Атаки на ИТ-инфраструктуру и методы противодействия им сравнивают с выработкой ткани, подводными лодками и микроорганизмами. Эти метафоры помогают создавать действенные системы, противостоящие новым угрозам.
Эра «замков и крепостных рвов» информационной безопасности осталась позади. Теперь атаки на ИТ-инфраструктуру и методы противодействия им сравнивают с выработкой ткани, подводными лодками и микроорганизмами. Как руководители служб информационной безопасности будут переводить эти метафоры в действенные системы, противостоящие новым угрозам?
Руководители служб информационной безопасности последние несколько лет были заняты совершенствованием технологии окружения рвами корпоративного замка. Теперь, поднимая головы от этих укреплений, они обнаружили, что живут в век стратегических бомбардировщиков и ракет с самонаводящимися боеголовками.
Проблемы, связанные с «защитой по периметру», не являются ни новыми, ни туманными, они становятся неактуальными. Корпоративные информационные системы все более зависят от компонентов, находящихся за пределами защитных «объятий» традиционного межсетевого экрана. Беспроводной, мобильный, удаленный, адаптивный — вот ключевые слова сегодняшнего бизнеса, где сотрудники, партнеры и клиенты предприятия часто используют по нескольку различных устройств — ноутбук, мобильный телефон или компьютер в местном Internet-кафе — для доступа к корпоративным данным. Дополнительные средства доступа в корпоративную сеть могут проделать больше дыр на некогда весьма защищенных границах компании.
Нет никаких признаков, указывающих на то, что эта тенденция будет меняться. Но какая другая модель защиты будет использоваться для информационной безопасности, если исчезнет периметр? Этот вопрос породил множество теорий. На любой конференции по информационной безопасности можно услышать, как метафора о замках и рвах сменяется другими образами: выработка ткани, микроорганизмы и клетки, война подводных лодок, сандвичи с арахисовым маслом, луковицы, масло и вода на стекле и даже сникерсы.
Эти метафоры полезны, хотя они служат только отправным пунктом для дискуссий в сложном мире информационной безопасности. Директорам информационной безопасности приходится иметь дело с возрастающим потоком угроз — от червей, срабатывающих в «час ноль», до проникновения мошенников с целью кражи информации или денег со счетов. В этих условиях они вынуждены выработать пути, с тем чтобы такие абстрактные понятия, как гибкость, быстрота, реактивность, избыточность и многообразие, воплотились в модели защиты службы информационной безопасности.
Подумай, прежде чем (противо)действовать
Первый фундаментальный шаг в перестройке информационной безопасности — это пересмотр списка планов и освобождение в нем места для архитектуры и стратегии защиты. По словам экспертов, быстрота технологических и управленческих изменений делает этот пересмотр труднее, чем кажется на первый взгляд. Вследствие того что сегодня исчезает периметр безопасности, даже небольшое увеличение количества времени на размышления становится решающим.
«Большинство наших практиков в вопросах безопасности лукавят, что они располагают единой сложившейся, стабильной и управляемой архитектурой безопасности», — говорит Ричард Баскервилль, руководитель департамента информационной безопасности в Университете штата Джорджия. — Но теперь ваша граница логическая; это больше не физический периметр».
И эта зараза может расползаться — особенно там, где Web-службы начнут самостоятельно объединять сети. Директорам служб безопасности вскоре понадобится быстродействующая техника, чтобы одновременно справляться с большим количеством соединенных и изменяющихся архитектур безопасности, — говорит Баскервилль. — Это походит на управление нитями безопасности, образующими ткань. Каждая нить должна быть крепкой, равно как и их переплетение. Менеджер по безопасности постоянно вплетает новые нити. Например, политика проверок настраивается «на лету» как реакция службы безопасности на текущую сетевую конфигурацию. Вместе с тем может быть немедленно запрошена проверка архитектуры безопасности для подтверждения нового [в виртуальной частной сети] соединения с торговым партнером.
Тем не менее это может стать управленческим кошмаром. С появлением новых технологий удержание политики безопасности на уровне, соответствующем технической действительности, напоминает прихлопывание пчел посреди их роя. Выделенные сети с высокозащищенными устройствами обратного вызова были заменены соединениями через широкополосные сети, каждое из которых осуществлялось через Port 80 — порт, непременно оставленный открытым на большинстве межсетевых экранов. Соединения по коаксиальному кабелю уступили место радио. А хакеры постоянно совершенствуют свои программные средства.
Следить за этими достижениями входит в обязанность руководителей, но это имеет и отрицательную сторону — отвлекает директоров служб информационной безопасности настолько, что они не успевают разрабатывать «защитный свод», то есть эффективный подход к безопасности, учитывающий все непредвиденные обстоятельства. Существует опасность, что директора служб информационной безопасности увязнут в решении ежедневных проблем и не смогут сосредоточиться на вопросах стратегии. «Удивительно, но стратегические модели являясь средствами достижения успеха в безопасности, чаще используются либо как образцовый перечень вопросов для гарантии того, что в стратегическом плане безопасности компании не упущены важные элементы, либо как основа для оценки стратегий и политики», — говорит Эми Рей, профессор, администратор компьютерных информационных систем в Bentley College.
«Выход в том, чтобы отказаться от такой позиции безопасности, где вы сосредоточены на обновлении только существующих систем, не рассматриваете безопасность как оружие против конкурентов. Кроме того, следует занять активную позицию безопасности, где защита капиталовложений в первую очередь базируется на стратегическом понимании архитектуры и использовании информационных систем», — говорит Рей. Однако, по ее мнению, перемены в мышлении даются нелегко, особенно для компаний, сталкивающихся с проблемами соответствия технологиям.
Смена стратегии тем не менее не обязательно потребует полной реорганизации существующей модели управления безопасностью и инфраструктурой. Все перемены могут состоять в добавлении нескольких ключевых деталей. «Традиционно система информационной безопасности была централизованной, иерархической и базировалась на контроле, как это и должно быть, — говорит Баскервилль. — Теперь же контролировать эту систему становится труднее из-за меньшей скоординированности с децентрализованными информационными ресурсами, на многие из которых организация имеет ограниченное право собственности».
Метафоры — это мы
Еще один путь, предлагаемый другими экспертами, предполагает полное изменение того, как осуществляется безопасность. «Вы не можете организовать защиту каждого дома в государстве, поэтому вы создаете границу страны, — говорит Элад Бэрон, генеральный директор Whale Communications, компании, специализирующейся на предоставлении услуг информационной безопасности. — Проблема в том, что вам нужен обширный доступ вовне, а не просто минимальный доступ через ваши границы. Периметр сохраняется, но вы должны изменить его принцип от предотвращения чего бы то ни было к позволению безопасного доступа отовсюду». Чарльз Палмер, руководитель исследования проблем безопасности в IBM, согласен с тем, что есть смысл в коренном изменении сегодняшней модели. «Попробуйте составить список людей, имеющих доступ в ваш дом. Вы можете это сделать, так как вы дали право доступа ограниченному числу людей, — говорит Палмер. — Если вы придете ко мне домой и не сможете ввести секретный код в моей системе сигнализации, то вам, очевидно, не следует там находиться».
Сегодня многие пытаются иметь список тех, кто не должен находиться в стенах корпорации. По мнению Палмера, это никогда не приведет к положительным результатам: с ежедневным рождением новых людей и случающимся иногда превращением вчерашних «хороших» в «плохие» получить полный список вряд ли удастся.
Такое изменение подхода, несомненно, потребует и технологических изменений. Whale Communications предоставляет виртуальные частные сети, защищенные протоколом SSL (Secure Sockets Layer), и относящиеся к ним программные инструменты, тем самым обеспечивая универсальный защищенный удаленный доступ. Современные системы управления идентификацией также могут решить часть проблем. Но, без сомнения, безопасность должна быть присуща каждой системе и пользователю для того, чтобы сохранять контроль и оставлять «плохих» в безвыходном положении. Если бы каждый обеспечивал свою собственную безопасность, любой осуществленный им вход в сеть автоматически становился бы безопаснее. И новые технологии, появляющиеся на горизонте, могли бы сделать эту модель всего за несколько лет.
«Я полагаю, что технология безопасности identity-enabled (санкционирование подлинности) заслуживает внимания, — говорит Бэрни Ковенс, вице-президент службы безопасности в Rainbow eSecurity. По его мнению, использование технических средств или технологии смарт-карт вместе с паролем увеличивает степень безопасности. Палмер придерживается того мнения, что более осуществим подход, предложенный Trusted Computing Group (TCG), отраслевым консорциумом, в состав которого входят IBM, Microsoft, Intel, Sun Microsystems и другие компании. Согласно плану TCG большинство компьютерных технических средств должны включать микросхему, предоставляющую простую безопасную идентификацию. «Идея заключается в создании такой микросхемы, которая заставит вас чувствовать себя безопаснее, — говорит Палмер. — Это не просто место хранения ваших паролей; в ней может быть использована криптографическая система для получения математических доказательств того, что это действительно вы. Таким образом, вы помещаете свои секреты в маленькую микросхему и заставляете математику говорить: «Это ноутбук Чарльза». Микросхема также может иметь другие функции, в частности точно определять, на какой машине был создан данный текстовый документ или электронное письмо. Программные инструменты, подобные этим, ведут к другой метафоре безопасности. Модель становится меньше похожа на кирпичную стену, окружающую город, и больше — на масло и воду на листе стекла, где капли масла представляют ненадежные соединения. При касании капли воды тотчас же сливаются. Каждая капля, в сущности, содержит то, что необходимо объединить с другими доверенными ресурсами. Капли же масла соединиться не могут. Эта модель имеет смысл, когда вы рассматриваете внутренние угрозы: технологии, предусматривающие безопасный доступ извне, делают то же самое для внутренних пользователей.
Назад к «технологии по периметру»
Палмер утверждает, что другие технологии способны усилить безопасность на более детальном уровне. Одна из возможностей включает добавление к выпускаемым приложениям описаний того, каким должно быть нормальное поведение, что позволит системам легко распознавать потенциальные атаки. Подход к безопасности по периметру станет критически важным по мере распространения Web-служб. Джон Диас, ведущий аналитик по вопросам компьютерной безопасности Министерства энергетики США, говорит, что Web-службы потенциально позволяют сложным приложениям населять системы посредством входа через Port 80. Это означает больший риск — риск, который, надеется Диас, будет уменьшен благодаря программным инструментам, проверяющим законность приложений Web-служб по периметру.
Диас — член рабочей группы the Advancement of Structured Information Standards, занимающейся созданием языка описания уязвимостей (Application Vulnerability Development Language, AVDL). Предполагается, что этот язык позволит приложениям информировать AVDL-совместимый межсетевой экран, какое поведение приложения следует разрешить и какое запретить. «Такой подход должен стать более эффективным при сегодняшнем положении дел», — говорит он.
Майк Райдер, профессор электроники, компьютерной инженерии и компьютерных наук в Университете Карнеги — Меллона, предвидит время, когда безопасность можно будет уподобить скорее стене из органических клеток, полных многообразия и изобилия и сконструированных для отражения атак, чем стене из кирпича. Подобная концепция лежит в основе работы, недавно представленной светилами безопасности, такими как Дэн Джиер и Брюс Шнайер.
«Как выживают биологические системы? Посредством множества отличных друг от друга клеток, — говорит Райдер. — У них нет одинаковых уровней уязвимости. Вы могли бы использовать эту технику в компьютерных системах». По словам Райдера, Университет Карнеги — Меллона проводит исследование систем, тщательно проверяющих друг друга на результаты возможных атак, подобно тому, что происходит в современных отказоустойчивых компьютерах.
Вместо выпуска миллионов копий идентичных приложений поставщики программного обеспечения могут внести незначительные, случайные изменения в каждое из них, меняя их профили (но не функцию) в достаточной мере для того, чтобы атаки повлияли лишь на небольшую их часть.
Это захватывающая идея, но, по признанию Райдера, требующая более глубокого исследования. Например, уровень сложности обновления повышается, если каждая исполняемая программа планеты слегка отлична от другой.
Проверка на реальность, пожалуйста
Все эти технологии и идеи, конечно, интригуют, но это только теория, Кристиансен говорит, что чрезвычайно важно, чтобы исследователи и поставщики не упустили главную мысль. Такие эзотерические решения помогут справиться только с 1% проблем, в то время как действительные результаты не видоизменяют характерные черты приложений, а вместо этого приводят к краже всей информации, когда пользователь загружает данные в ноутбук (как в случае с Wells Fargo — В декабре 2003 года полиция арестовала человека, подозревающегося в краже ноутбука с ценными данными у работника банка Wells Fargo. Попался грабитель очень глупо — он вышел в Internet через установленную на украденном компьютере учетную запись пользователя. С помощью телефонной компании и провайдера AOL точка входа была моментально засечена. Банк не только вернул ноутбук, но и сэкономил обещанные в качестве награды 100 тыс. долл. — Прим. ред.).
«Лучше давайте пройдемся, прежде чем побежать. Давайте сначала взглянем на важнейшие вещи», — говорит Кристиансен, немало подумавший и написавший о том, что он называет «эластичной безопасностью». На своем предыдущем посту директора службы информационной безопасности в General Motors Кристиансен управлял службами информационной безопасности в распределенных подразделениях GM, включая производственные и финансовые предприятия, разбросанные по всему миру.
Для Кристиансена модель защиты по периметру несовершенна, но не бесполезна. «Если бы вы могли поставить блокировки на отдельные биты, это было бы идеально, но лишено всякого смысла, — считает Кристиансен. — Правильная модель информационной безопасности должна быть больше похожа на сникерсы: с тонким наружным слоем, окружающим как незащищенную нугу, так и твердые орехи. Мы перешли от единого периметра к многочисленным внутренним. Перемещая безопасность ближе к информации, вы пытаетесь защититься. Так вы побеждаете в игре».
Другие эксперты соглашаются, что защита по периметру — в определенной форме возможно, крепко укоренилась в сознании директоров служб информационной безопасности. «Физические преграды для коммуникаций продолжают исчезать, но администраторы ответственны за защиту информации, которой они владеют, — отмечает Рей. — В то время как все большее количество информации становится доступно за пределами корпоративных периметров, большинство компаний хранит самую ценную информацию внутри: бюджеты, проекты, данные о конкурентных бизнес-процессах и т. д. Здесь защита по периметру играет важную роль».
Тем не менее, если термин «защита по периметру» окончательно не исчезнет, нет сомнений, что идея должна измениться, и достаточно скоро, если организации надеются противодействовать угрозам».
«Периметр — это весь мир, — говорит Палмер. — Вот что сводит директоров службы безопасности с ума».
Christofer Lindquist. The World Is Your Perimeter. February 2004, CSO Magazine.
Работа скунса
Команды информационной безопасности могут черпать творческие идеи на линии фронта
Если поместить высокоструктурированную централизованную организацию безопасности на линии фронта в битве за информационную безопасность, то это сродни ситуации, где линкор противостоит миллиону быстроходных катеров с ракетными установками. Появятся дыры, последует потопление.
По словам некоторых экспертов, лучший способ борьбы с подвижностью и креативностью атакующих — это создание своей собственной гибкой инновационной группы или организация «работы скунса», если угодно, назовите это так. Подобные группы приобретут особую важность в компаниях, в которых используются такие технологии, как Web-службы. Это при недостаточно крепкой защите приводит к соединению новых средств с возможностью несчастья, — говорит Ричард Баскервилль, руководитель департамента информационной безопасности в университете штата Джорджия.
По его мнению, такие команды не обязательно должны быть дорогостоящими. «Вам не нужна — и вряд ли директор службы безопасности одобрит — команда, работающая полный рабочий день», — говорит он. — Но виртуальная «работа скунса» — это вспомогательная стратегия. Если в штате служащих есть подходящие специалисты, их можно объединить во временный «кабинет скунса», а после, когда поставленная перед ними задача будет решена, вернуть их к обычным обязанностям».
Джеймс Кристиансен, директор службы информационной безопасности компании Experian, поставщика кредитных и бизнес-услуг, согласен с этим. По его словам, одинаково важны два аспекта: взять на работу нужных людей и создать рабочую обстановку, содействующую инновациям. «Деятельные люди, обладающие воображением, обычно предлагают решения прежде, чем я успеваю о них подумать, — говорит Кристиансен. — Все это магия мотивации. Вас не воспринимают как противодействующую силу».
«Это похоже на группу компьютерной «скорой помощи» или команду, чьей единственной целью является предугадывание новых уязвимых мест защиты вместо их последующего лечения, — говорит Баскервилль. — Главное, чтобы творческие и умные люди пребывали в нормальном расположении духа, несмотря на то что все идет гладко. Сложность состоит в том, чтобы найти непростые задачи, которые будут поддерживать в них интерес.
Кристофер Линдквист