Спецпроекты

Безопасность ПО Пользователю Свободное ПО

Microsoft: Технических требований к безопасности облаков пока не существует

Мобильные и облачные технологии стали признанным трендом последних лет. О том, насколько безопасна работа в новых средах и какие усилия предпринимают вендоры для того, чтобы ее обеспечить, в интервью CNews рассказали Владимир Мамыкин, директор по информационной безопасности и Леонид Аникин, руководитель направления стратегии платформ Microsoft в России.

CNews: Как меняется стратегия Microsoft в области обеспечения ИБ создаваемых ей решений в связи с последними тенденциями в развитии ИТ – облака, мобильность и пр. ?

Владимир Мамыкин: В Microsoft уже давно существует подразделение, занимающееся разработкой стратегии информационной безопасности для продуктов и сервисов Microsoft. Оно называется Trustworthy Computing, и вот уже более 10 лет это подразделение с успехом внедряет разработанную ими методологию создания защищенных систем. Она называется Security Development Lifecycle (SDL) и является абсолютно открытой, то есть ее можно использовать для создания защищенных систем не только на платформе Windows, но и для любых других программных сред, например, для решений на базе открытого кода, iOS и любых Unix-систем. Руководства по этой методологии, переведенные на русский язык и изданные российскими издательствами, уже несколько лет доступны российским разработчикам и применяются ими.

Основу методологии составляют создание модели угроз для каждого продукта или сервиса, выбор подходящей архитектуры противодействия угрозам, написание защищенного исходного кода, привлечение внутренних и внешних экспертов для тестирования противодействия атакам и постоянный мониторинг окружающей информационной среды с целью поиска защиты от новых видов атак.

Этот подход показал свою состоятельность вне зависимости от конкретных технологий. Конечно, технологии виртуализации, мобильные платформы и облачные вычисления наложили отпечаток на конкретные технологические решения по защите соответствующих продуктов. Но именно методология выявления новых видов атак и построения защиты от них является неизменной и, как я уже отметил, эффективной и в контексте новых технологических трендов.

Вне всякого сомнения, обеспечение безопасности в облачных и мобильных средах имеет свои особенности. Что касается облачных продуктов Microsoft, в их основе лежат наши известные продукты, которые благодаря облаку можно использовать в виде сервиса. Нашей целью было дать возможность пользователю почувствовать себя в знакомой обстановке, не тратить время на переобучение. Поэтому пользователь, который приходит в облако, может легко работать с нашим облачным продуктом. Это также значит, что ему будет проще правильно его конфигурировать и управлять им.

 Владимир Мамыкин, директор по информационной безопасности Microsoft в России
Владимир Мамыкин, директор по информационной безопасности Microsoft в России

Ну а так как сервис расположен в защищенном дата-центре, все вопросы, связанные с информационной безопасностью, решают профессионалы сервис-провайдера. То есть, пользователю уже не надо думать про безопасность серверов, обновление ПО, установку патчей и т.д. Это сильно удешевляет использование информационной инфраструктуры и повышает ее безопасность. Пользователю остается только следить за безопасностью своего рабочего места.

Ситуация с мобильными вычислениями немного сложнее. Если пользователи, как правило, думают об информационной безопасности своего компьютера, то когда речь заходит о мобильных устройствах, они ведут себя очень беспечно. При этом число мобильных пользователей стремительно растет, многие из них не имеют компьютер или не очень активно работают с ним. Здесь мы видим очень большую проблему: не задумываясь об информационной безопасности своих мобильных устройств, они не понимают, как правильно себя вести в этой экосреде. Поэтому Microsoft пытается распространить все то, что умеет делать для корпоративных сетей, на мобильные сети, и отдельно сфокусироваться на обучении пользователей.

С этой точки зрения наши новые технологии – например, Windows 8 - позволяют работать и на мобильных устройствах, и на традиционных ПК. И системный администратор компании может обслуживать все эти возможные устройства, имеющие доступ к корпоративной сети, из единого центра, управляя политиками безопасности.

Леонид Аникин: Я согласен с тем, что облака, скорее, более безопасны, потому что центр ответственности переходит от конечных пользователей к профессионалам. С мобильностью, к сожалению, сегодня обратная ситуация. В этой сфере очень многое зависит от действий конкретного пользователя, его знаний и навыков в области ИБ.

Кроме того, если, например, на корпоративном рынке десктопов, серверов существуют вендоры, которые много лет работают над своими системами и понимают, что безопасность очень важна для заказчика, то создатели операционных систем для мобильных телефонов никогда не были на этом сфокусированы.

Владимир Мамыкин: В информационной безопасности также очень важен факт независимой экспертизы ее качества. Для этого существуют требования различного характера, на соответствие которым производители проводят сертификацию своих продуктов. В основном, эти требования можно разделить на два класса – организационные и технические. Организационные требования, например ISO 27001, касаются управления безопасностью, и они не имеют прямого отношения к технологиям. Поэтому они могут быть применимы к любым технологиям, в том числе и к облакам, и к мобильным платформам. Microsoft сертифицировал все свои облака по этому ISО.

Что касается технических требований, то их в явном виде в настоящее время к облачным технологиям не существует ни в одной стране. Активная разработка таких требований только идет. Как только они будут разработаны, мы предпримем все усилия для того, чтобы подтвердить соответствие наших продуктов этим требованиям.

CNews: Какие процедуры выявления, устранения уязвимостей существуют в корпорации, в том числе и в облачных решениях?

Владимир Мамыкин: У нас существует специальное подразделение Microsoft Security Response Center, которое отвечает за выявление уязвимостей и их исследование, разработку и тестирование патчей, их выпуск и поддержку. Специалисты подразделения работают вместе с разработчиками и внешними экспертами, в том числе тестируют продукты в процессе создания. По нашей практике, более 95% уязвимостей в продукте выявляются в процессе его разработки. Кроме того, мы активно сотрудничаем с независимыми группами экспертов, которые ищут уязвимости и сообщают о них нам. Например, с антивирусными компаниями и компаниями, которые исследуют информационные системы на проникновение.

По соглашению с заказчиками, мы выпускаем патчи раз в месяц, чтобы не нарушать работу их информационных систем. В случае же обнаружения особо критической уязвимости патч выпускается мгновенно, но таких случаев не было уже несколько лет.

Мы регулярно публикуем Security Intelligence Report, в том числе и на русском языке. В этом отчете указываются результаты работы этого подразделения, выявленные им уязвимости, тренды атак в мировой информационной среде.

CNews: На днях появилась информация, что Microsoft присоединился к группе вендоров, которые платят за выявленные на стороне уязвимости. Насколько активно участвуют в этом процессе OSS-разработчики? И сколько корпорация готова заплатить за выявленную уязвимость?

Леонид Аникин: Я думаю, в данном случае разделение между СПО-программистами, .Net-программистами, Java-программистами довольно условно. Есть люди, которые хорошо разбираются в системе безопасности, могут найти в ней уязвимости. Для многих из них это интересно и увлекательно, плюс, возможно, они будут материально заинтересованы в такой работе.

Леонид Аникин, руководитель направления стратегии платформ Microsoft в России
Леонид Аникин, руководитель направления стратегии платформ Microsoft в России

На сегодняшний день огромное число людей совершенно безвозмездно информирует нас о найденных уязвимостях, а оплата – это лишь способ подогреть интерес. Мы не ожидаем, что это кардинально изменит картину.

CNews: Не секрет, что информационная безопасность – это понятие комплексное. Она зависит от железа, на котором установлена данная операционная система, от разработчика приложений под эту операционную систему, от тех, кто ее поддерживает и эксплуатирует. Какие меры предпринимает корпорация для того, чтобы информационная безопасность была гарантирована именно с точки зрения конечного пользователя?

Леонид Аникин: Наибольшая проблема в обеспечении безопасности – это стикер с паролем на экране. Нужны процедуры, которые соблюдают все сотрудники. Также уменьшить риски может более жёсткое взаимодействие между создателями приложений, операционных систем и «железа». Например, в Windows 8 новые приложения могут оказаться во встроенном Магазине только после проверки со стороны Microsoft, и это значительно обезопасило пользователей от мошеннических приложений.

Или, другой пример, совместно с производителями компьютеров была разработана технология UEFI, которая значительно сокращает риски, существующие на стыке между железом и операционной системой. С другой стороны, любые процедуры и ограничения уменьшают гибкость, поэтому тут очень важно найти баланс.

CNews: Существует мнение, что СПО более безопасно, чем проприетарное. Как вы можете это прокомментировать?

Леонид Аникин: Проще всего начать с цифр. Имеющаяся статистика говорит о том, что существует много безопасных СПО-решений, но одновременно имеются и не очень качественные. То же самое можно сказать и про проприетарные продукты. Например, в списке Secunia в каждой категории продукты Microsoft находятся в верхней части, и уже много лет.

Владимир Мамыкин: В 2002 г., когда я только пришел на работу в Microsoft, мне приходилось довольно много краснеть, когда речь заходила об уязвимостях. Тогда корпорация всерьез занялась этой проблемой, пригласив к сотрудничеству множество специалистов во всем мире. И после этого ситуация коренным образом изменилась. Продукты Microsoft стали и являются одними из самых безопасных благодаря стратегии, о которой мы уже говорили.

Есть много независимых компаний, которые занимаются выявлением уязвимостей в различных продуктах. Пожалуй, самым уважаемым сайтом, на котором публикуется информация о выявленных уязвимостях, является сайт независимой компании http://secunia.com. Так, например, согласно его данным за 12 лет на рынке Windows XP Pro набрал 600 с небольшим уязвимостей, в месяц обнаруживалось в среднем по 4 уязвимости. Для сравнения, компания Canonical с 2008 по 2012 год выпустила большое количество дистрибутивов Ubuntu, считающихся одними из самых безопасных среди дистрибутивов Linux. И в них в среднем число обнаруживаемых уязвимостей в месяц было в несколько раз больше, чем в Windows XP. Например, в дистрибутиве Ubuntu от апреля 2008 года обнаружили1600 с лишним уязвимостей - по 25 в месяц. При этом у Windows 7, выпущенной немного позднее, было обнаружено всего 290 уязвимостей, по 6 в месяц.

CNews: Способна ли такая огромная структура как Microsoft оперативно отреагировать на обнаружение очередной уязвимости в ее ПО? Или это проще сделать многочисленным участникам СПО-сообщества, не связанным административными условностями?

Владимир Мамыкин: Тут стоит две задачи: выявление уязвимостей и их устранение. Как мы уже отметили, чтобы выявить уязвимость, Microsoft работает со всем рынком, включая различные сообщества программистов. И мы очень ценим это сотрудничество. Чем шире круг участников этого процесса, тем лучше результат. Совсем другой процесс начинается после того, как уязвимость обнаружена. Наше подразделение, Microsoft Security Response Center незамедлительно проводит анализ и готовит патч. В зависимости от опасности патч может быть включён либо в регулярное ежемесячное обновление, либо выпущен незамедлительно.

CNews: Какие новые меры, направленные на повышение безопасности продуктов, будут приняты корпорацией в ближайшее время?

Владимир Мамыкин: Основной тренд технологической реализации нашей стратегии - переосмыслить существующие парадигмы и применить их к новым технологиям: мобильным, облачным. Например, виртуализация может нести собой опасность похищения виртуальных дисков целиком со всеми атрибутами. То есть уязвимость гипервизора – это уязвимость всего сразу. Мы привлекаем экспертов, которые разбираются в новых технологиях, формируют и придумывают их. И вместе с ними работаем над тем, чтобы реализовать наши парадигмы в новых технологиях.

Можно упомянуть о новых технологиях BitLocker и TPM, которые позволяют сохранить данные на компьютере при его потере. Они представляют собой симбиоз программных и аппаратных возможностей. При этом надо понимать, что TPM – это не просто чип, а реализованный в кристалле функционал, который, в том числе, может быть реализован и программным путем. Это очень хороший пример объединения технологических инноваций из разных сфер.

CNews: Судя по последним новостным материалам, корпорация особенно активно приступила в прошлом году к разработке ”свободных” продуктов, причем, предназначенных и для рядовых пользователей, и, соответственно, создает новые и развивает существующие FOSS направления и СПО-подразделения. Как все то, о чем мы сегодня говорили касательно ИБ практически воплощается в их работе?

Леонид Аникин: Стратегический фокус Microsoft – это облачные сервисы и устройства. Облачная платформа Windows Azure, которая предлагает много возможностей для интеграции с локальными инфраструктурными и создания таким образом гибридных сред, является самым быстрорастущим направлением в нашей компании. Мы предлагаем клиенту расширить его локальную сеть, задействовав мощности облака, оставив при этом привычные ему средства управления.

У наших клиентов в локальной сети разные продукты, в том числе и СПО, поэтому Windows Azure мультиплатформенна. Она поддерживает не только .Net, но и Java, РНР, Node.js и другие. Аналогичная ситуация и с виртуальными машинами – в Windows Azure можно переместить или поднять как Windows, так и Linux машины.

Более того, наше облако – абсолютно открытая инфраструктура. То есть любое сообщество или разработчик может создать свою сборку, опубликовать ее через сайт VMDepot, а любой клиент Windows Azure получает возможность развернуть виртуальную машину с этим образом.

CNews: Когда мы создаем гетерогенную среду, нам приходится объединять и Java, и Microsoft, и Adobe, и многое другое. Как обеспечить безопасность на стыке этих решений?

Леонид Аникин: На мой взгляд, здесь тоже нужен баланс. В идеале следует выбрать одного вендора, благодаря чему стыки между операционной системой и приложениями будут максимально просты. Но в реальной жизни по-другому. Поэтому Microsoft придерживается открытых стандартов и стремится к технологическому партнерству с крупнейшими игроками рынка, в том числе и с СПО-сообществами. Например, мы входим в число разработчиков ядра Linux, сотрудничаем с Apache и многими другими.

Владимир Мамыкин: Да, Microsoft является одним из основателей и активных игроков ряда международных консорциумов по разработке открытых стандартов, в том числе и по безопасности. Например, крупнейшего по безопасности в интернете консорциума OASIS. Мы всегда призывали пользоваться открытыми стандартами для того, чтобы максимально обеспечить интероперабельность решений. Это основа безопасности.

Как я говорил, сегодня наибольшую проблему в области безопасности представляют собой мобильные системы. Особенную головную боль это доставляет компаниям, ведь сегодня пользователи хотят иметь доступ к корпоративным сетям со своих мобильных устройств. И эти устройства весьма разнообразны. Наш ответ на это - новый System Center 2012 и Windows Intune, которые умеют работать с системами безопасности, добавлять политики на телефоны Windows Phone, Android, Аpple. Вне зависимости от того, какими телефонами пользуются сотрудники вашей компании, System Center или Intune помогают обеспечить необходимые политики безопасности и повысить безопасность всей инфраструктуры.

Короткая ссылка