Сетевой контроль и безопасность
Брюс Шнейер ,
технический директор корпорации
Counterpane Internet Security
Компьютерная и сетевая безопасность всегда считались технической проблемой, и компании пытались решить ее путем применения тех или иных технологий. Этот подход не оправдывает ожиданий: несмотря на постоянное совершенствование технологий ситуация с безопасностью Интернета продолжает ухудшаться. Фактическая проблема заключается не в технологиях, а в процессе. Сетевая безопасность ничем не отличается от безопасности в реальном мире. Действенные контрмеры объединяют защиту, обнаружение и ответные действия. Способ построения надежной системы – создание бдительной, динамичной, бесперебойной системы защиты экспертами (людьми, а не какими-либо продуктами). В реальном мире отсутствуют какие-либо волшебные предупредительные меры борьбы с преступлениями, и тем не менее все мы находимся в относительной безопасности. Нам следует перенести подобный образ мыслей и на проблемы Интернета.
Опросы о безопасности и компьютерных преступлениях Института компьютерной безопасности (CSI)
На протяжении последних шести лет Институт компьютерной безопасности проводит ежегодный опрос о компьютерных преступлениях. В 2001 году 64 % всех опрошенных сообщили о «несанкционированном использовании компьютерных систем» в прошлом году, 25 % заявили, что они не сталкивались с подобной проблемой, а 11 % сказали, что им ничего об этом не известно. Подобные происшествия встречались по всему миру, при этом число внутренних происшествий было приблизительно равным числу вторжений извне. 70 % опрошенных сообщили о своих линиях связи с Интернетом как о наиболее частой мишени для атак (этот показатель постоянно растет последние шесть лет), 18 % респондентов заявили, что частым объектом атак становится удаленный доступ к сети (число подобных случаев сокращается), и 31 % посчитали, что чаще всего атаке подвергаются их внутренние системы (этот показатель также снижается).
Типы происшествий варьируются от мошенничества с помощью средств связи до кражи ноутбуков и саботажа. 40 % опрошенных сталкивались с проникновением в системы, 36 % – с атаками, повлекшими отказ в обслуживании, 26 % сообщили о хищении конфиденциальной информации, 12 % – финансовом мошенничестве, 18 % – о саботаже. 23 % опрошенных столкнулись со взломом своих web-сайтов (еще 27 % не знали об этом), причем более половины из них имели дело со взломом 10 или более раз (90 % всех взломов сайтов являлись просто актами вандализма, а 13 % включали также кражу информации).
Интересно, что все эти атаки были совершены, несмотря на обширное применение технологических средств безопасности: у 95 % респондентов имелся брандмауэр, 61 % располагал системой обнаружения вторжения, 90 % имели те или иные средства контроля доступа, 42 % – цифровые системы идентификации и т. д.
Финансовые последствия ошеломляют. Лишь 196 пострадавших смогли подсчитать свои убытки, которые в общей сумме составили 378 млн долл. И это у 200 компаний! За один год! Это впечатляет.
Проект Honeynet
Проект Honeynet определяет реальное количество компьютерных атак в Интернете. В соответствии с его последними результатами, случайно выбранный в Сети компьютер сканируется несколько десятков раз в день. Средняя продолжительность использования стандартного сервера Red Hat 6.2 или период времени до того, как ктолибо успешно его взломает, составляет менее 72 часов. Домашний компьютер обычной конфигурации с Windows 98 и стандартным набором файлов взламывался пять раз за четыре дня. Системы подвергаются сканированию с помощью NetBIOS в среднем 17 раз в день. А самый короткий срок, за который был взломан сервер, – 15 минут с момента подключения к сети.
Средства компьютерной безопасности: угрозы
В сфере компьютерной безопасности более старые виды атак никуда не исчезают, а новые только ухудшают ситуацию. Наиболее серьезная проблема компьютерной безопасности – это не самый новый вид атаки, а постоянно растущий шквал всех старых видов атак, которые продолжают нести ущерб.
Рассмотрим переполнение буферов. Эти атаки являются одним из самых старых приемов. Впервые о них заговорили еще в 1960-х, когда от этой проблемы страдали системы с разделением времени, а специалистам по безопасности они были известны еще раньше. В 1970-х они часто использовались как средство атак первых объединенных в сети компьютеров. В 1988 году сетевой червь Морриса вывел из строя 10 % всех серверов в Интернете при помощи переполнения буферов.
Сегодня, спустя полтора десятка лет со времени червя Морриса и 35 лет с того момента, когда эти атаки были впервые обнаружены, переполнение буферов по-прежнему остается очень серьезной проблемой. Существует множество атак, которые являются более утонченными, и которым сложнее противостоять, чем атакам переполнения буферов. Однако большую часть атак через Интернет представляют собой атаки с переполнением буфера, несмотря на то, что существуют специальные автоматические программы их обнаружения и устранения в процессе развертывания.
В 1995 году взломы интернет-сайтов стали главной новостью. Сегодня ежедневно взлому подвергаются десятки сайтов, но лишь немногие из этих случаев становятся объектом внимания. В 1998 году сенсацией стали кражи номеров кредитных карт. Корпоративная деятельность CD Universe была приостановлена частично из-за утраты доверия в результате краж номеров кредитных карт. Сегодня миллионы номеров кредитных карт похищаются в Интернете, но это уже никого не удивляет.
1999 год стал годом троянского коня. Вирус BackOrifice мог стать смертью для Интернета. Сегодня в нем существуют десятки троянских коней, многие из которых более опасны, чем BackOrifice, но они уже не представляют интереса для прессы.
В 2000 году на первый план вышли атаки типа «отказа в обслуживании». Этот вид атаки является одним из старейших и в то же время простейших, он – ровесник Интернета. В феврале того года эти согласованные и распределенные атаки легко вывели из строя несколько web-сайтов с большим трафиком, включая Yahoo!, eBay, Amazon.com и CNN. Сегодня таких атак в Сети еженедельно насчитываются тысячи.
В прошлом году на новизну мог претендовать только самоуправляемый, самоинфицирующий и самомодифицирующийся интернет-червь. В этом году это будет что-нибудь другое. Я не знаю, что станет новостью, но я уверен, что эта угроза будет еще масштабнее, серьезнее и опаснее, чем все то, что было раньше. И я знаю наверняка, что в ней будет использовано множество ранее применявшихся приемов и инструментов. Кроме того, я знаю наверняка, что эта атака станет полной неожиданностью, несмотря на то, что нет никаких оснований для того, чтобы ее не заметить.
Что мы можем сделать, чтобы свести потери к минимуму? Ничего. Мы даже не можем получить от компаний, производящих программное обеспечение, надежные программы, защищенные от переполнения буферов. Мы не можем получить от них надежные «заплаты» для защиты, которые работают без ущерба для других функций. Если мы не можем решить такие простые проблемы, как можем мы надеяться решить более сложные?
Самая большая опасность, стоящая перед нами, – это постоянно нарастающий шквал старых проблем. Каждый год он становится больше. И с каждым годом увеличиваются масштабы потерь.
Сложность и безопасность
Будущее цифровых систем заключается в сложности, а сложность – это главный враг безопасности.
История цифровых технологий является бесконечной цепью новшеств, непредвиденных последствий и сюрпризов, и нет причин полагать, что она когда-либо в ближайшем будущем закончится. Но одно постоянно остается неизменным: цифровые системы становятся все более сложными. Интернет – это, вероятно, самый сложный механизм, когда-либо созданный человеком, и он не станет нисколько проще в ближайшее время.
Как потребитель я полагаю, что сложность – великое дело. Появляется больше возможностей для выбора, больше функций, больше того, что я могу сделать. Как специалист по безопасности я думаю, что все это ужасно. С усложнением виртуального пространства оно становится все менее защищенным. И это справедливо по нескольким причинам.
Первая причина – количество уязвимостей. Все программное обеспечение имеет изъяны, и некоторые из них будут влиять на безопасность.
Вторая причина – расширяемость сложных систем. Сложные системы обязательно являются модульными; код поступает по мере необходимости и не всегда оказывается заранее включенным в программу и установленным. В то же время расширяемость подразумевает растущее число изъянов в безопасности, поскольку средства безопасности часто отказывают при взаимодействии модулей. Так, эпидемия макровирусов 2001 года продемонстрировала, что Microsoft Word и Excel должны быть безопасными. Апплеты Java должны быть безопасными при любом возможном использовании, а не только в тех целях, для которых они предназначены. Злоумышленные приложения электронной почты могут проходить через брандмауэр. Функции, предусмотренные для удобства в программе Microsoft Outlook, могут угрожать безопасности.
Третья причина – растущее число требований, предъявляемых к испытаниям сложных систем. Единственный разумный способ испытания безопасности системы заключается в проведении оценок безопасности в самой системе. Тем не менее, чем сложнее система, тем больше в ней будет ошибок, связанных с безопасностью. Большее количество возможных взаимодействий увеличивает объем работ при оценке защищенности. Проверка каждой возможной конфигурации реально не представляется возможной. Поэтому трудности проведения оценки безопасности также нарастают стремительными темпами параллельно с ростом сложности. Сочетание дополнительных (возможных) слабых мест и усложненного анализа защищенности неминуемо ведет к снижению безопасности систем.
Четвертая причина: чем сложнее система, тем труднее ее понять. Существуют всевозможные уязвимые места, например интерфейс «оператор-машина», системные взаимодействия, которые разрастаются, если вы не можете охватить умом всю систему.
Пятая причина – трудность анализа. Чем сложнее система, тем более затруднен ее анализ. Усложняется все: спецификация, конструкция, реализация и использование, и все это актуально для анализа защищенности.
Сложность и безопасность (продолжение)
Более сложные системы оказываются уязвимы по всем фронтам. Вопервых, они содержат больше слабых мест, их модульность только усугубляет эти недостатки, их труднее проверять, их труднее понимать и анализировать. Но и это еще не все: безопасность всей системы сдерживается безопасностью самого слабого звена. Один-единственный недостаток может привести к разрушению безопасности всей системы.
Системы усложняются все быстрее. Программное обеспечение Microsoft Windows служит наилучшей иллюстрацией этой тенденции. Программа Windows 3.1, выпущенная в 1992 году, состояла из 3 млн строк программного когда, Windows 95 – 15 млн, Windows 98 – 18 млн, а Windows 2000 уже имела от 35 до 60 млн строк в зависимости от источника информации (для сравнения: Linux, даже при добав лении X Windows и Apache, содержит не более 5 млн строк программного кода).
Сети будущего, которые неизбежно усложнятся, будут менее безопасными. Индустрия технологий зависит от спроса на новые функции, опции, скорости. Стандарты качества или безопасности отсутствуют, при этом никто не несет ответственности за незащищенное программное обеспечение. Таким образом, отсутствует экономический стимул для создания высококачественного продукта. Пока потребители не будут настаивать на его более высоком качестве и усилении в нем функции безопасности, ситуация не изменится.
Единственная разумная реакция заключается именно в этих банальных идеях. Признать, что мир цифровых технологий будет сферой постоянно растущих возможностей, постоянно убыстряющихся темпов появления новых продуктов, миром постоянного роста сложности и постоянного снижения безопасности. Наладить деятельность таким образом, чтобы решать проблемы в отсутствие безопасности. Перестать доверяться технологиям, чтобы спастись.
Я уже давно выступаю за контроль и вмешательство человека в работу сетей как один из способов обеспечить безопасность сложных систем. Контроль позволяет поддерживать постоянную обратную связь в отношении эффективности безопасности, а вмешательство человека подразумевает гибкость, которая не может быть достигнута автоматическим программным продуктом. В ближайшем будущем Интернет едва ли станет проще – нам необходимо менять правила обеспечения безопасности, чтобы не отстать.
Безопасность и управление рисками
Спросите любого сетевого администратора, для чего ему требуются средства безопасности, и он опишет вам угрозы: нанесение ущерба web-сайтам, порча и потеря данных в результате проникновения в сеть, атаки в форме отказа в обслуживании, вирусы и троянские кони и т. д.
Спросите того же сетевого администратора, как ему помогают технологии обеспечения безопасности, и он станет обсуждать возможности избежать угроз. Это традиционный подход к компьютерной безопасности как следствие мышления, ориентированного на компьютерные технологии: определить, какие существуют угрозы, и создать технологии, предназначенные для того, чтобы их избежать. В итоге появляется обеспечивающая безопасность программа, которая влечет расходы и является помехой для ведения дел.
Заблуждение заключается в том, что технологии не могут как-либо «решить» проблему компьютерной безопасности. Безопасность – это человеческая, а не технологическая проблема. Не существует какого-либо компьютерного продукта или даже набора продуктов, которые бы были волшебной защитной «пылью», заполняющей сеть и делающей ее безопасной.
Предприятия управляют рисками. Они управляют всеми видами риска; сетевая безопасность – всего лишь один из них, и существует множество различных способов управления рисками. Выбор одного из них в конкретной ситуации зависит от конкретных подробностей данной ситуации. При этом неудачи случаются весьма часто. Многие неправильно управляют рисками, платят за ошибки, а затем упорно продолжают в том же духе. Деловые люди поистине неунывающие личности.
Чтобы привести конкретный пример, рассмотрим реальный магазин и риск кражи из него. Боль шая часть продуктовых магазинов принимают риск как одну из статей расходов. Магазины одежды могут повесить бирки на все предметы одежды и разместить сенсоры у дверей – они снижают риск с помощью технологий. Ювелирные магазины могут снизить риск путем организации продаж: все товары находятся под замком, клиентам не разрешается рассматривать что-либо без присутствия работников магазина и т. д. Кроме того, ювелирный магазин застрахован от краж – это еще один инструмент управления рисками.
Большое количество средств безопасности не всегда полезно. Вы можете улучшить безопасность банка, обыскивая всех, кто проходит через главный вход. Но в этом случае ваше дело едва ли протянет долго. Исследования показывают, что большая часть краж в универмагах происходит в примерочных кабинках. Вы можете укрепить безопасность, ликвидировав их, но уменьшение объема продаж будет значительно превосходить сокращение убытков от краж.
Все, что нужно при такой деятельности – соответствующие средства безопасности по подходящей цене. Именно это нужно нам для Интернета – надежные средства безопасности, которые позволят компании предложить новые услуги, заявить себя на новых рынках, привлечь и удержать новых клиентов. И выбор конкретных средств компьютерной безопасности зависит от того, что эти компании собой представляют и чем занимаются.
Пять лет назад для безопасного существования в Интернете вам был необходим лишь брандмауэр. Еще раньше никто даже не слышал об атаках в форме отказа в обслуживании, блокирующих web-серверы, не говоря уже о распространенных уязвимостях при создании шлюзовых интерфейсов и последних выявленных дырах в программе Microsoft Outlook Express. Но за последние годы появились системы обнаружения вторжений, инфраструктура открытых ключей, кредитные карты с микропроцессорами и биометрия. Новые сетевые услуги, беспроводные устройства и новейшие продукты постоянно переворачивают все представления о сетевой безопасности. Ничего удивительного в том, что директор по информатизации не может за ними угнаться.
Поражает лишь то, что этого не могут сделать и все остальные. Компьютерная безопасность – дисциплина с 40-летней историей. Ежегодно в ее рамках проводятся новые исследования, появляются новые технологии, новые продукты и даже новые законы. И с каждым годом дела идут все хуже и хуже.
Это не относится к технологиям.
Сетевая безопасность – это гонка вооружений, в которой у нападающей стороны есть все преимущества. Во-первых, потенциальные злоумышленники находятся на «позиции в глубине фронта», как ее называют военные стратеги: силы обороны должны защищаться от любой возможной атаки, в то время как нападающим достаточно найти лишь одну уязвимую точку. Во-вторых, невероятная сложность современных сетей делает невозможной их защиту на должном уровне. И, в-третьих, опытные злоумышленники могут размещать свои средства атаки в автоматических программах, заставляя неопытных людей их использовать.
Будущее не за большим количеством продуктов, а за совершенствованием организации деятельности. Нам нужно перестать ожидать появления каких-то волшебных технологий предупреждения, которые позволят избежать всех угроз, а организовать свою деятельность таким образом, который позволит нам управлять рисками. И из этого не следует вывод, что появится больше возможностей для предупреждения, это означает, что следует организовать процесс выявления и противодействия.
В Интернете он осуществляется путем постоянного мониторинга вашей сети. В октябре 2000 года корпорация Microsoft обнаружила, что некий злоумышленник проник в ее корпоративную сеть неделей раньше, причинив огромный ущерб. Администраторы обнаружили это нарушение, когда заметили 20 новых учетных записей, созданных на сервере. Тогда они просмотрели отчеты и вычислили, как действовал злоумышленник и что он сделал. Если бы кто-нибудь осуществлял мониторинг этих учетных записей – с помощью брандмауэров, серверов и маршрутизаторов в режиме реального времени, злоумышленника можно было бы засечь и оказать ему сопротивление в момент входа в сеть.
Мониторинг также означает бдительность: атаки начинаются из любых мест и в любое время. Это означает, что специалисты должны непрерывно осуществлять слежение, используя инструменты и опыт, имеющиеся в распоряжении, чтобы понимать, что происходит. Забросить систему обнаружения вторжений в сеть и выдать системному администратору пейджер – это не мониторинг: это все равно, что дать дежурному по пожарной сигнализации ведро и упразднить пожарную команду.
Системы предотвращения никогда не бывают совершенными. Нет банка, который бы заявил вам: «Наш сейф настолько надежен, что нам не нужна сигнализация», и нет музея, который бы похвалился: «Замки на наших окнах и дверях настолько крепки, что мы не нуждаемся в ночных охранниках». Выявление и ответные действия – вот как мы достигаем безопасности в реальном мире, и это единственный способ, с помощью которого мы, возможно, сможем обеспечить безопасность в Интернете. Директора по информатизации должны вкладывать средства в услуги мониторинга, если они отвечают за поддержание безопасности в сетевом мире.
Что такое управляемый контроль безопасности?
Деятельность компании Counterpane – это управляемый контроль безопасности (MSM). Если говорить проще, это означает, что мы следим за вашей сетью. И это отслеживание осуществляется реальными людьми: специалистами по анализу безопасности, которые следят за вашей системой 24 часа в сутки. Мы берем ваши уже существующие устройства и программы для обеспечения безопасности и усиливаем их потенциал, используя продуктивное сочетание непревзойденных технологий и проверенных специальных знаний. Каков результат? Ваша сеть защищена от современных растущих рисков с помощью решений безопасности, реализуемых постоянно в реальном времени.
Данные, которые получают наши специалисты по безопасности, вначале поступают из Sentry – устройства мониторинга, установленного в вашей сети. Sentry собирает данные с устройств в вашей сети, затем сортирует, анализирует и сопоставляет их, используя более 20 000 предохранительных фильтров и наш собственный механизм безопасности, и посылает появляющиеся сигналы тревоги в один из наших центров управления контроля безопасности. В этот момент Socrates – программная экспертная система, разработанная Counterpane, – ищет подозрительные структуры в данных, сопоставляет ваши данные с данными других клиентов и соотносит симптомы с диагнозами, используя новейшую базу данных с информацией об угрозах безопасности в реальном мире. В тот момент, когда угроза появляется в вашей сети, Socrates предупреждает наших специалистов, которые используют способность оценки, сообразительность и гибкость человека для решения проблемы. Если атака – не ложная тревога, наши специалисты незамедлительно связываются с вами и сообщают подробную информацию об угрозе, а также дают профессиональные рекомендации о надлежащих действиях.
Предупреждение, выявление и реагирование
Большинство средств компьютерной безопасности предлагаются на рынке как профилактические: шифрование предотвращает несанкционированный доступ к информации, брандмауэры предотвращают несанкционированный доступ к сети, PKI (использование закрытых ключей) предотвращает представление кого-либо другим лицом. В целом, это довольно странная маркетинговая стратегия. Дверной замок никогда не продается под лозунгом: «Этот замок предотвращает грабежи». Никто никогда не хотел купить «устройство, которое предупредит убийство». Тем не менее средства компьютерной безопасности всегда продаются именно подобным образом. Компании постоянно пытаются купить «устройство, предотвращающее вторжение хакеров». Его существование так же нереально, как и существование «устройства, предотвращающего убийство».
Когда вы покупаете сейф, он поставляется с определенной номинальной характеристикой. Предел продолжительностью 30 минут с использованием инструментов, предел продолжительностью 60 минут с использованием паяльной лампы и инструментов. Это значит, что профессиональный взломщик сейфов при помощи соответствующих инструментов и ацетиленокислородной паяльной лампы вскроет ваш сейф за один час. Если за это время не включится сигнализация и не появятся охранники, сейф бесполезен. Сейф предоставляет вам время, которое вы должны использовать с умом.
В реальном мире средства безопасности включают средства предотвращения, выявления и реагирования. Если бы предотвращающие механизмы были совершенными, вам бы не потребовались средства выявления и реагирования. Тем не менее ни один механизм предотвращения не является идеальным. Особенно это относится к компьютерным сетям. Все программные продукты имеют изъяны в системе безопасности, большинство сетевых устройств имеют подобные изъяны, а пользователи совершают всевозможные ошибки. Без выявления и реагирования превентивные механизмы имеют лишь весьма ограниченную полезность. Они оказываются ненадежными. При этом выявление и реагирование являются не только более рентабельными, но и более эффективными, чем нагромождение средств предотвращения все в большем количестве.
В Интернете эти функции исполняет мониторинг. Когда дознаватели изучают то или иное вторжение, они скрупулезно исследуют журналы сетевых маршрутизаторов, серверов, брандмауэров и т. д. Используя эти журналы, они восстанавливают ход действий злоумышленника: как он это сделал, что именно он совершил, что он украл. Если кто-либо контролирует эти журналы проверки в реальном времени, он может понять, что атакующий ДЕЛАЕТ В ДАННЫЙ МОМЕНТ. А если он может отреагировать достаточно быстро, то сможет оказать сопротивление злоумышленнику до того, как тот нанесет реальный ущерб.
Это и есть настоящая безопасность. Не важно, как проник злоумышленник или что он делает. Если в вашем доме достаточно датчиков движения, фотоэлементов и датчиков давления на пол, вы поймаете грабителя независимо от того, как он попал внутрь. Если вы осуществляете контроль над своей сетью достаточно внимательно, вы поймаете хакера независимо от того, какие слабые места он использовал, чтобы получить доступ. И если вы сможете предпринять ответные действия быстро и эффективно, то окажете сопротивление хакеру до того, как он нанесет ущерб. Надежное выявление и реагирование могут компенсировать несовершенные системы предупреждения.
В то же время, системы предупреждения никогда не бывают совершенными. Директора по информатизации должны вкладывать средства в услуги контроля, если они недостаточно хорошо справляются с управлением рисками, связанными с их сетевой инфраструктурой.
Контроль сетевой безопасности
Мониторинг сети предполагает наличие ряда датчиков внутри и вокруг сети. К счастью, они уже внедрены. Каждый брандмауэр создает непрерывный поток сообщений-отчетов. Таким же образом действует любой маршрутизатор и сервер. Системы обнаружения вторжений посылают сообщение, когда они чтото замечают. Любое другое средство безопасности подает сигналы тревоги тем или иным образом.
Но эти датчики сами по себе не обеспечивают безопасность. Вы должны знать, что хакер отлично осведомлен об особенностях этих датчиков, знает их дефекты и проводит атаку с их учетом. Он даже может располагать паролями, которые позволяют ему прикинуться законным пользователем. Только другой человек имеет шанс выявить некоторое аномальное поведение, которое демонстрирует взломщик.
Первый шаг – это программное предупреждение. Сетевые атаки могут быть намного более изящными, чем разбитое окно. Многое зависит от обстоятельств. Программное обеспечение может отслеживать десятки мегабайтов отчетной информации, которые сеть средних размеров создает за один день, но программное обеспечение является слишком простым для того, чтобы взломщик не смог его обмануть. Программное предупреждение требует участия людей, чтобы определить, что именно программное обеспечение считает подозрительным; чтобы лучше изучить подозрительные события в результате выявления реальных событий; чтобы различить ложные тревоги и реальные атаки. Необходимы люди, понимающие обстоятельства.
Само по себе предупреждение бывает лишь ограниченно полезным. Важнее знать, как реагировать. Это второй шаг к обеспечению надежного мониторинга сети. Каждая атака влечет за собой ответные действия. Это может быть просто закрытие определенного IPадреса, чтобы остановить взломщика. Это может быть и отключение от Интернета целой корпоративной сети. И вновь решающим фактором являются люди. Программное обеспечение может лишь предоставить общую информацию – реальное понимание требует участия специалистов.
И наконец, реагирование должно соотноситься с деловыми требованиями организации. Создатели средств безопасности знают только половину всего объема информации. Они понимают, что такое атаки и какое они имеют значение, но они не понимают отдельных деловых задач. Крупные компании, занимающиеся электронной коммерцией, могут продолжать поддерживать свой web-сайт, даже когда он подвергается атаке: предотвращение потерь доходов может быть важнее, чем немедленная защита сайта. С другой стороны, юридической фирме могут потребоваться прямо противоположные меры. Неприкосновенность данных ее клиентов может быть важнее, чем возможность доступа к ее сайту.
Это и есть выявление и реагирование применительно к компьютерным сетям. Сетевые устройства ежедневно создают мегабайты отчетной информации. Автоматические инструменты поиска анализируют эти мегабайты в поисках сигналов, свидетельствующих об атаках. Специалисты-эксперты анализируют эти сигналы, пытаясь понять, что они значат, и определяя, какие ответные действия нужно предпринимать. А владелец сети – организация – выносит решения о безопасности, основываясь на актуальных требованиях своего бизнеса.
Чтобы заставить сетевой мониторинг работать, люди необходимы на каждом шагу. Программное обеспечение является достаточно простым для того, чтобы его обмануть. Программы не думают, не спрашивают и не учитывают ситуацию. Без людей программное обеспечение компьютерной безопасности – это всего лишь статическая защита. Объедините программы и специалистов, и вы получите беспрецедентный уровень безопасности.
Военная история и сетевые средства безопасности
При ведении войны военное преимущество обороняющейся стороны вытекает из двух обширных преимуществ: способности быстро реагировать на атаку и способности контролировать место боевых действий.
Первое преимущество, вероятно, является самым главным. Обороняющаяся сторона может быстрее передислоцировать резервы, чтобы помочь действующим силам, укрепить оборону там, где это необходимо, и провести контратаку. Здесь мы видим картину, уже отмечавшуюся в данной работе: насколько важны выявление и реагирование, необходимость наличия квалифицированных экспертов, чтобы быстро анализировать поступающую информацию и реагировать на атаки, а также значимость постоянства. Я построил службу MSM компании Counterpane на этих принципах именно потому, что они могут коренным образом изменить баланс сил в сторону обороняющейся стороны.
Второе преимущество обороняющейся стороны также наделяет ее большой выгодой. Она располагает более полной информацией о месте ведения боя: где есть надежные места для укрытия, горные тропы, как исчезнуть через пещеры. Она может изменять место ведения боя: строить укрытия или батареи ракет «земля-воздух», копать траншеи и тоннели, возводить защитные башни или ДОТы. И она может выбирать местность, на которой будет обороняться: за каменной стеной, на вершине холма, на дальней стороне моста, в густых лесах. Обороняющаяся сторона может использовать место ведения боя так, чтобы получить максимальную выгоду. Нападающая сторона застрянет неизбежно, какую бы местность ей ни предстояло пройти.
Это второе преимущество в Интернете, то есть знание сети, защитники используют редко. Сетевой администратор точно знает, как устроена его сеть (или, по крайней мере, должен знать), для чего она предназначена и как она должна работать. Любой взломщик, за исключением своего человека, будет спотыкаться, пробуя те или иные шаги, пытаясь понять, что, где и к чему. Вот эту фору во времени мы и должны обратить себе во благо.
Представим себе системы сигнализации, действующие для защиты от грабителей. Причина их действия в том, что грабитель не знает, что они есть. Он может успешно преодолеть дверной замок или влезть через окно на втором этаже, но он не знает, что именно под этим ковриком есть датчик давления или светочувствительный элемент в этом дверном проеме. Можно сказать, что любой грабитель, заходя в здание, оснащенное системой сигнализации, наверняка допустит промашку – раньше или позже.
Традиционные средства компьютерной безопасности статичны: установите брандмауэр, настройте PKI, добавьте меры по контролю доступа, и все готово. Настоящие средства безопасности являются динамичными. Защита должна быть постоянно бдительной, всегда готовой к атаке. Защита должна быть способной быстро выявить атаку до нанесения серьезных повреждений. Кроме того, защита должна быть способной оказать эффективные ответные действия, давая отпор взломщику и восстанавливая порядок.
Безопасность подобного рода возможна в компьютерных сетях. Она начинается с эффективных датчиков: брандмауэров, хорошо проверяемых серверов и маршрутизаторов, средств выявления вторжений, сетевых систем сигнализации. Но она также включает и людей: квалифицированных экспертов по безопасности, которые могут быстро отличить ложную тревогу от реальных атак и которые знают, как реагировать. Она включает услуги MSM. Это и есть безопасность в действии. Речь идет о безопасности, в которой признано, что человеческий разум жизненно необходим для надежной защиты и что автоматические программы не решают проблемы.
Мониторинг и гибкая безопасность
На протяжении 2000 года несколько групп хакеров из Восточной Европы взломали сайты не менее чем 40 компаний, похитили номера кредитных карт и в некоторых случаях пытались вымогать деньги у своих жертв. Уязвимые места сетей, которыми воспользовались эти преступники, были известны – мало того, имелись заплаты, которые прикрывали эти бреши, но ни одна из компаний так и не установила их. В январе 2001 года червь Ramen атаковал известные уязвимые места в нескольких версиях Red Hat Linux. Ни на одной из тысяч инфицированных систем не были установлены последние заплаты. В октябре 2000 года компании Microsoft досаждали неизвестные хакеры, которые несколько недель или месяцев беспрепятственно бродили по ее сети, получив доступ к интеллектуальной собственности. Как сообщают, хакеры не смогли бы проникнуть в сеть, если бы у Microsoft стояли новейшие патчи. Серия высокопрофессиональных краж с кредитных карточных счетов в январе 2000 года, включая инцидент с CD Universe, также явились результатом того, что патч, выпущенный восемнадцатью месяцами ранее, оказался невостребованным.
Что же происходит? Уже никто не устанавливает защитные заплаты? Всем наплевать?
А происходит то, что этих самых заплат развелось слишком много. Просто невозможно постоянно обновлять их. Я еженедельно получаю сводки о новых уязвимых местах и заплатах. За первую неделю марта 2001 года всего одна служба обеспечения безопасности предложила 19 новых заплат для различных продуктов. И это был средний результат всего за неделю. Некоторые из приведенных в списке проблем были актуальны для моей сети, другие – нет. За 2000 год только для Outlook Express был выпушен десяток защитных заплат. Я не знаю, как средний пользователь может в принципе установить их все: ему придется заниматься только этим.
Безопасность, основанная на заплатах, по своей сути уязвима. Любая большая сеть имеет сотни уязвимых мест, через которые вас могут успешно атаковать, и вы ничего не можете с этим поделать. Даже если вы ухитритесь установить все известные вам заплаты, что делать с уязвимостями, заплаты для которых еще не были выпущены? (Уже упомянутая служба обеспечения безопасности привела список из 10 новых дыр, для которых пока не существует заплат.) И как быть с уязвимыми местами, которые обнаружены, но о которых пока не сообщалось? Или с теми, которые вовсе еще не обнаружены?
Хорошая система безопасности должна быть гибкой: гибкой по отношению к ошибкам пользователя, гибкой по отношению к изменениям в сети, по отношению к администраторам, которые не устанавливают каждую новую заплату. Управляемый контроль безопасности – важная составляющая этой гибкости. Мониторинг делает сеть менее зависимой от постоянного обновления заплат. Это процесс, который позволяет обеспечить безопасность даже при наличии извечных уязвимых мест, при отсутствии заплат и при работе с несовершенными продуктами.
В идеальном мире системы очень редко нуждались бы в защитных заплатах. Те немногие из последних, которые все же были бы необходимы, автоматически бы загружались, легко устанавливались и всегда работали. Но мы живем не в идеальном мире. Сетевые администраторы – люди занятые, а сети постоянно меняются. Постоянный мониторинг – это, конечно, не панацея, но это намного более реальный способ обеспечения гибкой безопасности.
Окончание следует
"Защита информации. Кофидент", №4, 2004