| << Предыдущая | Оглавление | Следующая >> |
1.3. Анализ проблемы защиты ресурсов вычислительных сетей
Развитие средств, методов и форм автоматизации процессов обработки информации и массовое применение персональных компьютеров, обслуживаемых неподготовленными в специальном отношении пользователями, делают информационный процесс уязвимым по ряду показателей. Основными факторами, способствующими повышению информационной уязвимости, являются следующие:
- увеличение объемов информации, накапливаемой, хранимой и обрабатываемой с помощью компьютеров и других средств автоматизации;
- cocpeдoтoчeниe в единыx бaзax дaнныx инфopмaции paзличнoгo нaзнaчeния и paзличнoй пpинaдлeжнocти;
- pacшиpeниe кpугa пользoвaтeлeй, имeющиx нeпocpeдcтвeнный дocтуп к pecуpcaм вычиcлитeльнoй cиcтeмы и нaxoдящимcя в нeй мaccивaм дaнныx;
- усложнение режимов работы технических cpeдcтв вычислитeльныx cиcтeм;
- автоматизация межмашинного обмена информацией, в том числе на больших расстояниях;
- слабая подготовка (недостаточная квалификация) персонала.
Динамика изменения вскрытых уязвимостей системных компонентов по годам представлена на рис. 1.3 (в предположении, что все уязвимости, зарегистрированные за рассматриваемый период принять за 100%).
Рис. 1.3. Динамика изменения количества уязвимостей системных компонентов
Снижение количества выявленных уязвимостей в последнее время может быть объяснено тем, что повысился уровень квалификации персонала, были найдены и устранены лежащие на поверхности ошибки ОС. Новые ОС, как правило, имеют закрытые коды и труднодоступны злоумышленникам для детального изучения и поиска уязвимостей. С выходом новых ОС, очевидно, следует ожидать очередного скачка в количестве уязвимостей или, по крайней мере, сохранения тенденции на уровне прежних лет, при этом обходимо понимать, что процентный показатель оперирует относительными понятиями и
если перевести это на количественный показатель, то более 70 уязвимостей в год это недопустимо много. Можно сделать предположение о подготовленных, но не проведенных атаках, что представляет значительную потенциальную угрозу.
Данная позиция объясняется тем, что сложность программ постоянно возрастает, причем сложность архитектуры современного ПО так велика, что без повторного использования ранее созданного кода (программ) невозможно с приемлемой скоростью создавать новые программы, необходимые и востребованные на рынке. Сегодня практически никто не может себе позволить разрабатывать сложные программы с нуля, поэтому в них, как правило, повторно используется код с большой вероятностью содержащий еще не найденные ошибки, а вновь написанный код аккумулирует новые ошибки.
Классифицируя уязвимости, исходят из того, что атака – это вредоносное воздействие атакующей стороны на систему. Известные подходы к классификации рассматривают уязвимость как нечто статическое, уже случившееся, однако средства обеспечения безопасности, по сути, оперируют не уязвимостями, а атаками. Можно сказать, что атака – это реализация угрозы безопасности; действие, совершаемое злоумышленником.
Под угрозой понимается целенаправленное действие, которое повышает уязвимость накапливаемой, хранимой и обрабатываемой в системе информации и приводит к ее случайному или преднамеренному изменению или уничтожению.
Все угрозы безопасности информации можно классифицировать по следующим признакам: по цели воздействия; по характеру воздействия и по способу возникновения (рис. 1.4).
В зависимости от характера воздействия нарушителя могут быть выделены активные и пассивные угрозы безопасности информации.
При пассивном вторжении (перехвате информации) нарушитель только наблюдает за прохождением информации в ВС, не вторгаясь ни в информационный поток, ни в содержание передаваемой информации.
При активном вторжении нарушитель стремится изменить информацию, передаваемую в сообщении.
Рис. 1.4. Классификация угроз безопасности информации
Причинами случайных угроз могут быть:
- аварийные ситуации из-за стихийных бедствий и отключения электропитания;
- отказы и сбои аппаратуры;
- ошибки в программном обеспечении;
- ошибки в работе обслуживающего персонала и пользователей;
- помехи в линиях связи из-за воздействий внешней среды.
Преднамеренные угрозы связаны с целенаправленными действиями нарушителя. Действия нарушителя могут быть обусловлены разными мотивами: недовольством, взяткой, любопытством, конкуренцией и т. п.
Преднамеренные угрозы могут реализовать как внутренние для системы участники процесса обработки данных (персонал, сервисное звено и т. д.), так и люди, внешние по отношению к системе, так называемые «хакеры».
По частоте проявления преднамеренные угрозы можно выстроить в следующем порядке (рис 1.5):
- злоупотребления в Internet со стороны сотрудников;
- несанкционированный доступ со стороны сотрудников;
- отказ в обслуживании;
- атаки внешних злоумышленников;
- кража конфиденциальной информации;
- саботаж и финансовые мошенничества;
- мошенничества с телекоммуникационными устройствами.
Рис.1.5. Частота обнаружения атак на вычислительные сети
В таблице 1.1 представлены способы воздействия на перечисленные объекты, реализующие основные угрозы безопасности информации.
Из таблицы видно, что рассмотренные способы воздействия на аппаратные средства и программное обеспечение могут быть осуществлены только непосредственно авторизованными пользователями (должностными лицами органов управления, обслуживающим персоналом). Кроме того, воздействия на ПО и данные могут осуществляться удаленно, используя сетевые ресурсы. Исполнение угроз осуществляется посредством программных атак.
Таблица 1.1
Пути реализации угроз безопасности системы
|
Способы нанесения ущерба |
Объекты воздействий |
|||
|
Оборудование |
Программы |
Данные |
Персонал |
|
|
Раскрытие (утечка) информации |
Хищение носителей информации, подключение к линии связи, несанкциониро-ванное использование ресурсов |
Несанкциониро-ванное копирование, перехват |
Хищение, копирование, перехват |
Передача сведений о защите, разглашение, халатность |
|
Потеря целостности информации |
Подключение, модификация, спец. вложения, изменение режимов работы, несанкциониро-ванное использование ресурсов |
Внедрение «троянских коней» и «жучков» |
Искажение, модификация |
Вербовка персонала, «маскарад» |
|
Нарушение работоспособности автоматизированной системы |
Изменение режимов функциониро-вания, вывод из строя, хищение, разрушение |
Искажение, удаление, подмена |
Искажение, удаление, навязывание ложных данных |
Уход, физическое устранение |
|
Незаконное тиражирование (воспроизведение) информации |
Изготовление аналогов без лицензий |
Использование незаконных копий |
Публикация без ведома авторов |
– |
Наиболее распространенным и многообразным видом компьютерных нарушений является несанкционированный доступ (НСД). Суть НСД состоит в получении нарушителем доступа к объекту в нарушение правил разграничения доступа, установленных в соответствии с принятой политикой безопасности. НСД может быть осуществлен как штатными средствами системы, так и специально созданными аппаратными и программными средствами.
Интересна статистика ведущей аудиторской компании Ernst & Young, затронувшая более 1300 организаций с годовым оборотом более 100 млн долларов. В соответствии с проведенным исследованием, около половины компаний серьезно обеспокоены доступностью опытного и тренированного персонала, как в области ИТ (51 %), так и в сфере информационной безопасности (46 %). Эти причины возглавляют составленный аналитическим агентством Ernst & Young список основных факторов, сдерживающих развитие отрасли информационной безопасности в мире (см. рис. 1.6).
Рис. 1.6. Сдерживающие факторы индустрии информационной безопасности
В предыдущие годы пальма первенства принадлежала беспечности пользователей (2004) и бюджетным ограничениям (2003), а нехватка специалистов стояла только на третьем месте. В 2008 году третьей по популярности причиной стало отсутствие финансирования (46 %), что также совершенно неудивительно. Денег, как известно, всегда не хватает, и отрасль информационной безопасности не является исключением.
Принципиально важным является набравший 42 % пункт «поддержка со стороны менеджмента». Ведь не секрет, что от нее очень сильно зависит успех любого (не обязательно информационной безопасности) проекта и пренебрегать ей нельзя ни в коем случае.
Как и любой другой молодой рынок, отрасль информационной безопасности испытывает некоторые проблемы с доступностью технологий, а также c наличием грамотных консультантов. Однако эти трудности никак нельзя назвать критическими или непреодолимыми. По большому счету, предложение на современном рынке имеется, причем оно весьма неплохо отвечает потребностям потенциальных пользователей.
Несколько лет назад ответ на вопрос о роли информационной безопасности в бизнесе современной организации был очевиден. Компании рассматривали ее как обычную страховку от всяческих проблем и неприятностей: заплатил деньги, внедрил решение и можешь спокойно сосредоточиться на основной деятельности.
Однако развитие рынка, рост количества угроз и средств обеспечения безопасности приводит к принципиально иному пониманию роли информационной безопасности. Сегодня ее нельзя воспринимать исключительно как защиту или страховку – она перерастает в нечто большее, а именно – в один из ключевых бизнес-активов современной организации. По мнению специалистов аналитического центра компании Perimetrix, внедрение технологий информационной безопасности может способствовать росту бизнеса напрямую, а не только с помощью минимизации рисков. И в будущем этот тренд будет только усиливаться.
По данным исследования Ernst & Young за 2007 г. (см. рис. 1.7), основным драйвером (причиной использования решений) современного рынка информационной безопасности для 64 % респондентов является необходимость соответствия различным нормативным актам. Такое положение вещей можно назвать привычным – по оценкам Ernst & Young, этот пункт возглавляет список с 2005 года. Интересно, что до 2005 года среди факторов, стимулирующих развитие информационной безопасности, первое место занимали классические вирусы и сетевые черви.
Рис. 1.7. Драйверы рынка информационной безопасности
При этом большинство нормативных актов влияют на информационную безопасность опосредованно. Так, например, основная цель закона SOX – обеспечить прозрачность внутреннего контроля и корректность информации в отчетах, а задача норматива Basel II – побудить финансовые компании резервировать операционные риски. Ни тот, ни другой не затрагивают информационной безопасности напрямую, однако, оба оказывают на нее огромное влияние, причем, по данным исследования, оно носит преимущественно положительный характер.
По информации Ernst & Young на 2008 г. (см. рис. 1.8), в целом 80 % опрошенных полагают, что соответствие нормативным актам положительно влияет на информационную безопасность.
Специалисты аналитического центра компании Perimetrix считают данный вопрос чрезвычайно актуальным и для России в том числе. По данным различных исследований, большинство отечественных специалистов также положительно оценивают влияние, например, закона «О персональных данных», стандарта банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации» и других нормативных актов на информационную безопасность.
Рис. 1.8. Положительное влияние соответствия нормативным актам на безопасность компании
Таким образом, информационная безопасность перестает быть отдельным направлением деятельности организации и начинает определять ее бизнес в целом. Примерно 80 % респондентов Ernst & Young отметили, что решение задач информационной безопасности приводит к повышению эффективности ИТ-процессов. Приведем типичный пример. Большинство нормативных актов так или иначе требуют, чтобы конфиденциальная информация (сведения о клиентах, интеллектуальная собственность и т. д.) была выделена и должным образом защищена. Но для этого важно провести сортировку данных, хранящихся в корпоративной сети организации. А правильная классификация прямым образом влияет на бизнес – сотрудники перестают тратить время на поиск нужных документов на файл-серверах, которые сегодня часто представляют собой обычную свалку информации.
Представленная информация описывает третий по счету драйвер рынка информационной безопасности, а именно – о достижении тех или иных бизнес-целей (45 %). А на втором месте «расположилась» защита конфиденциальных данных, которая, с одной стороны, тесно пересекается с остальными драйверами (прежде всего, с нормативными актами), но в то же время является отдельно стоящей темой. Отметим, что за последний год ее актуальность выросла почти в полтора раза – с 41 % до 58 %.
Специалисты компании Perimetrix предполагают, что организации не хотят допускать утечки, поскольку каждая из них сопровождается серьезными материальными потерями. По данным исследования Ponemon Institute «2007 Annual Study: The cost of data breach», средний ущерб от потери всего одной конфиденциальной записи (например, информации об одном клиенте) составляет почти 200 долларов, причем большая часть из этих средств приходится на репутационный урон. Хотелось бы отметить, что ущерб репутации оказался на пятом месте в перечне Ernst & Young.
Четвертым драйвером рынка, по мнению респондентов, является интеграция процессов обеспечения информационной безопасности в общую функцию компании по управлению рисками (см. рис. 1.9).
Рис. 1.9. Степень интеграции функций информационной безопасности и управления рисками
Данные исследования говорят о том, что степень интеграции постепенно растет, и это логично вытекает из общей канвы развития рынка. Мы уже говорили, что безопасность превращается из опосредованной функции в средство решения прикладных бизнес-задач, а управление рисками как раз и является одной из них.
Остальные драйверы можно считать малозначительными или специфичными для отдельно взятой отрасли/региона. Принципиально важно, что среди них находятся внешние риски (фишинг, вирусы, шпионское ПО), а также развитие технологий безопасности. Другими словами, и тот и другой фактор влияют на современную ИБ не слишком сильно, и это обстоятельство также следует иметь в виду.
Профиль угроз, с которыми борются решения по информационной безопасности, постоянно меняется. Как следствие, организации вынуждены искать способы оценить эффективность внедренных продуктов. С ростом количества и сложности защитных систем эта задача становится существенно труднее, и зачастую с ней нельзя справиться, привлекая только внутренние ресурсы. Среди основных способов, используемых для оценки собственной защищенности, организации называют внутренний и внешний аудит, внутреннюю самооценку и внешнюю оценку независимыми компаниями.
Рис. 1.10. Способы оценки эффективности системы информационной безопасности
Аналитики Ernst & Young рекомендуют применять все методики в комплексе. Причем делать это необходимо постоянно и объективно.
В противном случае вместо решения бизнес-задач системы информационной безопасности будут предназначены для вытягивания денег из корпоративного бюджета.
Не менее важной представляется и задача внешнего контроля. Дело в том, что огромная масса проблем по безопасности возникает на стадии передачи информации сторонним компаниям. По сведениям Ponemon Institute, до 40 % утечек информации происходят по вине «третьих» организаций. Исключить этот процесс решительно невозможно, а как-то бороться с проблемой необходимо. По данным Ernst & Young, в 2007 году 78 % организаций выдвигают требования по информационной безопасности своим партнерам. Подход крайне простой: хочешь работать с нами - будь добр соответствовать нашим запросам. Надо заметить, что в 2006 году этот показатель составлял 66 %. Таким образом, мы видим еще один яркий пример прямого влияния ИБ на бизнес различных организаций.
Среди рекомендаций Ernst & Young по улучшению системы безопасности необходимо отметить усиление взаимосвязи информационной безопасности и бизнес-целей, интеграция информационной безопасности в систему управления рисками, обеспечение соответствия стандартам и использование нетрадиционных подходов для поиска специалистов.
| << Предыдущая | Оглавление | Следующая >> |