MorePC - Главная страница


О сайте

Регистрация

Обратная связь

Реклама на сайте

Публикации на сайте

Карикатуры

  Категории СВТ     Тесты и методики испытаний     Новости СВТ     Проблемы информатизации     Форум     Опросы     Словарь     Поиск  

     Средства защиты информации : Теория  

Предлагаем Вашему вниманию статьи по информационной безопасности.
 

22.03.2007 Почему мы не готовы к угрозам ИТ-безопасности?

версия для печати

Вместо введения приведем следующее, несколько шокирующее сообщение, весьма ярко иллюстрирующее то положение дел, которое мы имеем с компьютерной безопасностью (здесь и далее в работе воспользуемся материалами, опубликованными в открытой печати, в частности на сайтах www.itsec.ru и www.cnews.ru):
~ (Новость от 01.02.2006) под названием «ИТ-безопасность: никто не готов к новым угрозам». Компания Ernst&Young провела ежегодный глобальный опрос ИТ-руководителей о проблемах информационной безопасности. Как оказалось, пропасть между угрозами ИТ-безопасности и тем, что делается для защиты от них, стала еще шире. Компания Ernst&Young выпустила очередную, восьмую, версию своего ежегодного отчета "Global Information Security Survey 2005". В опросе приняли участие высшие исполнительные лица более 1,3 тыс. коммерческих и государственных организаций в 55 странах мира, включая Россию. Основную массу респондентов составили директора информационных служб (CIO) и отделов ИТ-безопасности (CSO). Наиболее общим и, пожалуй, самым значимым выводом из этого исследования явилось то, что пропасть между угрозами ИТ-безопасности и тем, что делается для защиты от них, стала еще шире. Другими словами, риски, вызванные постоянным развитием бизнеса во всем мире, эволюционируют так быстро, что специалисты по ИТ-безопасности не успевает адекватно отреагировать на них. Эксперты компании Ernst&Young посчитали эту тенденцию настолько важной, что даже включили слова "Отчет о расширяющейся пропасти" ("Report on Widening Gap") в название своего исследования.
Честно говоря, в это не хочется верить. Попробуем провести собственное исследование и каким-либо способом оценить, а насколько все действительно ужасно. Если же наши опасения подтвердятся, попытаемся ответить на вопрос, а что же мы противопоставляем «расширяющейся пропасти», что мы делаем, чтобы адекватно отреагировать на риски ИТ-безопасности. С этой целью рассмотрим основу основ ИТ-безопасности – компьютерную безопасность.

Только факты.

В качестве критерия оценки эксплуатационной (реальной) безопасности системного средства целесообразно рассматривать коэффициент его готовности обеспечивать защиту информации в процессе эксплуатации. Тогда в качестве основных параметров защиты следует рассматривать интенсивности отказов и восстановления средства защиты.
Под «отказом» средства защиты понимается обнаружение уязвимости системного средства (например, это могут быть ошибки в реализации ОС, либо приложений), которая потенциально может привести к несанкционированному доступу к информации.
Под интенсивностью отказов средства защиты (интенсивностью обнаружения уязвимостей средства защиты) понимаем интенсивность обнаружения в нем уязвимостей в единицу времени.
Под интенсивностью восстановления средства защиты после отказа (обнаружения уязвимости) понимаем интенсивность устранения в нем уязвимостей в единицу времени.
Сначала рассмотрим статистику обнаружения уязвимостей в ОС. Проиллюстрируем положение дел некоторой подборкой новостей, опубликованных в открытой печати:

~ (Новость от 02.12.2005). Несовершенство операционных систем и программного обеспечения — едва ли не главная причина колоссального ущерба, нанесенного мировой экономике компьютерными злоумышленниками. Большинство хакерских атак становится возможными из-за наличия уязвимостей в существующих ОС и ПО. В Сети появляется все больше вредоносного кода, который использует их для проникновения в компьютеры, выполнения запрограммированных действий и дальнейшего своего распространения. Статистика показывает, что количество уязвимостей растет год от года. С одной стороны, это связано с тем, что год от года растет количество ПО, а с другой, с тем, что сейчас уязвимости ищутся намеренно, как хакерами, так и компаниями производителями ПО и ОС. Первые преследуют криминальные цели — использовать «дыру» для получения доступа к чужим информационным ресурсам, вторые — чтобы не испортить свою репутацию и обезопасить информационные ресурсы своих клиентов.
По данным mi2g ежегодно хакерами взламывается до 90% сетей предприятий.
Динамика роста обнаруженных уязвимостей представлена на рис.1.


Рис.1. Динамика роста обнаруженных уязвимостей

~ (Новость от 12.01.2006). В минувшем (2005) году в ОС Windows было выявлено 812 «дыр» (исследования US-CERT). Специалисты из McAfee отмечают, что из 124 «дыр», обнаруженных в Windows XP Professional на сайте Secunia (Security Provider), 29 так и осталось не устраненными, что дало компании основание присвоить Windows статус критически опасной ОС.
~ (Новость от 10.10.2006). Корпорация Microsoft в рамках ежемесячного обновления своих программных продуктов намерена на этой неделе выпустить одиннадцать патчей. Как сообщается в предварительном уведомлении, в операционных системах Windows различных версий выявлены шесть уязвимостей. Некоторые из них охарактеризованы как критически опасные и могут использоваться злоумышленниками с целью выполнения на удаленных компьютерах произвольных деструктивных операций. Четыре дыры найдены в офисных приложениях. По крайней мере, одна из них получила статус критически опасной. Кроме того, Microsoft выпустит заплатку для .NET Framework.
~ (Новость от 07.11.2006). Microsoft распространила предупреждения о том, что во всех операционных системах Windows, кроме Server 2003, обнаружена очень опасная уязвимость, которая к тому же уже активно используется злоумышленниками. Уязвимость затрагивает механизм Microsoft XML Core Services 4.0, который тесно связан с XMLHTTP 4.0 ActiveX Control. Уязвимость позволяет атакующему получить полный контроль над системой и компьютерными ресурсами. По словам представителей компании, эксплоит для этой уязвимость может распространяться при помощи спама и сторонних сайтов. В самой Microsoft никак не охарактеризовали опасность бага, однако специалисты по безопасности из компании Secunia охарактеризовали уязвимость как "экстремально опасную". В Microsoft пока не выпустили исправления для этой уязвимости.
~ (Новость от 20.02.2007). Компания Microsoft опубликовала свои ежемесячные бюллетени безопасности. На этот раз в них вошли 12 патчей, исправляющие 20 уязвимостей. И один из них уже предназначен для новой операционной системы Windows Vista. Ее уязвимость находится в механизме защиты от вредоносных кодов, который может позволить выполнение удаленного кода.
~ (Новость от 02.03.2007) В операционной системе Windows Vista, поступившей в широкую продажу 30 января, обнаружена одна из первых уязвимостей. Дыру в системе User Account Control обнаружили специалисты компании eEye. Из соображений безопасности подробная информация об уязвимости не разглашается. Известно лишь, что задействовать ее может локальный пользователь с целью повышения уровня собственных привилегий в системе. Впрочем, удаленный злоумышленник также может воспользоваться брешью в том случае, если уже имеет доступ к компьютеру. Компания eEye проинформировала корпорацию Microsoft о дыре еще 19 января, однако патча пока выпущено не было…
~ (Новость от 10.01.2007). Microsoft оставила Word под угрозой. Microsoft выпустила ежемесячное обновление безопасности, закрывшее 10 уязвимостей, включая критические в Office и Windows. Однако серьезные "дыры" типа "zero-day" в текстовом редакторе Word остались незакрытыми. Хакеры в последние месяцы уделяли повышенное внимание незакрытым уязвимостям в Word и Excel для проведения узконацеленных атак. Обычно их жертва получает электронное письмо с инфицированным вложением и текстом в теле письма, заманивающим открыть это вложение. В конце прошлого года было найдено множество уязвимостей офисного пакета Microsoft типа «zero-day», то есть они становились известными хакерам еще до выпуска соответствующего патча производителем. Причем многие из этих «дыр» обнаруживались и начинали активно эксплуатироваться хакерами сразу после выхода ежемесячного обновления безопасности софтверного гиганта, что говорит о приспособлении компьютерных преступников к графику выпуска патчей. Эксперты института SANS заявляют, что ко всем «залатанным» вчера уязвимостям, кроме как в Excel, существуют эксплойты. Минимум 3 уязвимости Word остаются незакрытыми, для их использования в арсенале хакеров также есть эксплойты. Возможно, что данная проблема будет решена с помощью внеочередного обновления безопасности Microsoft. Пока же пользователям остается быть бдительными и не открывать вложения форматов Word в письмах от недоверенных лиц.
Возможно, что подобное положение дел касается только одного конкретного системного средства. Отнюдь. Подтвердим сказанное:
~ (Новость от 08.06.2005) Нарушение конфиденциальности информации - самая большая внутренняя ИТ-угроза":
- Величина ущерба от действий хакеров разнится. Если по 2003 году исследователи более-менее пришли к общему мнению и определились, что сумма составляет 17 млрд. долларов, то по 2004 году оценки совершенно разные. По данным исследовательской компании Datamonitor, мировой экономический ущерб от хакерских атак - явных и скрытых - может достигнуть 155,5 млрд. долларов. По мнению экспертов, ежегодно хакерами взламывается до 90% сетей предприятий;
- Один из основных элементов безопасности - это операционная система компьютера. Британские исследователи из группы mi2g наиболее безопасными платформами считают Apple Mac OS X и открытую версию UNIX - BSD (Berkeley Software Distribution). Операционные системы Linux и Microsoft Windows, напротив, были признаны слабо защищенными. Свои выводы специалисты mi2g сделали, проанализировав 235 тыс. успешных хакерских атак, проведенных во всем мире с ноября 2003 по октябрь 2004 года;
- Среди компьютеров под управлением ОС Linux взломанными оказались 65%, под управлением Windows - 25%.
Теперь, в нескольких словах, об интенсивности исправления уязвимостей в ОС. На наш взгляд, весьма показателен следующий пример. Обратимся к публикации К.Касперски «Обзор эксплойтов» в журнале «Хакер» от декабря 12(96) 2006, см. стр.60-65. Это популярный журнал, тем интереснее. Приведем без комментариев несколько выдержек из этой статьи «Просто поразительно, как гиганты компьютерной индустрии реагируют на сообщения об ошибках, которые они не могут исправить. 22 октября 2004 года основатель группы Argeniss Information Security и ее CEO в одном лице – Cesar Cerrudo обнаружил серьезнейшую ошибку в Windows, о чем тут же сообщил в Microsoft. Но та продолжила выпускать дырявые операционные системы, а для уже существующей заплатка отсутствует и по сей день». Следующая выдержка «…система не препятствует ремапингу секции с атрибутами чтения/записи, что позволяет любому локальному пользователю проникнуть на уровень ядра…». Далее «По заявлению Argeniss Research Team, уязвимости подвержены W2K (до W2K SP4) и XP (до XP SP2) и не подвержены Server 2003 и Vista beta 2». Что же нам, как потребителям, рекомендует автор этой статьи «Официальной заплатки от Microsoft до сих пор нет, и все, что нам остается – это мигрировать на Server 2003 или Vista, в которых огрехи проектирования без лишнего шума были устранены (но, как известно, исправляя одну ошибку, Microsoft добавляет десяток новых; Vista – это не вариант, а вот над переходом на Server 2003 можно подумать)».
Чудовищно, критическая уязвимость существует более двух лет и не исправляется производителем. В это трудно поверить! Однако, исходный код эксплойта для данной уязвимости, в подтверждение сказанному, автор привел в своей статье. Заметим, что описанная атака не так и критична – в результате запуска эксплойта увидим «синий экран». Однако сам автор заявляет, что это лишь один из примеров, и существует возможность реализации иных воздействий на компьютер.

Небольшое исследование.

На основании приведенного выше исследования, можем сделать неутешительный вывод о том, что уязвимости системных средств ежегодно обнаруживаются десятками (причем, обратим внимание, к уязвимости системного средства могут приводить и ошибки в приложениях, что определенным образом характеризует архитектурные решения по реализации защиты этих средств), а их устранение (исправление архитектурных ошибок и ошибок программирования) может составлять месяцы, а то и годы. Проведем небольшое исследование и попытаемся ответить на вопрос, а как же все это сказывается на уровне эксплуатационной безопасности системного средства. Насколько же оно реально защищено?
Для оценки эксплуатационной (реальной, или истинной) безопасности системного средства может быть построена математическая модель с использованием аппарата теории массового обслуживания (по аналогии с тем, как это делается в теории надежности, ведь, в конечном счете, применительно к средству защиты информации, надежность – это свойство средства обеспечивать защиту информации в течение заданного промежутка времени). Приведем пример простейшей математической модели. Будем считать, что потоки обнаружения уязвимостей – отказов средства защиты, и процесс их устранения являются пуассоновскими (описывающими наиболее случайные события), причем уязвимости устраняются по очереди (не одновременно – будем использовать модель с одним обслуживающим прибором), по мере их обнаружения (наверное, именно в этом состоит некая «грубость» данной математической модели, однако, на практике, в большинстве случаев, подобное упрощение уместно, если речь идет об одном системном средстве, особенно в предположении, что интенсивность обнаруживаемых уязвимостей и время их устранения разработчиком невелики – в противном случае и анализировать-то нечего). В данных предположениях, вероятность того, что в любой момент времени объект защищен (определяется тем условием, что число не устраненных уязвимостей равно 0) можно оценить по следующей простейшей формуле:


Естественно, что на практике нас будет интересовать установившийся режим (условие стационарности), определяемый выполнением условия:


т.к. не выполнение этого условия означает неограниченный рост уязвимостей, что характеризует состояние полной незащищенности системного средства, что определяется условием:


Зависимости:


для различных значений интенсивностей обнаружения уязвимостей (значения интенсивностей обнаружения уязвимостей заданы в единицах: число/год, а интенсивность устранения уязвимостей – ось абсцисс, заданы в 1/неделя – за сколько недель в среднем устраняется одна уязвимость), рассчитанные с использованием нашей математической модели, приведены на рис.2.
На этом рисунке следует обратить внимание на выделенную пунктирную прямую (на рис.2 имеет красный цвет). Она характеризует, что в любой момент времени объект защищен с вероятностью 0,5. Это означает, что в любой момент времени системное средство либо защищено, либо нет. Все значения, располагаемые ниже этой прямой, характеризуют следующее свойство средства защиты – системное средство скорее не защищено, чем защищено, располагаемые выше этой прямой – системное средство скорее защищено, чем не защищено.
Рассмотрим гипотетически идеальный случай – в среднем обнаруживается одна уязвимость в год (зеленая кривая на рис.2). Эта зависимость нам интересна с точки зрения того, как влияет на эксплуатационную безопасность интенсивность устранения уязвимостей. Видим, что подобное влияние весьма заметно. Из рис.2 следует, что если в среднем уязвимость (в частности, ошибка программирования) исправляется разработчиком за 1 месяц, то получаем в нашем гипотетически идеальном случае, что в любой момент времени объект защищен лишь с вероятностью менее 0,92. А что такое 0,92 – это означает, что практически в любой момент времени системное средство незащищено с вероятностью близкой к 10% (а ведь мы рассматриваем гипотетически идеальную ситуацию), т.е. около 10% рабочего времени системное средство незащищено. А что такое 1 месяц на устранение ошибки в сложном системном средстве, его потребуется только тестировать после внесения исправления не меньше месяца, иначе сразу сталкиваемся с проблемами надежности (отказоустойчивости) и корректности функционирования системного средства. А ведь этот месяц включает в себя после обнаружения уязвимости злоумышленником: получение об этом информации производителем, собственно устранение уязвимости, в той или иной мере крупномасштабное тестирование системного средства после исправления, получение обновления потребителем и внедрение обновления в системное средство. Месяц для выполнения подобной совокупности условий – это очень мало!


Рис. 2. Результаты моделирования

А теперь посмотрим на кривую синего цвета (интенсивность обнаружения уязвимостей - 10 в год), определим вероятность того, что в любой момент времени системное средство защищено в предположении, что пакеты обновлений появляются 1 раз в месяц, получаем менее 0,2. Но тогда, о какой безопасности может идти речь в принципе, если только 20% рабочего времени компьютер защищен (а ведь 10 уязвимостей в год это далеко не предел для современных системных средств)!
Вот вам и количественная оценка того, в какой мере «расширяется пропасть» - мы работаем практически на незащищенных компьютерах!
А ведь, наверное, целесообразно предположить, что при обработке конфиденциальной информации должно выполняться условие:


Мы, конечно же, не настаиваем на этом значении, приведенном лишь в качестве примера. Однако согласитесь, нельзя же обрабатывать конфиденциальную информацию в предположении, что 10% (или более) рабочего времени компьютера информация не защищается.
Самый ужасный вывод, который мы можем сделать в результате нашего исследования, состоит в том, что подобный уровень безопасности для сложного системного средства, которым является современная универсальная ОС, даже гипотетически недостижим (посмотрите на кривую зеленого цвета, представленную на рис.2). Что же делать? А возможно только одно решение – использовать добавочные средства защиты информации, причем, желательно те из них, которые позволяют противодействовать атакам на уязвимости ОС, связанные с архитектурными недостатками системных средств и ошибками программирования в системном и прикладном ПО! Возможно, читатель предложит иные рецепты?
В порядке замечания отметим, что на сегодняшний день одним из немногих (если не единственным) средств защиты, позволяющих противодействовать атакам на уязвимости ОС, связанные с архитектурными недостатками системных средств и ошибками программирования в системном и прикладном ПО, является комплексная система защиты информации (КСЗИ) «Панцирь-К» для ОС Windows 2000/XP/2003 (разработчик ЗАО «НПП «Информационные технологии в бизнесе»), с возможностями которой вы можете познакомиться на сайте производителя данного средства: www.npp-itb.spb.ru.

Что же мы противопоставляем «расширяющейся пропасти»?

А вот теперь, самое интересное. Ранее мы видели, что в мире «бьют тревогу» и тому есть весьма веские причины. Работа на незащищенных компьютерах чревата, и, к сожалению, не только (а возможно, и не столько) потенциальной угрозой хищения конфиденциальной информации. В этом случае появляется угроза выведения из строя не только отдельных компьютеров, но и целиком корпоративных сетей!
Поневоле хочется узнать, как мы-то реагируем на сложившуюся ситуацию.
А для ответа на этот вопрос, прежде всего, обратимся к одному интересному исследованию:
~ (Новость от 18.10.2006). Российский рынок средств защиты информации сегодня развивается довольно динамично. При этом в нашей стране отмечается значительное ежегодное увеличение количества зарегистрированных преступлений в сфере компьютерной информации. Следует отметить, что свыше 99% правонарушений совершается умышленно. Несмотря на то, что проблема информационной безопасности с каждым годом становится все острее, некоторые промежуточные результаты исследования "Средства защиты информации от несанкционированного доступа", проводимого журналом "Информационная безопасность/Information Security" (компания "Гротек") носят парадоксальный характер. Большая часть опрошенных (39,8%) считают, что отечественные компании и организации весьма неохотно идут на увеличение расходов на информационную безопасность (см. диаграмму, рис.3). Для сравнения: в большинстве зарубежных компаний, затраты на информационную безопасность составляют в среднем около 15% от бюджета информационных технологий компаний.


Рис. 3. Результаты исследования

Что обусловливает подобное отношение к ИТ-безопасности – непонимание проблемы, безответственность, незнание возможных путей решения? Честно говоря, у автора нет ответа на этот вопрос.
Но рынок есть рынок. Есть спрос, будет и предложение. Достаточно познакомиться с тем, как позиционируют возможность применения сертифицированной по требованиям безопасности ОС Windows XP Professional некоторые поставщики услуг в области защиты информации:
«Применение сертифицированной ОС Microsoft позволяет легально обрабатывать на клиентских рабочих местах конфиденциальную информацию, защищаемую в соответствии с законодательством Российской Федерации.
Преимущества использования сертифицированной ОС:

  • эффективный механизм настройки параметров безопасности операционной системы;
  • отсутствие необходимости установки дополнительных сертифицированных «наложенных» средств защиты информации и, как следствие:
  • повышение скорости, устойчивости обработки информации;
  • снижение стоимости защищенного автоматизированного места;
  • снижение требований к объему знаний администратора безопасности;
  • периодическое обновление операционной системы вместе с дополнительными «опциями безопасности»;
  • выполнение требований нормативных документов, регламентирующих применение защищенных автоматизированных систем».

Не правда ли, следуя результатам исследований, приведенным на рис.3, можем сделать вывод, что подобное решение проблем информационной безопасности на сегодняшний день будет востребованным!
Самым, на наш взгляд, шокирующим в позиционировании подобного решения является следующее «снижение требований к объему знаний администратора безопасности». Но нельзя же отрицать очевидное, что без соответствующей квалификации лиц, отвечающих за решение задач защиты информации, эффективно эти задачи решены быть не могут. Квалификация – это же основа основ, особенно в такой сложно области знаний, как информационная безопасность!
В порядке замечания отметим, что тезис «отсутствие необходимости установки дополнительных сертифицированных «наложенных» средств защиты информации…» даже по формальным признакам в части «выполнение требований нормативных документов» не совсем корректен. Приведем лишь один пример невыполнения формальных требований, для чего обратимся к нормативному документу: «Гостехкомиссия России. Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Показатели защищенности от НСД к информации», используемому при аттестации объекта информатизации. Рассмотрим и проанализируем выполнимость лишь нескольких требований к АС класса защищенности 1Г (защита конфиденциальной информации):
~ должна осуществляться очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти ЭВМ и внешних накопителей. Очистка осуществляется однократной произвольной записью в освобождаемую область памяти, ранее использованную для хранения защищаемых данных (файлов).
ОС Windows XP в принципе не осуществляет очистку освобождаемых областей внешних накопителей, в ней отсутствует подобный механизм защиты. Кто хоть немного знаком с данной системой, знает, что системой осуществляется запись нулей в выделяемую память, перед записью в нее информации. Но это вопросы повышения надежности работоспособности системы, а уж никак не защиты, в части гарантированной очистки остаточной информации. Остаточная информация, как на жестком диске, так и на внешних накопителях, здесь присутствует всегда.
А это не единственное несоответствие механизмов защиты ОС существующим требованиям.
Проведение сертификационных испытаний (проверка функционала) системного средства, дающее право легально обрабатывать на клиентских рабочих местах конфиденциальную информацию – это, безусловно, хорошо. Но при чем же здесь все остальное - квалификация администраторов безопасности, отсутствие необходимости установки дополнительных сертифицированных «наложенных» средств защиты информации, призванных решать совершенно иные задачи, в частности, задачи повышения уровня эксплуатационной безопасности системного средства. А как еще обеспечить эффективную защиту?
А вот теперь мы подошли к весьма важному вопросу. Посмотрите, как остро здесь обозначается следующая проблема. Сертификационные испытания, призванные, в конечном счете, дать разрешение на применение системного средства в каких-либо приложениях (например, защита конфиденциальной информации), предполагают экспертное оценивание функционала защиты. При этом практически никак не оценивается эксплуатационная безопасность системного средства, да это и невозможно, подобная оценка может быть осуществлена только в процессе эксплуатации данного средства. В результате эксплуатации могут быть оценены интенсивности отказов (обнаружения уязвимости) средства защиты и его восстановления, как следствие, рассчитана за интересующий нас период - вероятность того, что в любой момент времени объект защищен. Эта оценка может «перечеркнуть» все достоинства защиты системного средства, выявленные при его сертификационных испытаниях. Другими словами, как видим, оценка функциональных возможностей средства защиты не позволяет корректно оценить уровень обеспечиваемой им безопасности! Это не некое абстрактное утверждение, пример тому представлен в этой статье. На наш взгляд, это весьма серьезная проблема, требующая квалифицированного решения.
В заключение отметим, что, конечно же, далеко не все одинаково относятся к вопросам защиты информации. Но, настораживает то, какой процент отечественных компаний и организаций на сегодняшний день (это мы видим из результатов исследования, представленных на рис.3), не видят назревшей актуальности квалифицированного решения задач защиты информации. Возможно, именно в этом кроется основная причина того, почему мы не готовы к угрозам ИТ-безопасности. А ведь время идет и «пропасть расширяется»!

А.Ю.Щеглов, д.т.н, проф.

ЗАО "НПП "Информационные технологии в бизнесе"

www.npp-itb.spb.ru

Статью "22.03.2007 Почему мы не готовы к угрозам ИТ-безопасности?" Вы можете обсудить на форуме.




вверх
  Copyright by MorePC - обзоры, характеристики, рейтинги мониторов, принтеров, ноутбуков, сканеров и др. info@morepc.ru  
разработка, поддержка сайта -Global Arts