За последние несколько лет под влиянием развития систем управления бизнесом и электронных коммуникаций представления об информационной безопасности заметно изменились.
Видение проблем, возникающих в связи с необходимостью обеспечения информационной безопасности современного предприятия, радикально отличается от тех представлений, которые доминировали всего лет десять назад. Формально комплекс требований к системам безопасности по-прежнему укладывается в классическую триаду — конфиденциальность (confidentiality), целостность (integrity) и готовность (availability). Однако к этим «трем китам» прибавилось (в основном из-за активизации обмена электронными документами) еще одно требование — аccountability.
В отечественных специализированных словарях данный термин переводят как «возможность для ответственных за защиту информации лиц восстанавливать процесс нарушения или попытки нарушения безопасности информационной системы», что не отражает его смысла в полном объеме. В это понятие входят и обязательства источника за переданную им информацию, в том числе невозможность от нее отказаться, и ответственность адресата за принятые сведения, прежде всего — невозможность отказа от них. Но реализация этих требований в современных условиях заметно изменяется, и одна из тенденций состоит в существенно иной, чем прежде, интеграции информационных систем с бизнесом: ИТ становятся необходимой частью бизнес-процессов.
Информационная безопасность и бизнес-процессы
Есть основания полагать, что массовая активность, связанная с созданием для компаний современных информационных инфраструктур (их называют «адаптивными предприятиями», «органичными информационными технологиями», «вычислениями по запросу» или как-то иначе), опережает время. Как бы ни именовались новые архитектурные подходы, в любом случае речь идет об организации предприятия, функционирующего как единый управляемый механизм, но все это пока — в большей степени желание, нежели реальность. А вот деятельность специалистов по информационной безопасности от времени явно отстает. Безопасность воспринимается как нечто дополнительное, а не органично присущее информационной инфраструктуре и самому бизнесу.
Один уважаемый автор заявляет: «Важнейший сдвиг парадигмы, произошедший за последнее десятилетие, состоит в том, что информационная безопасность стала делом бизнеса. Другими словами, хотя разработка и внедрение безопасных решений останутся прерогативой технических специалистов, глобальные решения должны приниматься на уровне руководства предприятия и в интересах бизнеса». Удивительное открытие: оказывается, о сохранности хозяйства должен беспокоиться его собственник или управляющий, а не только сторож. Но, несмотря на кажущуюся очевидность, эти слова совершенно точно отражают суть явления. В любой нормально развивающейся технической области организация защиты естественным образом входит во все процессы проектирования и производства изделий. В обратном случае происходят катастрофы, подобные Чернобылю или гибели «Титаника», — вот трагические примеры решений, при реализации которых требования бизнеса опередили возможности систем защиты.
По счастью, информационные катастрофы практически не приводят к явным человеческим жертвам — но, может быть, именно поэтому не обладают таким же психологическим воздействием, как последствия «материализованных» катастроф.
В немалой степени нынешнему положению дел способствует способ мышления специалистов по информационной безопасности. В качестве доказательства можно привести пример из вышедшей в прошлом году книги Стива Парсера «Практическое руководство по управлению информационной безопасностью» (Steve Parser, A Practical Guide to Managing Information Security. Artech House, 2004). На протяжении ряда лет Парсер занимал руководящие должности, связанные с организацией информационной защиты, в крупных европейских финансовых организациях. По своему основному образованию является физиком и даже успел защитить диссертацию в области физической химии. Только после этого Парсер по каким-то причинам переключился на обеспечение информационной безопасности; возможно, именно как человек «со стороны» он не страдает зашоренностью, свойственной многим профессионалам.
Автор книги рассказывает, как на одной из крупных конференций он обратился к большой группе профессионалов в области информационной защиты с рекомендациями. Парсер попросил экспертов определить возможные риски, связанные с информационной безопасностью, но с одним обязательным условием: угрозы следует интерпретировать так, чтобы аргументация была предельно прозрачной и понятной даже непрофессионалам. Пожелание вполне разумное, поскольку о защите следует говорить на языке тех, для кого она обеспечивается.
Выполненный Парсером анализ показывает, что многие из тех, к кому была обращена просьба, вполне способны привести отдельные удачные примеры рисков. Однако определить угрозы в простых понятных терминах и представить их на концептуальном уровне было куда сложнее; в отдельных случаях эта задача оказалась невыполнимой. К тому же выяснилось, что даже те, кто более или менее удачно справился с ней, не допускают использования более гибких решений. Они не готовы согласиться, например, с тем, что риски можно адресовать третьей стороне посредством страхования или заключения специальных соглашений, либо с тем, что в определенных обстоятельствах можно согласиться с вероятностью рисков при определенных экономических допущениях.
Такое положение дел не может сохраняться бесконечно хотя бы потому, что благодаря появлению новых технологий описания и моделирования бизнес-процессов, архитектур на основе сервисов (Service-Oriented Architecture, SOA) сокращается разрыв между ИТ и бизнесом. Точно так же со временем должен быть преодолен разрыв между бизнесом и системами, обеспечивающими его безопасность. Сегодня можно лишь констатировать: организация защиты должна быть «заложена» в любой архитектуре предприятия и стать органической частью корпоративной культуры.
Безопасное управление контентом
Одним из проявлений нового отношения к культуре обеспечения безопасности следует считать направление secure content management, название которого можно перевести как «безопасное управление контентом» или, скорее, как «управление безопасностью контента». Иногда его еще называют «политической безопасностью контента» (policy-based content security). Часто для пояснения того, что собой представляет управление безопасностью контента, используют аналогию с прохождением пассажиром контроля в международном аэропорту. Отвечая на вопрос «кто?», пограничники удостоверяют личность пассажира, а в корпоративных системах этим занимаются сетевые экраны. Отвечая на вопрос «что?», таможенники с помощью средств интроскопии проверяют содержимое чемоданов; в ИТ подобные функции выполняют средства управления безопасностью контента.
В состав соответствующих технологий в обязательном порядке входят антивирусные механизмы, инструменты борьбы со спамом и фишингом. Кроме того, аналитики IDC относят к данной категории и фильтрации контента, в том числе обеспечивающие контроль над доступом пользователей в Internet, управление доступом сотрудников в Internet, сканирование (точнее, перлюстрация) исходящих и входящих электронных писем, анализ вредоносных мобильных кодов и защита от них.
По оценкам IDC, ежегодный прирост продаж программных средств управления безопасностью контента составляет десятки процентов. В 2002 году его продажи принесли 2,7 млрд. долл., в 2003-м — 3,4 млрд. долл., а в 2008 году объем этого рынка составит свыше 7,5 млрд. долл. Столь быстрый рост вызван тремя хорошо известными видами внешних угроз. Это вирусы, черви и программы-шпионы, причем последнее превращается из мелкого неудобства индивидуальных пользователей в серьезный фактор влияния на корпоративном уровне. Есть и угрозы внутренние, скажем, связанные с посещением сотрудниками сайтов с сомнительной тематикой. Однако, возможно, самую большую опасность для корпоративного контента составляют электронные письма, а также средства мгновенного обмена сообщениями. Электронные средства коммуникаций стали неотъемлемой частью бизнес-процессов, число ежедневно отсылаемых писем измеряется десятками миллиардов, и уже в самой такой массовости заложена огромная угроза для безопасности.
Основными мировыми поставщиками программного обеспечения для управления безопасностью контента являются пять компаний, которые в 2003 году разделили данный рынок следующим образом: Symantec — 36,5%, Trend Micro — 11,7%, McAfee — 7,1%, Computer Associates — 3,6%, Sophos — 3,1%. По данным IDC, «Лаборатория Касперского» входит в число 20 ведущих производителей управления безопасностью контента: этой компании принадлежат примерно 0,5% рынка. Из отечественных продуктов следует выделить систему контроля над Web-трафиком «Дозор», предназначенную для реализации корпоративной политики использования Internet-ресурсов и фильтрации содержимого информационного обмена предприятия с Сетью по протоколам HTTP и FTP. Кроме того, укажем систему мониторинга и архивирования почтовых сообщений «Дозор-Джет», которая обеспечивает реализацию корпоративной политики применения электронной почты и фильтрацию потоков информационного обмена предприятия с Internet по протоколу SMTP.
От IAC до EIM
Ни одна из перечисленных технологий, за исключением антивирусной защиты, еще не сформировалась окончательно, и границы между ними размыты. Буквально на наших глазах происходит плавная эволюция от средств контроля над доступом пользователей в Internet к управлению доступом сотрудников в Internet, от простого «недопущения» доступа к определенным ресурсам Сети к системам, повышающим продуктивность функционирования корпоративных ИТ-ресурсов.
Хронологически первой была техника ограничения доступа в Internet (Internet Access Control, IAC), которая служила для блокировки доступа пользователей к определенным сайтам и определенной тематике. Первые работы в данной области датируются 1995 годом, а к 2000 году в ней уже действовали примерно три десятка компаний, преимущественно «стартапов». Поначалу единственным предлагаемым ими средством была база данных негативных адресов. По сей день существуют организации, которые занимаются классификацией сайтов и созданием баз специальных данных, состоящих из URL нежелательных сайтов, с их последующей продажей работодателям. Последние устанавливают такие базы на прокси-серверах своих сетей. Любая попытка выхода во внешнюю сеть начинается с проверки сведений по базе данных с «негативными» сайтами, и таким образом предотвращается возможность несанкционированного выхода в Internet.
Управление доступом к Internet (Internet Access Management, IAM) расширяет функции IAC. Это уже не просто механическая блокировка, а специализированное приложение, которое работает в корпоративной сети и способствует повышению продуктивности работы и экономии сетевых ресурсов путем ограничения доступа к источникам информации, отвлекающим внимание сотрудников. Менеджер, ответственный за работу этого приложения, может выбирать типы блокируемых сайтов, составлять отчеты о попытках доступа, разграничивать возможность доступа для разных групп сотрудников, устанавливать временные ограничения и т.д. Программное обеспечение распределяется по нескольким сетевым ресурсам (в том числе оно может располагаться на сетевых экранах, на машинах, кэширующих доступ к сети, а также на реализующих эти функции специализированных приставках), дополняя прокси-серверы IAC.
Следующий этап развития — управление доступом сотрудников в Internet (Employee Internet Management, EIM). Эта технология поддерживает корпоративную среду, отличающуюся проактивным прогнозированием и использованием более глубоких знаний о пользователях. В ней сочетаются реализация заданных политик с элементами управления знаниями. Развивающаяся технология EIM позволит предоставлять ресурсы intranet и Internet оптимальным способом, адаптированным к индивидуальному пользователю в соответствии с его видом деятельности и особенностями участия в коллективной работе.
Новые виды атак
Контроль над доступом к Internet и корпоративная культура безопасности приобретают особое значение в связи постоянным появлением новых типов атак. В 2004 году одной из самых больших угроз для пользователей Internet стал «фишинг» (рhishing), результат слияния методов традиционного хакерства (точнее, кракерства) и социальной инженерии. Под фишингом обычно понимают стремление заполучить критически важную персональную информацию, такую как пароль или номер кредитной карты, на основе отправки объекту атаки электронного письма, схожего с официальным, или применения ложных сайтов.
Впервые методы фишинга были задействованы в середине 90-х годов для получения учетной информации о клиентах сети America Online. Тогда эта сеть еще не была частью Internet, и особой популярностью пользовалась доступная в ее рамках услуга, обеспечивавшая мгновенный обмен сообщениями. Объект нападения получал с ее помощью сообщение типа «проверьте вашу учетную запись» или «подтвердите биллинговую информацию», после чего становился жертвой спама или иного мошенничества.
Любопытно происхождение термина phishing. Его иногда связывают с выражением password harvesting fishing, то есть «урожайная рыбалка паролей», но скорее он является так называемым «бэкронимом». Действительно, слово «фишинг» по звучанию напоминает «фрикинг» (phreaking) — то есть мелкое телефонное мошенничество, которым четверть века назад увлекались некоторые основоположники современной индустрии персональных компьютеров.
Событием 2005 года стал фарминг (pharming), самый новый кракерский прием, использующий уязвимость серверов системы доменных имен. DNS-серверы переводят символические адреса сайтов в цифровые; в процессе фарминговой атаки эту функцию деформируют и предъявляют ничего не ведающему добропорядочному пользователю страницу подложного сайта, на которой он вводит свои персональные данные. Ну а дальше начинается обычный фишинг. Наиболее успешной была фарминговая атака на провайдера электронной почты Hushmail, состоявшаяся 24 апреля 2005 года.
