Інформаційна безпека підприємств - погляд експерта

Наша взаимовыгодная связь https://banwar.org/

Помилки в побудові системи інформаційної безпеки підприємств часто обертаються не тільки втратою даних, але і набагато більш серйозними наслідками. Про принципи побудови та впровадження засобів інформаційної безпеки, про можливі загрози та засобах їх виявлення і запобігання в своєму інтерв'ю, яке він дав відповідальному редактору журналу КомпьютерПресс Наталії Єлманова, розповідає Ханес любих, професор Швейцарського університету інформаційних технологій, в минулому - керівник відділу інформаційної безпеки одного зі швейцарських банків, а в даний час - провідний фахівець з інформаційної безпеки корпорації Computer Associates, виробника сімейства продукт ів eTrust, що охоплює всі (або майже всі) аспекти забезпечення інформаційної безпеки підприємств.

омпьютерПресс: Які, на ваш погляд, проблеми, пов'язані із забезпеченням інформаційної безпеки на підприємствах, можуть вважатися сьогодні найбільш серйозними?

Ханeс любих: Це багато в чому залежить від розміру підприємства. Великі компанії протягом тривалого часу вкладають кошти в забезпечення інформаційної безпеки, але через відсутність інструментів оцінки ефективності таких інвестицій керівництво таких підприємств нерідко прагне знизити ці витрати, сумніваючись у необхідності значних вкладень в дану область. При цьому нерідко керівники не мають точного списку вже наявних на підприємстві засобів подібного роду.

Ханес любих, професор Швейцарського університету інформаційних технологій

Основна проблема малих і середніх підприємств полягає в тому, що вони часто взагалі не в змозі дозволити собі здійснити побудова ефективної системи інформаційної безпеки самостійно. Але ж без цього їм буде дуже нелегко вижити на ринку в разі появи у них серйозних проблем з безпекою, оскільки великий компанії набагато простіше відновитися після атаки.

КП: Які проблеми, пов'язані із забезпеченням інформаційної безпеки, на ваш погляд, чекають підприємства в найближчому майбутньому?

Х.л .: Я думаю, що слід очікувати два типи загроз подібного роду. Перший з них - це вже відомі загрози зразок DoS1-атаки, але дуже великомасштабні. Другий тип загроз - це більш складні атаки, які використовують різні напрямки проникнення - як технологічні, так і використовують людський фактор. Наприклад, при плануванні атаки на велике підприємство можна підкупити чи шантажувати його співробітника або проникнути на підприємство, пронести на його територію необхідне обладнання і організувати атаку зсередини. При цьому цілком імовірно, що на таку атаку піде багато часу і коштів. На мій погляд, загрози подібного роду в переважній більшості не є технічними: в них задіяні насамперед люди і процеси і тільки потім - технології. А значить, контрзаходи теж повинні бути не технічними, хоча багато керівників компаній до сих пір перебувають в омані, що саме технології здатні вирішити проблеми безпеки.

1 DoS (Denial of service, - відмова в обслуговуванні) - вид атаки, що характеризується надмірною перевантаженням запитами атакується системи і використанням виникають внаслідок цього перевантаження збоїв в її роботі.

КП: Що б ви порекомендували підприємствам для вирішення подібних проблем?

Х.л .: Перш за все керівники компаній повинні зрозуміти, що повністю уникнути атак і інших проблем безпеки їм не вдасться. Їм слід змиритися з тим фактом, що деякі атаки виявляться успішними, при цьому навчитися їх виявляти, а також організувати IT-інфраструктуру таким чином, щоб підприємство не втрачало здатності функціонувати, навіть якщо воно піддалося атаці. Великим компаніям я рекомендую точно визначити, які елементи системи безпеки у них є і як вони між собою взаємодіють. Середнім і малим підприємствам я б порадив передоручити завдання забезпечення безпеки сторонньої організації.

КП: Які найбільш часто зустрічаються помилки, що здійснюються керівниками служб інформаційної безпеки великих компаній?

Х.л .: Мене серйозно турбує те, що дуже багато наших клієнтів встановлюють поновлення систем безпеки раз в тиждень або раз на місяць, не звертаючи уваги на наші рекомендації виробляти такі дії щодня. Та й взагалі, у великих компаніях нерідко працюють високооплачувані фахівці, які щодня здійснюють очевидні помилки - наприклад цілими днями переглядають log-файли брандмауерів, замість того щоб замінити брандмауер і автоматизувати цей процес.

Нерідко керівники IT-служб взагалі не мають уявлення про те, які у них є активи - комп'ютери, мобільні та інші пристрої, і які джерела даних, що потрапляють в компанію. Правда, в останньому випадку ми можемо встановити апаратне забезпечення, яке запровадить програмні агенти на всі пристрої, що володіють IP-адресою. Агент впроваджується в операційну систему і повідомляє по захищеному каналу на сервер, який збирає відомості про мережі, про виявлений програмному забезпеченні, а також дозволяє в разі підозр відключити пристрій від мережі.

КП: Які особливості стратегії Computer Associates в області інформаційної безпеки?

Х.л .: Для Computer Associates основними є три напрямки діяльності. Перше - це управління ідентифікацією та правами доступу. Нещодавно ми посилили свої позиції в цій області, придбавши одного з провідних постачальників рішень подібного призначення, компанію Netegrity, і в найближчому майбутньому збираємося інтегрувати її інструменти і технології c наявними у нас.

Другий напрямок нашої діяльності пов'язано з управлінням безпекою і з виробництвом товарів, які будуть збирати інформацію про все апаратному та програмному забезпеченні, наявному в компанії, про всі оновлення ПО і про всі слабкі місця, а також поставляти в реальному часі засоби захисту для кожного елемента IT- інфраструктури та інформувати IT-фахівців про те, що рівень захисту того чи іншого елемента недостатній.

І нарешті, третій напрямок - це так звана інтелектуальна захист (security intelligence), суть якої - збір і аналіз наявної інформації про різні події. Ця ідея реалізована в порталі безпеки, який вміє спілкуватися з декількома сотнями засобів забезпечення безпеки від різних постачальників. Зокрема, саме цей портал ми використовували в Афінах на торішніх Олімпійських іграх для збору інформації з усіх мережевих і мобільних пристроїв (кілька мільйонів подій в день), завдяки чому співробітники підрозділу безпеки Олімпіади мали повну картину того, що відбувається.

Крім цього ми активно працюємо над технологіями, які дозволяють запобігти атаці. Для цього використовується евристичний аналіз характеру поведінки. Спочатку продукт «навчається» на багатьох прикладах нормального поведінки, а потім аналізує реальну поведінку і повідомляє про виявлені відхилення. Так, наприклад, якщо фінансовий департамент компанії ніколи не працює у вихідні та раптом о третій годині ночі в неділю починає функціонувати - цей факт підозрілий і вимагає розслідування. Але поки ми в основному досліджуємо це питання.

За нашими спостереженнями, 80% проблем, пов'язаних з порушенням захисту даних, викликають від 10% добре відомих вірусів і черв'яків. Але завжди існують і особливі випадки, які також слід намагатися виявити, нехай навіть це виявиться помилковою тривогою.

Зауважу, що інші компанії роблять те ж саме. Так, компанія Cisco оголосила про ініціативу «безпечна мережа», суть якої полягає в тому, що перш ніж комп'ютера буде дозволено з'єднатися з мережею, мережева система допуску перевіряє, чи задовольняє даний комп'ютер вимогам до безпеки.

В цілому ж в мережі реалізується багаторівнева система безпеки і створюються три лінії оборони. Перша повинна зупинити якомога більше загроз від вторгнення на самому початку, друга - виявити в реальному часі ті з них, що змогли проникнути крізь першу лінію оборони, і третя лінія - ізоляція підозрілих файлів, даних та пристроїв.

КП: Які основні споживачі засобів забезпечення безпеки Computer Associates? Чи є у вас продукти для невеликих компаній?

Х.л .: В основному нашими клієнтами є великі підприємства - придбання деяких наших продуктів не виправдано, якщо в компанії менше 500 пристроїв. Але ряд наших продуктів масштабується «вниз» до рівня домашніх користувачів, хоча, звичайно, на цьому ринку багато інших постачальників і за великим рахунком не так вже й важливо, чиї саме продукти використовувати. Але для невеликих компаній ми пропонуємо антивірусні і антиспамовий рішення, які не вимагають установки і оновлення, а просто дозволяють підключитися до відповідного серверу через Інтернет і просканувати комп'ютер.

Зазначу, що продукти для кінцевих користувачів і невеликих компаній можна продавати через торгових партнерів - вони не вимагають адаптації. А ось для побудови системи безпеки великого підприємства потрібно інтеграційний проект, на який компанії доведеться виділити певні кошти. Правда, зазвичай будь-яка компанія прагне скоротити витрати і при цьому зберегти колишній рівень безпеки, та й взагалі, як правило, компанії зовсім не рвуться фінансувати ІТ-інфраструктуру, оскільки сама по собі вона прибутку не приносить. Саме це і роблять наші продукти - зробить життя адміністратора значно тими засобами забезпечення безпеки, що вже є на підприємстві, і забезпечують виконання більшого числа функцій при менших витратах.

КП: При виборі засобу забезпечення безпеки - будь то антивіруси, анти-шпигунське програмне забезпечення або інші категорії продуктів - важливі швидкість реакції компанії-постачальника на нові загрози і своєчасне поява відповідних оновлень. Яке середній час реакції CA на нові загрози і як саме вона на них реагує?

Х.л .: Наш відділ безпеки в CA працює цілодобово і розташований в трьох різних точках земної кулі. Він постійно постачає поновлення для наших продуктів. Зазвичай клієнт сам визначає, як часто йому повинні поставлятися поновлення. Самі ми поставляємо поновлення щодня, а в разі антивіруса - частіше, ніж раз в день.

Як тільки ми дізнаємося про нову загрозу, наша команда вивчає її і протягом чотирьох годин доповідає про свої висновки. Після цього приймається рішення про те, чи потрібно випускати термінове оновлення або можна створити його до кінця наступного дня. Ми помічали, що в ряді випадків занадто швидка реакція створює інші проблеми - за вірус чи іншу загрозу приймається те, що такою не є. Якось у нас з'явився новий файл з сигнатурою нового вірусу і заблокував всі zip-файли у всіх електронних листах - нам довелося його відкликати.

КП: У чому, на ваш погляд, полягають переваги продуктів CA перед конкурентами?

Х.л .: Я думаю, що головна перевага наших продуктів в тому, що з ними можна працювати індивідуально, а не купувати дорогу платформу безпеки. Але при появі інших інструментів для забезпечення безпеки від CA вони розпізнають їх і починають працювати спільно, і користувачеві не треба думати про інтеграцію продуктів. До того ж ми забезпечуємо достатній рівень сервісу, можемо здійснити інтеграцію з продуктами незалежних постачальників завдяки розумінню синтаксису і семантики повідомлень від цих продуктів.

КП: Які плани подальшого розвитку засобів безпеки CA?

Х.л .: Ми плануємо, по-перше, скоротити проміжок часу між першим повідомленням про нову загрозу і впровадженням відповідних оновлень. А по-друге, плануємо розвивати засоби аналізу інформації від систем безпеки інших типів, зокрема від охоронних систем, служб відеоспостереження, електронних пропускних пристроїв. Наприклад, за даними пропускної системи, співробітника в будівлі немає, але під його обліковим записом хтось зареєструвався в мережі, і такий факт слід проаналізувати на предмет порушення безпеки.

КП: Невже настільки очевидна річ досі ніким не реалізована?

Х.л .: Проблема полягає в тому, що подібного роду системи передають повідомлення у власні командні центри, а не в ІТ-службу, і для інтеграції систем фізичної безпеки та інформаційної безпеки потрібен спільну мову опису подій. Такою мовою, наприклад, може стати мова SAML2, який використовується консорціумом Liberty Alliance3.

Крім того, ми плануємо в найближчому майбутньому активно працювати над великомасштабними проектами спільно з такими партнерами, як Ernst & Young, IBM, і мають намір стати не тільки продуктової, а й сервісною компанією.

КП: Велике вам спасибі за цікаву бесіду. Бажаємо вашій компанії успіхів на російському ринку.

2 SAML (Security Assertion Markup Language) - мова розмітки захищених тверджень, розроблений організацією з розвитку стандартів структурованої інформації OASIS.

3 Liberty Alliance - консорціум, до якого входять близько 70 компаній, включаючи Sun Mycrosystems, AOL і HP. Мета діяльності консорціуму - створення єдиної системи ідентифікації користувачів Інтернету, альтернативної Microsoft Passport і, на відміну від останньої, що є децентралізованою.

КомпьютерПресс 4'2005