Екатерина Феоктистова (компания Cisco Systems) считает, что политика безопасности — это политика управления рисками |
Поначалу было не совсем понятно, с чем связан февральский всплеск активности компаний, занятых обеспечением информационной безопасности. В общую картину последовательно вносили свои штрихи: семинар Jet Infosystems по технологиям VPN; награждение в Давосе президента ЭЛВИС+ Александра Галицкого за технологические достижения в области защищенных сетей; семинар ЛАНИТ на тему «Новейшие технологии защиты информации», где, помимо организатора, участвовали ЭЛВИС+, «Анкад», «Информзащита», «Лаборатория Касперского» и корпорация Cisco; конференция РОЦИТ по проблемам организации виртуальных частных сетей в Internet, где также участвовали ЛАНИТ и «Информзащита», но место остальных заняли специалисты из Jet, «Инфодом», «АйТи» и Uni. И это еще не весь перечень событий.
Словом, в феврале на тему защиты сетей высказались практически все ведущие игроки данного сектора рынка. Где, кстати сказать, у российских производителей технологий имеются весьма неслабые позиции на международной арене — взять те же ЭЛВИС+ и «Лабораторию Касперского». Но если в начале месяца информационный повод, оправдывающий такую активность, не предвиделся, то уже к его концу на вопрос: а зачем это нужно? — был получен убедительный ответ. Пока, слава богу, не у нас, а в США, где в течение нескольких дней происходили весьма эффективные атаки хакеров на крупнейшие информационные и коммерческие сайты Yahoo!, eBay и прочие.
Вопрос обеспечения информационной безопасности на нынешнем этапе развития компьютерной отрасли весьма многогранен. Потенциальному потребителю этого класса решений необходимо в первую очередь вообще определить собственную политику информационной безопасности и уже исходя из построенной концепции выбирать приемлемые технологии защиты. Наиболее емко эту задачу охарактеризовала представитель Cisco Systems Екатерина Феоктистова: «Политика информационной безопасности — это политика управления рисками».
Специалисты по информационной безопасности, представлявшие компании, которые занимаются решением различного круга задач, были единодушны во мнении, что невозможно полностью гарантировать неприкосновенность корпоративной сети, какие бы средства защиты ее ни оберегали от вторжений. Да и не имеет это практического смысла, так как стоимость некоторых мер заведомо превосходит размер возможного ущерба от атак. В пользу такой точки зрения говорит тот факт, что технологии взлома всегда на полшага опережают технологии защиты и представляют, таким образом, главный стимул развития последних. Разумный и достаточный подход в политике управления рисками, по мнению Феоктистовой, лежит в плоскости циклической схемы: выбор средств защиты, контроль и отражение атак, тестирование потенциальных «дыр» в системе и вновь — выбор усовершенствованных технологий.
Производители технологий обычно предлагают решения, «закрывающие» одну из вышеозначенных задач. На семинаре ЛАНИТ компания Cisco, например, подробно остановилась на фирменной технологии активного аудита состояния сети Intrusion Detection. Этот механизм предназначен для выявления атак в реальном времени путем анализа их признаков и своевременной блокировки, пока действия злоумышленников не успели нанести урон корпоративной безопасности. В общих чертах работа механизма Intrusion Detection заключается в сканировании входящего трафика и выявлении запрещенных «профилей» или «сигнатур», которые в рамках политики информационной безопасности трактуются как атака на сеть. В случае обнаружения атаки производится принудительный разрыв сессии.
В то же время на примере функционирования системы Cisco Secure Intrusion Detection наглядно проявляется слабое место, которое неизбежно в любом средстве защиты, — человеческий фактор. «Тупую» аппаратно-программную систему обмануть не представляется возможным, а весь ее внутренний интеллект — профили, шаблоны поведения, сигнатуры — создаются человеком, опирающимся на личный опыт и собственные профессиональные навыки. Именно эта составляющая отнюдь не совершенна. Поэтому в результате некорректно сформулированных правил нередко возникают ситуации «ложных атак» в случае санкционированного доступа. В свою очередь, хакер может намеренно посылать в систему запрещенные сигнатуры, подменяя свой IP-адрес адресом законного пользователя, провоцируя другой тип информационной атаки — типа «отказа в обслуживании».
Владимир Федоров из компании «Инфодом» высказал по существу этой проблемы позицию, близкую каждому системному интегратору. Ценность его идеи, на мой взгляд, заключается в здоровом прагматизме. Перед интегратором всегда ставится основная задача — обеспечить требуемый информационный обмен между офисами одного предприятия или разными предприятиями. Иногда требования заказчика сводятся лишь к организации доступа к Internet и защите каких-либо внутренних ресурсов, бухгалтерской программы или клиентской базы данных. В таком случае достаточным решением будет построение локальной сети с межсетевым экраном, а также открытым и закрытым Web-серверами, доступ к которым производится через пароль. По мнению Владимира Федорова, «вопрос защиты — дело тонкое: во сколько она обойдется и каковы эти внешние риски, если по статистике 80% случаев информационных атак происходит изнутри предприятия?»
Тут мы вплотную подошли к задаче разграничения, управления и контроля доступа к корпоративным ресурсам. Несмотря на то что настоящая проблема регулируется внутренними отношениями между работниками предприятия, техническое обеспечение ее решения относится к компетенции службы информационной безопасности. Особенности современных корпоративных сетей таковы, что администратору при выборе продуктов защиты нужно учитывать гетерогенность информационных сред, требования масштабируемости, простоты управления и возможности избирательной настойки отдельных ресурсов системы на различные уровни защищенности, вплоть до сквозного шифрования данных. Оптимальным подходом здесь может стать совмещение централизованного управления основными параметрами и средств децентрализованного изменения отдельных параметров с последующим их внесением в базу данных.
Такую концепцию реализовал в своей технологии управления доступом к корпоративным ресурсам один из признанных лидеров в области защитных решений — компания «Информзащита». Архитектура разработанной ею технологии «Беркут» основана на так называемом задачном подходе, состоящем в двухуровневом описании состояния системы защиты: уровня «как должно быть» (формально отражающем положения принятой политики информационной безопасности) и уровня «как есть» (фактически отражающем реальные настройки системы). Технология предполагает документоориентированный подход к управлению системой защиты, позволяющий управлять доступом при помощи электронных документов, передаваемых по сети. Этот класс электронных документов легко интегрируется в принятую на предприятии систему типовых формуляров в документообороте. Естественно, продукты «Информзащиты» сертифицированы по требованиям ГТК и ФАПСИ, поскольку содержат модули криптозащиты для обеспечения стойкой аутентификации пользователя и прозрачного шифрования данных на логическом диске.
Примерно такой же круг задач призваны решать продукты, разработанные фирмой «Анкад». Это аппаратно-программные устройства серии «Криптон», позволяющие шифровать информацию на дисках, разграничивать доступ пользователей, генерировать электронную цифровую подпись на документах и проверять их целостность и авторство, а также формировать криптографически защищенные сети VPN на базе протокола IP. В арсенале программных средств защиты от «Анкад» были представлены специализированные продукты, имеющие более развитые функции шифрования, управления ключевой информацией или обеспечивающие ЭЦП. Один из таких продуктов, Cripto ArcMail, защищает, например, электронный документооборот в сети Министерства по налогам и сборам.
В сферу деятельности администратора безопасности входит также антивирусное обслуживание серверов и рабочих мест пользователей. Вирусная атака относится к особой категории угроз, так как не может детектироваться сетевыми защитными ресурсами системы или устраниться путем контроля доступа. Разумеется, наибольшую эффективность систем защиты обеспечивают комбинированные решения. К примеру, «Лабораторией Касперского» разработан антивирусный модуль, совместимый с популярным межсетевым экраном CheckPoint Firewall, осуществляющий защиту локальной сети в местах ее выхода в Internet. Проблема совместимости является сейчас одним из краеугольных камней дальнейшего развития технологий VPN. Однако если технологии VPN обеспечивают безопасность информации в телекоммуникационных каналах («туннели»), то другие элементы системы отвечают за безопасность на других участках единой сетевой инфраструктуры предприятия. В результате из-за несовместимости элементов, реализующих разные функции, может возникнуть «брешь» в информационной обороне, которой не преминет воспользоваться злоумышленник.
Целостная, комбинированная система, включающая функции внутреннего контроля доступа, механизмы ЭЦП в документообороте, технологии шифрования каналов передачи данных VPN, межсетевые экраны и резидентные антивирусные программы, практически неуязвима для несанкционированных вторжений. Но и она бывает бессильна против целенаправленной атаки «мусорным» трафиком, вызывающим отказ системы в обслуживании. В таком случае, по мнению специалистов, существует единственный способ противостоять злому умыслу — объединить усилия провайдеров Internet, с тем чтобы атаки выявлялись в начальной фазе и не достигали своего разрушительного воздействия. Задача очень непростая и даже нетрадиционная, если «измерять» Internet прежними критериями — как бесконтрольную, никому не принадлежащую систему. Но времена меняются, и с развитием бизнес-отношений в Internet и повышением финансовых рисков от подобной неопределенности, возможно, придет черед пересмотреть привычную концепцию Сети. И коль скоро в некоторых странах государственные органы возлагают на провайдеров ответственность за несоблюдение некоторых правил, то почему бы не вменить в ответственность провайдеру соблюдение порядка на закрепленной за ним «сетевой территории»?
Вышеозначенная проблема, от которой во многом зависит будущее сетевого бизнеса, общая для всех, вне зависимости от государственной принадлежности. К сожалению, есть и другая проблема, связанная с российскими особенностями законодательной системы. Речь идет о полной неразберихе в отношении того, что считать средством шифрования и что необходимо лицензировать в ФАПСИ. Эту процедуру с получением соответствующих ГОСТов прошли только два алгоритма шифрования и ЭЦП, которые и разрешены для использования в системах информационной безопасности на территории России. Другие, наверное более совершенные и производительные алгоритмы, находятся в «процессе», который грозит затянуться до тех пор, пока на смену не придет новое поколение еще более мощных средств защиты, и так до бесконечности.
Нельзя сказать, что и отечественные разработчики средств защиты, включающих в свой состав криптомодули, выглядели сильно удрученными. Ситуация сейчас такова, что из-за неясности юридического определения понятия «шифрование» многие заказчики из негосударственного сектора начинают всерьез интересоваться механизмами криптозащиты, понимая, что в случае судебных разборок с ФАПСИ правда будет на их стороне, как это уже имело место. Дело доходит до смешного. Говорят, в офисе компании «Лан-Крипто» красуется справка, выданная ФАПСИ, о том, что представленный разработчиком алгоритм «Веста», вставляемый во многие криптомодули, не является продуктом шифрования, а потому не нуждается в лицензировании. В общем, как заметил представитель компании Uni, «сейчас что не является ГОСТом, то не является и средством шифрования». Хороший аргумент в пользу того, чтобы начать строить защищенные корпоративные системы, основываясь на передовых, а не только на разрешенных средствах.