Компьютерные преступления можно пресечь. Проблема в том, что рутинные повседневные заботы администраторов ИТ, а также отсутствие поддержки со стороныруководства не способствуют обеспечению должного уровня безопасности.
Продуктовая пирамида — это графическое представление сбалансированной диеты в версии министерства сельского хозяйства США. Согласно этой диаграмме, зерновые и овощные культуры должны составлять основную часть нашего рациона. Разумеется, мы знаем, что пшеничный хлеб и брокколи по своим питательным свойствам превосходят пирожные и кока-колу, однако чиновники министерства считают своим долгом напомнить об этом. Ибо вопреки нашей осведомленности, едим мы часто совсем иное.
То же самое можно сказать и о компьютерной безопасности. Средства и методы пресечения незаконного вторжения в вычислительные системы хорошо известны и доступны. Но администраторы так перегружены рутинной работой, что у них просто не хватает времени, чтобы принять надлежащие меры безопасности. И в этом случае сеть становится неким аналогом малополезной пищи: не обновляемое вовремя программное обеспечение, плохо сконфигурированные межсетевые экраны, неэффективные способы защиты и т. д.
Такие сети могут вполне прилично работать, пока не происходит что-либо из ряда вон выходящее: кража кредитной карты, хищение клиентской базы данных или изменение контекста сайта Web хакерами-любителями. И только потом выясняется, что обходятся эти компромиссы довольно дорого. По данным обзора по безопасности и преступлениям в области информационных технологий за 2001 г., опубликованного Институтом компьютерной безопасности (CSI) совместно с ФБР, потери от противозаконных действий в 2000 г. составили приблизительно 377 млн долларов. И что еще более удивительно, эта цифра учитывает данные лишь 35% респондентов (186 из 538 опрошенных), остальные 65% не пожелали или не смогли оценить нанесенный им ущерб.
В среднем убытки от взлома информационной системы составляют около 454 тыс. долларов. Стоимость украденной конфиденциальной информации оценивается примерно в 4,4 млн долларов.
Эти данные греют душу поставщикам систем безопасности. В самом деле, если только одно вторжение обходится вам более чем в 400 тыс. долларов, может быть, вы все-таки задумаетесь о необходимости приобретения межсетевого экрана для отражения попыток незаконного подключения, — это будет в четыре раза дешевле.
Однако для того, чтобы оградить систему от вторжения, необязательно выслушивать советы продавца. «Чаще всего речь не идет о затратах в 3 млн долларов на покупку программного обеспечения защиты, — уверен Стюарт МакКлу, президент и руководитель технического отдела компании Foundstone, специализирующейся на обучении и консультациях по вопросам безопасности. — Все, что вам нужно, — это один толковый администратор по безопасности».
Предлагаемая вашему вниманию статья посвящена вопросам сетевой безопасности. Здесь описаны конкретные шаги, которые необходимо выполнить сетевому администратору, чтобы обеспечить достаточный уровень защиты информационной системы. Кроме того, в ней даются практические советы, как заручиться поддержкой руководящего звена для обеспечения надежной системы безопасности.
НИ ДНЯ БЕЗ «ЗАПЛАТЫ»
Специалисты в области программного обеспечения делятся на программистов и тех, кто тестирует программное обеспечение. Программисты разрабатывают отдельные части программного продукта, реализующие определенные функции. Остальные исследуют программный код, «определяют, какие допущения были сделаны программистами, а также смотрят, что произойдет, если эти предположения будут нарушены», — так поясняет разделение обязанностей Скотт Блейк, отвечающий за стратегию развития продуктов защиты в исследовательском подразделении RAZOR компании Bindview.
Иногда эксперты по тестированию пытаются улучшить программное обеспечение, например ускорить его работу. В других случаях они отыскивают лазейки, позволяющие использовать программное обеспечение не предусмотренным программистом способом. Это происходит почти с каждой известной программой. Например, в Таблице 1 представлен ряд уязвимых мест в системе защиты, обнаруженных в некоторых популярных операционных системах.
Порой компании, специализирующиеся на безопасности систем, платят за критический анализ их кода. Кто-то делает это из интереса к сложной проблеме, кто-то — из потребности удовлетворить свое самолюбие, а кто-то просто предлагает свою помощь для защиты от несанкционированных вторжений. Бывает, что присутствуют сразу три названные причины. Иногда эксперты по тестированию указывают компании-разработчику программного обеспечения на уязвимые места в надежде, что та внесет необходимые исправления. В других случаях такой специалист распространяет свои замечания по неофициальным каналам, в результате всякий, кто разбирается в этом вопросе, может воспользоваться обнаруженными брешами в защите.
В результате поставщики программного обеспечения вынуждены регулярно создавать «заплаты» на эти уязвимые места, а сетевые администраторы — вовремя их устанавливать, чтобы обеспечить надлежащую безопасность системы. «Самое важное, что должен делать системный администратор, — не опаздывать с установкой «заплат» в своей системе», — подчеркивает Блейк. Он напоминает, что многие преступления в сфере информационных технологий стали возможны благодаря тому, что хакеры находят бреши в программном обеспечении, которые позволяют легко обойти сетевую защиту: «В девяти случаях из десяти они используют в своих интересах старые, давно известные недоработки в программах, для которых уже существуют «заплаты», но их не побеспокоились применить».
Теоретически установка «заплаты» не так уж сложна, хотя на практике не все так просто даже для опытных администраторов, которые стараются быть в курсе самых последних разработок.
Количество брешей, обнаруженных за неделю. По информации SecurityFocus.com, количество уязвимых мест в системе безопасности, выявляемых еженедельно, увеличилось более чем в два раза за период с 1999 г. по 2000 г. Хакеры могут использовать эти недоделки, чтобы проникнуть в компьютерные сети и вывести их из строя. |
Одна из трудностей заключается в том, что в информационных системах устанавливается все больше и больше новых программных продуктов. В соответствии с информацией, распространенной компанией SecurityFocus.com, количество вновь найденных уязвимых мест в программном обеспечении выросло с 10 за неделю в 1999 г. до 25 в неделю в 2000 г. (см. Рисунок). По оценкам этой компании, в 2003 г. данная цифра будет близка к 50.
Вторая проблема кроется в самих «заплатах». По словам Марка Ловлесса (известного также как Скромный Странник), ведущего аналитика по вопросам безопасности, работающего в группе RAZOR компании Bindview, бывает так, что их применение в одной системе влияет на качество работы другой, особенно это касается приложений, созданных в самой компании. «Перед тем как ставить «заплаты», необходимо провести соответствующее тестирование», — советует он.
Кроме того, администратору приходится следить за целым рядом операционных систем и прикладных пакетов. Не так уж редко в информационной системе используют одновременно BIND для DNS (программу для поддержки сервера доменных имен в сети Internet), sendmail для управления электронной почтой, Apache для серверов Web, а в качестве сетевой операционной системы продукцию Microsoft или Novell, а также программное обеспечение собственной разработки. Даже в гомогенных сетях на серверах может быть установлено программное обеспечение разных версий. Все эти разнородные компоненты превращают процедуру отслеживания и установки необходимых «заплат» в настоящий кошмар.
И, наконец, последнее, но не менее важное — рабочее время, возможно, самый драгоценный ресурс сетевого администратора. По словам Ловлесса, «если вы едва справляетесь с каждодневной текучкой (например, финансовый отдел не может распечатать документы, а бухгалтерия хочет восстановить информацию двухмесячной давности о персонале), то нет ничего более ценного для вас, чем время».
Однако даже в этом случае необходимо учитывать одну простую вещь: своевременное применение «заплат» — довольно мощное средство для снижения риска. Можно сказать, что для компьютерной безопасности вашей компании это традиционное ежедневное яблоко для восполнения витаминов.
Системы с вовремя установленными комплектами «заплат» становятся невидимыми для радиолокаторов многочисленных желающих в нее проникнуть. «Хакеры — изрядные лентяи, — говорит инженер по информационной безопасности компании Grayhat Security, известный под псевдонимом CHS. — Всякий раз, когда появляется уязвимое место, они стремятся к легкой добыче и начинают сканировать весь диапазон IP-адресов, пытаясь его обнаружить». Но при сканировании системы с установленным полным комплектом «заплат» обнаружить такую брешь невозможно, поэтому ваши серверы не станут жертвой хакеров-любителей.
Применение «заплат» не требует дополнительных финансовых затрат, так как поставщики предоставляют их для свободного копирования. Существуют также бесплатные средства для помощи с удаленным обновлением систем (см. «Ресурсы Internet»). Если же вы согласны потратить немного денег, то такие компании, как Bindview и Pentasafe, готовы предложить продукты, которые помогут отследить и управлять установкой «заплат» по всему предприятию.
ЗАРУЧИТЕСЬ ПОДДЕРЖКОЙ РУКОВОДСТВА
Компьютерной безопасности отводится отдельная колонка в балансовой ведомости предприятия. Следует помнить, что это не структурное подразделение, результаты деятельности которого измеряются полученной прибылью. Безопасность никогда не была доходной статьей, и руководители часто не понимают, что безопасность — это процесс, а не продукт, особенно если вы только что потратили значительные средства на оборудование.
К тому же люди, которые не вникают в то, что происходит в серверной комнате, обычно несколько иначе — хотя и вполне обоснованно — воспринимают бизнес. При сегодняшнем бурном развитии экономики скорость стала серьезным фактором в конкуренции. «Неделя — слишком долгий срок для проверки безопасности», — заявляет Питер Шипли, консультант по безопасности в компании Bay Area. Прежде всего руководство компаний хочет знать, как быстро вернутся затраченные средства, когда можно будет выйти на первичное размещение акций, а проблемы безопасности в таких случаях нередко откладываются на более поздний срок.
Таким образом, администратору следует объяснить руководству, чем рискует компания, а также предложить способы снижения возникающих рисков. Для этого можно воспользоваться так называемым хакерским инструментарием. Эти средства свободно доступны в Internet и могут выполнять различные функции — от тщательного слежения за сетевым трафиком до зондирования уязвимых мест в вашей информационной системе.
«Основная цель подобных средств — дать возможность системным администраторам, ответственным за безопасность, выполнять свою работу», — подчеркивает Блейк из компании Bindview.
Если вы никогда прежде не пользовались такими инструментами, то можете испытывать некоторое предубеждение против их использования в сети. Без сомнения, некоторые меры предосторожности вполне оправданы, поскольку уже эти средства разрабатывались с целью несанкционированного проникновения в компьютерные системы.
Администратору могут оказать неоценимую помощь и пакеты программного обеспечения для выявления уязвимых мест. «Я написал несколько подобных программ», — говорит Ловлесс. Среди полученных от системных администраторов комментариев в соотношении 10:1 преобладают заявления такого содержания: «Я скачал эту программу, применил ее для проверки моих систем и доказал своему боссу, что они плохо защищены».
Конечно, Ловлесс не призывает необоснованно использовать хакерские средства для привлечения внимания руководства. Однако некоторое разумное их применение помогает выявить бреши в критически важных системах. «Покажите кому-нибудь результаты ваших проверок, — говорит Ловлесс. — Я, например, смог получить важные данные производственного отдела благодаря наличию бреши в системе разработчиков». Такие данные станут гораздо более убедительным аргументом в беседе с руководством, нежели расплывчатые сценарии возможных атак.
Несмотря на то что безопасность, в отличие от отдела продаж, действительно не приносит прибыль, администраторы по безопасности могут подкрепить свои рассуждения и финансовыми доводами. Шипли напоминает, что взлом системы предприятия обойдется в сотни раз дороже. В разговоре с ответственными лицами за выделение финансовых средств, мощным аргументом может стать обзор компьютерных преступлений Института компьютерной безопасности (CSI), подготовленный совместно с ФБР. Помимо опроса компаний о видах подобных преступлений, совершенных против них, этот институт подсчитывает финансовые потери. Приводимые цифры неплохо способствуют пониманию и исследованию финансовых рисков, с которыми сталкиваются информационные системы.
Вы достигнете большего успеха в получении бюджетных средств для поддержки информационной безопасности, если подготовите подробный список, в котором ясно укажете, что вы хотите и почему. Аргументы станут еще более убедительными, если удастся выразить ваши потребности в терминах прибыли на инвестированный капитал (ROI).
Можно также обратиться к компаниям, оказывающим специализированные услуги по организации безопасности информационных систем. Они обычно предлагают целый пакет услуг, включающий в качестве базовых компонентов межсетевые экраны и системы выявления вторжений (Intrusion Detection System, IDS). В пакет услуг может входить и оценка слабых мест в системе защиты, и проверка возможности проникновения в систему, и централизованная защита, и другие услуги. Это, конечно, недешево, но такие трудоемкие задачи, как мониторинг работы межсетевого экрана и журналов системы выявления вторжений (IDS), не слишком дороги, зато сэкономят время для других не менее важных вещей.
НАЙМИTE УМНОГО
Квалифицированный администратор по сетевой безопасности — отличная защита от незаконных вторжений в вашу информационную систему. Поэтому лучшей инвестицией в безопасность станет обучение ответственных за это сотрудников.
Вероятно, наиболее доступным средством является Internet. Такие сайты, как BugNet (http://www.bugnet.com) и BugTraq (http://www.bugtraq.com), представляют собой настоящие библиотеки со списками уязвимых мест и способов их исправления. Администратору достаточно каждый день уделять этим сайтам немного времени, и он вполне сможет собрать всю интересующую его информацию.
Для более глубокого изучения посетите конференции по безопасности. Несколько организаций, например Институт компьютерной безопасности и институт SANS, проводят обучающие курсы на всей территории Соединенных Штатов. Популярная конференция BlackHat (http://www.blackhat.com) предлагает курсы как для начинающих, так и для более опытных специалистов по безопасности. Выходящий раз в две недели информационный бюллетень «Сборник по безопасности связи» публикует список других курсов и конференций. С ним можно ознакомиться на сайте http://www.infosecuritymag.bellevue.com.
Но ничто не сравнится с практическим обучением. Для этого потребуется собственная лаборатория, где администраторы могли бы экспериментировать без опасения помешать работе основной сети. Такая лаборатория может обойтись достаточно дешево. «Если у вас есть свободный компьютер на базе 386-го процессора, то на нем можно проверить потенциальные уязвимые места», — заявляет Шипли.
С этим согласен и Ловлесс: «На старые персональные компьютеры можно загрузить бесплатные операционные системы и вволю поэкспериментировать с ними. Это поможет администратору продумать пути совершенствования защиты сети».
ПИЩА ДЛЯ РАЗМЫШЛЕНИЙ
В следующий раз, выбирая между яблоком и конфетой, представьте себе некий возбудитель болезни, блуждающий внутри вас в поисках слабых мест вашего организма (подобно хакерам-любителям в сети Internet). Съедая конфету, вы даете дополнительный шанс для развития кариеса, заболевания сердца, ожирения, а выбирая яблоко, ставите перед ним очередную преграду — «заплату».
Так же как полноценное питание предусматривает ежедневный прием здоровой пищи, компьютерная безопасность требует, чтобы ей каждый день уделялось время и внимание. Устанавливая очередную «заплату», внимательно наблюдая за появлением новых уязвимых мест в системе, повышая свою квалификацию и изучая опыт более осведомленных в этой области людей, вы можете поддерживать свою сеть в стабильном состоянии.
Эндрю Конри-Мюррей — редактор Network Magazine по вопросам бизнеса. С ним можно связаться по адресу: amurray@cmp.com.
Врага надо знать в лицо
Кто это там пытается прослушивать волоконно-оптическую линию связи? По мнению Билла Кровелла, главного администратора компании Cylink (производителя оборудования для виртуальных частных сетей) и бывшего зам. директора Национального агентства безопасности, нарушителей безопасности сети можно разделить на четыре категории: хакеры-любители (script kiddies), использующие готовые утилиты для взлома и атак, хакеры — общественные активисты (так называемые хактивисты), просто компьютерные преступники, а также шпионы, действующие при поддержке какого-либо государства.
Хакеры-любители
Это самая многочисленная группа из четырех названных. «Они подобны вандалам, — говорит Кровелл, — потому что самый популярный вид деятельности таких преступников — порча сайта Web». Хакеры-любители — это презрительный термин для человека, слабо или вообще не разбирающегося в программировании и не имеющего других компьютерных навыков. Такие «умельцы» обычно используют фрагменты кем-то ранее написанного кода — как правило, сценарии, которые позволяют им организовать и осуществить вторжение в сеть. Создают их обычно люди с более глубокими знаниями в области операционных систем и программирования. Независимо от того, в какой мере хакеры разбираются в часто запутанном компьютерном коде, в их распоряжении имеются готовые сценарии, которые можно применить для изменения контента caйтов Web, написания вирусов и осуществления атак по типу «отказ в обслуживании».
Хактивисты
Вторую группу составляют хактивисты. Этим необычным именем называют людей, действующих по определенным мотивам, обычно имеющим политическую или социальную окраску. Они поняли, что пиратские набеги на сети — еще один способ заявить о себе и своих требованиях. Например, из-за того, что напряжение в отношениях между Соединенными Штатами и Китаем возросло после того, как был сбит самолет-шпион, некоторые американские сайты Web оказались изукрашены антиамериканскими лозунгами. Хактивисты чаще всего предпочитают такие средства, как изменение контента сайтов Web и атаки по типу «отказ в обслуживании».
Профессиональный уровень хактивистов разный, довольно часто они передают сценарии пользователям-единомышленникам для дальнейшего осуществления своих замыслов.
Преступники
«Преступные элементы — самая малочисленная группа», — считает Кровелл. Мотивация этих людей очевидна — деньги. Internet для них — еще один способ незаконного получения денег, касается ли это кражи номеров кредитных карт, вымогательства, воровства или продажи коммерческих тайн. Профессиональный уровень этого класса компьютерных преступников намного выше, чем у представителей первых двух групп, и такие преступники имеют по сравнению с другими определенные преимущества.
Во-первых, как утверждает Кровелл, они «извлекают выгоду из того факта, что Internet вездесущ и безграничен». Преступнику вовсе не нужно находиться в США, чтобы ограбить американский банк. К тому же на мировом уровне отсутствует единая политика расследования и наказания международных компьютерных преступлений, а многие страны не обладают необходимыми технологическими ресурсами для расследования компьютерных преступлений.
Во-вторых, преступник может быть совсем не посторонним человеком (чужой среди своих), например сотрудником компании-жертвы, хорошо осведомленным о происходящих в ней процессах или принятых процедурах, касающихся его цели. Он может заниматься бизнесом, быть членом общественной организации или правительства. «Такие люди часто играют важную роль в подготовке подобных атак», — говорит Кровелл. Подобные атаки отличаются тщательностью предварительной разведки и планирования.
«Люди с подобными преступными намерениями найдутся всегда, — продолжает Кровелл. — Это может быть чем-то недовольный сотрудник или работник, имеющий долговые обязательства, и об этом всегда следует помнить».
Государственный шпионаж
И последняя, не менее важная группа преступников — злоумышленники, действующие при поддержке государства. К ним относятся террористы, специалисты по информационным войнам и разведывательные службы. «Эти парни великолепно обучены и, как правило, не оставляют следов», — предостерегает Кровелл.
Так кого же следует опасаться больше всего? Всех без исключения!
Суть вот в чем. Не важно, чем вы занимаетесь, но, подключившись к Internet, вы тут же становитесь потенциальной жертвой. Зная о том, кто попытается войти в вашу сеть, и имея представление о тех способах, которыми они вооружены, чтобы навредить вашим ресурсам, вы можете принять упреждающие меры и защитить свою сеть.
Ресурсы Internet
Сайт Web компании Security Storm http://www.packetstorm.security.com содержит большое количество отчетов об обнаруженных уязвимых местах в различных программах, средств их устранения и другую информацию, связанную с безопасностью информационных систем.
Компания SecurityFocus.com публикует новости по вопросам безопасности и многочисленные рекомендации по обнаружению уязвимых мест, а также средства их устранения. Эту и другую полезную информацию вы можете найти по адресу: http://www.securityfocus.com.
На сайте http://www.razor.bindview.com подразделения RAZOR компании Bindview имеется инструментарий обеспечения безопасности, дополнительная информация, а также ссылки на другие полезные сайты.
Институт SANS представляет собой исследовательскую и учебную организацию для сетевых администраторов и профессионалов в области безопасности. На сайте этой организации http://www.sans.org можно найти предупреждения, касающиеся безопасности, новости, исследовательский материал, официальные документы, о также справочные данные по вопросам образования и сертификации.
Для администраторов Windows особый интерес может представлять «Сборник по вопросам безопасности Windows», где дается ежемесячная сводка по обнаруженным опасным местам и ошибкам. Эту информацию вы найдете по адресу: http://www.sans.org.
По адресу: http://www.gocsi.com, вы можете зарегистрироваться для получения бесплатной копии обзора по компьютерной безопасности и преступлениям за 2001 г., опубликованного Институтом компьютерной безопасности совместно с ФБР.