Вопросы ИБ: выгоднее создать новое ПО, чем «чистить» старое
Проблемы безопасности — это постоянная головная боль ИТ-подразделений всех без исключения компаний. Реальный ущерб от хакерских атак оценить очень сложно, при этом, чем больше инвестируется в безопасность, тем больше инцидентов происходит. Эксперты считают, что причина кроется в накопленном «долге» — долгое время проблемам информационной безопасности не уделялось должного внимания, и сейчас на ИТ ложится сразу множество задач. Конференция «Безопасность бизнеса. Технология 2013», организованная 19 сентября 2013 г. РБК, расставила точки над «i» по многим вопросам — и в области мобильного бизнеса, и в банковской сфере, и даже на уровне государства.Иначе говоря, с одной стороны, нужны средства для управления файлами на мобильных устройствах (концепция Mobile file management), дополненные средствами шифрования, резервирования данных и настройки политик доступа к данным, а с другой — средства для управления девайсом в целом (концепция Mobile device management), то есть отключение части функций устройств, включая камеру, голосовые вызовы, передачу данных и др. Эти меры, как отмечает Эдуард Попов, руководитель отдела по поддержке и продвижению продаж ПО Acronis в России и СНГ, должны обеспечивать круглосуточный доступ с мобильных устройств и при этом не нарушать контур безопасности компании. Причем оба эти метода не конкурируют, а скорее, дополняют друг друга.
Как сократить жизненный цикл атаки
Зарубежный опыт противостояния проактивным атакам был представлен в докладе Ави Кравица, старшего консультанта по безопасности фирмы Sec Consult, рассказавшего, как следует реагировать при долговременных атаках. В качестве иллюстрации важности и необходимости обнаружения и устранения подобного рода инцидентов Ави Кравиц привел Nortel Networks, подвергавшийся атакам в течение почти 10-ти лет. Вся ее конфиденциальная информация утекала на сторону. Несмотря на то, что взлом обнаружен в 2004 г., соответствующие меры не были приняты и ситуация продолжала ухудшаться. В итоге в 2009 г. Nortel Networks обанкротилась во время финансового кризиса и была распродана.
Подобные проникновения нацелены на получение определенного рода данных и, как правило, выполняются хорошо организованной группой, имеющей достаточно мощные ресурсы, чтобы добиться желаемого и проникнуть в локальную сеть. «Жизненный цикл» атаки насчитывает несколько этапов — это сбор сведений о компании; поиск уязвимостей (например, методом фишинга) через общедоступные сервисы и приложения; внедрение удаленно управляемых вирусов; повышение привилегий злоумышленников за счет подбора паролей и распространение вирусов на компьютеры организации.
Как правило, технические системы для обнаружения подобных атак неэффективны. Почти в 40% случаев они распознаются пользователями, отмечающими странности в работе системы, или при изучении логов работы программ и системы. Примерно в половине случаев информация о взломе компании приходит от партнеров или конкурентов. Группа быстрого реагирования, куда входит несколько человек как от Sec Consult, так и от компании-заказчика, занимается исследованием слабых мест инфраструктуры и их укреплением. Поскольку атаки обычно длительные, после того, как они отбиты, приходится снова исследовать системы на предмет новых «дыр».
Дефицит безопасности
Вторая часть конференции — это иной взгляд на безопасность. Возможно ли вообще защитить что-либо, когда во многие системы сегодня намеренно или случайно добавляются закладки? Ирина Кохтюлина, ответственный секретарь Национального института Исследований глобальной безопасности, отметила, что начало 21 века — весьма драматичный период для международной безопасности.
Стремительное развитие интернета и бум соцсетей привели к изменению геополитической ситуации в мире (т.н. «Мягкая сила 2.0» – подход, позволяющий добиться желаемого путем убеждения и добровольного участия посредством интернета и соцсетей) и заодно появлению новых форм уязвимостей. Она напомнила, что радио охватило аудиторию в 50 млн человек за 30 лет, телевидение – за 13 лет, интернет – за 4 года, соцсети – за 9 месяцев. При таком огромном количестве аккаунтов (а их насчитываются миллиарды) и бизнес, и государственные структуры заинтересованы в изучении контента, хранящегося в соцсетях.
Достаточно просто с помощью соцсетей, отмечает Ирина Кохтюлина, манипулировать людьми — это достигается за счет репоста какого-либо сообщения, которое при соответствующем числе повторов попадает в тренд. Поэтому многие эксперты считают, что актуальная проблема — это цифровой суверенитет России. Ведь кибератаку можно приравнять по силе воздействия к химическому или бактериологическому оружию.
Другими словами, ИТ — это не только благо, но и зло. О новых типах угроз, появившихся сегодня, рассказал Валерий Павлов, председатель профессионального союза программистов России. Он разделяет им на «Боевые вирусы» и «Сопелы». Первый вид «зловредов» — это высокотехничные программно-аппаратные системы с изначально заложенными в них или установленными на этапе эксплуатации многофункциональными вирусами, второй — заказной вредоносный код, не столь профессионально разработанный и потому сравнительно просто обнаруживаемый и удаляемый.
Андрей Корнеев, руководитель Центра проблем энергетической безопасности, коснулся проблемы «безопасного города». Самый нестабильный элемент в работе систем города (например, энергетических) — это человеческий фактор. По его словам, для того, чтобы продолжать контролировать ситуацию, каждый человек должен быть членом определенной профессиональной организации и обновлять знания, иметь устойчивую внутреннюю мотивацию. Для обеспечения бесперебойной работы энергетической инфраструктуры необходимы ситуационные центры, куда в автоматизированном режиме стекаются все сведения об инцидентах, базы данных, знаний, системы моделирования внештатных ситуаций и центры обучения. Обучать людей дешевле, чем ликвидировать последствия энергетических кризисов. Ключевое решение проблем безопасности — это не просто затыкание найденных дыр. Для обеспечения работы энергетических систем необходим когнитивный подход, важно понимать, что техника решает далеко не все, а люди, чтобы справляться с новыми угрозами, должны профессионально развиваться.
Евгений Роговский, руководитель Центра проблем промышленной политики Института США и Канады, РАН, задался вопросом, нужна ли анонимность демократическому обществу. Сегодня люди уже приучены к дефициту конфиденциальности — бывшие дети выросли и пришли в бизнес и политику. Потому и появилась идея того, что самовыражение в соцсетях ограничивать не надо, этим надо пользоваться. Проблемы безопасности усугубляют и технические средства — компьютеры, программы. Не секрет, что практически повсюду есть «недокументированные возможности». При этом, по мнению Валерия Павлова, количество закладок по отношению к базовому функционалу ИТ-системы достигает 40%. Процесс технического анализа железа и ПО стал практически невозможен; это касается и систем с открытым исходным кодом. Сегодня нередко выгоднее создать что-то свое, чем «расковырять» чужой код или оборудование, а с появлением нанотехнологий это стало почти невозможно.
Защита для платежных карт
Банковская проблематика, касающаяся, впрочем, многих пользователей платежных карт, была поднята в выступлении Леонида Яшина, начальника управления карточного бизнеса «Пробизнесбанка». Он представил интересную идею, как обезопасить банковские карты от кражи и съема денег. Уже придумано немало способов обмануть владельца карты и заставить его самого ввести PIN-код — это и технические (например, сделать так, чтобы карта застревала в приемнике, либо использовать поддельные аппараты), и психологические или социальные методы (заставить «жертву» добровольно снять деньги). Конечно, существует и создается немало средств защиты (при производстве самого пластика и при аутентификации в банковском терминале), но работают они далеко не везде и не всегда. Однако Леонид Яшин считает, что когда банковская карта находится в блокированном состоянии постоянно и лишь по требованию клиента становится активной на определенное время, то даже если злоумышленник получит полный доступ к ней, он все равно ничего не сможет сделать. Есть, впрочем, одно «но» – активируется карта посредством SMS, и вовлечение третьей стороны в этот процесс не добавляет надежности сервису.
В завершение можно сослаться на аналитический отчет CNews Analytics, где отмечается, что к информационной безопасности нужно относиться так же внимательно, как и к персональной, экономической и государственной. Это позволит эффективнее применять методы раннего выявления информационных угроз и нивелировать их негативные воздействия.
Сергей Лосев