Конференция АДЭ «Безопасность и доверие при использовании инфокоммуникационных сетей и систем»
Сейчас основные усилия индустрии информационной защиты направлены на латание дыр в программном обеспечении. Однако самые успешные вирусы последнего времени, такие как Bagle или Netsky, пользуются не ошибками в программном обеспечении, а естественными человеческими слабостями и всеми правдами и неправдами заставляют пользователей запустить свой код — без этого они безвредны. Поэтому контроль за действиями самих пользователей становится одним из важнейших методов защиты от информационных атак. Эта тема обсуждалась на пятой конференции АДЭ «Безопасность и доверие при использовании инфокоммуникационных сетей и систем».
Прежде чем контролировать пользователей, их нужно вначале аутентифицировать. Используемые сейчас схемы аутентификации по имени и паролю, скорее всего, уйдут в прошлое, поскольку в них легко можно вмешаться с помощью тех же троянских технологий. К примеру, разработчики новой версии операционной системы Windows Vista решили отказаться от статических паролей.
Сложившаяся ситуация активизировала деятельность по разработке стандартов для других средств аутентификации. Так, компания «Демос» вошла в состав рабочей группы IETF, которая занимается разработкой стандартов на одноразовые пароли. Цель «Демоса» — интегрировать в серию стандартов HMAC-OTP (Hashed Message Authentication Code One-Time Password — «система одноразовых паролей, построенная на базе хеш-функций») российский алгоритм хеш-функций ГОСТ 34.11. Это позволит создавать более защищенные от взлома системы аутентификации, чем базирующиеся на не очень надежных хеш-функциях SHA-1.
Однако, даже если пользователь прошел процедуру аутентификации, не стоит позволять ему слишком много. Особенно это касается использования Internet и электронной почты, поскольку именно через них проникают в корпоративную сеть вредоносные программы. Невозможно полностью запретить пользование этими сервисами, но контролировать и наказывать в случае нарушений вполне возможно. В частности, именно такое решение предлагает компания «Инфосистемы Джет», выпустившая недавно Web-версию своего инструмента контроля — «Дозор». Ранее с ее помощью можно было контролировать только электронную почту.
Система контроля Web-трафика «Дозор» предназначена для «расчленения» сеанса связи пользователя на отдельные компоненты, определения их типа и применения к ним определенных корпоративных правил. Причем в правилах могут учитываться используемые кодировки, сценарии, предлагаемые сайтом, и даже его лингвистическая структура.
Все данные о пользователе «Дозор» сохраняет и может предоставить офицерам безопасности для расследования инцидентов. Анализ деятельности сотрудников позволяет выявить проблемы в их навыках использования ресурсов Internet, а также и технологий защиты, используемых в компании. К тому же ведение записей посещений позволяет разбирать инциденты и наказывать виновных.
Собственно, сейчас именно на управление инцидентами постепенно переносится развитие информационной безопасности как отрасли. Это связано в первую очередь с принятием на уровне ISO нескольких международных стандартов по управлению информационной безопасностью, которые традиционно базируются на модели процесса обработки инцидентов. В частности, в России первый сертификат по ISO 27001 (вторая часть британского BS 7799) был получен компанией «ЛУКОЙЛ-Информ», которая имеет 5 тыс. сотрудников и десять филиалов по всей стране. Впрочем, пока сертифицирована только система управления безопасностью процесса работы с персоналом при помощи программного обеспечения SAP R/3 Human Resources. Со временем компания планирует расширить этот сертификат и на другие модули R/3.