Созданные человеком средства нападения прошли в своей эволюции путь от дубины до термоядерного оружия, средства защиты — от щита до подземных бункеров с полным жизнеобеспечением. Но в XXI веке развитые страны, располагающие чудовищными арсеналами, неожиданно оказались беззащитными против дейст?вия террористов, использующих совсем незамысловатые технологии. Только использование активных средств позволит успешно противостоять им. Нечто подобное происходит и в части обеспечения информационной безопасности.

«Не имея возможности управлять

событиями, я управляю собой, а если

условия не адаптируются ко мне,

то я сам адаптируюсь к ним».

Мишель Монтень (1533-1592)

Вся история средств, предназначенных для обеспечения безопасности в любой сфере, свидетельствует о неизбежности перехода от статических средств защиты к средствам динамическим, способным адаптироваться к окружающей среде. Древний Китай хотел спастись от набегов кочевников с севера Великой Стеной; однако, хоть это мегалитическое сооружение и столь грандиозно, что видно из космоса, оно все же имело лишь ограниченное значение для обеспечения безопасности империи. То же самое можно сказать о любых других статических средствах обороны. Так, появление огнестрельного оружия «отменило» рыцарские доспехи, артиллерия и самолеты сделали бессмысленными средневековые замки, наконец, в XX веке мобильность армейских соединений привела к тому, что пропала нужда штурмовать такие исторические оборонительные сооружения, как финская «линия Маннергейма» и французская «линия Мажино» — проще оказалось их обойти.

Не составляют исключения и технологии обеспечения информационной безопасности. Казалось бы, они относятся к самым современным информационным технологиям, но на фоне приведенных примеров нельзя не отметить определенную архаику идеологии безопасности; лишнее свидетельство этому — такие названия, как «Дозор», «Застава», Virtual Vault («Виртуальный замок»), отражающие стремление превратить корпоративные информационные системы в укрепленные районы с эшелонированной обороной. Подобный «фортификационный» подход был вполне закономерен и правомочен на определенном этапе развития. К тому же (что вполне естественно), он ведет свою родословную с тех времен, когда разного рода «органы» обеспечивали безопасность правительственных структур; в какой-то мере сохранился он и тогда, когда возникла необходимость в обеспечении безопасности финансовых учреждений. Защитно-оборонительный подход формировался в предположении о статичности окружающей среды и в условиях медленной эволюции средств нападения.

Однако, развитие сетевых технологий и проникновение компьютерных систем буквально во все сферы человеческой деятельности радикально изменило ситуацию: угрозы стали разнообразнее и многочисленнее, а защищать теперь приходится не только особые ценности, а практически все технические и информационные ресурсы корпоративных систем и даже личных компьютеров. Мы живем в эпоху, когда компьютерные системы становятся всепроницающими (ubiquitous computing) и делают точно таким же все?проницающим окружающий мир. В этом новом мире информация должна быть доступна пользователю в любом месте и в любое время, что приводит к размыванию периметра обороны. Следует учесть и то, что тектонические по своим масштабам подвижки по части обеспечения информационной безопасности происходят на фоне все возрастающих требований к обеспечению прав личности.

Происходящее дает основание говорить о формировании новой парадигмы безопасности, которая не является непосредственным результатом эволюции существовавших ранее средств обеспечения информационной безопасности, это происходит потому, что средствами ИТ обеспечивается более широкий круг вопросов, в том числе и физическая безопасность. Время, когда физическая безопасность и безопасность информационная существовали независимо, явно заканчивается.

Адаптивная безопасность по Capgemini

В числе первых организаций, где попытались определить, что же должен представлять собой новый подход к обеспечению корпоративной безопасности — в том числе, и информационной — была крупная консалтинговая компания, специализирующаяся в вопросах безопасности, которая теперь называется Capgemini (с недавнего времени она входит в состав консалтингового концерна Ernst&Young). Руководитель направления ИТ-безопасности Capgemini Барри Биил таким образом сформулировал необходимость перемен: «Забудьте старое ?крепостное? мышление; новый подход нуждается, прежде всего, в управлении рисками».

По мнению экспертов Capgemini, будущее принадлежит адаптивной безопасности (adaptive security) — такая безопасность должна стать одной из важнейших составляющих в создании адаптивного предприятия (adaptive enterprise), об актуальности которого так много говорят в последнее время. Адаптивную безопасность можно рассматривать одновременно и как новую философию, и как сумму технологий; в любом случае главным является переход от статики к динамике, от частных решений к общим решениям. Адаптивная безопасность позволит обеспечить формирование доверительной экосистемы и откроет возможности установки соответствующего баланса между стоимостью общей безопасности и допустимыми рисками. Отличие адаптивной безопасности от безопасности «крепостной» заключается, прежде всего, в том, что она интерпретируется не как отдельный ИТ-сервис или продукт, а как часть бизнес-процесса, соответственно, управление безопасностью встраивается в общее управление бизнес-процессами.

В попытках определить современные требования к безопасности Capgemini, совместно с компанией Cisco Systems, обследовала свыше 270 американских компаний и составила Adaptive Security Index, представляющий собой каталог наиболее удачного опыта при создании систем, обеспечивающих адаптивную безопасность. Приведем несколько сформулированных в нем рекомендаций.

  1. Распространить планирование безопасности на всю организацию. Только треть компаний обеспечивает достаточное согласование между ИТ, бизнесом и усилиями, нацеленными на обеспечение безопасности. Остающиеся зазоры представляют собой наибольшую опасность, поэтому следует создавать единую рабочую группу (Security Working Group), ответственную за планирование безопасности сверху вниз.
  2. Разрабатывать активную интегрированную инфраструктуру безопасности. Предприятия должны выстраивать единую инфраструктуру безопасности, включающую как технические, так и нетехнические средства, включающую элементы обратной связи, которые позволяют совершенствовать инфраструктуру. Она должна состоять из пяти компонентов: сетевые экраны; средства авторизации пользователей; средства обнаружения угроз и уязвимостей; средства, обеспечивающие работу мобильных пользователей; средства управления инфрастуктурой.
  3. Выработать систему оценки эффективности инвестиций в безопасность. Обследование показало, что, хоть 98% компаний и намерены увеличивать инвестиции в безопасность, только 40% делают попытки оценить эффективность инвестиций. В отсутствие должной системы оценок невозможно создать систему безопасности, по затратам адекватную стоимости хранимых данных.
  4. Работать на приемлемом уровне рисков. Если что-то не стоит защиты, то не стоит вкладывать в это сред?ства.
  5. Управлять инфраструктурой в согласии с юридическими требованиями. С точки зрения законодательства, особенность современного бизнеса состоит в том, что он благодаря сетевым технологиям стал интернациональным. Поставщик и потребитель могут подчиняться требованиям разных национальных юридических норм. Недоучет этого обстоятельства может привести к финансовым издержкам или даже к потере бизнеса.
  6. Разрабатывать гибкую и сбалансированную политику безопасности. Медленно, но верно предприятия начинают осознавать, что формальное определение политики безопасности является насущной необходимостью. Политика безопасности должна соблюдать баланс между операционной гибкостью и регулирующими нормами, в подчинении которых находится предприятие.
  7. Разрабатывать и внедрять в корпоративную культуру всеобщую заботу о безопасности. Необходимо помнить, что слабейшее звено безопасности — люди, поэтому из числа хакерских инструментов наиболее эффектными являются методы социальной инженерии. Обеспокоенность безопасностью и просвещение в этой области — лучшие средства обороны.

Что имеем и как защищаем?

Для того, чтобы обеспечить информационную безопасность в современных условиях, традиционных мер по защите каналов связи недостаточно. Необходимо рассматривать проблему во всей ее полноте. Сложность такой постановки задачи усугубляется тем, что практически никто из тех, кто защищает информацию, как это ни странно, не дает себе труд определить сам предмет защиты. Здесь, как и во многих других областях ИТ, свою пагубную роль сыграла слепая инженерная вера в единственность определения информации, сформулированного в статистической теории информации и теории передачи сигналов. Как представляется, было бы логично пойти по стопам специалистов по информатике (подлинной информатике, изучающей информацию, а не информационные технологии) и философии, заимствовав у них триаду данные — информация — знание.

Разделение предмета защиты на эти категории позволило бы сопоставить им соответствующие средства. Так, данные — это не что иное, как записи, состоящие из нулей и единиц, хранимые на носителях — иначе говоря, сырье для получения из них информации. Информация же не измеряется байтами, в этих единицах выражается всего лишь объем данных. Как и любой продукт, имеющий материальное представление, данные можно уничтожить, потерять, украсть, перехватить и т.д. Для того, чтобы предотвратить эти события, следует предпринимать адекватные технические меры, и на самом деле подавляющее большинство из того, что принято называть средствами защиты информации, является лишь средствами защиты данных. Информация — явление куда более сложное; не углубляясь, можно сказать, что это полезные сведения, которые могут быть почерпнуты человеком из данных. без человека информация не существует, следовательно, защита информации с неизбежностью включает меры как технического, так и социального порядка. Ну а носителем знаний является только человек: роль технических средств в защите знаний весьма специфична и ограничена.

Было бы чрезвычайно интересным появление работ, пограничных между обеспечением безопасности и управлением знаниями, но к сожалению, столь глубинного анализа предмета информации найти не удалось. Пожалуй, одна из немногих статей, где все же делается попытка комплексного представления задач обеспечения безопасности корпоративной информационной системы, принадлежит швейцарскому автору Шону Борану (http://www.boran.com/security/sp/security_space.html). Название статьи — «Обзор корпоративной информационной безопасности; сочетание организационной, физической и ИТ-безопасности» (An Overview of Corporate Information Security, Combining Organisational, Physical & IT Security) — звучит многообещающе. И хотя Боран в своем анализе все же не выходит за рамки информационного домена, его работа привлекла к себе немалое внимание.

Боран делит области «существования» информации на три составляющие — физическую, социальную (или персональную) и логическую (или сетевую). Подобное деление позволяет структурировать подход к обеспечению безопасности. Физическая составляющая — это то, где информация хранится (на бумаге, на сменных носителях, в компьютерах). Обеспечение безопасности этой составляющей сводится к физической защите зданий, помещений и контролю доступа. Социальная составляющая — не называя ее так, Боран имеет в виду два вида нематериального капитала (капитал знаний и интеллектуальный капитал), носителем которых является, в том числе, и человек. Сетевая составляющая — это данные, которые хранятся «где-то в сети».

Каждая из этих составляющих имеет характерные для нее типы интерфейсов, в свою очередь, каждый из этих интерфейсов может быть источником специфической угрозы.

  • Физические интерфейсы. Мы живем в физическом мире, где есть здания, оборудование, кабельные сети, компьютеры, разнообразные носители данных. Физические интерфейсы позволяют людям и оборудованию покидать охраняемое пространство, причем сегодня понятие охраняемого периметра размывается, поскольку мобильные компьютеры могут хранить значительные объемы данных. Не только сотрудники, но и посторонние люди могут тем или иным образом проникать в корпоративные помещения, где они могут похитить, повредить или скопировать данные. В офисе компаний может быть доступна несекретная, но важная информация. Основная угроза — неавторизованный доступ.
  • Социальные интерфейсы. Работники предприятия могут иметь внешние связи, используя телефоны, факсы, электронную почту, SMS-сообщения и, разумеется, личные контакты. Основную угрозу представляют методы социальной инженерии, они могут быть направлены на сотрудников вообще и на службы поддержки в особенности. Основные источники опасности на уровне социального интерфейса заключены в нарушении привилегий, незаконном использовании ресурсов и просто в человеческих ошибках.
  • Сетевые интерфейсы. За последние годы компьютерные сети стали одним из основных источников угрозы. Интерфейсы такого рода открывает возможности для множества угроз, среди них — три основных. О телефоне и голосовой почте обычно забывают, а между тем прослушивание нередко используется хакерами при подготовке атак. Коммутируемый Internet-доступ также оказывается удобной точкой входа для хакеров: он обычно хуже защищен и находится под более слабым контролем, чем выделенные каналы (опасность выделенных каналов хорошо известна).

Прежде чем предпринимать защитные меры, следует проанализировать внешнюю и внутреннюю среду по ряду показателей. Необходимо видеть своего потенциального противника, оценивать его ресурсы (в том числе, финансовые, временные и технические). Можно вкладывать огромные средства в сетевые экраны, защищающие от внешних «кракеров», но при этом не следует забывать и о нелояльных или злонамеренных лицах из числа собственного персонала. Стоит иметь внутреннюю службу, внимательно относящуюся к вредным привычкам сотрудников и другим факторам, способствующим нарушению корпоративных правил. Обычно акцент делается на ущербе, наносимом извне, хотя хорошо известно, что ущерб, который может быть нанесен изнутри, гораздо существеннее. Однако в СМИ о такого рода ущербе говорят гораздо меньше, поскольку подобные прецеденты чаще всего не выходят на поверхность и не привлекают к себе серьезного внимания, это, впрочем, не снижает степень опасности. С другой стороны, следует оценивать важность хранимых данных, учитывать жизненный цикл и старение, вкладывая средства в защиту того, что наиболее актуально. И, конечно же, следует оценивать вероятность природных и техногенных катастроф, а в нынешних условиях — и возможность террористических актов.

Для защиты физических интерфейсов могут быть предприняты следующие меры:

  • ограничение доступа, деление на зоны, использование внутренних пропусков;
  • регистрация доступа к данным;
  • контролирование процессов уничтожения документов;
  • шифрование информации на мобильных компьютерах;
  • обеспечение доступности данных, создание резервных копий, в том числе, на удаленных площадках.

Для защиты социальных интерфейсов следует вырабатывать политики безопасности, обеспечивающие защиту важных данных и процессов, распространяя сбалансированные и связанные стандарты на пользователей информационных систем, администраторов и технический персонал. В частности, к ним относится обучение всех перечисленных категорий персонала проблемам безопасности, сильные пароли и блокировки экранов, личная аутентификация, внутренняя разведка и аудит.

Для защиты сетевого интерфейса следует применять такие известные меры, как:

  • аутентификация пользователей и компьютеров;
  • шифрование;
  • цифровые подписи;
  • контроль доступа;
  • изоляция ресурсов;
  • антивирусная защита;
  • надежная система хранения данных;
  • постоянный мониторинг.

Рассмотренная работа Борана опубликована всего пять лет назад, и хотя она отражает традиционный взгляд на мир, но все еще не потеряла своего значения. Однако следует учесть, что за это время произошли существенные изменения в окружающей среде, и, соответственно, изменились требования к обеспечению информационной безопасности; сегодня на первый план выходит отражение угроз со стороны Internet, а также человеческий фактор.

Активный контент

В нынешних условиях сетевой интерфейс — это, наверняка, связь с Internet. Глобальная сеть в ее современном обличье напоминает быстроразвивающуюся территорию, в короткий срок превратившуюся из пасторальной деревушки в громадный мегаполис со всеми наличествующими в нем порочными и уголовными составляющими. Едва ли лет тридцать назад создатели Сети могли предположить, какую питательную среду для преступности они взращивают. Так или иначе, сегодня мы все стали обитателями этой опасной среды, и нет ни тех стен, которыми можно было бы от нее отгородиться, ни той вакцины, которая могла бы предотвратить влияние развивающихся в этой среде вирусов. Следовательно, остается возможность адаптироваться ко всем этим обстоятельствам, отсюда следует значимость адаптивной безопасности.

Переходя на язык информационной безопасности можно сказать, что две основные и наиболее популярные категории инструментов, сетевые экраны и антивирусы, не в состоянии более обеспечивать полноценную защиту от новой угрозы — от активного Internet-контента. Активным контентом называют мобильные коды, которые могут выполняться без одобрения пользователя на его компьютере с целью организации динамического взаимодействия с сетевым приложением, например, таким образом обеспечивается анимация страниц Web-сайтов. Активный контент поддерживается технологиями Java, ActiveX, JavaScript и Visual Basic Script, создавая иллюзию посещения сайта; на самом же деле сайт получает доступ к компьютеру, загружает на него свой контент и выполняет его в рамках Web-страницы на локальном компьютере.

  • Java — язык, предложенный компанией Sun Microsystems, может быть использован для разработки вложенных небольших приложений (апплетов) в Web-страницах. Апплеты выполняются виртуальной Java-машиной пользовательского браузера. Опасность апплетов заключается в том, что без соответствующего контроля безопасности эти приложения могут получить доступ к файлам и пересылать данные в сеть, не оповещая об этом владельца машины.
  • ActiveX — язык корпорации Microsoft, позволяющий получить доступ к операционной системе на компьютере пользователя. Дает возможность создавать мощные приложения, но чреват риском доступа ко всем ресурсам клиента и предоставляет широкие возможности для внедрения тяжелых вредоносных приложений. ActiveX-приложения могут содержать цифровую подпись для проверки источника происхождения, однако эти ограничения можно без особого труда преодолеть.
  • JavaScript — язык, разработанный компанией Netscape, является общепризнанным средством для написания встроенных приложений, выполняемых под управлением браузера, а не операционной системы. Предназначен для анимирования и озвучивания сайтов, редактирования вводимых пользователем данных, выполнения вычислений и повышения интерактивности. JavaScript обладает меньшими полномочиями, он не может сам получить доступ к файлам и операционной системе, но может модифицировать cookies и запускать модули расширения, уже заложенные в клиента, тем самым способствуя несанкционированной передаче данных вовне.
  • Visual Basic Script — язык скриптов, близкий JavaScript. сильно ограниченный, но все же позволяющий создавать, открывать и писать в текстовые файлы, запускать ActiveX-директивы, не оповещая пользователя, — со всеми вытекающими негативными последствиями.
  • Cookies — механизм, используемый Web-сайтами для сохранения небольших порций данных на дисках посетителей, своего рода метки, которые позволяют накапливать персонифицированную информацию о пользователях, регулярно посещающих сайты. Не лучшие возможности cookies заключаются в том, что они могут сохранять пароли, что открывает возможность для перехвата в надежде, что тот же самый пароль будет использован для хранения более существенных данных.
  • Plug-ins — модули расширения, используемые современными браузерами для загрузки и установки мультимедийных данных. Обычно модули расширения от известных производителей не вызывают опасений, однако не исключено, что они могут быть злонамеренно модифицированы.

Опасность перечисленных средств заключается в том, что при их посредстве чужой контент получает привилегии работы на компьютере пользователя. Естественно, что эти технологии стали окном, которым незамедлительно начали пользоваться злоумышленники. В большинстве своем сетевые экраны «не замечают» активный контент: они разработаны исходя из теоретически обоснованных представлений о границах между предприятием и Internet, оставляя множество лазеек для прикладных сервисов, использующих HTML, SNMP, SMTP, POP3, FTP, TFTP и другие сетевые сервисы. Если активный контент не находит дыры в обороне, он может ее создать, оставляя информационные ресурсы предприятия без всякого прикрытия. Он может проникать в информационную систему предприятия, принимая формы злонамеренных кодов (malicious code), программных микробов (software microbe), порочного контента (salacious content), червей (worm), ловушек на черном ходе (backdoor trap), похитителей паролей (password stealer), почтовых мошенников (email handle grabber) и взломщиков портов (port snatcher).

Первой реакцией со стороны поставщиков средств информационной безопасности на новые угрозы стали системы обнаружения вторжений (intrusion detection system, IDS). Однако и они не стали адекватным средством для всеобъемлющего решения: во-первых, они слишком громоздки и порождают слишком большой объем данных, предназначенных для последующего анализа, и, во-вторых, основываясь в основном на распознавании образов, они недостаточно эффективны.

Особую опасность представляют собой некоторые популярные программные продукты. К примеру, на сайте www.sans.org, где анализируются наиболее серьезные угрозы информационной безопасности, можно обнаружить следующее предостережение: «Различные скриптовые дыры в Internet Explorer и Office 2000 позволяют совершенно незаметно распространяться вирусам в Windows, при этом Microsoft Outlook и Outlook Express будут выполнять HTML-коды из полученных писем». Более подробные сведения об особенностях работы этих продуктов можно найти в статье Роджера Граймза «Скрытые опасности при работе с сообщениями электронной почты и группами новостей». В качестве простой, но весьма эффективной превентивной меры можно порекомендовать перейти на бразуер Mozilla Firefox, свободно загружаемый с сайта www.mozilla.org. Он безопаснее — хотя бы потому, что менее популярен и, следовательно, не столь привлекателен для взломщиков.

Что противопоставить сетевым угрозам?

Все предложенные до сих пор доктрины информационной безопасности основываются на трех типах доступа к данным.

  • Избирательное управление доступом (discretionary access control, DAC) — метод, основанный на идентификации и опознавании; его отличительная особенность в возможности передачи полномочий.
  • Полномочное управление доступом (mandatory access control, MAC) — метод, основанный на степени секретности или критичности информации.
  • Неизбирательное управление доступом (nondiscretionary access control, NAC) — метод, предполагающий централизованный контроль и контроль, основанный на индивидуальных ролях (role-based control) или на ролях, предписываемых решаемыми задачами (task-based control).

Методы MAC и NAC чаще всего используются для работы с секретными документами в соответствующих органах, а в коммерческих приложениях практически всегда реализуется DAC. Главное правило этого метода состоит в том, что авторизованный пользователь может рассматриваться как полноценный владелец полномочий, оно распространяется на все политики и технологические компоненты безопасности (в том числе, сетевые экраны, прокси-серверы, маршрутизаторы, СУБД, операционные системы, приложения и т.д.). В DAC контролируется доступ поименованных субъектов (пользователи, приложения, скрипты, сетевые заголовки, ...) к поименованным объектам (другие пользователи, приложения, скрипты, файлы, память, принтеры, ...). Подобное строгое расписание соответствия того, что и кому доступно, вполне соответствует принятым корпоративным требованиям. Однако этот подход чреват одним, но весьма существенным недостатком: в нем не предусмотрена возможность анализа информационных потоков и выделения вредоносных попыток доступа к распределяемому ресурсу. Если «самоанализ» отсутствует, то любой — будь то сотрудник, партнер, взломщик или промышленный шпион — всегда сможет преодолеть детерминированные барьеры и получить желаемое.

Перечисленные методы созданы в расчете на детерминированную среду, которую так или иначе можно познать и построить систему противодействия на базе этого знания. Вполне успешно применявшиеся на протяжении десятилетий, они малопригодны для сетевой среды с активным контентом, где враг не определен. как тут не вспомнить китайского полководца Сун Цзу, который в своей книге «Искусство войны» писал: «Если ты знаешь своего врага и самого себя, то можешь не сомневаться в результатах сотни сражений. Если ты знаешь себя, но не знаешь врага, то на одну победу придется одно поражение. Если же ты не знаешь ни себя, ни врага, то проиграешь все». Анализ этой ситуации невольно возвращает к все той же мысли о недостатке кибернетического мышления, о доминировании программных подходов над подходами, основанными на обратной связи.

И здесь, как и при разрешении проблем сложности программного и аппаратного обеспечения (см. тематический выпуск журнала «Открытые системы», № 9, 2004), возникает необходимость в создании адаптивных и адаптируемых систем. В данном случае необходимо вспомнить, что один из механизмов, выработанных в природе в процессе эволюционного развития, — способность живого противостоять неизвестным угрозам — основан на активной обороне и адаптации.

Одному из возможных подходов к тому, как можно создавать искусственные системы, обладающие подобными свойствами, посвящен пространный отчет аналитической компании Aberdeen Group, озаглавленный Active eIRM. New Realities in Security for Managing Electronic Infrastructure Risks. (Здесь аббревиатура eIRM означает electronic Infrastructure Risks Management, т.е. «управление рисками в электронной инфраструктуре»). Это чрезвычайно интересный документ, впрочем, не лишенный недостатков. Во-первых, как большинство отчетов серьезных аналитиков, он платный. Во-вторых, авторам явно не хватает кибернетического образования: когда они говорят о проблемах управления, они испытывают очевидные сложности в изложении. Однако эти недостатки отнюдь не снижают ценности работы, которая достойна самого пристально внимания к себе.

Предложенная Aberdeen концепция Active eIRM есть не что иное, как гипотетическая попытка представить то, как можно было бы построить автоматизированную систему обеспечения безопасности, способную адаптироваться к изменениям во внешней среде. Следует учесть, что это труд аналитической компании, которая обладает видением проблемы, но сама ничего нового, за исключением отчетов, не создает. И все же концепцию Active eIRM нельзя отнести к области научной фантастики, хотя бы фрагментарно она уже реализована в продуктах ряда компаний. Своими корнями Active eIRM произрастает из работ таких компаний, как e-Security, Finjan, Gilian Technologies, Lumeta, Mazu Networks, Microsoft, Recourse Technologies (куплена Symantec), SurfControl, Zone Labs и др.

В будущем система обеспечения информационной безопасности должна состоять из следующих основных компонентов:

  • приложения, обеспечивающие безопасность;
  • агенты, анализирующие потоки данных;
  • приложения, осуществляющие мониторинг и анализ рисков.

В отличие от присущего современности сосредоточения на отдельных технологиях безопасности, подобная система автоматизации безопасности позволит подчинить своему контролю всю инфраструктуру. Автоматизация процессов безопасности (security process automation, SPA) обещает дать средства для управления опасными Internet-приложениями и каналами, допускающими утечку данных. Эффект автоматизации должен оказаться таким же, как и эффект автоматизации в других сферах.

eIRM = активная политика + агенты + управление рисками

Основу любой адаптивной автоматизации обеспечивает обратная связь, в данном контексте это способность к интеллектуальному анализу и управлению потоками данных в системе. Аналитики Aberdeen Group называют это активной политикой, видя в ней средство преодоления ограничений политик безопасности, построенных на фундаменте избирательного управления доступом (DAC). Изложение их взглядов до удивления напоминает задачи, которые приходится решать в обществе.

Активная политика безопасности, как и действия спецслужб, не может обходиться без агентуры. В данном случае агенты реализуются программными технологиями или программно-аппаратными сред?ствами, они могут быть двух классов — активные и пассивные. Оба типа агентов действуют в рамках инструкций и ограничений, предписанных политикой безопасности. Пассивные агенты ближе к средствам мониторинга, используемым в традиционных системах безопасности, они выполняют им предписанное, не интерпретируя политику безопасности. Активные агенты действуют в рамках заданных им граничных условий и при этом они самостоятельно интерпретируют политику безопасности. Управление рисками осуществляется специализированными аналитическими приложениями, способными обнаруживать инциденты и инициировать ответные действия.

По мнению аналитиков из Aberdeen Group, внедрение eIRM и SPA будет сочетать в себе и эволюционные (никто не может враз отменить существующую систему безопасности), и революционные элементы.


О «дуракоустойчивости» информационных систем

Защита от дурака — не последний из компонентов безопасности. Атака может быть результативной, если одновременно используются различные средства нападения. Поэтому какими бы эффективными ни были разрабатываемые методы защиты сетевых интерфейсов, они не могут предотвратить опасности, исходящие из двух других типов интерфейсов — физических и социальных, где роль человеческого фактора является одной из самых существенных. По признанию патриарха хакеров (ныне вполне преуспевающего владельца консалтинговой фирмы) Кевина Митника, убежденного, что «тупость неисправима», настоящая атака обязательно должна осуществляться методами социальной инженерии.

По определению толкового словаря Merriam Webster, социальная инженерия есть «управление человеческими существами в соответствии с их местом и функциями в обществе». Она служит для достижения практических целей, используя особенности отношений между людьми. Владение методами социальной инженерии не требует серьезных технических знаний: вполне достаточно наличия определенных социальных навыков. Социальные инженеры используют различные тактики, в том числе, злоупотребление доверием, спекуляция беспомощностью, знание внутренних процессов предприятий.

В одном из своих многочисленных интервью Митник так охарактеризовал значение социальной инженерии: «Самую большую опасность для предприятия представляют не компьютерные вирусы, и не лазейки в программах, и не слабость сетевых экранов. Самая большая опасность — вы сами. Я имел возможность убедиться в том, что манипулировать людьми гораздо легче, чем технологиями, потому что во многих компаниях недооценивают роль сотрудников».


Один из способов обезопасить рабочее место

То обстоятельство, что на подавляющем большинстве рабочих мест пользователей стоят полноценные ПК, нельзя рассматривать никак иначе, как абсурд. Тонкий клиент не создает тех проблем, которые создает ПК, но такова жизнь. Кто-то из экспертов не без юмора заметил, что современный персональный компьютер количеством потенциальных мест для несанкционированного проникновения напоминает дом, в котором живет американская семья. В таком доме найдется пара дверей с улицы, дверь из гаража, люк в подвал, плюс люк в гараж для сбрасывания грязного белья в стиральную машину, еще одна дверь из кухни на участок и, конечно же, дверь из каждой комнаты первого этажа. В точности так же каждый из портов ПК, которых становится все больше, каждое из сменных устройств может использоваться для хищения полезных данных или занесения вредоносных кодов. Раньше было проще: достаточно было просто изъять из компьютера флоппи-дисковод. Сейчас же количество потенциально подключаемых устройств не поддается оценке, полностью оградить от них компьютер практически невозможно.

Следовательно, нужно адаптироваться к новым условиям и взять под контроль все периферийные устройства, подключаемые к компьютеру; все порты, через которые что-либо может быть подключено; все дополнительные платы, обеспечивающие беспроводное соединение с внешними устройствами. По-прежнему существует радикальное решение — изъять из всех компьютеров периферийные устройства и платы расширения, отключить в BIOS доступ к таким устройствам, запретив пользователю самостоятельно там что-либо менять. Возможно, для небольших компаний, где компьютеров мало, такой вариант и может оказаться удобным, но представьте, какие усилия потребуются от системного администратора, чтобы выполнить эту работу, если в организации двести или более компьютеров. К тому же, всегда найдутся рабочие места, где полностью отключить внешние устройства невозможно просто в силу специфики выполняемых на этих рабочих местах операций.

Примером решения, которое обеспечивает централизованное управление периферийными устройствами компьютеров, входящих в состав локальной сети организации, является программный продукт DeviceLock компании SmartLine. Он предназначен для контроля доступа к сменным носителям и к устройствам. Для обеспечения связи между непосредственно сервисом и административной частью DeviceLock использует технологию Remote Procedure Call. Для аутентификации используется стандартная подсистема защиты операционной системы. Сервис защиты DeviceLock при установке интегрируется в подсистему контроля доступа операционной системы, поэтому доступ к удаленному компьютеру с установленной программой может быть осуществлен только пользователями, имеющими административные права.

В число защищаемых устройств входят:

  • дисководы жестких дисков; приводы магнито-оптических, компакт-дисков и магнитных лент; ZIP, подключаемые не через USB-порты;
  • дополнительные адаптеры (WiFi, Bluetooth, FireWire, инфракрасные порты), а также внешние параллельные и последовательные порты;
  • USB-порты и подключаемые через них устройства.

Используя возможности DeviceLock, можно установить права для каждого пользователя или группы пользователей, в том числе интервалы времени, когда возможен доступ к устройству, тип доступа — «Полный контроль», «Только чтение» или «Нет доступа». Выбранный тип настройки для одного компьютера можно распространить на целый список компьютеров в локальной сети.