Спецпроекты

Безопасность Стратегия безопасности

Вопросы ИБ: выгоднее создать новое ПО, чем «чистить» старое

Проблемы безопасности — это постоянная головная боль ИТ-подразделений всех без исключения компаний. Реальный ущерб от хакерских атак оценить очень сложно, при этом, чем больше инвестируется в безопасность, тем больше инцидентов происходит. Эксперты считают, что причина кроется в накопленном «долге» — долгое время проблемам информационной безопасности не уделялось должного внимания, и сейчас на ИТ ложится сразу множество задач. Конференция «Безопасность бизнеса. Технология 2013», организованная 19 сентября 2013 г. РБК, расставила точки над «i» по многим вопросам — и в области мобильного бизнеса, и в банковской сфере, и даже на уровне государства.

Исследованиями безопасности занимается сегодня множество организаций — это и аналитические компании уровня Gartnet, IDC, и производители средств безопасности, и многочисленные независимые эксперты. И во всех отчетах отмечается, что распределенность информации и ее огромные объемы играют лишь на руку мошенникам. Не добавляет надежности и повсеместное использование облаков и мобильных технологий.

О том, как правильно защищаться от всевозможных видов угроз, рассказал Михаил Симаков, заместитель начальника ОЭБ банка «Первый экспресс». Прежде всего, в организации должна быть выстроена соответствующая организационная структура, подчиняющаяся основным бизнес-руководителям и отвечающая за безопасность в целом. Затем необходимо защитить офис — при необходимости укрепить двери, окна, обеспечить охрану и видеонаблюдение за периметром, позаботиться о пожаротушении. Системы контроля доступа сотрудников, нередко интегрированные с кадровыми системами, помогают наладить дисциплину.

Технические меры предполагают обеспечение электропитания, кондиционирования и климатического контроля и серверных комнат, которые до сих пор используются в небольших организациях, и масштабных центров обработки данных. Кадровые меры включают настройку правил, политик доступа к данным, а уже компьютерная защита обеспечивает безопасность на уровне локальной сети, приложений и файлов. Одни лишь информационные технологии, сколько бы в них не инвестировалось, сегодня не могут обеспечить должную защиту.

С этим мнением согласен Ренат Юсупов, старший вице-президент компании Kraftway. Он пояснил, что вычислительные архитектуры создавались десятки лет назад и тогда, на раннем этапе развития информационных технологий, мало кто уделял внимание безопасности, все усилия были направлены на увеличение производительности и функциональности программ. Архитектура не поменялась до сих пор, сохранились и все уязвимости. При включении девайса — компьютера, смартфона, планшетника — проходит несколько фаз: инициализация процессора, шин, памяти, прочих устройств, поиск загрузчика, старт виртуальных машин, операционной системы и ее компонентов и драйверов. В итоге из флеш-памяти BIOS и с винчестера загружается очень много постороннего кода, о котором сегодня пользователи компьютеров не имеют никакого представления. Этот код зачастую не оптимизирован и содержит множество «дыр», которые и эксплуатируют хакеры.

В последнее время, конечно, делаются попытки внести в существующую архитектуру некие изменения. Скажем, TPM-чип, который устанавливается на системные платы, — разумная идея, однако и здесь обнаружена уязвимость, из-за которой можно в реальном времени расшифровать закодированный поток данных. Технология SecureBoot в Windows 8 позволяет загружать только подписанные коды на всех этапах загрузки системы. Однако разработчикам нового кода довольно затруднительно подписывать его у контролирующих органов — у самой Microsoft или у производителей системных плат. Весьма эффективная технология безопасной загрузки, по словам Рената Юсупова, есть и у McAfee. Она сводится к загрузке перед стартом системы гипервизора, который виртуализирует память, прочие ресурсы и контролирует все обращения к ним. Если появляется неадекватное поведение какого-то процесса, то операционная система оповещается о возможном заражении.

Похожая система разработана и в Kraftway: до старта операционной системы запускается виртуальная микроОС или оболочка со средствами защиты основных компонентов ПК. Оба эти способа делают средства защиты функцией платформы, а не внешним средством, которое встраивается каким-то образом в систему. Однако далеко не все производители ПК приняли на вооружение подобные технологии, поэтому даже очень дорогие десктопы ненадежны с точки зрения информационной безопасности.

Мобильная безопасность

Концепция BYOD (bring you own device – принеси свое собственное устройство), к которой постепенно переходят многие компании, как известно, тоже порождает серьезные проблемы в сфере безопасности. Специализирующаяся на различных продуктах в сфере безопасности компания «Акронис» рассматривает несколько сценариев применения планшетов и смартфонов для решения бизнес-задач: это и централизованная закупка компанией мобильных устройств, и разрешение сотрудникам использовать собственные гаджеты, и выделение денег на самостоятельную покупку смартфонов или планшетов. Если в первом случае компания сама контролирует, как именно используются девайсы и что на них установлено, то два другие требуют более жестких политик в сфере информационной безопасности.

Ренат Юсупов: Этап инициализации ПО – самый комфортный для исполнения вредоносного кода

Ренат Юсупов, старший вице-президент компании Kraftway, считает, что сегодня подход к обеспечению безопасности и в бизнесе, и в госструктурах сравним с шаманством: «Если не умрет, то, возможно, выздоровеет».

CNews: Можно ли сказать, что сегодня формируется новая концепция ИБ в связи с новыми трендами информатизации бизнеса (мобильность, облака, бигдата и т.п.)?

Ренат Юсупов: Не совсем так. Никакой революции не происходит. До сих пор модель взаимодействия с цифровыми данными не поменялась: приложение – клиентский терминал – канал – сервер – сервис. Ничего нового, только программные и аппаратные платформы другие.

Читать далее

Короткая ссылка