) по числу рабочих мест в организации (рис. 4). Это является свидетельством прежде всего того, что вопросы информационной безопасности (ИБ) из крупного корпоративного сектора и госсегмента "перекочевали" в более мелкий сектор SMB. Причины подобной "миграции" заключаются в достижении достаточного уровня обеспечения ИБ (на данный момент) крупных корпораций и госструктур, так как степень зрелости их отношения к данным вопросам гораздо выше. Последнее логично объясняется более существенными рисками в случае инцидентов в области ИБ.
Соответственно, обладая развитой IT-инфраструктурой, сформированными политиками ИБ и корпоративными стандартами, сегмент крупных компаний несколько менее озабочен проблемой ИБ, чем представители сегмента SMB, напуганные серией громких скандалов 2006 г., связанных с утечкой данных. В компаниях SMB зачастую нет четких регламентов и политик безопасности, они зачастую используют слабосовместимые между собой решения коробочного типа и борются с проблемами ИБ по мере их поступления. То есть задумываются об организации защиты своих сетевых рубежей постфактум, когда инцидент уже произошел и нанес ощутимый урон бизнесу компании.
Таким образом, факт смещения интереса к вопросам ИБ в сторону SMB – это, безусловно, положительная тенденция, свидетельствующая об актуальности вопросов информационной безопасности для российского малого и среднего бизнеса, а также косвенно говорящая о повышении уровня IT-грамотности этих компаний, что является основой для построения цивилизованного IT-рынка, где вопросы ценности информации и защиты данных занимают одно из приоритетных мест.
Используемые элементы защиты
Учитывая портрет респондента исследования (как уже было отмечено, в основном представители SMB-компаний), впечатляющими (если не обманчивыми) являются данные о том, что 45,2% компаний (рис. 5), а это почти половина всех опрошенных, использует сертифицированные средства защиты информации. На практике же подобные решения и продукты являются обязательными для защиты конфиденциальной информации и персональных данных граждан в информационных системах органов государственной власти, государственных организаций и предприятий, политика ИБ которых предусматривает применение только сертифицированных средств защиты данных. Как показывают результаты опроса, большинство компаний по-прежнему доверяет "слабой" парольной аутентификации (рис. 5); такая же ситуация распространяется и на организацию удаленного доступа к корпоративной сети, риск НСД или утечки информации при котором вырастает на порядки по сравнению с внутрикорпоративным применением паролей (рис. 6). Кроме того, многие российские компании до сих пор полагаются на морально устаревшие меры защиты информации – использование различных прав доступа на основе паролей (78%) и дополнительных паролей, запрашиваемых при удаленном доступе к ресурсам (45,5%). Понятно, что для эффективного противостояния хакерам и инсайдерам этого явно недостаточно, и респондентам следует порекомендовать обратить внимание на современные разработки лидеров рынка СЗИ. Они не только позволят существенно повысить степень защиты критически важной информации, но и дадут возможность сформировать логически цельную картину о реальном состоянии дел в области противостояния внешним и внутренним угрозам. На наш взгляд, практика обеспечения ИБ исключительно на основе использования паролей должна постепенно начать сходить на нет, и ощутимым это станет в наступившем 2007 г. Уже сейчас тема Identity &Access Management (IAM) – организация системы централизованного управления аутентификацией и доступом пользователей – становится одной из наиболее обсуждаемых на различных IT-форумах и мероприятиях по ИБ. Исходя из многочисленных прецедентов (в том числе имевших ме- сто в нашей стране) утечки конфиденциальных данных, инсайдерской активности и других угроз ИБ, российские компании постепенно приходят к неутешительным выводам: пока любой пользователь сети не будет однозначно идентифицируем, выявить утечку и наказать виновного не представляется возможным. Именно поэтому применение аппаратных устройств для аутентификации пользователей (прежде всего, USB-ключей и смарт-карт) становится нормальной практикой не только в крупных, но и в средних и мелких компаниях. Данная тенденция будет только развиваться, учитывая хотя бы последние изменения в законодательной базе РФ (принятие Закона РФ "О персональных данных", приближающееся принятие стандартов ISO 17799 и ISO 27001 в России), рост распространения электронной цифровой подписи (ЭЦП) и постепенное упорядочивание инфраструктуры удостоверяющих центров, а также массовое использование мобильного доступа к корпоративной ИС и растущую потребность у удаленных пользователей в любое время и в любом месте получать доступ к необходимым сведениям и приложениям и при этом быть уверенным в безопасности получаемых и передаваемых данных.
Интересен тот факт, что 40,7% респондентов отметили приоритет задачи обеспечения ИБ для руководства компаний как высокий (рис. 7). Выражаем надежду, что это так не только на бумаге, и топ-менеджеры SMB-сектора действительно со всей ответственностью готовы отнестись к ИБ своей организации. Да и 28,8% участников опроса отметили, что в их компаниях периодически проводятся занятия по вопросам ИБ (рис. 8). Этот важный аспект поддержания и эффективного функционирования инфраструктуры ИБ иногда еще является и определяющим. Как известно, визит незнакомого гостя (курьера, распространителя рекламы и др.) может обернуться серьезными потерями для компании, если оставленная без присмотра папка на стойке ресепшн окажется за пределами офиса или ее содержимое будет опубликовано в сети Интернет. Тем не менее весьма настораживает и тот факт, что, заботясь об обеспечении ИБ, респонденты практически не ориентируются на стандарты в данной предметной области (рис. 8).
Защита поиска и просмотра информации в Web
Применение шлюзовых технологий фильтрации контента являет собой новую тенденцию среди российских компаний (рис. 9). С ростом такого типа Интернет-угроз, как программы-шпионы, сетевые вирусы и трояны, проникающие в компьютеры пользователей из Web (а не через электронную почту, как это было еще несколько лет назад), во главу угла ставятся вопросы нейтрализации и блокирования злонамеренного кода на входе в сеть, до его проникновения непосредственно на ПК сотрудника компании. Как известно, последнее чревато заражением всей сети за считанные секунды.
Мы прогнозируем, что данная тенденция в ближайший год распространится не только на сегмент крупных компаний уровня Enterprise, но и xSP-провайдеров, предоставляющих различные услуги пользователям Интернета. Вместо многочисленных приложений, устанавливаемых на каждый компьютер локальной сети и призванных защитить рабочие станции пользователей от шпионских программ, абоненты смогут подключить дополнительную услугу и воспользоваться централизованной системой безопасности, которая позволяет сканировать и фильтровать трафик именно в сети провайдера. Таким образом индивидуальные и корпоративные клиенты получают "чистый канал" для доступа в Интернет, и в этом смысле очень важно корректно обозначить критерии и выбрать систему безопасности, способную без значительных замедлений работать на уровне сети Интернет-провайдера, "на лету" осуществляя фильтрацию получаемых из сети данных, отслеживание и блокирование злонамеренного кода. Использование таких технологий избавляет провайдеров от многочисленных обращений в службу техподдержки по вопросам, связанным с нейтрализацией шпионских приложений, и в то же время упрощает работу в сети самим пользователям. Стоит отметить и экономический аспект применения фильтрации контента на уровне шлюза. Скорее всего, в связи с возрастающим применением провайдерами технологий широкополосного и высокоскоростного доступа к глобальной сети российским пользователям будут предложены выгодные безлимитные тарифы Интернет-услуг. (Кстати, тарификация Интернет-услуг провайдерами в зависимости от объема полученных из сети данных – чисто российское изобретение. Во всем мире при выборе тарифа пользователь платит за канал с определенной пропускной способностью, а то, сколько данных он загружает из сети, никак не влияет на стоимость услуг.) Пользователь сможет выбрать "безлимитку" с "чистым" трафиком или без. Так удастся исправить парадоксальную ситуацию: при распространенном в настоящее время методе тарификации услуг Интернета в зависимости от объема потребленного трафика провайдеру выгодно, чтобы пользователь закачал как можно больше данных; следовательно, чем "грязнее" трафик, тем больший его объем закачивается и тем выше его стоимость. При переходе на "безлимитку" объем загружаемого трафика не влияет на его стоимость, а предложение "чистого" канала станет серьезным конкурентным преимуществом провайдера.
Тенденции прошедшего года
По выявленной динамике изменения качества аспектов обеспечения ИБ компаний бесспорно положительным является следующее: 36,5% респондентов отмечают повышение уровня внедрения современных технических средств обеспечения ИБ в своей компании (рис. 10). Обнадеживающе выглядит и картина, показанная на рис. 11 и 12. Однако большинство компаний (хоть и не подавляющее) все же сохранили прежний уровень обеспечения ИБ. При том что 9,4% затруднились ответить на этот вопрос, остается надеяться, что эта группа респондентов попросту не заметила произошедших изменений, что не означает факт их отсутствия. При анализе полученных в ходе исследования данных по нарушениям безопасности компаний в 2006 г. обращают на себя внимание графики, касающиеся обеспечения ИБ путем обработки внешнего трафика. В частности, на рис. 9 и 13 видно, что организации прилагают значительные усилия по обнаружению вирусов, но главным образом полагаются на диагностику внутренних ресурсов и мониторинг почтовых отправлений. Это вполне логично, если судить по графикам на рис. 14 и 15, причем выявлению вирусов, "вшитых" в приложение, многие респонденты еще не уделяют должного внимания. По крайней мере, к пониманию необходимости карантина приложений пришли менее 40% опрошенных (рис. 13). Между тем при современном уровне использования приемов социальной инженерии* подобная недальновидность может повлечь за собой серьезные угрозы несанкционированного и необнаруженного (!) воздействия злоумышленников на данные, хранимые и обрабатываемые в информационной системе организации. А это в большинстве случаев информация, от которой во многом зависит успешность и непрерывность работы организации (рис. 16).
Судя по результатам опроса (рис. 14), часть респондентов (20,6%) либо вообще не интересуется данным вопросом, либо абсолютно не представляет себе, какие случаи кибермошенничества имели место в их компании в прошлом году. С другой стороны, картина, отраженная на рис. 17, дает основание предположить, что респонденты испытывают ложный оптимизм по поводу действенности имеющихся мер работы с персоналом. Документальное закрепление неких правил по ИБ, которым сотрудники якобы должны неукоснительно следовать, еще не означает, что это работает на практике. Узнают ли сотрудники о своих обязанностях в области соблюдения ИБ из трудовых контрактов или специального руководства либо, игнорируя эти пункты, не глядя, подписываются под словом "Ознакомлен" – вопрос открытый. При этом регулярные тренинги, справедливо называемые всеми специалистами в области ИБ единственно эффективным способом работы с персоналом, отметили лишь 18,5% опрошенных.
Наибольшую тревогу вызывают результаты исследования по типам нарушений правил, установленных в компании (рис. 18). В частности, попыток НСД к корпоративным ресурсам компании, совершенных в 2006 г., не выявили 45,7% респондентов, а затруднились ответить на этот вопрос 24,5%. Таким образом более 70% представителей компаний, исходя из данных опроса, либо не обладают информацией относительно попыток НСД в своих организациях, либо относятся к категории опрошенных, уверенных в том, что никаких нарушений за год в отношении конфиденциальности информации в компании совершено не было. Но означает ли это, что прецеденты действительно не имели место? Или их просто не зафиксировали, не выявили, и должных мер борьбы с ними предпринято не было? Не уделяя достаточного внимания анализу сетевого периметра на предмет возможных атак извне, компании рискуют попросту никогда не узнать о том, почему за последние пару месяцев их трафик вырос в несколько раз. Также и о том, что с ПК, подключенных к корпоративной сети, отсылается спам и распространяется злонамеренное программное обеспечение; сама сеть лишь в теории обслуживается системным администратором, а фактически управляется извне неизвестным лицом с вполне известными целями.
На этом фоне удивительным выглядит прогноз опрошенных респондентов относительно наступившего 2007 г. Как свидетельствует диаграмма на рис. 19, подавляющее большинство респондентов уверены в том, что количество инцидентов в будущем только возрастет, а то, что это может произойти по их вине, видимо, в расчет пока не принимается (рис. 18 и 20). Согласно отечественной и международной практике, в условиях нарастающей конкуренции и повышения коммерческой и стратегической ценности информации, наиболее целесообразно сочетать просветительскую работу с персоналом и мощные современные технологии защиты (рис. 21) с обязательным применением методов аппаратной защиты и управления доступом. Тем более что подавляющее большинство опрошенных работают в компаниях, относящихся к тем сферам профессиональной деятельности, где информационная составляющая является либо основным, либо ключевым фактором успешности бизнеса.
Общие выводы
Вступление в силу Закона РФ "О персональных данных" станет мощным стимулом для широкого внедрения и использования сертифицированных продуктов обеспечения ИБ.
Ожидается продолжение стремительного роста сегмента Identity & Access Management, в том числе средств аппаратной аутентификации пользователей. Число организаций, использующих механизмы парольной аутентификации, еще довольно велико, но в среде специалистов по ИБ уже имеется четкое понимание необходимости внедрения двухфакторной аутентификации. Средства фильтрации Интернет-контента (содержимое Web-страниц, файлы с ftp-серверов, электронная почта, сообщения служб моментального обмена сообщениями и др.), работающие на уровне шлюза доступа, станут стандартным компонентом для построения многоуровневой системы защиты сети. Скорее всего, в 2007 г. многие провайдеры Интернета предложат заказчикам услугу "чистого" трафика.
* Социальная инженерия – это способ нелегального доступа к секретной или личной информации путем обмана людей; термин хакеров, связанный с процессом использования человеческого общения для получения информации о компьютерной системе – цели атаки. Во многих случаях хакер случайным образом звонит в компанию и просит людей сообщить свои пароли. В более сложных случаях хакер может рыться в мусоре или представляться сотрудником службы безопасности для получения критической информации. Хотя методы получения места уборщика в компании могут показаться простыми и иногда даже комичными, они очень эффективны. Социальная инженерия является для хакеров удобным способом и во многих случаях позволяет осуществить атаки, которые без нее были бы невозможны. Например, Masters of Deception, проникавшие в телекоммуникационные системы в США, могли делать это только после исследования содержимого мусорных ящиков в Нью-Йоркской телефонной компании.
Опубликовано: Каталог "IT-SECURITY. Системы и средства защиты информации"-2007