Гостем конференции «Открытых систем» и IDC станет Маркус Ранум, создатель первого коммерческого сетевого экрана, Нострадамус информационной безопасности
Маркус Ранум — признанный мировой эксперт, создатель первого в мире сетевого экрана (firewall), предлагавшегося в качестве коммерческого продукта. Его разработки, с завидной регулярностью появлявшиеся на рынке начиная с конца 80-х годов, совершили настоящий переворот в области информационной безопасности; среди них сетевой экран SEAL корпорации Digital Equipment, инструментарий для разработки сетевых экранов TIS, сетевой экран Gauntlet, система обнаружения сетевых вторжений Network Flight Recorder.
В качестве приглашенного докладчика Маркус Ранум постоянно выступает на крупнейших конференциях по информационным технологиям. 5 апреля он примет участие в конференции «Информационная безопасность предприятия: анализ рисков, защита инфраструктуры и политика превентивной безопасности» в Москве, которую организуют издательство «Открытые системы» и компания IDC. Ранум ответил на вопросы обозревателя еженедельника Computerworld Россия Валерия Коржова.
Какие проблемы Internet были призваны решать сетевые экраны? Насколько эти проблемы актуальны на данный момент?
Изначально целью этой технологии было разделение сетей. В годы создания первых сетевых экранов эта проблема была одной из ключевых, поскольку во внутренних сетях практически не существовало никаких средств защиты. Уровень сетевой безопасности низок и по сей день, поэтому технология сетевых экранов по-прежнему актуальна: она обеспечивает необходимый уровень разделения.
Какие проблемы безопасности Internet наиболее актуальны сегодня? Можно ли от них защититься с помощью шлюзовых средств защиты?
Все больше и больше атак проводится на уровне приложений и данных. Такие атаки чаще достигают своей цели за счет того, что они «скрываются» с помощью шифрования на уровне приложений. Переход хакеров на атаки на уровне приложений и данных — естественная реакция на совершенствование сетевых экранов. Не имея возможности прорваться напрямую, через сетевые экраны, они ищут способы атаки с помощью тех типов трафика, которые межсетевые экраны пропускают на компьютеры.
Можете ли вы обрисовать эволюцию сетевых экранов? Какие черты характерны для последнего их поколения?
Технологии сетевых экранов практически не совершенствовались с 80-х годов. Некоторые даже полагают, что за это время они ухудшились и стали пропускать все большее количество сложных протоколов. Пожалуй, самым большим изменением сетевых экранов было их превращение в «системы предотвращения вторжений» (Intrusion Prevention System, IPS). Впрочем, системы предотвращения вторжений — лишь маркетинговый термин, используемый по отношению к сетевым экранам, дополненным сигнатурами для предупреждения атак на уровне приложений и данных.
Нужна ли сейчас защита внутри корпоративной сети и из каких элементов она должна состоять?
На уровне предприятий безопасность сетей зависит в основном от использования дополнительных приемов. Сетевые экраны необходимы, но также нужны сотрудники, которые будут следить за системными записями серверов и выявлять скрытые угрозы. В связи с ростом использования злоумышленниками клавиатурных и других шпионов, предприятиям необходимо следить за тем, какие программные системы заражены, и незамедлительно исправлять это. Злоумышленники не прощают ошибок, поэтому главное оружие против них — организованность и методичность.
Как можно защититься от внутренних угроз?
Я не верю в то, что есть способ решить эту проблему раз и навсегда. Всегда найдется тот, кто готов предать свою страну или свою компанию за деньги.
Как можно защитить конфиденциальную информацию от утечек с помощью переносных устройств, беспроводных соединений и флэш-памяти?
К сожалению, обычно бывает уже слишком поздно защищать информацию от утечек. Наиболее правильный метод защиты — держать важную информацию закрытой. К сожалению, такой подход противоречит важнейшему принципу современных сетей, который гласит, что информация должна быть доступной. Если компания устанавливает сеть, в которой сотрудники, имея доступ к базе данных, могут сохранить копию любого необходимого им документа на свой компьютер, со временем эта информация неизбежно будет украдена или продана.
Эту проблему нужно было решать 15-20 лет назад. Компании должны были следить за наиболее конфиденциальными областями баз данных, за сотрудниками, которые имели доступ к более обширной информации, чем им нужно было для их работы, за тем, кто и когда получал доступ к данным и куда эти данные уходили. Однако этого никто не делал, и сейчас заниматься этим вопросом слишком поздно.
Концепция сетевого периметра уже не подходит под современные реалии, а потому технологии сетевых экранов неизбежно должны измениться. Каковы главные направления этих изменений?
Многие говорят, что концепция периметра устарела, но не предлагают какой-либо реальной альтернативы. Неужели они считают, что своевременное обновление Windows-систем спасет пользователей от всех бед? Очевидно, что такой подход не принесет успеха. Поэтому я считаю, что говорить о «депериметризации» пока еще рано, но я и сам хотел бы окончательно отказаться от этого подхода.
Если я правильно понял, периметр теперь расположен в самом компьютере где-то между процессором, контроллером USB и адаптером беспроводных сетей?
Это опасное заблуждение. Информационную безопасность нельзя спускать до этого уровня, пока мы не будем уверены, что применение всех используемых сейчас протоколов достаточно безопасно в открытых сетях. Наивно утверждать, что компьютер выживет без периметра вообще или с периметром, опущенным до уровня операционной системы, пока протоколы верхнего уровня (такие, как, скажем, DNS и ARP) имеют слабую защиту. Как бы многим ни хотелось отказаться от концепции периметра, существуют основополагающие правила обеспечения безопасности, исходя из которых цена отказа от концепции периметра при нынешнем состоянии Internet остается слишком высокой.
Каковы наиболее ожидаемые угрозы информационной безопасности в 2007 году?
В этом году выходит Windows Vista, поэтому все хакеры будут искать дыры в ней. Впрочем, я не думаю, что в нынешнем году следует ожидать каких-либо катастрофических атак. Естественно, мы по-прежнему будем слышать о постоянных утечках данных. В этом нет ничего нового: проблема утечки данных остается актуальной на протяжении огромного периода времени, но предприятия игнорируют ее, надеясь, что ситуация улучшится сама собой.