03 Декабря 2002 18:12 | 03 Дек 2002 18:12 | |

Поделиться

Сеть и Безопасность: Microsoft не удается избавится от дурной славы

Все возвращается на круги своя. Похоже, что долгая борьба корпорации-гиганта за «подтяжку» своего лица при помощи громких инициатив пока не принесла результатов.

Тем более, что на этой неделе была найдена критическая уязвимость в среде персональных Windows и серверного программного обеспечения IIS. При этом, если число уязвимых для вируса, наподобие Code Red, серверов известно (оно равно примерно 4,1 млн.), то количество уязвимых машин под Windows 95, 98, Me, 2000 на порядки выше. С помощью «правильно» составленного html-запроса атакующий может захватить контроль над машиной и запустить нужный код, именно поэтому эта дыра была признана критической. На фоне смены системы квалификации уязвимостей, которую осуществляет Microsoft, многие пользователи могли запутаться, какие патчи приоритетны и какие дыры наиболее серьезны. Такое нелепое совпадение явно не пошло на пользу гиганту, который выпустил уже больше 60 пакетов критических «заплаток» в этом году. Другим неприятным моментом явилось то, что в правительстве Японии заявили, что им, видимо, придется отказаться от использования Windows из-за опасений, связанных с безопасностью системы. Прямо-таки череда «неудач».

Тем временем, эксперты продолжают «стращать» общественность, настаивая на том, что, если на уровне производителей ПО необходимость тщательно информировать клиентов об уязвимостях и патчах осознана, то на уровне администраторов не хватает ресурсов, равно как персональной ответственности. Принимая перегруженность работой и простой недосмотр, в некоторых исследованиях отмечается, что ставить патчи вовремя имеют привычку те, кто имеют последние версии продуктов и обычно хостятся у крупных провайдеров. Например, 40% поставили заплатку в течение 7 недель после обнародования уязвимости до появления червя Slapper, который ее использовал, 30% сделали это сразу после, что делают остальные — неизвестно. Проблема усугубляется тем, что совсем необязательно ждать, пока грянет гром: ведь та же дыра в OpenSSL была найдена не при помощи сканирования, а после того, как один администратор заметил, как кто-то использовал ее в его системе.

Поэтому производители «вдохновляют» исследовательские фирмы, дабы те усилили понимание, насколько серьезна информационная безопасность и сколько стоит та или иная ошибка. В последнее время в целях охвата новых рынков многие гиганты фокусируются на защите данных малых и средних предприятий, так, например, на этой неделе было заявлено, что британские МСП при следующей атаке массового вируса потеряют 2,1 млд. фунтов стерлингов. Исследователи экстраполировали данные последней атаки: 70% получили заражения, это стоило компаниям около 800 фунтов каждой, а простой составил в среднем около 7 часов. И пусть конечный показатель в прогнозе весьма спорен (он, возможно, завышен в 2–4 раза), ущерб все равно огромен в сравнении со стоимостью адекватных средств защиты. И этот рынок никто не пропустит, по крайней мере, не собирается.

Тем временем, если с Ираком что-то случится, Сеть пугают новыми вирусами от авторов вредоносного кода, которые симпатизируют исламистам или по какой причине недолюбливают США. Чем не повод разориться на новое антивирусное ПО? Многие же исследователи отмечают, что, несмотря на то, что бюджеты увеличились в 2 раза за последние 5 лет (забывая, с какой скоростью растут уязвимости), IT-безопасность остается головной болью корпораций, которым не нужно тратить такие суммы на защиту своей инфраструктуры. То, что безопасность, в основном, — это организационное, а не технологическое явление, никто не спорит, но оценка рисков и соответствующая методика — это настолько тонкий момент, что каждая компания решает сама. Такой подход, несмотря на свою спорность, по своей сути, трезв, особенно на фоне текущей «истерии». Хотя те же правительственные агентства США провалили проверку на уязвимость своих сетей, что говорит о том, что дело действительно не в бюджетах, а в трезвом расчете и правильнойпрактике. А усиление наказаний за взломы не будет способствовать уменьшению количества атак, хотя правительство и законодательные органы США иноходью скачут в эту сторону. Большие сроки и даже пожизненное заключение для хакеров и законное слежение за гражданами при помощи интернет- и сервис-провайдеров — вот, что ждет самую свободную страну в мире.

Высокая «активность» правительств в этом направлении привела к незамедлительному росту интереса корпораций к продуктам электронного слежения за действиями работников на их рабочих местах. Просматривая трафик и переписку, многие продукты позволяют блокировать ненадлежащую активность и даже свидетельствовать, что это сделал тот или другой человек на основе средств биометрии. Как говорится, такой комплекс средств слежения приятно удивил бы многих, кто отвечает за безопасность компании.

Поделиться

Короткая ссылка