("Телеком. Коммуникации и сети", №1-2/2008, с. 38-40)
Важной составляющей развития современных предприятий вне зависимости от их формы собственности и размеров является автоматизация бизнес-процессов с использованием средств вычислительной техники и телекоммуникаций. Следствие этого — неуклонный рост объемов обрабатываемой информации и одновременно зависимости успеха деятельности компании от непрерывности функционирования корпоративной информационной системы (КИС) и сохранности корпоративной информации в процессе ее обработки и хранения на электронных носителях.
Угрозы и риски
Говоря о задаче обеспечения непрерывности бизнес-процессов на предприятии, очень важно знать, какие угрозы могут ожидать КИС и собственно обрабатываемую информацию. На сегодняшний день существует множество подобных рисков, которые можно свести к следующим четырем типам:
-уничтожение информационных объектов;
-утечка информации;
-искажение данных;
-блокирование объекта информации.
Привыкая к повседневному использованию ИТ, мы часто забываем о том, что надежность техники и главное — устройств хранения электронной информации — конечна. Поэтому существует вероятность отказа оборудования, приводящая к сбоям в доступе к данным, а в худшем случае — к частичной или полной их потере. Более того, мы совсем не заботимся о разработке и внедрении плана мероприятий по восстановлению работоспособности КИС после кризиса.
Главную задачу информационной безопасности можно свести к частным подзадачам — обеспечению целостности и реализации доступности информации.
Целостность информации — это существование данных в неискаженном виде, то есть в неизменном по отношению к некоторому фиксированному их состоянию.
Доступность информации — это свойство системы, характеризующееся способностью обеспечивать своевременный и беспрепятственный доступ к данным субъектов в соответствии с запросами.
Существующие угрозы нарушения целостности информации:
-уничтожение носителей;
-внесение несанкционированных изменений в программы и данные;
-установка и использование нештатного программного обеспечения;
-заражение вирусами;
-внедрение дезинформации.
Практически все вышесказанное присуще воздействиям на информацию и КИС при вирусных атаках. В дальнейшем мы будем рассматривать только «чуму» последних десятилетий — вирусы и вирусные атаки. И все вопросы информационной безопасности будут рассматриваться только в отношении данных угроз.
В этой связи важно понимать, что такое принцип комплексности — согласование всех разнородных средств при построении целостной системы защиты, перекрывающей все существенные каналы реализации угроз и не содержащей слабых мест на стыках отдельных ее элементов.
Разумная достаточность предполагает следующий подход. Имея в запасе определенные ресурсы времени и средства, можно преодолеть любую защиту. Поэтому есть смысл создавать только достаточный уровень защиты, при котором затраты, риск, размер возможного ущерба были бы приемлемы.
Стандартных слов о том, что критичная для бизнеса информация должна быть доступной, целостной и конфиденциальной, явно недостаточно, поскольку информация — понятие достаточно абстрактное: угрозы ее безопасности носят вероятностный характер. А вот решения по ее защите часто стоят немалых денег. Очевидно, что для начала необходимо определить бизнес-задачу ИБ и, в частности, антивирусной безопасности.
Быть во всеоружии
В контексте информационной безопасности антивирусная система — это частный случай защиты от несанкционированного доступа к информации, поскольку вирус в широком смысле является программным средством получения неавторизованного несанкционированного доступа к вычислительным ресурсам КИС. Поэтому принцип разумной достаточности точно так же необходим при разработке системы ИБ для КИС. И основная рекомендация здесь — начинать разработку нужно с обследования сети и выбора оптимальной схемы защиты, для чего определяется ценность информации и риски от ее потери.
Как правило, конфигурации корпоративных сетей достаточно сложны, особенно если они включают узлы, работающие на разных платформах. Важно выбрать схему защиты, оптимальную с точки зрения как эффективности, так и возможностей внедрения, управляемости, масштабируемости и, что немаловажно, цены.
Комплексный анализ сети, аппаратного/программного обеспечения, политик безопасности позволит выявить наиболее уязвимые места и спроектировать целостную систему антивирусной безопасности, оптимальную для каждой конкретной организации.
После того как средства защиты выбраны, необходимо как можно скорее внедрить антивирусную систему (или более широкий комплекс, реализующий защиту от спама, хакерских атак, внутренних угроз и т. п.) и обеспечить его корректную эксплуатацию, которая ныне помимо прочего включает установку и настройку пакетов обновлений и полнофункциональных версий антивируса на всех объектах защиты корпоративной информационной системы.
Тренды рынка
В контексте обеспечения антивирусной безопасности целесообразно провести анализ угроз и состояния рынка. Основной наблюдаемый на рынке тренд — изменение долей потребителей. Лидерами здесь долгое время были госструктуры и крупные корпоративные клиенты. Однако на данный момент этот сегмент рынка практически насыщен: так, в процентном выражении доля предприятий госсектора среди заказчиков в области ИБ в целом и антивирусной защиты в частности находится в состоянии стагнации или вообще сокращается. Зато наконец все большую роль начал играть рынок SMB. По нашему мнению, он уже практически сравнялся с госсектором и в ближайшее время будет расти опережающими темпами.
Этот рынок отличает ряд особенностей. Одна из основных — отсутствие администраторов и спрос на услуги аутсорсинга. Аутсорсинг в этом контексте подразумевает проведение работ по проектированию и регулярному мониторингу системы антивирусной защиты предприятия, которые берут на себя специализированные компании. Это значительно уменьшает как возможные риски, так и общую стоимость владения системой.
Поэтому основная тенденция рынка сегодня — рост спроса на услуги — это не более чем признак его зрелости. Если несколько лет назад 90–95 % рынка занимали «продукты» (а это надо понимать как поставку «коробочных продуктов»), то сейчас около четверти оборота приходится на сервисы: аудит, консалтинг, аутсорсинг и др.
Даже в среде интернет-провайдеров изменились приоритеты. Пока Интернет был дорог и пользователи платили за трафик, позиция провайдеров была такова: «Спам и вирусы — это дополнительный доход от клиентов, поскольку каждый мегабайт приносит деньги».
Сегодня услуги дешевеют, пользователи все больше предпочитают безлимитные тарифы. Провайдеры, посчитав убытки, начинают активно предлагать заказчикам антиспам-функции. Оказалось, что продавая такую услугу, тоже можно зарабатывать! При этом сервис предоставления «очищенного от спама трафика» не является единственно возможным.
В сторону онлайна
Не секрет, что именно провайдеры оказываются первыми на пути распространения вирусных угроз и спама и, как следствие, их клиенты часто оказываются беззащитными. Заражения в сетях провайдера приводят, с одной стороны, к потерям важной информации, а с другой — к увеличению затрат на сопровождение и техническую поддержку. Кроме того, для провайдеров становится настоящей головной болью компьютерная безграмотность пользователей. Зачастую отсутствие какой бы то ни было антивирусной защиты на персональных машинах или использование нелицензионного антивирусного ПО приводят к серьезным нарушениям, потерям производительности и даже к отказам в сети. Для провайдеров услуг важно привлекать новых пользователей, но еще важнее удержать клиента. Поэтому для многих из них становится очевидным и более оправданным вопрос небольших инвестиций в безопасность, чем серьезных вложений на устранение последствий заражения и поддержание технической службы.
Отвечая на запросы рынка, в последнее время все больше компаний предоставляет услуги безопасности в виде онлайновых сервисов. Подобные предложения есть в портфелях многих вендоров, в том числе McAfee, F-Secure, Sophos и «Доктор Веб». Последняя компания предлагает антивирусную защиту и спам-фильтрацию в виде основанного на продукте Enterprise Suite cервиса AV-Desk. Его отличительной особенностью является то, что он предоставляется не на серверах вендоров, а со стороны провайдера, а это весьма существенный фактор, если учитывать характерные для ИТ-рынка Украины черты.
Подобные онлайновые услуги позволяют не только пересмотреть отношение к лицензионной чистоте используемого антивирусного ПО, но и за весьма умеренную плату (по сравнению с другими подходами организации системы ИБ) переложить проблему борьбы с вредоносными кодами на плечи профессионалов.
В некоторых источниках утверждается, что ИБ и антивирусная защита выполняют вспомогательную функцию, являясь как бы неким дополнением к существующим бизнес-процессам. Действительно, основная цель всякого бизнеса — зарабатывать деньги. Информационные технологии помогают в этом: снижают издержки, повышают эффективность продаж. При этом бизнес становится зависимым от ИТ. И чем в большей степени проявляется эта зависимость, тем более высоки риски от инцидентов в ИБ. Соответственно, информационная безопасность в общем и антивирусная защита в частности становятся благом для бизнеса, защищая инвестиции в инфраструктуру.
——————————————————————————————————————
ТЕЛЕКОМ-ИНФО
Популярные приемы веб-мошенников
Угрозы, чаще всего встречавшиеся в прошлом году, можно разделить на следующие категории. Первая — эксплуатация так называемых уязвимостей «нуль-день» в различного рода ПО. Особой популярностью у вирусописателей и хакеров пользуются «дыры», позволяющие удаленно устанавливать и выполнять произвольный код на целевом компьютере. Кроме того, как показала практика, для достижения поражения компьютеров можно успешно использовать старые бреши, к которым уже выпущены обновления. В качестве примера можно привести распространение почтового червя массовой рассылки Win32.HLLM.Oder. Вложение представляло собой запароленный ZIP-архив, содержащий либо файл с расширением .EXE, либо WMF-файл с указанием пароля в теле письма. WMF-файл эксплуатировал уязвимость, позволяющую запускать произвольный код.
Примечательно, что эта уязвимость была обнаружена еще в конце 2005 года и закрыта в январе 2006-го.
Большое распространение также получили мошеннические приемы, направленные на похищение конфиденциальных данных пользователей. Типичный пример — фишинговые письма, распространяющиеся от имени какой-либо банковской системы с призывом обновить учетную запись. Для этого пользователю предлагается пройти по указанной в теле письма ссылке и подтвердить свои данные. Разумеется, наибольший интерес в данном случае представляют для мошенников пароли.
Стоит также отметить, что в прошлом году возросло количество вредоносных программ, скрывающих свое присутствие в системе пользователя маскировкой файлов и записей в реестре.
Кроме того, достаточно популярным сегодня является использование компьютеров для рассылки спама. Типичный пример — вредоносная программа, получившая наименование Trojan.Spambot.
Еще одна, глобальная, тенденция во Всемирной паутине — построение бизнеса на компьютерной преступности и краже конфиденциальной информации, поскольку время «вирусописателей-романтиков» давно прошло.
—————————————————————————————————-
ТЕЛЕКОМ-ИНФО
Сервисы антивирусной защиты
Интернет-сервисы в области ИБ сегодня довольно широко представлены на рынке. Одним из первых онлайновую проверку файлов на вирусы предложил в 1996 году Игорь Данилов. Постепенно данная практика стала практически повсеместной. В настоящее время ряд компаний пошли еще дальше (например, Panda Software) и предлагают сервис онлайнового сканирования области или целого накопителя. Однако эта услуга требует хороших интернет-каналов, которые имеются далеко не у
всех пользователей Украины. Можно вспомнить также российскую Positive Technologies, предлагающую сканирование в режиме онлайн внешних рубежей информационных систем предприятий на предмет выявления уязвимостей с сохранением конфиденциальности представляемого отчета.
Подобные сервисы антивирусной защиты предоставляются многими вендорами. Достаточно подробное описание одного из них можно найти, к примеру, по адресу: www.anti-malware.ru/forum/index.php?showtopic=3960. Однако существенным недостатком данной модели является не только довольно высокая стоимость услуги, но и то, что сервис оказывается исключительно с серверов вендора.
————————————————————————————————————————————-
ТЕЛЕКОМ-ИНФО
Предпочтение — профессионалам
В секторе SMB ощущается дефицит подготовленных администраторов и специалистов по безопасности. Это связано и с финансовым положением предприятий этого сектора, и с достаточно высокой стоимостью работы хорошего администратора. Некоторые из малых и средних предприятий идут по пути найма студентов, другие предпочитают пользоваться услугами «приходящего администратора». Работы таких специалистов обычно выполняются по следующей схеме:
— стандартный антивирус;
— стандартная процедура установки патчей;
— стандартная процедура архивирования;
— стандартная процедура паролей;
— стандартная процедура обучения пользователей;
— стандартная процедура фильтрации веб-трафика;
— стандартная процедура разделения доступа и т. д.
Для многих это представляется достаточным, однако в данном случае полностью отсутствует системный подход к построению систем ИБ, а функционал управляемости весьма ограничен. Такой подход имеет следующие недостатки:
— как правило, устанавливается любое «доступное» (читаем — взломанное) антивирусное ПО, нет единой системы центрального управления и сбора информации о вирусных атаках;
— отсутствует техническая поддержка поставленного ПО, антивирусные базы быстро устаревают, и новые вирусы просто не отлавливаются;
— отсутствует программа действий в экстремальных ситуациях, а ликвидация последствий вирусной атаки происходит медленно и некачественно, утерянные данные не восстанавливаются;
— нет связи с производителем антивируса при появлении новой «инфекции».
В связи с этим целесообразнее предоставлять услуги антивирусной защиты централизованно. Ведь если раньше клиенты готовы были платить только за оборудование, то сейчас многие из них осознали важность профессиональной разработки, внедрения и сопровождения проектов, а их поддержка выступает важной составляющей рынка ИБ. Сегодня потребитель заинтересован в комплексных решениях, но совсем не в решениях «из одной коробки».
И начинается все с консалтинга и предпроектного обследования с выездом к заказчику, уточнения исходных данных и участия в разработке технических требований. А заканчивается, как правило, не поставкой ПО «в коробке», а комплексным диагностическим обследованием и оценкой созданной системы информационной безопасности с последующим сопровождением и поддержкой. То есть в любом случае это область, которая находится в ведении профессионалов.
Алексей Гребенюк,
Центр технической поддержки
«Доктор Веб»
