Сергей Петренко - Политики безопасности компании при работе в Интернет
Рис. 1.8. Статистика потерь продуктивности сотрудников компании
Источник: Surfcontrol
1.1.11. Средства анализа содержимого почтовых сообщений
Средства анализа содержимого почтовых сообщений предназначены для обнаружения и предотвращения передачи конфиденциальной информации с помощью корпоративной электронной почты. В настоящее время на отечественном рынке средств защиты информации имеются такие системы, в частности «Дозор-Джет» компании «Инфосистемы Джет» и MAILsweeper компании Clearswift (поставляется «Информзащитой»).
1.1.12. Средства анализа защищенности
Анализ защищенности АС является одним из ключевых аспектов построения надежной системы обеспечения информационной безопасности предприятия и основан на применении сканеров безопасности. На рынке коммерческих сканеров можно выделить четыре основные группы производителей сканеров – поставщиков решений согласно 7-уровневой модели OSI (сверху вниз) (см. рис. 1.9):
• прикладного уровня – 1-й уровень;
• представительного уровня – 2-й уровень;
• сеансового и ниже уровней – 3-5-й уровни;
• сетевого уровня – 6-7-й уровни.
...Рис. 1.9. Классификация сканеров по уровням модели OSI
Первая группа производителей (Application Security, Pentest, ISS Database Scanner, NGS Squirrel и пр.) предлагает сканеры прикладного уровня (приложения, распределенные БД, системы электронного документооборота, ERP и пр.). Среди них выделяется компания Application Security (www.appsecinc.com). которая предлагает решения для Oracle, MS SQL, Sybase, DB2 IBM, MySQL, Lotus Notes, то есть практически всех основных лидеров и поставщиков решений электронного оборота, ERP, CRM.
Вторая группа (KAVADO, Sanctum, SPI Dynamics) предлагает услуги и продукты для сканирования представительного уровня.
Третья группа (Foundstone, ISS, XSpider, eEye Retina, Nessus, NetlQ и пр.) предлагает решения для 3-5-го уровня модели OSI. Популярны в России сканеры семейства ISS, а также сканеры Nessus, XSpider, eEye Retina.
Четвертая группа (Network Associates, Symantec) предлагает решения преимущественно для 6-7-го уровня модели OSI.
Основной особенностью наиболее продаваемых и используемых коммерческих сканеров является возможность как минимум еженедельно обновлять базы данных уязвимостей путем взаимодействия с крупнейшими центрами по сбору новых уязвимостей и с ведущими производителями сетевого оборудования и программного обеспечения.
1.1.13. Средства защиты от спама
Согласно статистическим данным за 2004 год, в Российской Федерации объем спама в сообщениях электронной почты достиг 60 %. Сотрудникам приходится тратить свое рабочее время, а это деньги предприятия, на просмотр таких сообщений, их удаление, настройку правил по нейтрализации. Спам также содержит программы типа «Троянский конь», программы-шпионы (spyware) и вирусы. Таким образом, предприятию наносится значительный ущерб. Для предотвращения получения сотрудниками сообщений, содержащих спам, можно воспользоваться одним из продуктов следующих фирм: Symantec (использует технологию фирмы Brightmail), Trend Micro (использует технологию фирмы Postini) или «Лаборатории Касперского» (см. рис. 1.10).
...Рис. 1.10. Магический квадрант для средств защиты от спама
Источник: Gartner Group, 2004
1.1.14. Средства защиты от атак класса «отказ в обслуживании»
В связи с тем что атаки класса «отказ в обслуживании» приносят значительные убытки отечественным и западным компаниям (см. рис. 1.11), можно воспользоваться специальными средствами защиты, например продуктами компании Riverhead, приобретенной компанией Cisco Systems. Сейчас продукты Riverhead продаются под торговой маркой Cisco Guard XT 5650 и Cisco Traffic Anomaly Detector XT 5600.
...Рис. 1.11. Наиболее опасные атаки в 2004 году
Источник: Отчет CS/FBI, 2004
1.1.15. Средства контроля целостности
Внесение некорректного изменения в конфигурацию сервера или маршрутизатора может привести к выходу из строя необходимого сервиса или целой сети. Очень важно предупредить и отследить несанкционированные изменения. Для быстрого реагирования на такую ситуацию нужно иметь средство отслеживания всех производимых изменений. Данную возможность предоставляет, например, серия продуктов компании Tripwire.
1.1.16. Средства инфраструктуры открытых ключей
Внедрение инфраструктуры открытых ключей очень трудоемкая задача, требующая тщательной проработки и анализа. При решении этой задачи можно воспользоваться продуктами компании RSA Security (Keon) и отечественной компании «КриптоПро» («Криптопровайдер»), При этом хранение сертификатов осуществлять на аппаратных устройствах Aladdin USB eToken.
1.1.17. Средства усиленной аутентификации
На критичных элементах сетевой инфраструктуры следует реализовать систему усиленной аутентификации, например на базе продукта Cisco Secure Access Control Server с использованием системы однократных паролей RSA Security SecurlD.
1.2. Характеристика зрелости технологий защиты информации
Практика обеспечения защиты информации в отечественных компаниях насыщена инцидентами. Анализ этих инцидентов свидетельствует о том, что одних только технических средств защиты недостаточно. В чем причины такого положения дел?
Во-первых, появление новых сетевых «червей», пусть даже в день опубликования сообщения об очередной уязвимости приложений и/или операционных систем, практически сводит на нет все усилия поставщиков антивирусного программного обеспечения. Они просто не успевают выпустить обновления для своих антивирусов, так как необходимо время на исследование нового вируса, разработку и публикацию соответствующей сигнатуры, а потребителям антивирусов необходимо время на тестирование и установку обновлений в корпоративной сети. За этот период корпоративная информационная система уже может быть выведена из строя. Кроме того, большинство конфигураций операционных систем установлено по умолчанию, что способствует быстрому распространению сетевых «червей». Например, в 2003–2004 годах примерно 90 % инцидентов было вызвано атаками сетевых «червей». Более того, теоретически доказано, что множество всех вирусов не поддается перечислению и что нельзя создать универсальный детектор, способный отличить «чистую» программу от зараженной (Л. Адлеман и Ф. Коэн).
Во-вторых, операционные системы, как бы ни заявляли разработчики о своих новых успехах, все равно остаются самым слабым местом в корпоративной системе защиты информации. Согласно исследованиям университета Carnegie-Mellon, на каждую 1 тыс. строк кода программы приходится от 5 до 15 ошибок. Можно посчитать, сколько ошибок потенциально содержит каждая из перечисленных операционных систем:
• Windows 2000 – 35–60 млн. строк кода;
• Windows ХР – 45 млн. строк кода;
• Debian GNU/Linux 2.2-55 млн. строк кода;
• Linux Red Hat – 30 млн. строк кода.
В-третьих, по данным независимых аналитических центров на начало 2005 года, системы обнаружения вторжений (IDS) обнаруживают не более 14–18 % всех осуществляемых атак. При этом большинство систем обнаружения вторжений построены на принципах обнаружения на основе сигнатур атак (см. табл. 1.1), то есть обладают теми же недостатками, что и антивирусное программное обеспечение. Таблица 1.1. Характеристика современных методов обнаружения вторжений и аномалий в сетях TCP/IP
В-четвертых, системы контроля доступа на основе биометрических параметров тоже не идеальны. Отпечатки пальцев не настолько уникальны, как утверждают производители: существует вероятность 0,1, что постороннее лицо будет идентифицироваться как имеющее право доступа. Аналогичные выводы можно сделать практически по каждой технологии защиты информации. Наглядно оценки зрелости современных технологий защиты информации представлены на диаграмме аналитической компании Gartner Group (см. рис. 1.12).
...Рис. 1.12. Оценки зрелости технологий защиты информации
В целом анализ инцидентов безопасности начиная с 2001 года и по настоящее время свидетельствует о ежегодном росте их числа в среднем на 200–300 % (см. рис. 1.13). При этом, согласно исследованиям Института компьютерной безопасности США, в 2004 году из 750 млн. долларов, потерянных компаниями из-за инцидентов в области информационной безопасности, более 500 млн. долларов убытков были обусловлены следующими видами инцидентов:
• неавторизованный доступ к ресурсам внутренних сотрудников,
• неразрешенное использование Интернета,
• саботаж,
• сканирование и взлом систем,
• кража конфиденциальной информации.
...Рис. 1.13. Статистика инцидентов безопасности
Анализ статистики инцидентов в АС отечественных предприятий показывает, что для российских компаний наиболее злободневны вопросы нейтрализации следующих основных угроз (см. табл. 1.2)
