Вместо введения приведем следующее, несколько шокирующее сообщение, весьма ярко иллюстрирующее то положение дел, которое мы имеем с компьютерной безопасностью (здесь и далее в работе воспользуемся материалами, опубликованными в открытой печати, в частности на сайтах www.itsec.ru и www.cnews.ru):
А.Ю.Щеглов(Новость от 01.02.2006) под названием «ИТ-безопасность: никто не готов к новым угрозам».
Компания Ernst&Young провела ежегодный глобальный опрос ИТ-руководителей о проблемах информационной безопасности. Как оказалось, пропасть между угрозами ИТ-безопасности и тем, что делается для защиты от них, стала еще шире. Компания Ernst&Young выпустила очередную, восьмую, версию своего ежегодного отчета "Global Information Security Survey 2005". В опросе приняли участие высшие исполнительные лица более 1,3 тыс. коммерческих и государственных организаций в 55 странах мира, включая Россию. Основную массу респондентов составили директора информационных служб (CIO) и отделов ИТ-безопасности (CSO). Наиболее общим и, пожалуй, самым значимым выводом из этого исследования явилось то, что пропасть между угрозами ИТ-безопасности и тем, что делается для защиты от них, стала еще шире. Другими словами, риски, вызванные постоянным развитием бизнеса во всем мире, эволюционируют так быстро, что специалисты по ИТ-безопасности не успевает адекватно отреагировать на них. Эксперты компании Ernst&Young посчитали эту тенденцию настолько важной, что даже включили слова "Отчет о расширяющейся пропасти" ("Report on Widening Gap") в название своего исследования.
Честно говоря, в это не хочется верить. Попробуем провести собственное исследование и каким-либо способом оценить, а насколько все действительно ужасно. Если же наши опасения подтвердятся, попытаемся ответить на вопрос, а что же мы противопоставляем «расширяющейся пропасти», что мы делаем, чтобы адекватно отреагировать на риски ИТ-безопасности. С этой целью рассмотрим основу основ ИТ-безопасности – компьютерную безопасность.
Только факты
В качестве критерия оценки эксплуатационной (реальной) безопасности системного средства целесообразно рассматривать коэффициент его готовности обеспечивать защиту информации в процессе эксплуатации. Тогда в качестве основных параметров защиты следует рассматривать интенсивности отказов и восстановления средства защиты.
Под «отказом» средства защиты понимается обнаружение уязвимости системного средства (например, это могут быть ошибки в реализации ОС, либо приложений), которая потенциально может привести к несанкционированному доступу к информации.
Под интенсивностью отказов средства защиты (интенсивностью обнаружения уязвимостей средства защиты) понимаем интенсивность обнаружения в нем уязвимостей в единицу времени.
Под интенсивностью восстановления средства защиты после отказа (обнаружения уязвимости) понимаем интенсивность устранения в нем уязвимостей в единицу времени.
Сначала рассмотрим статистику обнаружения уязвимостей в ОС. Проиллюстрируем положение дел некоторой подборкой новостей, опубликованных в открытой печати:
-
(Новость от 02.12.2005). Несовершенство операционных систем и программного обеспечения — едва ли не главная причина колоссального ущерба, нанесенного мировой экономике компьютерными злоумышленниками. Большинство хакерских атак становится возможными из-за наличия уязвимостей в существующих ОС и ПО. В Сети появляется все больше вредоносного кода, который использует их для проникновения в компьютеры, выполнения запрограммированных действий и дальнейшего своего распространения. Статистика показывает, что количество уязвимостей растет год от года. С одной стороны, это связано с тем, что год от года растет количество ПО, а с другой, с тем, что сейчас уязвимости ищутся намеренно, как хакерами, так и компаниями производителями ПО и ОС. Первые преследуют криминальные цели — использовать «дыру» для получения доступа к чужим информационным ресурсам, вторые — чтобы не испортить свою репутацию и обезопасить информационные ресурсы своих клиентов.
По данным mi2g ежегодно хакерами взламывается до 90% сетей предприятий.
Динамика роста обнаруженных уязвимостей представлена на рис.1.
* — за 7 месяцев
Рис.1. Динамика роста обнаруженных уязвимостей
-
(Новость от 12.01.2006). В минувшем (2005) году в ОС Windows было выявлено 812 «дыр» (исследования US-CERT). Специалисты из McAfee отмечают, что из 124 «дыр», обнаруженных в Windows XP Professional на сайте Secunia (Security Provider), 29 так и осталось не устраненными, что дало компании основание присвоить Windows статус критически опасной ОС.
-
(Новость от 10.10.2006). Корпорация Microsoft в рамках ежемесячного обновления своих программных продуктов намерена на этой неделе выпустить одиннадцать патчей. Как сообщается в предварительном уведомлении, в операционных системах Windows различных версий выявлены шесть уязвимостей. Некоторые из них охарактеризованы как критически опасные и могут использоваться злоумышленниками с целью выполнения на удаленных компьютерах произвольных деструктивных операций. Четыре дыры найдены в офисных приложениях. По крайней мере, одна из них получила статус критически опасной. Кроме того, Microsoft выпустит заплатку для .NET Framework.
-
(Новость от 07.11.2006). Microsoft распространила предупреждения о том, что во всех операционных системах Windows, кроме Server 2003, обнаружена очень опасная уязвимость, которая к тому же уже активно используется злоумышленниками. Уязвимость затрагивает механизм Microsoft XML Core Services 4.0, который тесно связан с XMLHTTP 4.0 ActiveX Control. Уязвимость позволяет атакующему получить полный контроль над системой и компьютерными ресурсами. По словам представителей компании, эксплоит для этой уязвимость может распространяться при помощи спама и сторонних сайтов. В самой Microsoft никак не охарактеризовали опасность бага, однако специалисты по безопасности из компании Secunia охарактеризовали уязвимость как "экстремально опасную". В Microsoft пока не выпустили исправления для этой уязвимости.
-
(Новость от 20.02.2007). Компания Microsoft опубликовала свои ежемесячные бюллетени безопасности. На этот раз в них вошли 12 патчей, исправляющие 20 уязвимостей. И один из них уже предназначен для новой операционной системы Windows Vista. Ее уязвимость находится в механизме защиты от вредоносных кодов, который может позволить выполнение удаленного кода.
-
(Новость от 02.03.2007) В операционной системе Windows Vista, поступившей в широкую продажу 30 января, обнаружена одна из первых уязвимостей. Дыру в системе User Account Control обнаружили специалисты компании eEye. Из соображений безопасности подробная информация об уязвимости не разглашается. Известно лишь, что задействовать ее может локальный пользователь с целью повышения уровня собственных привилегий в системе. Впрочем, удаленный злоумышленник также может воспользоваться брешью в том случае, если уже имеет доступ к компьютеру. Компания eEye проинформировала корпорацию Microsoft о дыре еще 19 января, однако патча пока выпущено не было…
-
(Новость от 10.01.2007). Microsoft оставила Word под угрозой. Microsoft выпустила ежемесячное обновление безопасности, закрывшее 10 уязвимостей, включая критические в Office и Windows. Однако серьезные "дыры" типа "zero-day" в текстовом редакторе Word остались незакрытыми. Хакеры в последние месяцы уделяли повышенное внимание незакрытым уязвимостям в Word и Excel для проведения узконацеленных атак. Обычно их жертва получает электронное письмо с инфицированным вложением и текстом в теле письма, заманивающим открыть это вложение. В конце прошлого года было найдено множество уязвимостей офисного пакета Microsoft типа «zero-day», то есть они становились известными хакерам еще до выпуска соответствующего патча производителем. Причем многие из этих «дыр» обнаруживались и начинали активно эксплуатироваться хакерами сразу после выхода ежемесячного обновления безопасности софтверного гиганта, что говорит о приспособлении компьютерных преступников к графику выпуска патчей. Эксперты института SANS заявляют, что ко всем «залатанным» вчера уязвимостям, кроме как в Excel, существуют эксплойты. Минимум 3 уязвимости Word остаются незакрытыми, для их использования в арсенале хакеров также есть эксплойты. Возможно, что данная проблема будет решена с помощью внеочередного обновления безопасности Microsoft. Пока же пользователям остается быть бдительными и не открывать вложения форматов Word в письмах от недоверенных лиц.
Возможно, что подобное положение дел касается только одного конкретного системного средства. Отнюдь. Подтвердим сказанное:
-
(Новость от 08.06.2005) Нарушение конфиденциальности информации – самая большая внутренняя ИТ-угроза":
- "Величина ущерба от действий хакеров разнится. Если по 2003 году исследователи более-менее пришли к общему мнению и определились, что сумма составляет 17 млрд. долларов, то по 2004 году оценки совершенно разные. По данным исследовательской компании Datamonitor, мировой экономический ущерб от хакерских атак - явных и скрытых - может достигнуть 155,5 млрд. долларов. По мнению экспертов, ежегодно хакерами взламывается до 90% сетей предприятий;
- Один из основных элементов безопасности - это операционная система компьютера. Британские исследователи из группы mi2g наиболее безопасными платформами считают Apple Mac OS X и открытую версию UNIX - BSD (Berkeley Software Distribution). Операционные системы Linux и Microsoft Windows, напротив, были признаны слабо защищенными. Свои выводы специалисты mi2g сделали, проанализировав 235 тыс. успешных хакерских атак, проведенных во всем мире с ноября 2003 по октябрь 2004 года;
- Среди компьютеров под управлением ОС Linux взломанными оказались 65%, под управлением Windows - 25%.
Следуя данной новости, появляется надежда на то, что все-таки можно отыскать те ОС, которые можно отнести к безопасным? Но вот очередная новость:
-
(Новость от 15.03.2007). Apple устранила почти полсотни уязвимостей в Mac OS X. Компания Apple выпустила очередное комплексное обновление для операционной системы Mac OS X. Комплект обновлений Security Update 2007-003 содержит заплатки для 45 уязвимостей в различных компонентах операционной системы. Дыры, в частности, устранены в ядре программной платформы, модулях ColorSync, CoreGraphics, ImageIO, а также сетевой подсистеме Mac OS X. Несколько патчей закрывают уязвимости в продуктах сторонних производителей, в частности, плеере Adobe Flash Player, сервере MySQL и OpenSSH. Уязвимости имеют различную степень опасности. Большинство дыр могут быть использованы киберпреступниками с целью проведения DoS-атак или повышения собственных привилегий в системе. Однако несколько уязвимостей теоретически обеспечивают возможность получения несанкционированного доступа к удаленному компьютеру и последующего выполнения на нем произвольного вредоносного кода.
Теперь, в нескольких словах, об интенсивности исправления уязвимостей в ОС. На наш взгляд, весьма показателен следующий пример. Обратимся к публикации К.Касперски «Обзор эксплойтов» в журнале «Хакер» от декабря 12(96) 2006, см. стр.60-65. Это популярный журнал, тем интереснее. Приведем без комментариев несколько выдержек из этой статьи «Просто поразительно, как гиганты компьютерной индустрии реагируют на сообщения об ошибках, которые они не могут исправить. 22 октября 2004 года основатель группы Argeniss Information Security и ее CEO в одном лице – Cesar Cerrudo обнаружил серьезнейшую ошибку в Windows, о чем тут же сообщил в Microsoft. Но та продолжила выпускать дырявые операционные системы, а для уже существующей заплатка отсутствует и по сей день». Следующая выдержка «…система не препятствует ремапингу секции с атрибутами чтения/записи, что позволяет любому локальному пользователю проникнуть на уровень ядра…». Далее «По заявлению Argeniss Research Team, уязвимости подвержены W2K (до W2K SP4) и XP (до XP SP2) и не подвержены Server 2003 и Vista beta 2». Что же нам, как потребителям, рекомендует автор этой статьи «Официальной заплатки от Microsoft до сих пор нет, и все, что нам остается – это мигрировать на Server 2003 или Vista, в которых огрехи проектирования без лишнего шума были устранены (но, как известно, исправляя одну ошибку, Microsoft добавляет десяток новых; Vista – это не вариант, а вот над переходом на Server 2003 можно подумать)».
Чудовищно, критическая уязвимость существует более двух лет и не исправляется производителем. В это трудно поверить! Однако, исходный код эксплойта для данной уязвимости, в подтверждение сказанному, автор привел в своей статье. Заметим, что описанная атака не так и критична – в результате запуска эксплойта увидим «синий экран». Однако сам автор заявляет, что это лишь один из примеров, и существует возможность реализации иных воздействий на компьютер.
Небольшое исследование
На основании приведенного выше исследования, можем сделать неутешительный вывод о том, что уязвимости системных средств ежегодно обнаруживаются десятками (причем, обратим внимание, к уязвимости системного средства могут приводить и ошибки в приложениях, что определенным образом характеризует архитектурные решения по реализации защиты этих средств), а их устранение (исправление архитектурных ошибок и ошибок программирования) может составлять месяцы, а то и годы. Проведем небольшое исследование и попытаемся ответить на вопрос, а как же все это сказывается на уровне эксплуатационной безопасности системного средства. Насколько же оно реально защищено?
Для оценки эксплуатационной (реальной, или истинной) безопасности системного средства может быть построена математическая модель с использованием аппарата теории массового обслуживания (по аналогии с тем, как это делается в теории надежности, ведь, в конечном счете, применительно к средству защиты информации, надежность – это свойство средства обеспечивать защиту информации в течение заданного промежутка времени). Приведем пример простейшей математической модели. Будем считать, что потоки обнаружения уязвимостей – отказов средства защиты, и процесс их устранения являются пуассоновскими (описывающими наиболее случайные события), причем уязвимости устраняются по очереди (не одновременно – будем использовать модель с одним обслуживающим прибором), по мере их обнаружения (наверное, именно в этом состоит некая «грубость» данной математической модели, однако, на практике, в большинстве случаев, подобное упрощение уместно, если речь идет об одном системном средстве, особенно в предположении, что интенсивность обнаруживаемых уязвимостей и время их устранения разработчиком невелики – в противном случае и анализировать-то нечего). В данных предположениях, вероятность того, что в любой момент времени объект защищен (определяется тем условием, что число не устраненных уязвимостей равно 0) можно оценить по следующей простейшей формуле:
Естественно, что на практике нас будет интересовать установившийся режим (условие стационарности), определяемый выполнением условия:
т.к. не выполнение этого условия означает неограниченный рост уязвимостей, что характеризует состояние полной незащищенности системного средства, что определяется условием:
Зависимости:
для различных значений интенсивностей обнаружения уязвимостей (значения интенсивностей обнаружения уязвимостей заданы в единицах: число/год, а интенсивность устранения уязвимостей – ось абсцисс, заданы в 1/неделя – за сколько недель в среднем устраняется одна уязвимость), рассчитанные с использованием нашей математической модели, приведены на рис.2.
На этом рисунке следует обратить внимание на выделенную пунктирную прямую (на рис.2 имеет красный цвет). Она характеризует, что в любой момент времени объект защищен с вероятностью 0,5. Это означает, что в любой момент времени системное средство либо защищено, либо нет. Все значения, располагаемые ниже этой прямой, характеризуют следующее свойство средства защиты – системное средство скорее не защищено, чем защищено, располагаемые выше этой прямой – системное средство скорее защищено, чем не защищено.
Рассмотрим гипотетически идеальный случай – в среднем обнаруживается одна уязвимость в год (зеленая кривая на рис.2). Эта зависимость нам интересна с точки зрения того, как влияет на эксплуатационную безопасность интенсивность устранения уязвимостей. Видим, что подобное влияние весьма заметно. Из рис.2 следует, что если в среднем уязвимость (в частности, ошибка программирования) исправляется разработчиком за 1 месяц, то получаем в нашем гипотетически идеальном случае, что в любой момент времени объект защищен лишь с вероятностью менее 0,92. А что такое 0,92 – это означает, что практически в любой момент времени системное средство незащищено с вероятностью близкой к 10% (а ведь мы рассматриваем гипотетически идеальную ситуацию), т.е. около 10% рабочего времени системное средство незащищено. А что такое 1 месяц на устранение ошибки в сложном системном средстве, его потребуется только тестировать после внесения исправления не меньше месяца, иначе сразу сталкиваемся с проблемами надежности (отказоустойчивости) и корректности функционирования системного средства. А ведь этот месяц включает в себя после обнаружения уязвимости злоумышленником: получение об этом информации производителем, собственно устранение уязвимости, в той или иной мере крупномасштабное тестирование системного средства после исправления, получение обновления потребителем и внедрение обновления в системное средство. Месяц для выполнения подобной совокупности условий – это очень мало!
Рис. 2. Результаты моделирования
А теперь посмотрим на кривую синего цвета (интенсивность обнаружения уязвимостей - 10 в год), определим вероятность того, что в любой момент времени системное средство защищено в предположении, что пакеты обновлений появляются 1 раз в месяц, получаем менее 0,2. Но тогда, о какой безопасности может идти речь в принципе, если только 20% рабочего времени компьютер защищен (а ведь 10 уязвимостей в год это далеко не предел для современных системных средств)!
Вот вам и количественная оценка того, в какой мере «расширяется пропасть» - мы работаем практически на незащищенных компьютерах!
А ведь, наверное, целесообразно предположить, что при обработке конфиденциальной информации должно выполняться условие:
Мы, конечно же, не настаиваем на этом значении, приведенном лишь в качестве примера. Однако согласитесь, нельзя же обрабатывать конфиденциальную информацию в предположении, что 10% (или более) рабочего времени компьютера информация не защищается.
Самый ужасный вывод, который мы можем сделать в результате нашего исследования, состоит в том, что подобный уровень безопасности для сложного системного средства, которым является современная универсальная ОС, даже гипотетически недостижим (посмотрите на кривую зеленого цвета, представленную на рис.2). Что же делать? А возможно только одно решение – использовать добавочные средства защиты информации, причем, желательно те из них, которые позволяют противодействовать атакам на уязвимости ОС, связанные с архитектурными недостатками системных средств и ошибками программирования в системном и прикладном ПО! Возможно, читатель предложит иные рецепты?
Что же мы противопоставляем «расширяющейся пропасти»?
А вот теперь, самое интересное. Ранее мы видели, что в мире «бьют тревогу» и тому есть весьма веские причины. Работа на незащищенных компьютерах чревата, и, к сожалению, не только (а возможно, и не столько) потенциальной угрозой хищения конфиденциальной информации. В этом случае появляется угроза выведения из строя не только отдельных компьютеров, но и целиком корпоративных сетей!
Поневоле хочется узнать, как мы-то реагируем на сложившуюся ситуацию.
А для ответа на этот вопрос, прежде всего, обратимся к одному интересному исследованию:
-
(Новость от 18.10.2006). Российский рынок средств защиты информации сегодня развивается довольно динамично. При этом в нашей стране отмечается значительное ежегодное увеличение количества зарегистрированных преступлений в сфере компьютерной информации. Следует отметить, что свыше 99% правонарушений совершается умышленно. Несмотря на то, что проблема информационной безопасности с каждым годом становится все острее, некоторые промежуточные результаты исследования "Средства защиты информации от несанкционированного доступа", проводимого журналом "Информационная безопасность/Information Security" (компания "Гротек") носят парадоксальный характер. Большая часть опрошенных (39,8%) считают, что отечественные компании и организации весьма неохотно идут на увеличение расходов на информационную безопасность (см. диаграмму, рис.3). Для сравнения: в большинстве зарубежных компаний, затраты на информационную безопасность составляют в среднем около 15% от бюджета информационных технологий компаний.
Рис. 3. Результаты исследования
Что обусловливает подобное отношение к ИТ-безопасности – непонимание проблемы, безответственность, незнание возможных путей решения? Честно говоря, у автора нет ответа на этот вопрос.
Но рынок есть рынок. Есть спрос, будет и предложение. Достаточно познакомиться с тем, как позиционируют возможность применения сертифицированной по требованиям безопасности ОС Windows XP Professional некоторые поставщики услуг в области защиты информации:
«Применение сертифицированной ОС Microsoft позволяет легально обрабатывать на клиентских рабочих местах конфиденциальную информацию, защищаемую в соответствии с законодательством Российской Федерации.
Преимущества использования сертифицированной ОС:
-
эффективный механизм настройки параметров безопасности операционной системы;
-
отсутствие необходимости установки дополнительных сертифицированных «наложенных» средств защиты информации и, как следствие:
-
повышение скорости, устойчивости обработки информации;
-
снижение стоимости защищенного автоматизированного места;
-
снижение требований к объему знаний администратора безопасности;
-
периодическое обновление операционной системы вместе с дополнительными «опциями безопасности»;
-
выполнение требований нормативных документов, регламентирующих применение защищенных автоматизированных систем».
Не правда ли, следуя результатам исследований, приведенным на рис.3, можем сделать вывод, что подобное решение проблем информационной безопасности на сегодняшний день будет востребованным!
Самым, на наш взгляд, шокирующим в позиционировании подобного решения является следующее «снижение требований к объему знаний администратора безопасности». Но нельзя же отрицать очевидное, что без соответствующей квалификации лиц, отвечающих за решение задач защиты информации, эффективно эти задачи решены быть не могут. Квалификация – это же основа основ, особенно в такой сложно области знаний, как информационная безопасность!
Проведение сертификационных испытаний (проверка функционала) системного средства, дающее право легально обрабатывать на клиентских рабочих местах конфиденциальную информацию – это, безусловно, хорошо. Но при чем же здесь все остальное - квалификация администраторов безопасности, отсутствие необходимости установки дополнительных сертифицированных «наложенных» средств защиты информации, призванных решать совершенно иные задачи, в частности, задачи повышения уровня эксплуатационной безопасности системного средства. А как еще обеспечить эффективную защиту?
Что же нам ожидать, будет ли преодолеваться сложившийся кризис в ИТ-безопасности в нашей стране (иначе, как кризисом, отношение к ИТ-безопасности, проиллюстрированное на рис.3, назвать сложно).
Обратимся к статье «Сколько стоит утечка на самом деле?», опубликованной 16.03.07 на сайте www.cnews.ru, к которой представлено интересное исследование.
В исследовании "2006 Annual Study — Cost of a Data Breach", проведенном Ponemon Institute (было опрошено 9 тыс. человек), респонденты рассказывали, как они поступили бы с провинившейся компанией. Выяснилось, что подавляющее большинство граждан (59%) либо уже отказалось от услуг ненадежной фирмы (под «провинившейся» в статье понимается компания, не обеспечивающая должного уровня ИТ-безопасности), либо собирается прервать сотрудничество в ближайшем будущем, что проиллюстрировано на рис.4.
Источник: Ponemon Institute, 2006
Рис.4. Действия клиента в случае компрометации приватных данных
Как отмечается в статье, для коммерческих предприятий именно отношение клиентов зачастую является главной целью. Если лояльные клиенты рассержены и покидают компанию или даже переходят к конкурентам, то дела такой компании плачевны, поэтому наибольший ущерб приносят отнюдь не прямые и косвенные убытки на выявление и устранение утечек, а снижение привлекательности торговой марки или ухудшение репутации.
На наш взгляд, рано или поздно, но руководители предприятий осознают столь очевидную истину, что ИТ-безопасность сегодня играет весьма заметную роль в бизнесе любой компании, и к ее обеспечению на предприятии необходимо относиться очень серьезно. В противном случае возможны необратимые последствия для любой компании. Доверие клиентов легко потерять, трудно вернуть!
В заключение отметим, что, конечно же, далеко не все одинаково относятся к вопросам защиты информации. Но, настораживает то, какой процент отечественных компаний и организаций на сегодняшний день (это мы видим из результатов исследования, представленных на рис.3), не задумываются на тему серьезности существующих проблем в области ИТ-безопасности, не видят назревшей необходимости квалифицированного решения задач защиты информации. А ведь время идет и «пропасть расширяется»!
Автор - д.т.н, проф. ЗАО «НПП «Информационные технологии в бизнесе»
Статья получена: Клерк.Ру