Вам страшно, когда вы слышите название «TJX»?
Нет? А почему? Может, потому что компания TJX, которая подверглась атаке хакеров в декабре и по которой хорошенько прошлась пресса в январе, очень велика, а ваша организация... гораздо меньше?
Ничего подобного. У вас ведь достаточно мозгов. И конечно, вы напуганы. Вы напуганы до смерти.
Так и должно быть.
Ведь как ИТ-директор средней компании вы прекрасно понимаете, что у вас далеко не все в порядке. Эта мысль гложет вас и не дает спокойно спать по ночам. Вам известно, что хакеры, мошенники и даже представители организованной преступности все чаще нацеливаются на ваши системы и приложения. Они охотятся за сведениями личного характера, клиентскими учетными записями и торговыми секретами. Злоумышленники покупают товары, расплачиваясь украденными кредитными картами. Они упорно (гораздо упорнее, чем вы пытаетесь противостоять им) работают над тем, чтобы прибрать к рукам любую информацию, которая представляет для них хоть какую-нибудь ценность.
Вы настолько обеспокоены состоянием своей безопасности, что не желаете даже обсуждать эти вопросы. И, конечно, не хотите поделиться своими мыслями с журналом CIO, даже на условиях анонимности. Но из рассказов экспертов нам известно, что, в отличие от ИТ-директоров крупных предприятий, руководители ИТ-служб средних компаний не обладают необходимым бюджетом, не имеют в подчинении классных специалистов и не располагают временем, чтобы отвлечься от рутинных операций и заняться выстраиванием прочной защиты. Вы открыты всем ветрам, и остается надеяться лишь на то, что вам повезет и удастся избежать серьезных неприятностей, которые могут исходить откуда угодно...
«Атаки в основном направлены против компаний среднего бизнеса, потому что такую высоту взять проще, — отметил директор Института компьютерной безопасности в Сан-Франциско Роберт Ричардсон. — Это совершенно очевидно».
Пугающие цифры
Нет сомнений в том, что более 4 тыс. компаний среднего бизнеса в США крайне уязвимы. Согласно обзору аналитиков CIO Magazine и PricewaterhouseCoopers, опубликованному под заголовком «Глобальное состояние информационной безопасности в 2006 году», примерно у 43% компаний среднего бизнеса годовой бюджет службы безопасности не превышает 100 тыс. долл. Приблизительно у такого же процента крупных компаний (40%) на решение вопросов безопасности выделяется более миллиона долларов. Кроме того, организации среднего масштаба обычно не располагают штатными специалистами по безопасности. Только в 20% из них учреждена должность директора по информационной безопасности, тогда как среди крупных предприятий эта доля составляет 42%. Наконец, ИТ-руководители в компаниях средней величины не имеют инструментов, позволяющих выявлять слабые места. Наличием программного обеспечения, помогающего обнаруживать бреши в компьютерных системах, может похвастаться лишь третья часть таких организаций, в то время как среди крупных компаний таковых насчитывается 46%.
До недавнего времени разрыв в уровне безопасности между средними и крупными компаниями не вызывал опасений. В прошлом году доля ИТ-директоров компаний среднего бизнеса, сообщивших об электронных атаках, завершившихся успехом, оказалась примерно такой же, как и в крупных компаниях. Однако специалисты по безопасности утверждают, что осенью прошлого года число электронных атак, обрушившихся на организации средней величины, стало расти, и это продолжается по сей день. Тенденция очевидна.
«Сегодня основные осложнения возникают на небольших предприятиях, — заметил Пауль Кохер, президент компании Cryptography Research, специализирующейся на предоставлении услуг, связанных с компьютерной безопасностью. — Атакующим известно, что для обеспечения требуемого уровня безопасности у этих компаний нет ни финансовых средств, ни специалистов».
Однако о полной беспомощности речь не идет. Нам удалось собрать обновления компонентов безопасности и технологии, которые, по словам специалистов, помогут вам укрепить свои системы, не опустошая бюджет и не раздвигая границы рабочего дня за рамки 24 часов. Несмотря на то, что имеющиеся обновления и инструментальные средства не сделают ваши системы абсолютно неуязвимыми, они существенно усложнят жизнь киберпреступникам. «Именно в этом и заключается обеспечение электронной безопасности», — считает Том Салливан, руководитель группы управления рисками электронной коммерции туристической компании Expedia и председатель совета директоров некоммерческой организации Merchant Risk Council, действующей в интересах представителей розничной электронной торговли. Подобно всем прочим мошенникам электронные воры подыскивают для себя легкие цели. И если вдруг им попадется сайт, для взлома которого придется приложить хотя бы чуть-чуть больше усилий по сравнению с остальными, в большинстве случаев они предпочтут выбрать более легкую жертву.
«Возможно, это сайт вашего конкурента... а может быть, и ваш, — отметил Салливан. — Но вам, конечно, хочется надеяться на то, что злоумышленники обойдут вас стороной».
Меняющийся характер угроз
Прошлый год на фронтах безопасности выдался относительно спокойным. Ни один серьезный вирус не поразил сети в глобальном масштабе, а доля организаций, пострадавших от вирусного нашествия, неуклонно снижалась. В материалах ежегодного отчета, подготовленного специалистами Computer Security Institute (CSI) и ФБР, говорится, что если в 2001 году о вирусных атаках сообщали 95% организаций в США, то в 2006 году таковых оказалось лишь 65%.
Однако, по словам Ричардсона, курировавшего отчет со стороны CSI, в исследовании совершенно не отражена переменчивая природа атак и их целей. Сегодня атакующие уже не пытаются «завалить» крупные сети из чисто спортивного хакерского азарта. Теперь их интересуют прежде всего деньги. «В настоящее время хакеры и мошенники ведут себя очень осторожно, предпочитая лишний раз не светиться, — подчеркнул Ричардсон. — Они стремятся скрывать свои следы, пока не сделают все, что задумали. Но даже и в этом случае зачастую вы узнаете об их набегах лишь тогда, когда деньги оказываются уже очень далеко». Соответственно, о многих атаках представители потерпевших компаний не сообщают вообще ничего.
«В ходе опроса респонденты охотно расскажут вам о массовом нашествии вирусов, но предпочтут умолчать о похищении своих активов в результате целенаправленной атаки», — пояснил Ричардсон.
Пока вы не превратились в очередную жертву, хотелось бы поговорить об этом.
Оцените ситуацию и установите обновления
Электронные воры идут по пути наименьшего сопротивления. Это значит, что в приложениях и сетях они ищут известные им уязвимые места — бреши, о которых уже сообщалось ранее в электронных источниках. Возможно, для их устранения производители уже успели выпустить необходимые обновления. Специалисты по безопасности считают, что установка обновлений и ликвидация известных уязвимых мест — самое эффективное средство защиты от кибератак, снижающее риск по крайней мере наполовину, а может быть, и больше.
Конечно, вы слышали об этом и раньше. Более того, вам уже все уши прожужжали на эту тему. Но на практике очень многие ИТ-директора не делают того, о чем им давно известно. Результаты опроса, проведенного журналом CIO, показали, что средства управления обновлениями развернуты менее чем в половине средних компаний. (Недалеко ушли и ИТ-директора крупных предприятий. О развертывании средств управления обновлениями сообщают только 55% из них.) Не приходится сомневаться в том, что перед хакерами по-прежнему открываются самые широкие возможности.
Так почему же системы не обновляются и не обновляются как можно чаще? «ИТ-директора поступают так непреднамеренно, — считает председатель совета директоров организации Open Web Application Security Project (OWASP) Foundation Джефф Уильямс. — Отслеживание появившихся новых обновлений и отфильтровывание тех из них, которые подходят для ваших приложений и сетей, отнимает очень много времени. Кроме того, установка обновления, проверка его влияния на производительность приложения или сети и последующее развертывание в масштабе всего предприятия требует еще больших затрат времени и может замедлить работу систем.
Джерри Мэйз, ИТ-директор компании Royal Food Service, поставляющей в ресторанные сети различные товары на сумму 60 млн. долл. в год, разделяет типичные для ИТ-руководителей средних компаний взгляды на управление обновлениями. Мэйз ограничивается установкой обновлений, выпускаемых корпорацией Microsoft, и следит за поддержанием в актуальном состоянии системы расчета зарплаты. «Я понимаю, что все эти процедуры можно выполнять автоматически, — признает он. — Но у нас пока нет подобных механизмов. Я с удовольствием занялся бы решением соответствующих вопросов, но, к сожалению, сегодня на меня давит масса других срочных задач».
Чтобы сделать управление обновлениями менее обременительным, Уильямс предлагает ИТ-директорам следить в первую очередь за теми обновлениями, которые предназначены для приложений и систем, отвечающих за предоставление доступа к критически важной информации. Сетевым экранам, обеспечивающим получение доступа к системам и данным через Web-сервер, следует уделять более серьезное внимание по сравнению со средствами организации доступа через операционные системы. Чтобы выяснить, какие приложения и системы наиболее важны в этом отношении, необходимо оценить риск или построить модель угроз. А это подразумевает знание бизнеса и местонахождения критически важных данных. Поговорите с руководителями бизнес-подразделений и выясните, где хранятся наиболее важные данные и какие приложения имеют к ним доступ. Составленный список впоследствии можно будет использовать для создания «контрольного перечня обновлений», который займет приоритетное место в вашем еженедельном расписании.
«Необходимо задуматься не только о составлении подобных списков, но и о об оптимальном распределении своего времени, — подчеркнул Уильямс. — Ни один другой вопрос не оказывает такого серьезного влияния на состояние системы безопасности».
Как бороться с мошенничеством в розничной торговле
Установка обновлений помогает отражать атаки хакеров. Но что делать, если мошенники маскируются под существующих клиентов, чтобы похитить учетную информацию, номера кредитных карт или обманным путем получить товар? У компаний средней величины ситуация довольно быстро может выйти из-под контроля и принять характер эпидемии. «Мошенничество подобного рода стремительно распространяется в среде мелких и средних предприятий, занимающихся электронной торговлей, — подчеркнул Салливан. — Причем оно становится все более изощренным и организованным».
Как же обезопасить систему, не прибегая к очень сложным и дорогостоящим способам? Любая компания, хранящая у себя конфиденциальную информацию, должна соблюдать ряд простых и недорогих процедур, помогающих быстро выявить факты мошенничества. Приведем несколько рекомендаций, которые дают специалисты по безопасности.
Изучите схемы действия покупателей. Неожиданное увеличение объемов продаж за короткий период, как правило, свидетельствует о мошенничестве. Убедитесь в отсутствии каких-то иных причин. Возможно, всплеск продаж стал результатом рекламной кампании, покупки ключевых слов на поисковом сайте Google или других маркетинговых акций. «Если ничего этого нет, внезапный скачок станет для меня серьезным поводом для беспокойства», — подчеркнул Салливан.
Определите источник большей части покупок. Если самые крупные заказы исходят из городов, где вы совершаете сделки крайне редко (или не совершаете их вообще), это может являться признаком мошенничества. Мошенники часто дают рекламу на сайте Monster.com или другом Internet-ресурсе, посвященном поиску работы, привлекая людей, желающих работать на дому. После этого на Web-сайтах совершаются крупные покупки с доставкой товара на домашний адрес доверчивых новоиспеченных сотрудников.
Проверяйте количество купленного товара. Как правило, люди покупают не более одной-двух единиц товара одного наименования. Если вы видите, что товара в заказе гораздо больше, имеет смысл проверить покупателя. Позвоните клиенту, и если он откажется предоставить информацию о своем банке или использованной кредитной карте, Салливан рекомендует аннулировать заказ.
Проверка заказов не займет много времени. Для этого вовсе не обязательно приобретать дорогостоящее приложение, в котором реализованы методы искусственного интеллекта. Достаточно загрузить нужные файлы в электронную таблицу Excel и выделить необычные цифры заказов, адреса и шаблоны. Кохер рекомендует нанять какого-нибудь студента, который будет просматривать каждый заказ. «Подобные проверки, как правило, очень эффективны, — подчеркнул он. — Нейронные сети в этом отношении оказываются ничуть не умнее грамотного студента».
Сравнивайте IP-адреса с физическими адресами. Если покупатель утверждает, что живет в Денвере, а его IP-адрес зарегистрирован в Джорджии, позвоните ему и проверьте информацию о кредитной карте.
Не превращайтесь в барахольщика. Если вы не испытываете необходимости в хранении номеров кредитных карт или любой иной информации личного характера, не делайте этого. Сохраняйте информацию не дольше, чем это действительно требуется для вашего бизнеса (например, в течение цикла обслуживания счетов), после чего удаляйте ее из всех своих баз данных. Если в вашей системе не будет сведений личного характера, хакеры не смогут их похитить.
Ищите врага внутри
Согласно опросу, проведенному недавно специалистами Ponemon Institute, 90% всех случаев мошенничества и кражи данных в компаниях приходится на собственных сотрудников. Две трети респондентов обратили особое внимание на временных работников, а также на уволенных сотрудников и сотрудников, чувствующих себя ущемленными. Именно с их деятельностью связаны наиболее серьезные риски в области безопасности.
«Формируя типовой портрет сотрудника, от которого исходит наибольшая угроза, вы выясните попутно, на какие системы следует обратить особое внимание, чтобы снизить факторы риска, — отметил консультант компании Deloitte & Touche Кен Дежарнет, специализирующийся на вопросах безопасности и защиты данных. — Возьмем, к примеру, временных сотрудников (которых обычно нанимают для выполнения каких-то сезонных работ), имеющих доступ к конфиденциальной информации. Эти люди проявляют меньшую лояльность по отношению к компании, следовательно, подозрение в первую очередь падает на них».
Одним из главных объектов для совершения мошеннических действий являются контакт-центры. «ИТ-директора могут уменьшить связанные с ними риски, соблюдая несколько простых и необременительных правил», — заметил директор по безопасности компании ArcSight, один из авторов книги «Враг в бутыли с питьевой водой» Брайан Контос (Contos B., Kleiman D. Enemy at the Water Cooler: Real-Life Stories of Insider Threats and Enterprise Security Management Countermeasures, 2006). Нарисуйте себе картину типичного звонка в контакт-центр, а затем периодически сравнивайте записи в базе данных с полученным профилем. К примеру, если типичный звонок предполагает обращение сотрудника контакт-центра к одному файлу данных, можно выделить звонки, заставившие работника обратиться к трем или четырем файлам. Примерно такая ситуация произошла в одной телефонной компании, когда частный детектив, ведущий дело о разводе, попытался получить информацию об интересующих его телефонных звонках. Информация подобного рода защищена законом о тайне частной жизни. ИТ-директор компании выделил звонки, связанные с обращением более чем к одному файлу. В результате 14 сотрудников контакт-центра были уволены за разглашение конфиденциальной информации.
Платите меньше, но сейчас или больше, но позднее
Специалистам по безопасности важно, чтобы руководство средних компаний усвоило одну простую истину: главное — следовать здравому смыслу.
Ричардсон сравнивает это с визитом на обед в небезопасный район города. В этом случае вы принимаете простые меры предосторожности — припарковываете автомобиль на хорошо освещенной стороне улицы, активизируете противоугонные устройства — после чего можно спокойно наслаждаться вкусной едой.
ИТ-директорам средних компаний необходимо вести себя приблизительно так же — соблюдать основные меры предосторожности, помогающие защитить систему. Любой специалист в области статистики подтвердит, что снижение риска на 50% — огромное достижение. И если придерживаться указанных мер безопасности, риск можно снизить примерно в таких пределах. «Не соблюдать элементарных правил просто неразумно, — говорит Кохер. — Люди, которые подверглись атакам и потеряли почти все, теперь кусают локти и жалеют о том, что не предпринимали никаких усилий для обеспечения своей безопасности».
Нужно делать хотя бы что-то.
Allan Holmes. Bad neighborhood.CIO Magazine. 1 March 2007
Десять уязвимых мест Web
Представители ассоциации Open Web Application Security Project Foundation составили перечень основных уязвимых мест Web-приложений и рекомендации
по их устранению. Приведем первую десятку наиболее распространенных брешей.
1. Непроверенные входные данные
Определение: Отсутствие проверки на то, что текст, вводимый пользователем в определенное поле на Web-сайте, соответствует назначению этого поля.
Возможные осложнения: Хакеры используют эти поля для ввода команд, которые позволяют им находить уязвимые места и получать желаемый доступ.
Ваши действия: Проверьте, чтобы в каждом из полей присутствовали лишь те символы, которые нужны для заполнения этого поля (например, цифры почтового индекса), а вводимые данные не превышают заданной длины. Сверьте введенную информацию с небольшой библиотекой почтовых индексов и убедитесь в том, что введена правильная информация.
2. Нарушение контроля доступа
Определение: Средства контроля доступа определяют, к каким компонентам системы может обращаться пользователь после регистрации своей учетной записи, и блокируют доступ ко всем остальным компонентам.
Возможные осложнения: Примерно у половины существующих Web-сайтов возникают серьезные осложнения с процедурой контроля доступа из-за слабого тестирования в процессе разработки.
Ваши действия: Проверьте все возможные комбинации действий, которые пользователь может предпринять для получения доступа к запрещенным компонентам и информации.
3. Нарушение процедуры аутентификации и управления сеансами
Определение: После регистрации на Web-сайте с определенным именем пользователя и паролем вы получаете файл cookie, который подобно пропуску в ночной клуб идентифицирует вашу личность на любой ветке Web-сайта.
Возможные осложнения: Иногда компании меняют процедуру аутентификации, непреднамеренно открывая перед хакерами возможность инициирования сеансов и использования идентификационных cookie для вхождения на сайт под учетной записью уже зарегистрированного пользователя.
Ваши действия: Применяйте встроенные схемы аутентификации, поддерживаемые приложением; используйте для шифрования сеансов механизмы SSL (secured sockets layer).
4. Сценарии переходов
Определение: Ситуация, при которой хакер встраивает в запросы, инициируемые на Web-сайте, какие-то команды.
Возможные осложнения: Хакер может вводить команды JavaScript в любом текстовом поле, например в поле, предназначенном для изменения адреса. Когда обычный пользователь вводит в это поле какую-то информацию, сценарий JavaScript активизируется, что позволяет хакеру получить контроль над сеансом и все права законопослушного пользователя. В результате у хакера появляется возможность несанкционированно переводить деньги или похищать номера кредитных карт.
Ваши действия: Убедитесь в том, что любое текстовое поле принимает только те символы, которые действительно могут там присутствовать, и выполняются ограничения на длину вводимой строки.
5. Переполнение буфера
Определение: У атакующего появляется возможность ввести больше информации, чем может обработать буфер.
Возможные осложнения: Атакующий может получить контроль над сервером приложений и доступ ко всем данным, управление которыми осуществляется с помощью этого сервера.
Ваши действия: Откажитесь от языка программирования C++, у которого имеются уязвимые места, в пользу языков Java или .Net. Если вы вынуждены остановиться на C++, используйте статические средства анализа для поиска брешей, связанных с переполнением буфера.
6. Изъяны ввода
Определение: Web-приложения, в которых используются интерпретаторы, предусматривают применение специальных инструкций базе данных, которые возвращают конкретную информацию. Такие приложения воспринимают команды, помещенные в середину запроса и меняющие, таким образом, его природу.
Возможные осложнения: В поля, предназначенные для ввода имени пользователя и его пароля, хакер может вставить определенную команду, в результате выполнения которой база данных вместо одной откроет все учетные записи.
Ваши действия: Используйте запросы с параметрами, в которых команда и данные отделены друг от друга. Каждая команда связана с определенными файлами, и у хакера нет возможности манипулировать командами.
7. Некорректная обработка ошибок
Определение: Преднамеренный ввод ошибочной информации, для того чтобы получить сообщение об ошибке или открыть защищенную область.
Возможные осложнения: Сообщения об ошибках содержат информацию о данных, находящихся уровнем ниже.
Ваши действия: Прекращайте выдачу сообщений об ошибках после троекратного неверного ввода имени и пароля. Не включайте в сообщения об ошибках конкретной информации об инфраструктуре или каталогах.
8. Небезопасное хранение
Определение: Отсутствие защиты хранимых данных с помощью шифрования, недостаточно безопасные ключи доступа к зашифрованным данным, пренебрежение случайной выборкой символов для определения паролей.
Возможные осложнения: После того как хакер один раз получил доступ к системе, считывание незашифрованных данных не вызывает у него никаких сложностей. Кроме того, в случае несоблюдения необходимых мер безопасности он может подобрать ключ и получить доступ к зашифрованным данным.
Ваши действия: Не храните данные, которые не являются абсолютно необходимыми для функционирования вашего бизнеса, постарайтесь свести использование шифрования к минимуму. Если шифрование все же производится, разбивайте секретный код на две части и храните их в разных местах (скажем, на конфигурационном сервере и внешнем сервере), собирая его на этапе выполнения.
9. Отказ в обслуживании
Определение: Бомбардировка Web-сервера тысячами запросов, которые приводят к перегрузке системы и замедлению или полному прекращению ее работы.
Возможные осложнения: Атака подобного рода не направлена на кражу информации личного характера, но, тем не менее, влечет за собой негативные последствия, замедляя работу электронных служб и систем электронной коммерции.
Ваши действия: Потребуйте от клиентов регистрации на вашем сайте, чтобы обрабатывать запросы только зарегистрированных пользователей. Ограничьте число запросов, поступающих от одного пользователя за определенный период времени. После трех неудачных попыток авторизации блокируйте на какое-то время выполнение этой операции, чтобы предотвратить атаку DNS при подключении.
10. Небезопасное управление конфигурацией
Определение: Отсутствие обновлений системы безопасности на сервере, использование паролей по умолчанию или недостаточно безопасных паролей, неверные права доступа к файлам и каталогам и т.д.
Возможные осложнения: Хакер ищет уязвимые места и если находит, то получает доступ к учетной записи администратора и другим критически важным ресурсам.
Ваши действия: Разработайте руководства по формированию безопасной конфигурации, в которых подробно опишите все инструкции разработчикам и персоналу, отвечающему за ведение операций в Web. Добейтесь того, чтобы вопросов, связанных с настройкой правильной конфигурации, не возникало.
15 вопросов о безопасности, которые нужно задать поставщику ПО
Сотрудники консультационной компании Security Innovation, специализирующейся на оценке рисков, сформулировали ряд связанных с процессом разработки вопросов, которые имеет смысл задать поставщику программного обеспечения. Полученные ответы покажут, какое внимание производитель уделял теме безопасности. А дальше уже вам принимать решение, готовы ли вы смириться с существующими рисками.
1. Рассматриваются ли вопросы безопасности на каждой стадии жизненного цикла проектирования программного обеспечения?
Хороший ответ: Да, вопросам безопасности постоянно уделяется самое пристальное внимание на протяжении всего жизненного цикла разработки продукта, начиная с определения требований и заканчивая написанием кода и тестированием.
Вероятность получения такого ответа: Почти нулевая. Даже у компаний, разработавших самые передовые методы обеспечения безопасности (например, у Microsoft), эти методы применяются лишь при создании относительно небольшой части приложений.
2. Какие методологии вы используете для безопасного тестирования своих продуктов?
Хороший ответ: Мы придерживаемся методологий, предлагаемых авторитетными консультантами по безопасности или крупными производителями программного обеспечения.
Вероятность получения такого ответа: Невелика. Хотя некоторые методологии, безусловно, заслуживают внимания и взяты на вооружение такими компаниями, как Adobe, McAfee и Symantec, большинству еще только предстоит сделать это. Большая часть команд разработчиков программного обеспечения не считает, что тестирование безопасности относится к зоне их ответственности.
3. Проводится ли оценка безопасности ваших продуктов независимыми экспертами?
Хороший ответ: Да, целый ряд компаний, специализирующихся на безопасности, проводят независимую оценку всех наших продуктов.
Вероятность получения такого ответа: 50%. Это больше, чем те 25%, которые были получены нами два года назад. Оценка безопасности все чаще включается в число обязательных требований и присутствует в запросах на оформление предложений и соглашениях об уровне сервиса как для коробочных программ, так и для программного обеспечения, предоставляемого по запросу.
4. Сформированы ли в вашей организации группы, отвечающие за проверку безопасности и проводящие атаки на ваши продукты перед их выпуском?
Хороший ответ: Да, у нас создана группа, выполняющая роль злоумышленников при проведении ролевых игр и дополняющая своими оценками выводы, сделанные ранее независимыми экспертами.
Вероятность получения такого ответа: 20%. Хотя группы, которым отводится роль противника, появляются все чаще, большинству компаний по-прежнему не хватает квалифицированных специалистов для формирования подразделений, занимающихся исключительно тестированием.
5. Используете ли вы автоматизированные средства для тестирования безопасности и анализа кода?
Хороший ответ: Да, у нас имеются средства известного производителя, позволяющие анализировать код непосредственно в процессе разработки, а также инструменты другого уважаемого поставщика, помогающие осуществлять проверку безопасности Web-приложений после их развертывания.
Вероятность получения такого ответа: 20%. Автоматизированные средства внедряются в компаниях все чаще, но неопытный инженер не станет от этого работать лучше, потому что ему нужно еще изучить, как использовать AutoCAD. Ценность инструмента он поймет только после того как научится его применять.
6. Насколько подготовлен ваш коллектив разработчиков и специалистов по тестированию в вопросах безопасности?
Хороший ответ: Все представители нашего коллектива разработчиков прошли обучение по безопасности и хорошо подготовлены к решению возлагаемых на них специфических задач менеджера по продуктам, архитектора, программиста, специалиста по тестированию, аудитора и др.
Вероятность получения такого ответа: Почти нулевая. Вам повезет, если вы найдете компанию, у которой хорошо подготовлены хотя бы 10% членов команды разработчиков. Некоторые поставщики, думающие о перспективах (например, компания SAP), внедряют у себя программы электронного обучения и проводят активную политику в отношении повышения уровня квалификации своих сотрудников.
7. Какова доля сотрудников, занимающихся вопросами безопасности, по отношению к общему числу членов команды, занимающихся разработкой и тестированием?
Хороший ответ: От пяти до десяти процентов. С учетом различных аспектов качества программного обеспечения (функциональности, устойчивости, производительности, удобства и простоты использования, доступности) все, что находится в этом диапазоне, свидетельствует о том, что поставщик серьезно относится к вопросам безопасности и считает их важной составляющей качества программного обеспечения.
Вероятность получения такого ответа: От нуля до 25%. Передовые производители программного обеспечения и команды разработчиков признают, что безопасность не входит в число обсуждаемых требований. Другие, включая поставщиков программного обеспечения по запросу, а также программ, предоставляемых в качестве услуги, рассматривают безопасность как плату за возможность ведения бизнеса, поскольку у клиентов существует на нее спрос.
8. Имеется ли у вас специальная команда, занимающаяся оценкой безопасности продуктов и устранением выявленных в них уязвимых мест?
Хороший ответ: Да, у нас существует команда быстрого реагирования, работа которой заключается в определении наиболее серьезных выявленных уязвимых мест и своевременной их ликвидации в соответствии с требованиями клиентов в тесном контакте с коллективом разработчиков.
Вероятность получения такого ответа: от 75 до 90%. Поскольку у большинства поставщиков программного обеспечения налажен процесс составления отчетов об ошибках и их устранении, ликвидация дефектов безопасности легко вписываются в существующие процедуры. Однако вам следует изучить, чем выявленные дефекты безопасности отличаются от дефектов, не имеющих к безопасности никакого отношения. В некоторых компаниях обнаруженные в системе безопасности бреши считаются всего лишь еще одной ошибкой и при подготовке списков для устранения более высокий приоритет им не присваивается.
9. Какой стратегии вы придерживаетесь при установке обновлений и какие инструментальные средства для этого используете?
Хороший ответ: Мы регулярно планируем выпуск обновленных версий и при необходимости каждый четверг полностью тестируем обновляемые компоненты наших продуктов. Для упрощения процедуры развертывания обновлений и управления ими мы используем популярные системы управления конфигурациями, например HP CM Patch Manager и Attachmate WinINSTALL.
Вероятность получения такого ответа: 20%. Большинство поставщиков не планируют регулярного обновления своих продуктов, еще меньшее число разработчиков предлагают полностью протестированные обновления. У тех же, кто готов предоставить и то и другое, с момента появления информации о наличии уязвимых мест до выпуска готовых обновлений проходит больше времени, чем у производителей, не проводящих полноценного тестирования. Поэтому нужно определить, что для вашей организации важнее: оперативная ликвидация уязвимых мест или установка хорошо протестированных обновлений. Получить одновременно и то и другое вам вряд ли удастся.
10. Какие методы вы используете для информирования клиентов об обнаружении уязвимых мест?
Хороший ответ: Зарегистрированным клиентам информация подобного рода предоставляется немедленно, еще до выпуска обновления. Как правило, с момента обнаружения бреши кем-то из пользователей до извещения всех клиентов проходит около двух недель. Клиенты сами могут выбрать наиболее подходящий для них способ уведомления: посредством электронной почты, текстовых сообщений или какой-то другой. Кроме того, информация обо всех уязвимых местах публикуется на Web-портале для наших клиентов.
Вероятность получения такого ответа: 10%. Раскрытие уязвимых мест — тема отдельной дискуссии, и некоторые производители не видят смысла в предварительном оповещении клиентов. Другие полагают, что лучше вообще не разглашать подобную информацию, уведомляя своих клиентов и общественность только после выпуска обновлений. Сообществу «исследователей» вопросов безопасности известно множество производителей, предпочитающих вообще не делать публичных заявлений.
11. Какую техническую информацию об уязвимых местах вы предоставляете? Как они могут использоваться, как их используют сейчас, какие действия клиенту следует предпринять для смягчения возможных отрицательных последствий?
Хороший ответ: После каждого сообщения об обнаружении уязвимого места мы разрабатываем профиль угрозы, в котором поясняем, каким образом и при каких условиях злоумышленник может воспользоваться выявленной брешью. Мы определяем стратегию противодействия. В любом случае это происходит еще до разработки и выпуска обновлений.
Вероятность получения такого ответа: 25%. Поставщики программного обеспечения, сообщающие своим клиентам или широкой общественности об обнаружении уязвимых мест, обычно подробно разъясняют методы противодействия, если таковые удается найти.
12. Составляете ли вы рейтинг серьезности уязвимых мест?
Хороший ответ: Да, мы придерживаемся стандарта Common Vulnerability and Exposure, который был предложен организацией MITRE, и разработали собственную систему рейтинга безопасности программного обеспечения, которая была нами опубликована.
Вероятность получения такого ответа: 25%. Компании типа Adobe и Microsoft весьма преуспели в создании и совместном использовании системы рейтинга безопасности. Однако пользователям следует понимать, что о серьезности угроз можно говорить только в том или ином контексте. Следовательно, о том, насколько опасны уязвимые места в вашей среде, судить только вам.
13. Отслеживают ли в вашей компании тенденции, складывающиеся в последнее время при организации атак, и оценивают ли возможное влияние этих тенденций на ваше программное обеспечение?
Хороший ответ: Да, у нас имеется исследовательская команда, которая следит за тенденциями развития атак и технологиями, используемыми при их проведении. Мы пытаемся опережать хакеров, выделяя внутренние ресурсы для получения сведений о возможности использования наших приложений в деструктивных целях и поиска информации, циркулирующей в сообществе хакеров.
Вероятность получения такого ответа: 25%. Подобные действия обычно присущи компаниям, не боящимся публиковать информацию о состоянии системы безопасности и соответствующие рейтинги.
14. Готовы ли вы раскрыть все уязвимые места своего программного обеспечения?
Хороший ответ: Что касается программного обеспечения, распространяемого открыто, мы сообщаем обо всех уязвимых местах, о которых нам становится известно.
Вероятность получения такого ответа: 80%. Но постарайтесь выяснить сроки публикации такой информации. Некоторые компании раскрывают ее только после того, как обновления у них уже готовы, даже если о наличии подобных уязвимых мест стало известно намного раньше.
15. Каковы условия и срок действия предлагаемого вами соглашения о поддержке безопасности?
Хороший ответ: Мы гарантируем, что все наиболее серьезные дефекты будут устранены в течение месяца с момента их обнаружения. Для выделения уязвимых мест, имеющих критически важное значение, мы используем свой рейтинг угроз и строго соблюдаем взятые обязательства в отношении серьезных уязвимостей, о которых нам стало известно и которые могут подвергнуть риску наших клиентов.
Вероятность получения такого ответа: Почти нулевая. Лишь очень немногие компании готовы взять на себя подобные обязательства и закрепить их на договорной основе. Однако сегодня все больше клиентов желают получить подобные условия, и это заставляет поставщиков программного обеспечения уделять вопросам безопасности самое серьезное внимание.