Основные проблемы ИТ-безопасности сегодня и завтра

Статья опубликована в журнале Системный Администратор
Безопасность это процесс, непрерывный, динамический, требующий постоянных усилий. Любая ошибка может привести к потере данных и утрате доверия клиентов.

Компьютерная безопасность это целый комплекс мер направленных на решение простых по определению задач — защитить информацию и обеспечить непрерывность бизнес процессов. Сегодня любая компания полностью зависит от ИТ инфраструктуры обеспечивающей связь, обмен и хранение данных. С момента появления первых компьютеров технологии постоянно развивались и усложнялись. В месте с ними увеличивался и спектр потенциальных ИТ-угроз и возможных источников опасностей. Все это в итоге привело и к росту количества технологий систем защиты, которые чтобы быть актуальным современной ситуации становились более разнообразными, и не менее сложными и запутанными. И на сегодня придумано множество инструментов самого разного назначения: межсетевые экраны, системы обнаружения атак, сканеры безопасности, системы мониторинга событий, антивирусы и антишпионы, антиспам с немалым количеством сопутствующих технологий, вроде черных списков, расширений к протоколам и так далее. Назначение большинства из них известно практически каждому пользователю со стажем и составляют стандартный набор защитных приложений в любой организации. Настроек по умолчанию в большинстве ситуаций уже не достаточно, в каждом конкретном случае требуется подгонка параметров под конкретные требования, иначе система защиты не будет отрабатывать максимально эффективно.


Но ситуация в области угроз ИБ остается чрезвычайно сложной. Как показывает время в противостоянии щит и меч, средства защиты часто проигрывают, и находятся в постоянном догоняющем состоянии. Вначале злоумышленники придумывают инструмент или способ проникновения, это может быть вирус, троянская программа, эксплойт использующий уязвимость в приложении или операционной системе или просто ссылка на вредоносный ресурс отправленная в спам-сообщении. Затем с некоторой задержкой следует ответный ход разработчиков систем безопасности. И ситуация повторяется с завидной периодичностью и это при том, что большинство технологий защиты развиваются уже не один десяток лет и их алгоритмы казалось бы уже давно отточены.
В начале века большую проблему представляли вирусы и сетевые атаки, сегодня чуть ли не наибольшая опасность приходит от веб-сайтов содержащих злонамеренный код, социальных сетей, а также мобильных устройств и носителей. Объемы последних позволяют инсайдеру легко унести базу клиентов, достаточно лишь иметь возможность бесконтрольно подключить его к компьютеру.
По данным компании McAfee различные организации из-за преступлений в компьютерной сфере, связанных с утечкой информации и последующими расходами на ликвидацию последствий в мире ежегодно несут убытки в триллион долларов. При этом достоянием общественности становится лишь небольшой процент инцидентов. При том, что атакам подвергались компании самого разного уровня от небольших фирм до мировых конгломератов. Компании неохотно делятся своими проблемами.

Современные тенденции в сфере ИТ-угроз

Чтобы проанализировать ситуацию обратимся к данным нескольких источников отчетам CSI [1], securelist.com, данных информационно-аналитического центра anti-malware.ru и отчета SECURIT Analytics об утечках корпоративных данных и персональной информации в 2010 году [2]. В открытом доступе отчет CSI 2010 пока не представлен, вся информация собрана с различных ресурсов ссылающихся на выводы CSI 2010. Как и прежде наибольшую опасность несут компьютерные вирусы, убыток от которых в 2010 году отметили 30% респондентов (2009 – 64.3%). Но радоваться рано, с наступлением весны, после некоторого спада практически все антивирусные компании отметили увеличение количества попыток заражения компьютеров вирусами. Основной мотив вирусописателей — хищение информации (паролей, номеров кредитных карточек) и предоставление удаленного доступа к системе в основном с целью создание бот-сетей. По данным Symantec такие сети в марте 2011 были использованы для рассылки 83,1% мирового спама. Кроме этого они используются для проведения DDOS атак и размещения файлов (например, тела вируса) на удаленной системе.
В ТОП 10 вирусов за первый квартал 2011 входят исключительно троянские программы, которые вгрызаясь в систему могут незаметно жить там годами (если не принимать меры), скачивая новые модули, обновляясь и наращивая функциональность. Разработчики операционных систем в основном разобрались с уязвимостями, а те что обнаруживаются довольно оперативно закрываются при помощи системы обновлений. Поэтому вирусописателей в 2010 году больше интересуют программы сторонних разработчиков – Oracle Java, Adobe Flash Player и Acrobat Reader, плюс уязвимости в браузерах и плагинах. Эти программы устанавливаются практически на каждом компьютере, но обновляются крайне редко, это и делает их интересными для хакеров. Большинство пользователей уже “знает” об опасностях, которые таят исполняемые файлы неизвестного происхождения и относятся к ним с подозрением. Здесь же он выполняет повседневную работу — открывает обычный с виду PDF файл, заходит на веб-сайт, смотрит видео и так далее. В результате происходит заражение компьютера и установка троянской программы. Так, например, в марте 2011 года 5 из 10 троянских программ использовали уязвимости в Java или JavaScript.
По данным “Лаборатории Касперского” Россия стоит на первом месте среди стран мира по количеству зараженных Интернет-ресурсов и в которых наибольшая вероятность заражения через Интернет.
Вывод простой. Для обеспечения безопасности необходимо постоянно обновлять не только операционную систему, но и стороннее программное обеспечение. Если последние содержат возможность автоматического обновления, ни в коем случае его не отключать.
Многие современные антивирусы и системы защиты содержат модули проверки ссылок расположенных на веб-странице, проверяющих ее на принадлежность к подозрительным веб-сайтам и анализируют веб-трафик на предмет наличия вредоносного кода (например, iframe используемый при клик-джекинг). Как пример можно привести Модуль блокирования опасных веб-сайтов антивируса Касперского, Link Scanner в AVG AntiVirus (кстати доступен и в бесплатной (для персонального использования) верcии Free Edition). Разработчики Dr.Web предлагают плагин Dr.Web LinkCheckers для Mozilla Firefox/Thunderbird, Internet Explorer и Opera. Подобные дополнения хотя и не спасут от уязвимости, но могут блокировать переход по ссылке на вредоносный сайт.
Некоторые современные антивирусы блокируют переход по опасной ссылке
Самое интересное что, не смотря на все усилия, ни куда не делись черви, перемещающиеся при помощи съемных накопителей. Их представители Worm.Conficker.Win32, Worm.AutoRun.Win32 и Worm.Palevo.Win32 занимают около 6% всех вирусных инцидентов. Причем уязвимость используемая Conficker уже давно устранена. Причина в том, что эти вирусы еще “живут” — использование устаревших непатченных версий операционных систем и слабый контроль за использованием внешних носителей.
Количество новых вирусов растет в геометрической прогрессии. Взломы стали более персональными, вирусы и спам-рассылки, уже давно пишутся под конкретную организации и в случае проникновения в сеть, не обнаруживаются антивирусами использующими традиционный сигнатурный метод. Конечно, совсем бесполезными их считать нельзя, в любом случае их применение снижает риски, но для обеспечения максимальной защиты их следует сочетать с другими типами программ.

Мобильные устройства новый объект интереса хакеров

В 2010 году отмечен повышенный интерес хакеров к различного вида мобильным устройствам. Современный смартфон представляет собой мини-компьютер имеющий все возможности присущей настольной ОС и содержащий часто не менее важную информацию. При этом пользователи в большинстве своем не очень уделяют внимание защите и загружают контент (в том числе и по ссылке полученной в СМС), не особенно вникая в его происхождение. По данным Лаборатории Касперского наибольшее внимание у вирусописателей привлекает J2ME, последняя поддерживается и большинством современных телефонов, то есть теоретически под удар может попасть любой телефон.
Количество ПО содержащего вредоносный код обнаруженного на Android Market исчисляется сотнями, целью хакеров является установка троянца и получение информации о телефоне (IMEI и IMSI). И вирусы далеко не безобидны. Уже обнаружены программы которые осуществляют звонки или отправляющие СМС на платные номера и ворующие код, используемый при проведении банковских операций в онлайн. По мнению аналитиков количество вирусов под разные мобильные платформы в 2011 году как минимум удвоится.
На фоне увеличения вирусной активности, зафиксировано и повышения количества сетевых атак. Так в конце 2010 года в поддержку Wikileakes были подвергнуты DDoS-атакам сайты Mastercard, Visa, Paypal и некоторых правительственных организаций.
Следующие три места после вирусов по данным CSI занимают неавторизованный доступ (20.2%, 2009 – 15%), воровство ноутбуков и других мобильных устройств (12.7%, 2009 — 42%), а также доступ к приватной информации (11.5%, 2009 – 8%). Впрочем, следует отметить, что неправомерное использование сети инсайдером в отчете 2007 фигурировавшее на 5 месте, в отчете 2010 года отметили 3.5% и помещено на 7 место (после DDOS атак и финансовых махинаций). Остальные угрозы вроде перехвата пароля, использование сервера не по назначению, обнаружение ботов и прочие были отмечены примерно 1% и меньше респондентов. Конечно, на общем фоне их количество выглядит на общем фоне сравнительно небольшим, но подобные угрозы очень тяжело обнаруживаются. Да и их наличие говорит о серьезных проблемах в безопасности любой организации, о чем не все любят распространяться.
Кстати в отчете новозеландской NZ Computer Crime & Security Survey [3] воровство ноутбуков и других мобильных устройств и связанные с ним потери данных стоит на первом месте его отметили 43.6% опрошенных, хотя наибольшие убытки организации понесли от финансовых махинаций сотрудников.
Интересно выглядит ситуация в отчете SECURIT Analytics. В 2010 году зафиксировано 1014 утечки конфиденциальной информации (по 4 в день), что на 15,6% больше показателя 2009 года. Из них в России официально зафиксировано 37 инцидентов, что на 60,9% больше, чем в 2009 году. Причем по оценкам SECURIT Analytics общественности становится известно лишь об очень небольшой части инцидентов, примерно 0,1% от реального количества утечек информации. Главными каналами утечек остаются электронная почта (17,8%) и потерянные или украденные ноутбуки (22,5%). В 2010 году замечен рост доли утечек через мобильные накопители (+4,4%) и веб-сервисы (+3,2%).
Если ранее считалось, что хакеров интересуют небольшие и средние организации, а крупные компании менее рискуют в силу большего бюджета на защиту и следовательно большей защищенности и возможности быстро принять ответные меры. То сегодня можно сказать, что это далеко не так. Были взломаны сервера RSA, BMI, сайты Play.com и wiki.php.net. Причем успешным атакам подвергаются даже компании, занимающиеся IT-безопасностью. Например, HBGary Federal в клиентах которой числятся NSA и Интерпол, была взломана небезызвестной группой Anonymous. В результате того, что HBGary доверила свой веб-сайт уязвимой CMS (и немного социальной инженерии), была украдена и опубликована база клиентов HBGary, уничтожена информация компании и поврежден сам веб-сайт.

Спам никуда не делся

И хотя спам не фигурирует в некоторых отчетах, он ни куда не делся и по-прежнему входит в тройку наибольших угроз. Даже закрытие ботнета Rustock дававшего 30-40% мирового спама, практически ни как не повлияло на ситуацию. Вместо отрубленной головы гидры выросло две, и буквально через неделю объем спама стал расти и превысил предыдущий уровень. На сегодня доля спам-трафика в почтовых сообщениях составляет приблизительно 80%, что согласитесь не мало. Это лишняя нагрузка на почтовые сервера и каналы связи. Причем кроме вообщем то безобидной рекламы, отвлекающей от работы, письмо может, использоваться чтобы заманить на зараженный или фишинговый веб-сайт, что может привести к финансовым потерям. Как и прежде чтобы привлечь внимание получателя сообщения спамеры используют все новости и события. Например, в марте 2011 были замечены мошеннические спам-сообщения, предлагавшие отправить деньги на счет якобы гуманитарных организаций для пострадавших от землетрясения в Японии. Сегодня многие государственные организации для приема отчетов используют электронную почту, что тоже не прошло мимо внимания спамеров. На электронный ящик может прийти сообщение якобы из налоговой, о неправильно заполненной декларации и просьбе скачать новую версию отчета.

Опасности социальных сетей

Практически все кто занимается вопросами безопасности, отмечают повышенное внимание киберпреступников к социальным сетям, различного рода сообществам в том числе и Twitter. И если посетитель не смог попасть на сайт в связи с организованной DDOS атакой (как это было с ЖЖ, который только в этом году подвергся 4 таким атакам) это скажем так неприятно, но это больше проблемы провайдера услуг. Но ведь социальные сети давно используется дл сбора информации о конкретных пользователях, рассылки спама и вирусов. Пользователь уже “привык” что сообщение с незнакомого почтового адреса может быть опасным, а вся почта проходит через несколько спам и антивирусных фильтров, что снижает эффективность таких рассылок. То в социальных сетях все чувствуют себя в безопасности. Многие активно обмениваются ссылками с “друзьями” не сильно разбираясь, кто они и откуда. В итоге вирусы распространяются очень быстро и со временем социальные сети могут потеснить электронную почту в распространении вирусов.
Например, на волне анонса приложения Twitter для iPhone, была использована ссылка на троянец Worm.Win32.VBNA.b, которая быстро распространялась в ретвитах. Сегодня многие компании сегодня используют социальные сети для привлечения новых клиентов, такую работу можно доверить лишь подготовленным менеджерам. Причем сами аккаунты связанные с организацией лучше использовать лишь для одностороннего анонса событий.

Человеческий фактор

Проблема безопасности часто рассматривается исключительно технологически, человеческий фактор учитывается не всегда. А ведь преступления совершают не компьютеры, а люди. Информацией пользуются тоже люди. Создают и внедряют различные решения для защиты тоже люди. А человеку свойственно ошибаться. Многие ошибки появляются еще на этапе внедрения технологий.
Бизнес очень много потерял из-за слабых паролей, социальной инженерии, забытых человеком носителей информации и так далее. И чем сложнее система, тем больше вероятность человеческой ошибки. Причем самая основная — недооценка реальной угрозы. На любом уровне. Начиная от руководства фирмы не уделяющему вопросу безопасности должного внимания. Что уже говорить об обычном пользователе, который воспринимает компьютер как черный ящик, не особенно вникая в то, как он работает (а большинству этого и не нужно) и соответственно мало отдающему себе отчет в последствиях того или иного шага. Между ними находится сисадмин, который с одной стороны должен реализовать хотя бы минимальные политики безопасности, с другой сделать работу пользователей максимально удобной. Небольшое отклонение в любую сторону сразу же вызывает недовольство и балансировать без должной поддержки сверху очень тяжело. Наличие разнообразных защитных систем, часто только усугубляет ситуацию, создавая иллюзию полной защищенности.
Как пример беспечности можно привести историю с HBGary Federal. Кроме данных о почтовых аккаунтах, хакерами были восстановлены пароли двух пользователей имеющих в должности названия вроде “генеральный” и “главный” и обладающих правами администратора. Совет по безопасности №1 говорит, что нельзя применять один и тот же пароль в разных целях. Но очевидно такие советы пишутся не для всех. И в результате один и тот же пароль подходил и для почты, для твиттера, аккаунта LinkedIn, а также входа по SSH и Google Apps. В результате хакеры получили практически полный доступ к основным серверам. Кроме этого был получен пароль root для другого сервера, но стандартная система безопасности Unix требует, чтобы первичная авторизация была выполнена с учетными данными обычного пользователя. И такой аккаунт был получен весьма простым способом – отправлено письмо одному из инженеров от имени “главного”. Опять же большинство организаций заботящихся о защите информации, давно уже перешли на авторизацию вместо паролей ключевой связки. Почему это не сделано в компании занимающейся безопасностью остается только загадкой. Но только бы ее наличие сильно ограничило хакеров в возможностях, даже в случае успешного взлома.
Другой пример – человеческое любопытство, использованное при аудите безопасности компанией Secure Network Technologies. Вокруг офиса одной из фирм было разбросано несколько флэшек, и практически все они были вставлены на рабочем месте. Запустившийся троянец собрал и отправил SNT нужную информацию, которая уведомила об инциденте руководство фирмы.
Главной проблемой связанной с атаками, основанными на социальной инженерии, является то, что каждая новая атака проводится индивидуально и в большинстве случаев не похожа на предыдущую. Если на уловки хакера попадаются специалисты, что уже говорить об обычном пользователе.
Большинство зарубежных организаций отметили что тратят на безопасность до 5% бюджета причем примерно до 1% из это суммы уходит на обучение сотрудников.

Внутренние угрозы — инсайдеры

О беспечности сотрудников разного уровня можно говорить много, ошибки можно устранять, информируя и контролируя пользователя на всех этапах. Сегодня доступны средства защиты и аудита позволяющие привести текущую ситуацию к минимальным требованиям политик безопасности – указать требования к паролю, использовать смарт-карты для авторизации, ограничить приложения доступные пользователю, установить IP-адреса, откуда возможна регистрация в системе и так далее. Но большую тревогу у работодателя вызывают инсайдеры, то есть сотрудники компании, имеющие права в системе, обладающие некоторой информацией недоступной широкой публике, от действий которых компании могут пострадать (и страдают) очень серьезно, как финансово, так и в плане имиджа. Инсайдеру как правило, не нужно прибегать к каким-либо инструментам взлома, он вполне легален. Всплеск зафиксированных инсайдерских взломов пришелся примерно на 2000-2007, затем об инцидентах данного типа стали заявлять все меньше опрошенных.
Среди вероятных причин можно назвать увеличившиеся возможности сменных носителей информации. Если ранее чтобы перенести базу в несколько гигабайт требовалась не одна сотня дискет, а передавать такой объем по сети очень рискованно, то сегодня он легко помещается в карточку бюджетного телефона. Отсутствие контроля за использованием подобных устройств на первоначальном этапе и породила возможность, которую тут же использовали.
После последнего всплеска в 2007 года, когда в отчете в отчете CSI действия инсайдеров опередили вирусы, в 2008 было отмечено уменьшение подобного вида инцидентов на 30%. В 2009 году процент еще ниже 15%, а в 2010 – 3.5%. Мотивами инсайдеров практически в 90% является получение финансовой выгоды. Остальные — месть, желание привлечь к себе внимание, недовольство политикой компании, занимают относительно небольшой процент, хотя оставлять их без внимания тоже нельзя. Кризис и связанные с ним неудобства заставляет искать инсайдеров дополнительные формы заработка.
Но очевидно большинство организаций приняли надлежащие меры (в первую очередь контроль за использованием внешних устройств), повсеместное распространение получили DLP системы (Data Loss Prevention, систем противодействия утечкам информации) и средства мониторинга. Также можно отметить изменение инструментов аудита, контроля внешних носителей и появление службы управления правами (Rights Management Services) в новых версиях операционных семействах Windows. Стали доступны инструменты для контроля внешних носителей сторонних производителей имеющие еще более гибкие настройки. Как пример можно привести Zlock от SecurIT.
Но, учитывая мотивацию, проблема инсайдеров это не столько техническое решение, ведь вынести информацию можно и на листке бумаги, а как социальное. Чтобы снизить риск, необходим целый комплекс мероприятий, включающий постоянную работу с персоналом, имеющим доступ к закрытой информации, его обучение, а также хороший уровень зарплаты, наличие соцпакета и здорового климата в коллективе.

***

Не смотря на повсеместное развитие и внедрение систем защиты ситуацию в сфере ИТ-безопасности вряд ли можно назвать утешительной. Слишком долго боролись с последствиям, а не источником опасностей. За это время взлом систем превратился в серьезный бизнес имеющий серьезное финансирование и прибыли. Очевидно, только те компании руководители, которых осознают важность обеспечения информационной безопасности, имеют билет в будущее.

Ссылки:
1. Сайт Computer Security Institute — http://gocsi.com/
2. Отчета SECURIT Analytics об утечках корпоративных данных и персональной информации в 2010 году — http://www.securit.ru/docs/securit_research_2010.pdf
3. Сайт NZ Computer Crime & Security Survey — http://eprints.otago.ac.nz/

Теги:

Понравилась статья? Оставьте комментарий или подпишитесь на RSS рассылку.

Комментарии

Комментариев пока что нет

Оставить комментарий

(required)

(required)