Вместе с тем нельзя отрицать, что Internet был и остается потенциальным источником самых разных угроз — от фишинга, нацеленного на похищение средств с банковских счетов, до «тихих» троянцев, о существовании которых владелец ПК может не подозревать годами. Так готовы ли компании реально использовать Internet в своих бизнес-процессах?
Угрозы меняются...
Поскольку Internet стал важным звеном цепочки бизнес-процессов коммерческих организаций, не стоит удивляться появлению целого класса злоумышленников, заинтересованных в извлечении незаконной прибыли путем махинаций в Сети. Переломным можно считать 2007 год, когда, согласно многочисленным исследованиям (в частности, Kaspersky Security Bulletin), не было зафиксировано ни одной заметной «хулиганской» вирусной эпидемии. Все массово распространяемое вредоносное ПО имело ярко выраженную коммерческую подоплеку. Более того, специалисты обнаружили немало троянцев и вирусов, созданных по заказу (например, шпион Pinch, вирус-червь Fujack и т.д.).
Сама модель угроз в Internetе претерпела серьезные изменения: жертва атаки (персона или организация) «заказывается», под нее разрабатывается специальный вредоносный арсенал, причем злоумышленники точно знают, какую прибыль они могут получить от своих действий. К основным угрозам сегодняшнего дня можно отнести:
-
проведение распределенных адресных DDoS-атак на «заказанные» объекты;
-
массовые рассылки рекламных объявлений (спама);
-
кражу денег с банковских счетов;
-
продажу ПО, использующего уязвимости, и инструментария для организации Web-атак.
Одной из самых опасных тенденций начала 2008 года специалисты в области информационной безопасности считают постоянное удешевление цены «заказов». Хотя для реализации таких угроз требуются мощные распределенные вычислительные ресурсы, стоимость разовой атаки упала меньше чем до 100 долл.
Лавинообразный рост постоянно мутирующего вредоносного ПО, заражающего компьютеры через Web, подтверждается исследованием безопасности использования Internet в разных организациях, которое провела фирма Aladdin. В нем участвовали 46 компаний из разных отраслей (банки, крупные ИТ-компании, операторы связи, промышленные предприятия и крупные издательства) с численностью сотрудников от 150 до 2500.
Суть исследования заключалась в полном мониторинге входящего и исходящего трафика с целью выявления вирусных атак, следов деятельности программ-шпионов, фактов нарушения политик безопасности и прочих инцидентов. Все выявленные случаи подразделялись на семь основных категорий, степень опасности которых оценивалась по шкале от 1 (самая низкая) до 5 (критическая). Для инспектирования трафика служил программно-аппаратный комплекс eSafe WTA, предназначенный для аудита защищенности информационных систем.
Результаты получились впечатляющими. В таблице приведено среднее количество инцидентов каждой категории, приходящееся на одного сотрудника компании за неделю.
…Проблемы остаются
Отреагировали ли компании на изменение модели угроз в Internet? Оказывается, нет. До сих пор подавляющее большинство предприятий применяют объектный подход к организации корпоративной системы информационной безопасности. Это значит, что вся ИТ-инфраструктура делится на отдельные объекты, и для каждого из них используется свой набор средств защиты. Например, на рабочие станции устанавливается «связка» из антивируса и межсетевого экрана, на почтовый сервер — спам-фильтр, на Internet-шлюз — специальный брандмауэр и т.д.
Практика показывает, что в современных условиях объектный подход неэффективен при борьбе с ИТ-угрозами. Главная причинна, пожалуй, кроется в перекладывании ответственности за принятие решения на пользователей, которые не обязаны разбираться в тонкостях информационных технологий. Конечно, основную настройку систем безопасности осуществляют администраторы или специалисты в области ИБ. Однако в процессе работы программные инструменты защиты задают пользователям множество вопросов, на которое они просто не в состоянии адекватно ответить. Что делать в такой ситуации сотрудникам? Конечно, лучше позвать компетентного специалиста. Но тогда компании придется содержать солидный ИТ-отдел либо сотрудникам — подолгу ждать помощи, а работа будет стоять.
Конечно, можно попытаться всегда давать отрицательный ответ. Однако в этом случае будет запрещен доступ к необходимым для исполнения служебных обязанностей сервисам или сайтам. Причем далеко не всегда ими будут развлекательные или потенциально опасные Web-серверы. Хакеры все чаще атакуют известные сайты и размещают на них опасные скрипты, которые через «дыры» в Web-браузерах заражают большое количество компьютеров. В 2007 году отмечено несколько массированных атак на Web-серверы, в результате каждой из которых были заражены от 10 до 70 тыс. порталов. Согласно исследованиям, 63% всех российских сайтов имеют критические уязвимости, а 93% — уязвимости средней степени.
Все эти данные подтверждают результаты упомянутого исследования Aladdin, часть которого посвящалась оценке эффективности действующих в компаниях средств защиты от Internet-угроз. Оценки выставлялись по обратной шкале — от 1 (высокая эффективность) до 5 (очень низкая эффективность); результаты представлены в графическом виде.
Как видно из рисунка, эффективность использования всех средств защитного арсенала предприятий далека от совершенства. Объясняется это не только и не столько их функциональными недостатками, сколько ошибками в конфигурировании отдельных продуктов и организации взаимодействия отдельных систем между собой. Нельзя забывать и о том, что пользователи могут отключать или обходить некоторые механизмы защиты.
Результаты анализа заставляют вспомнить еще об одной серьезной проблеме — отсутствии контроля над выполнением сотрудниками политик в области ИБ.
От защиты объектов к защите взаимодействия
Эффективно противостоять современным сетевым угрозам можно только при использовании принципиально иного подхода к построению корпоративной системы информационной безопасности. Речь идет о защите взаимодействия сторон, при которой инструменты ИБ работают на уровне информационных потоков. Достигнуть этого можно, лишь организовав надежную проактивную систему защиты на уровне точек сопряжения локальной и глобальной сетей, таких как Internet-шлюзы и почтовые серверы. Именно через эти узлы проходят все входящие и исходящие информационные потоки.
Для защиты таких узлов предназначены специальные системы контентной фильтрации, инспектирующие трафик в режиме реального времени. Предпочтение стоит отдавать серьезным масштабируемым продуктам, которые могут справиться с большими всплесками нагрузки без замедления доступа пользователей к Internet-ресурсам. Они обеспечивают многоступенчатую проверку, что позволяет максимально быстро выявлять и блокировать угрозы разных типов. Системы контентной фильтрации защищают от вредоносного и нежелательного контента (как известного, так и неизвестного), нейтрализуют при посещении пользователями опасных Web-сайтов агрессивные скрипты и другое подозрительное содержимое, блокируют работу нежелательного ПО (IM-клиенты, P2P-клиенты и т.п.), преграждают попадание спама на уровне внешнего шлюза и разграничивают доступ к разным сервисам социальных сетей.
Применение шлюзовой системы контентной фильтрации аналогично установке фильтра на кран с водой: сотрудники компании продолжают пользоваться Сетью в обычном режиме, но получают полностью очищенный контент. На их компьютеры поступает трафик, из которого «вырезан» весь потенциально опасный код без каких-либо усилий с их стороны.
Описанная модель дает возможность существенно снизить влияние человеческого фактора на надежность корпоративной системы ИБ. Кроме того, системы контентной фильтрации позволяют ответственным сотрудникам проводить мониторинг действий пользователей с выявлением всех попыток нарушения действующих политик. Такой контроль очень важен для быстрого обнаружения виновников и обеспечения неукоснительного выполнения установленных правил работы с Internet.
Нельзя забывать и о необходимости регулярного аудита корпоративной системы информационной безопасности. ИТ-угрозы постоянно меняются, и даже эффективно настроенная система защиты в определенный момент может дать сбой. Тогда возникнет опаснейшая ситуация: руководство компании уверено, что корпоративная информация надежно защищена, а злоумышленники в это время спокойно ее воруют или используют офисные компьютеры для рассылки спама.
Оптимальный метод постоянного аудита эффективности корпоративной системы ИБ заключается в применении специального устройства, которое подключается к действующим коммуникационным каналам и работает абсолютно прозрачно. Оно пропускает через себя трафик и сохраняет информацию обо всех выявленных инцидентах. Данные записываются на внутренний носитель и могут быть представлены в виде наглядных отчетов.
Подводим итоги
Итак, подавляющее большинство компаний не готово противостоять изменившейся модели Internet-угроз. Для обеспечения безопасности бизнес-процессов, основанных на использовании Глобальной сети, необходимо изменить саму парадигму защиты. Наибольшую эффективность демонстрируют технологии контентной фильтрации, обеспечивающие блокирование опасного контента на уровне внешних шлюзов и почтовых серверов. Благодаря этому пользователи корпоративных систем избавляются от необходимости принимать ответственные решения по настройке защитного ПО.
На Западе продукты такого класса получили широкое распространение, о чем свидетельствует наличие у подавляющего числа Internet-провайдеров услуги доставки «чистого» контента. Фильтруя весь трафик на своих серверах, провайдеры не только эффективно борются со спамом и прочим malware, но и повышают собственную конкурентоспособность за счет дополнительных Web-сервисов. Среди них, например, опция «родительский контроль», ограничивающая посещение детьми «взрослых» сайтов или проектов экстремистской направленности. Вероятно, не за горами тот день, когда и российский рынок осознает пользу, а главное, удобство профессиональных технологий защиты при ведении безопасного бизнеса и развитии новых Web-услуг.
Марат Давлетханов — независимый автор
Таблица. Оценка безопасности использования Internet в российских организациях