Как защититься от киберугроз: опыт Microsoft
Бурное развитие информационных технологий и появление огромного количества мобильных устройств неизбежно повлекло за собой рост киберпреступности. Причем если раньше хакерские атаки были развлечением для немногочисленных любителей, то сейчас это уже многомиллиардный бизнес. Подорвали доверие к информационным технологиям не только киберпреступники, но и разоблачения Джулиана Ассанжа, а затем откровения Эдварда Сноудена, касающиеся работы Агентства национальной безопасности (АНБ) США. Кому теперь должны верить пользователи и как им себя обезопасить?Активность киберпреступников растет с каждым годом. Это подтверждают данные последнего исследования компании CheckPoint — Security Report 2014. Согласно отчету, вредоносное программное обеспечение обнаружено в 84% организаций. В 2012 г. как минимум каждые 2 часа в 14% компаний пользователи загружали вредоносный код, а в 2013 г. это стало происходить уже в 58% организаций. Заражение компьютеров вирусами и вредоносным ПО напрямую связано с пиратством. Аналитики IDC в 2013 г. исследовали связь между пиратством и заражением компьютеров в 11 странах мира и выяснили, что в среднем 61% абсолютно новых ПК, купленных на свободном рынке с уже имеющимся нелицензионным ПО, заражены тем или иным зловредом. В России эта цифра составляет 56%, в Мексике — 100%, в Китае — 85%, в США — 31%.
Действия киберпреступников только на первый взгляд не видны. На самом деле финансовые потери от их деятельности достаточно ощутимы. По данным Center for Strategic and International Studies (CSIS) сегодняшня день ущерб мировой экономике от действий киберпреступников составляет $445 млрд в год. В случае неблагоприятного сценария, убытки компаний от киберпреступлений в мировом масштабе могут достигнуть $575 млрд в год. Но даже в наиболее благоприятных условиях этот показатель не опустится ниже $375 млрд.
Примерно такую же оценку финансовых потерь дает и IDC, по данным которой в 2014 г. ущерб от киберпреступности в мировом масштабе составит $500 млрд. Потери российских компаний от использования нелицензионного ПО в 2014 году, по данным IDC, вырастут на 10% и составят $20 млрд.
Борцы с киберпреступностью
Внимание вопросам информационной безопасности сейчас уделяют все крупные мировые производители программных продуктов. Новейшие исследования показывают однозначную связь между разработкой безопасного ПО и бизнес-эффективностью компаний.
«Microsoft стала первой крупной компанией-разработчиком программного обеспечения, которая осознала необходимость обеспечения его безопасности еще на стадии разработки, - рассказывает Владислав Шершульский, руководитель программ технологического сотрудничества и стандартизации Microsoft, Россия. - В силу распространенности наших продуктов, компания Microsoft первой испытала на себе массированные атаки хакеров и других категорий киберпреступников. Неудивительно, что именно в Microsoft уже более 12 лет развивается единая стратегия в области безопасности. Именно тогда было создано специальное подразделение Trustworthy Computing, для работы в котором были приглашены лучшие специалисты в сфере информационной безопасности. Они занялись разработкой методики, позволяющей, с одной стороны, создавать более надежные и безопасные решения, а с другой - сделать процесс разработки удобным и интересным для программистов».
Евгений Касперский, глава и основатель одноименной антивирусной лаборатории, выступая в Лондоне на конференции Info Security 2012 говорил, что с точки зрения компьютерной безопасности операционная система от компании Apple отстает на 10 лет от продуктов Microsoft. По его мнению, остальным ИТ-гигантам есть чему поучиться у Microsoft, особенно при разработке подходов к выпуску обновлений в сфере обеспечения безопасности.
Стоит учитывать, что с каждым годом регистрируется все больше уязвимостей, атакующих различные операционные системы. Так, по данным независимой экспертизы компании Secunia, на 11 июля 2014 г. в Sun Solaris 10.x было обнаружено 1706 уязвимостей, в Red Hat Enterprise Linux Server 5 – 2653 уязвимости, в Apple Macintosh OS X – 2118 уязвимостей.
Источник: Secunia, 2014
Разработка безопасного ПО, по данным Forrester, еще не стала широко распространенной практикой. Однако компании, например, применяющие методы Security Development Lifecycle (SDL), демонстрируют гораздо более высокие результаты.
Методология SDL, разработанная корпорацией Microsoft, получила одобрение Международной Организации по Стандартизации ISO в рамках стандарта ISO/IEC 27034-1. Эта методология стала первой и пока единственной рекомендуемой методологией надежной разработки защищенного программного обеспечения.
По словам Владислава Шершульского, сегодня эта методология доступна всем желающим. Она постоянно обновляется и совершенствуется в соответствии с требованиями времени. Эксперт отметил, что Security Development Lifecycle стала неотъемлемой частью Visual Studio и входит в программу обучения разработчиков. Это позволяет Microsoft обеспечивать должный уровень безопасности не только собственных программных продуктов, но и создаваемых на их основе решений.
SDL также может быть полезна и при создании решений на других платформах. «Microsoft много лет находится в ситуации повышенного интереса и увеличенного периметра атак на свои системы. Более 12 лет у корпорации существует собственная комплексная стратегия в области информационной безопасности, и сегодня мы готовы поделиться своими наработками с другими компаниями, в том числе и работающими с программным обеспечением с открытым исходным кодом», - продолжает Дмитрий Халин, директор департамента технологической политики Microsoft, Россия.
Security Development Lifecycle
Источник: Microsoft, 2014
Стоит отметить, что SDL – это не единственный инструмент борьбы с киберпиратами. Недавно центр Microsoft - Digital Crimes Center участвовал в расследовании и прекращении деятельности крупнейшего ботнета GameOver Zeus, под контролем которого в разное время могло находиться от 500 тыс. до 1 млн ПК по всему миру.
Digital Crimes Center противодействует online-преступлениям, в том числе распространению вредоносных программ и бот-сетей, нарушению прав интеллектуальной собственности, а также способствует защите прав детей в интернете. Центр позволяет выявлять и анализировать широкий спектр киберугроз и IP-преступлений, а также делиться глобальным передовым опытом с клиентами и партнерами Microsoft.
Частная переписка под присмотром
Как недавно выяснилось, киберпреступники не единственные, кто охотится за персональными данными пользователей. Все мировое сообщество было шокировано, когда Джулиан Ассанж и Эдвард Сноуден начали публиковать документы о том, что у спецслужб США и Великобритании есть специальные программы слежки в интернете. Позднее эти структуры вынуждены были признать обнародованные факты.
Так, в конце июня 2014 г. Агентство национальной безопасности США представило первый доклад о своей деятельности, в котором говорится, что в 2013 г. АНБ собирало информацию о 89 тыс. «объектах». Этими «объектами» могли быть как частные лица, так и компании. В АНБ объяснили, что сбор электронной информации проводился согласно 702 статьи закона о надзоре за деятельностью иностранных спецслужб (FISA) с помощью секретной программы PRISM, позволяющей перехватывать трафик с ведущих ресурсов, таких как Google и Facebook. АНБ, в частности, перехватывало данные, взламывая каналы связи между корпоративными дата-центрами.
Cтало ясно, что мир изменился, новые реалии шокировали пользователей и заставили компании проявлять осторожность при использовании корпоративных информационных систем. А крупнейшие ИТ-разработчики приступили в созданию новых мер безопасности.
Так, корпорация Microsoft реализует полный объем технических действий для повышения криптостойкости шифрования данных пользователей во всех сетях и сервисах, включая такие как Outlook.com, Office 365, OneDrive и Azure. Как заявлял Брэд Смит, генеральный советник, исполнительный вице-президент по правовым и корпоративным вопросам компании, контент, передаваемый пользователями и серверами, будет шифроваться по умолчанию. Более того, все платформы и сервисы будут шифровать контент пользователя при его передаче между центрами обработки данных. Для этого будут использоваться протоколы Perfect Forward Secrecy (PFS) и ключи длиной 2048 битов.
«Все это будет внедрено к концу 2014 года, однако многое используется уже сейчас. Мы также будем шифровать контент пользователя, который хранится у нас. В некоторых случаях, например, в случае сервисов, разработанных третьими лицами для работы с Windows Azure, право выбора останется за разработчиками, но мы готовы предложить средства, которые позволят им защитить данные без какого-либо особого труда», - заявлял он.
В свою очередь Мэтт Томлинсон, вице-президент Trustworthy Computing Security, Microsoft сообщил, что исходящие и входящие сообщения почтового сервиса Outlook.com теперь дополнительно защищены криптографическим протоколом безопасности Transport Layer Security (TLS). «Это означает, что сообщения электронной почты Outlook.com, отправляемые адресату, использующему другой почтовый сервис, провайдер которого также обеспечивает поддержку TLS, будут зашифрованы и лучше защищены», - пояснил он.
Кроме того, по его словам, облачное хранилище OneDrive и сервис Outlook.com уже поддерживает криптографическую технологию Perfect Forward Secrecy. «Пользователи OneDrive теперь автоматически получают более высокий уровень защиты во время работы с OneDrive через onedrive.live.com, мобильное приложение OneDrive и синхронизированные с ним сервисы. Повышенный уровень защиты возможен благодаря использованию различных ключей шифрования для каждого соединения, что затрудняет злоумышленникам возможность расшифровать информацию, хранящуюся на OneDrive», - добавил Мэтт Томлинсон.
Частные данные пользователей
Особую обеспокоенность у пользователей вызывают попытки правительства США заставить американские ИТ-компании предоставлять частные данные –информацию о пользователе или его контент. Так, например, в рамках уголовного расследования в декабре 2013 г. магистратский суд Нью-Йорка выдал ордер на получение данных с серверов службы электронной почты Microsoft в Ирландии.
Однако корпорация отказалась предоставлять эти сведения, объяснив это тем, что применение ордера национального значения на получение данных, хранящихся за рубежом, без разрешения соответствующих государств неправомочно. Первый раунд судебного разбирательства Microsoft проиграла, но подала новый иск. Впоследствии он был поддержан целым рядом крупных американских компаний (фондом Electronic Frontier, ведущими операторами сотовой связи Verizon и AT&T). В июне этого года к ним также присоединились Apple и Cisco, подавшие независимое заявление в поддержку иска Microsoft.
Недовольны такими действиями американских властей и в Европейском союзе. Как заявила недавно Вивиан Рединг, вице-президент Европейской комиссии, требования США могут противоречить международным законам. По ее мнению, подобные вопросы должны решаться с помощью официальных каналов и процедур, обычных для взаимодействия между разными регионами.
«Комиссия обеспокоена попыткой экстерриториального применения закона другого государства, которая может означать нарушение международного закона», — говорится в письме Вивиан Рединг, адресованном Софи ин’т Велд, депутату Европейского парламента от Нидерландов. Вместо того, чтобы требовать от компании выдачи данных, США должны были воспользоваться договорами о юридической взаимопомощи, добавляет она.
В свою очередь в Microsoft подчеркнули, что компания не предоставляет правительствам прямой и неограниченный доступ к своим продуктам и сервисам. Для получения от Microsoft информации, в том числе по причинам, обусловленным национальной безопасностью, правительства должны придерживаться законного порядка, т.е. обращаться в компанию с ордерами на обыск или с постановлениями суда.
Если все-таки подобная информация должна быть предоставлена полномочным органам, то пользователь немедленно будет оповещен об этом. Кроме того, информация обо всех подобных запросах и ответах на них находится в открытом доступе на сайте Microsoft.
Стоит отметить, что на сегодня случаи передачи каких-либо частных данных сторонним организациям единичны.
«В ближайшее время сфера применения информационных технологий будет только расширяться. Не за горами то время, когда на руке каждого человека появятся электронные датчики, которые будут использоваться, например, для контроля состояния его здоровья, - говорит Дмитрий Халин. – И это требует от компаний-разработчиков принятия все более серьезных мер в сфере обеспечения безопасности предлагаемых решений. Microsoft как компания, чьи разработки традиционно являются самыми популярными, на протяжении многих лет инвестирует в безопасность, и сегодня мы можем с уверенность сказать, что все эти задачи будут у нас решены».
Наталья Рудычева/CNews