Оценка эффективности и зрелости технологий безопасности
С. А. Петренко, д. т. н.
В. А. Курбатов
Как правило, руководители отечественных предприятий рассматривают проблему защиты конфиденциальной информации преимущественно с технической точки зрения. При этом решение названной проблемы свя! зывается с приобретением и настройкой соответствующих технических средств защиты информации. Насколько современные аппаратно!про! граммные средства защиты информации эффективны и достигли своей зрелости? Давайте посмотрим вместе.
Анализ рынка средств защиты информации
Современный рынок средств защиты конфиденциальной информации можно условно разделить на две группы:
-
средства защиты для госструктур, позволяющие выполнить требования нормативно-правовых документов (федеральных законов, указов Президента РФ, постановлений Правительства РФ), а также требования нормативно-технических документов (государственных стандартов, руководящих документов Гостехкомиссии (ФСТЭК) России, Министерства обороны РФ и Федеральной службы безопасности;
- средства защиты для коммерческих компаний и структур, позволяющие выполнить рекомендации СТР-К Гостехкомиссии России, ГОСТ Р ИСО/МЭК 15408 под общим названием «Общие критерии оценки безопасности информационных технологий» (ОК) и ISO/IEC 17799:2002 (BS 7799-1:2000) «Управление информационной безопасностью – Информационные технологии. – Information technology – Information security management».
Например, для защиты конфиденциальной информации в органах исполнительной власти могут предъявляться следующие требования.
1. Выбор конкретного способа подключения к сети Интернет, в совокупности обеспечивающего межсетевое экранирование с целью управления доступом, фильтрации сетевых пакетов и трансляции сетевых адресов для скрытия структуры внутренней сети, проведение анализа защищенности интернет-узла, использование средств антивирусной защиты, централизованное управление, должен производиться на основании рекомендаций документа Гостехкомиссии РФ СТР-К.
2. АС организации должны обеспечивать защиту информации от НСД по классу «1Г» в соответствии с РД Гостехкомиссии РФ «РД. Автоматизированные системы. Защита от НСД к информации. Классификация АС и требования по защите информации».
3. Средства вычислительной техники и программные средства АС должны удовлетворять требованиям четвертого класса РД Гостехкомиссии России «РД. Средства вычислительной техники. Защита от НСД к информации. Показатели защищенности от НСД к информации».
4. Программно-аппаратные средства межсетевого экранирования, применяемые для изоляции корпоративной сети от сетей общего пользования, должны удовлетворять требованиям «РД. Средства вычислительной техники. Межсетевые экраны. Защита от НСД к информации. Показатели защищенности от НСД к информации» по третьему классу защиты.
5. Информационные системы должны удовлетворять требованиям ГОСТ ИСО/ МЭК 15408 по защищенности информационных систем в рамках заданных профилей защиты.
6. Программно-аппаратные средства криптографической защиты конфиденциальной информации, в том числе используемые для создания виртуальных защищенных сетей, VPN должны быть легитимны.
7. Обязательным является использование средств ЭЦП для подтверждения подлинности документов.
8. Для введения использования персональных цифровых сертификатов и поддержки инфраструктуры открытых ключей для использования средств ЭЦП и шифрования необходимо создать легитимный удостоверяющий центр (систему удостоверяющих центров).
9. Политика информационной безопасности должна предусматривать обязательное включение в технические задания на создание коммуникационных и информационных систем требований по информационной безопасности согласно требованиям функционального стандарта ГОСТ Р 51583-2000, описывающего этапность построения защищенных информационных систем.
10. Должен быть регламентирован порядок ввода в эксплуатацию новых информационных систем, их аттестации по требованиям информационной безопасности.
Для выполнения перечисленных требований и надлежащей защиты конфиденциальной информации в госструктурах, как правило, используются исключительно сертифицированные средства. Например, средства защиты от несанкционированного доступа (НСД), межсетевые экраны и средства построения VPN, средства защиты информации от утечки за счет ПЭМИН и пр. В частности, для защиты информации от несанкционированного доступа (НСД) используются аппаратно-программные средства семейства Secret Net («Информзащита»), семейства Dallas Lock («Конфидент»), семейства «Аккорд» (ОКБ САПР), электронные замки «Соболь» («Информзащита»), USB-токены («Аладдин») и пр. Для защиты информации, передаваемой по открытым каналам связи, применяются аппаратно-программные межсетевые экраны с функциями организации VPN, например, Firewall1/VPN-1 (Check Point), «Застава» («Элвис+»), VipNet («Инфотекс»), «Континент» («Информзащита»), ФПСУ-IP («АМИКОН») и др.
Средства защиты информации для коммерческих структур более многообразны и включают в себя:
-
управление обновлениями программных компонентов АС;
-
межсетевое экранирование;
-
построение VPN;
-
контроль доступа;
-
обнаружение вторжений и аномалий;
-
резервное копирование и архивирование;
-
централизованное управление безопасностью;
-
предотвращение вторжений на уровне серверов;
-
аудит и мониторинг средств безопасности;
-
контроль деятельности сотрудников в сети Интернет;
-
анализ содержимого почтовых сообщений;
-
анализ защищенности информационных систем;
-
защиту от спама;
-
защиту от атак класса «Отказ в обслуживании»;
-
контроль целостности;
-
инфраструктуру открытых ключей;
-
усиленную аутентификацию и пр.
Дадим краткую характеристику перечисленным средствам защиты.
Средства управления обновлениями
Внедрение средств управления обновлениями программных компонентов АС, например Microsoft Software Update Services, позволяет уменьшить объем интернет-трафика компании в целом, поскольку становится возможной организация и контроль необходимых обновлений программных компонентов АС компании с одной точки – выделенного внутреннего сервера. При этом предприятие получает следующие преимущества:
-
уменьшаются расходы по оплате трафика;
-
увеличивается надежность функционирования программных компонентов АС;
-
уменьшается время на техническую поддержку и сопровождение программных компонентов АС;
-
повышается защищенность АС в целом, в частности уменьшается количество инцидентов, связанных с вирусами и враждебными апплетами.
Средства межсетевого экранирования
Межсетевые экраны (брандмауэры) используются как средства защиты от несанкционированного доступа периметра сети и основных критичных компонентов АС. Межсетевые экраны (МЭ) позволяют обеспечивать защиту на уровне доступа к компонентам и сети в целом (MAC-адреса), на сетевом уровне (контроль IP-адресов), на транспортном уровне («машины состояний» основных протоколов), на прикладном уровне (прокси-системы). Характеристики рынка МЭ представлены на диаграмме 1 . Здесь и далее технологические лидеры находятся в верхнем правом квадрате.
Средства построения VPN
Средства построения виртуальных частных сетей (VPN) используются для организации защиты трафика данных, передаваемых по открытым каналам связи. При этом защита организуется на физическом уровне (защита кабелей, экранизация наводок), на сетевом уровне (например, шифрование трафика от компьютера до компьютера на основе протокола IPSec), на транспортном уровне (например, шифрование данных, передаваемых одним приложением другому приложению на другом компьютере на основе протокола SSL), на прикладном уровне (например, шифрование данных самостоятельно приложением).
На диаграмме 2 представлена оценка рынка SSL VPN.
Средства контроля доступа
Появление средств контроля доступа обусловлено необходимостью регламентировать доступ множества пользователей к приложениям и информационным ресурсам компании. Данные средства осуществляют аутентификацию (точное опознание) подключающихся к АС пользователей и процессов, авторизацию (наделение определенными полномочиями) пользователей и процессов.
Состояние рынка средств контроля доступа представлено на диаграмме 3.
Средства обнаружения вторжений и аномалий
Средства обнаружения вторжений, IDS (Intrusion Detection Systems) и аномалий позволяют с помощью некоторого регламента проверок контролировать состояние безопасности корпоративной сети в реальном масштабе времени.
Общий анализ рынка систем обнаружений и аномалий представлен на диаграмме 4.
Средства резервного копирования и архивирования
Средства резервного копирования и архивирования применяются для обеспечения целостности хранилищ данных в случаях аппаратных и программных сбоев, ошибочных действий администраторов и пользователей, а также отказов средств вычислительной техники.
Текущее состояние рынка систем резервирования представлено на диаграмме 5.
Средства централизованного управления безопасностью
Средства централизованного управления информационной безопасностью позволяют эффективно создавать, проверять и поддерживать технические политики безопасности программных компонентов АС. Так, например, система централизованного управления Cisco Works VPN/Security Management Solution позволяет контролировать и управлять политиками безопасности следующих устройств безопасности компании Cisco Systems:
-
Cisco PIX Firewall;
-
Cisco VPN Router;
-
Cisco IDS 4200;
-
Cisco Security Agent.
Средства предотвращения вторжений на уровне серверов
Так как серверы компании обычно являются основной целью для атак злоумышленников (на них обрабатывается основная часть конфиденциальной информации компании), необходимо использовать средства предотвращения вторжений на уровне серверов, например, Cisco Security Agent. Другие возможные решения представлены на диаграмме 6 .
Средства мониторинга безопасности
Большое количество средств обеспечения информационной безопасности (межсетевые экраны, системы обнаружения вторжений, маршрутизаторы, средства создания виртуальных частных сетей, журналы безопасности серверов, системы аутентификации, средства антивирусной защиты и т. д.) генерирует огромное количество сообщений. Для успешного мониторинга и управления этими средствами рекомендуется использовать соответствующие средства аудита безопасности, например Cisco Security Information Management Solution.
Другие возможные решения представлены на диаграмме 7.
Средства контроля деятельности сотрудников в Интернете
В настоящее время одной из серьезных проблем в работе отечественных служб безопасности является предотвращение попыток использования интернет-ресурсов компании в личных целях (загрузка видео, аудио, изображений, нелицензионного программного обеспечения). По статистике нецелевое использование Интернета приводит к потере продуктивности сотрудников компании приблизительно на 30 –40 % и обходится работодателям в 54 млрд долл. ежегодно (согласно данным производителя средств защиты Surfcontrol) (см. диаграмму 8 ).
Для предупреждения названных действий рекомендуется использовать сооветствующие средства, например Websense, которые позволяют анализировать и формировать отчеты об использовании сотрудниками компании интернет-ресурсов, контролировать использование сотрудниками программного обеспечения на своих рабочих местах, а также проводить анализ сетевой активности и пропускной способности сети компании в целом.
Средства анализа содержимого почтовых сообщений
Средства анализа содержимого почтовых сообщений предназначены для обнаружения и предотвращения передачи конфиденциальной информации с помощью корпоративной электронной почты. В настоящее время на отечественном рынке средств защиты информации имеются такие системы, в частности «Дозор-Джет» компании «Инфосистемы Джет» и MAILswipper компании Clearswift.
Средства анализа защищенности
Анализ защищенности АС является одним из ключевых аспектов построения надежной системы обеспечения информационной безопасности предприятия и основан на применении сканеров безопасности. На рынке коммерческих сканеров можно выделить четыре основные группы производителей сканеров – поставщиков решений согласно 7уровневой модели OSI:
-
сканеры прикладного уровня – 1 уровень модели OSI (сверху вниз);
-
сканеры представительского уровня – 2 уровень OSI;
-
сканеры сеансового и более низких уровней – 3–5 уровни OSI;
- канеры сетевого уровня – 6–7 уровни OSI.
Первая группа (Application Security, Pentest, NGS Squirrel, ISS Database Scanner и пр.) предлагает сканеры прикладного уровня (приложения, распределенные БД, системы электронного документооборота, ERP и пр.). Среди них выделяется компаниия Application Security, которая предлагает решения для Oracle, MS SQL, Sybase, DB2 IBM, MySQL, Lotus Notes, то есть практически для всех основных поставщиков решений систем электронного оборота, ERP, CRM.
Вторая группа (KAVADO, Sanctum, SPI Dynamics) предлагает услуги и продукты для сканирования представительского уровня.
Среди продуктов, относящихся к третьей группе (Foundstone, ISS, eEye Retina, Nessus, NetIQ, XSpider и пр.), в России популярны сканеры семейства ISS, а также сканеры Nessus, eEye Retina, XSpider.
Четвертая группа (Network Associates, Symantec) предлагает решения преимущественно для 6–7 уровней модели OSI.
Основной особенностью наиболее продаваемых и используемых коммерческих сканеров является умение как минимум еженедельно обновлять базы данных уязвимостей, взамодействие с крупнейшими центрами по сбору новых уязвимостей, а также с ведущими производителями сетевого оборудования и программного обеспечения.
Средства защиты от спама
В Российской Федерации объем спама в сообщениях электронной почты достиг 60 % от общего числа почтовых сообщений. Сотрудникам приходится тратить свое рабочее время, а это деньги предприятия, на просмотр таких сообщений, их удаление, настройку правил по нейтрализации. Спам также содержит троянские программы, программы-шпионы (spyware) и вирусы. Для предотвращения ущерба рекомендуется использовать соответствующие решения, например, один из продуктов Symantec (использует технологию фирмы Brightmail), Trend Micro (использует технологию фирмы Postini) или «Лаборатория Касперского» (см. диаграмму 10 ).
Средства защиты от атак «Отказ в обслуживании»
В настоящее время наибольшие убытки предприятиям наносит реализация атак «Отказ в обслуживании».
Для защиты от такого вида атак рекомендуется использовать, например, продукцию компании Riverhead, которая была приобретена компанией Cisco Systems и продается под торговой маркой Cisco Guard XT 5650 и Cisco Traffic Anomaly Detector XT 5600.
Средства контроля целостности
Внесение некорректного изменения в конфигурации сервера или маршрутизатора может привести к выходу из строя важного сервиса или целой сети. Очень важно предупредить и отследить несанкционированные изменения на портале предприятия. Для предупреждения и быстрого реагирования на такую ситуацию необходимо иметь способ отслеживания всех производимых изменений. Данную возможность предоставляет серия продуктов, например, компании Tripwire.
Инфраструктуры открытых ключей
Внедрение инфраструктуры открытых ключей очень трудоемкая задача, требующая тщательной проработки и анализа. При решении этой задачи можно воспользоваться соответствующими решениями RSA Security (Keon) и «КриптоПро» («Криптопровайдер»), а хранение сертификатов осуществлять на аппаратных устройствах Aladdin USB eToken.
Средства усиленной аутентификации
На критичных элементах сетевой инфраструктуры рекомендуется реализовать систему усиленной аутентификации, например, на базе продукта Cisco Secure Access Control Server с использованием системы однократных паролей RSA Security SecurID.
Характеристика зрелости технологий защиты информации
Практика обеспечения защиты информации в отечественных компаниях насыщена инцидентами, анализ которых свидетельствует о том, что одних только технических средств защиты недостаточно. Приведем несколько примеров.
1. Появление новых сетевых червей пусть даже в день опубликования сообщения об очередной уязвимости приложений и/или операционных систем практически сводит на «нет» все усилия поставщиков антивирусного программного обеспечения. Они просто не успевают своевременно выпустить обновления для своих антивирусов: им необходимо время на исследование нового вируса, разработку и публикацию соответствующей сигнатуры, а потребителям антивирусов необходимо время на установку обновлений в корпоративной сети. За это время корпоративная информационная система уже может быть выведена из строя. Кроме того, большинство конфигураций операционных систем установлено по умолчанию, что способствует быстрому распространению сетевых червей. Например, в 2003 году примерно 90 % инцидентов было вызвано атаками сетевых червей. Более того, теоретически доказано, что множество всех вирусов не поддается перечислению и что нельзя создать универсальный детектор, способный отличить «чистую» программу от зараженной (Л. Адлеман и Ф. Коэн).
2. Операционные системы, что бы ни заявляли разработчики о своих новых успехах, все равно остаются самым слабым местом в корпоративной системе защиты информации. Согласно исследованиям университета Carnegie-Mellon на каждые 1000 строк кода программы приходится от 5 до 15 ошибок. Можно посчитать, сколько ошибок потенциально содержит каждая из перечисленных операционных систем:
-
Windows 2000 – 35–60 млн строк кода;
-
Windows XP – 45 млн строк кода;
-
Debian GNU/Linux 2.2 – 55 млн строк кода;
-
Linux Red Hat – 30 млн строк кода.
3. По данным независимых аналитических центров системы обнаружения вторжений, IDS обнаруживают не более 14–18 % всех осуществляемых атак. При этом большинство систем обнаружения вторжений построены на основе принципов обнаружения сигнатур атак (табл. 1), то есть обладают теми же недостатками, что и антивирусное программное обеспечение.
4. Системы контроля доступа на основе биометрических параметров тоже не идеальны. Отпечатки пальцев не настолько уникальны, как утверждается производителями: существует вероятность 0,1 %, что постороннее лицо будет идентифицироваться как имеющее право доступа.
Аналогичные выводы можно сделать практически по каждой технологии защиты информации. Наглядно оценки зрелости современных технологий защиты информации представлены на диаграмме аналитической компании Gartner Group (см. диаграмму 12 ).
В целом анализ инцидентов безопасности, начиная с 2001 года и по настоящее время, свидетельствует о неуклонном ежегодном росте числа инцидентов в среднем на 200–300 %. При этом, согласно исследованиям Института компьютерной безопасности Соединенных Штатов в 2004 году, из 750 млн долл., потерянных компаниями из-за инцидентов в области информационной безопасности, более 500 млн долл. убытков были обусловлены следующими видами инцидентов:
-
неавторизованным доступом к ресурсам внутренних сотрудников;
-
несанкционированным использованием Интернета;
-
саботажем;
-
сканированием и взломом систем;
-
кражей конфиденциальной информации.
Анализ статистики инцидентов в АС отечественных предприятий показывает, что для российских компаний наиболее злободневны вопросы нейтрализации следующих основных угроз (табл. 2).
В результате, по данным Gartner Group, проблема защиты информации выделилась и стала одной из приоритетных проблем развития информационных технологий в отечественных компаниях и предприятиях (см. диаграмму 13 ).
Насколько эффективны современные средства и меры защиты конфиденциальной информации в отечественных организациях и предприятиях? Ответ на этот вопрос можно найти, внимательно проанализировав диаграмму Стивена Росса (Delloitte&Touche) (см. диаграмму 14 ).