По данным Computer Economics, в мире снижается общий ущерб от злонамеренных компьютерных атак. Если в 2004 г. он составлял 17,5 млрд. долл., то в 2006-м только 13,3 млрд. Этот результат, как считают эксперты ИТ-безопасности, обусловлен появлением на рынке и массовым внедрением в пользовательской среде эффективных средств защиты.
Вместе с тем принесла свои горькие плоды адресность атак, о которой заговорили года три назад. Так, по данным организации CSI, компании, участвующие в ее опросах, отметили двукратный рост убытков от атак: 345 тыс. долл. в среднем на компанию в 2007 г. против 166 тыс. в 2006-м.
Основная особенность современных компьютерных атак заключается в том, что они приобрели характер точечных целенаправленных воздействий, преследующих цели извлечения коммерческой выгоды. Вирусы пишут теперь по заказу конкретных организаторов атак и под конкретные атакуемые объекты.
Попробуем вместе с экспертами ИТ-рынка выделить узкие места в защите информации, на которые устремлены сегодня корыстные интересы взломщиков. На их защите и стоит сосредоточиться пользователям.
Веб-приложения — ахиллесова пята сетевой безопасности
Ведущие разработчики средств защиты информации утверждают, что уязвимости веб-приложений сегодня представляют наиболее массовый источник брешей в сетевой безопасности. На рис.1 представлены данные, полученные исследовательской лабораторией TrendLabs компании Trend Micro. Они демонстрируют явное численное преобладание веб-угроз в атакованных сетях над другим современным компьютерным бедствием — червями.
Компания “Позитив Текнолоджиз”, российский разработчик систем комплексного мониторинга информационной безопасности, подготовила обзор уязвимостей веб-приложений за 2007 г., из которого следует, что 63% российских сайтов имеют критичные уязвимости, а 93% — уязвимости средней степени риска.
Обзор готовился по данным, полученным в ходе аудита информационной безопасности российских операторов телекоммуникационных услуг, компаний финансового сектора, государственных структур, предприятий нефтегазового комплекса, компаний, разрабатывающих и эксплуатирующих онлайновые приложения. В ходе проверок 61 веб-приложения в них было обнаружено и классифицировано более 500 ошибок.
Наиболее распространенными уязвимостями, согласно данным отчета “Позитив Текнолоджиз”, являются межсайтовое выполнение сценариев (Cross-Site Scripting, XSS), внедрение операторов SQL (SQL Injection) и различные варианты утечки информации (Information Leakage). При этом специалисты “Позитив Текнолоджиз” считают, что ситуация с защитой веб-приложений из года в год практически не улучшается.
Спам вредный, спам полезный
Согласно данным IronPort, дочерней компании Cisco, ежедневно в мире распространяется 120 млрд. спамерных электронных посланий. Долю спама в Рунете, по сведениям “Лаборатории Касперсокго”, колеблется между 60 и 80%, приближаясь больше к 80%.
Однако, как показывают результаты исследований Business Software Alliance (BSA), объединяющего разработчиков ПО всего мира, однозначного решения о вреде или полезности спама до сих пор нет. Ведь на вопрос: “Покупали ли вы хотя бы раз что-либо полезное для себя по спамерным рассылкам?” — утвердительно ответили от 32% опрошенных в Канаде до 66% в Бразилии. Спам по-прежнему помогает производителям продвигать продукцию, а потребителям находить нужные товары. Данные “Лаборатории Касперского” по Рунету тоже свидетельствуют о направленности спама на продажи товаров и услуг (см. рис. 2).
Беда даже не в том, что сегодня спам занимает около 80% российского почтового трафика и отвлекает от работы каждого сотрудника, имеющего электронную почту, на десятки минут ежедневно (против чего активно настроена администрация компаний). Беда в другом: главным двигателем спамерных технологий становится не реклама; об этом говорят как международные данные компании IronPort, так и данные “Лаборатории Касперского” по российскому сегменту Сети. Современный спам используется для совершения киберпреступлений. И если общий объем спама за 2007 г. вырос на 100%, объем “грязного спама” (т. е. спама со ссылками на опасные сайты, с вредоносным кодом), как утверждает IronPort, вырос на 253%.
Мировая киберпреступность, согласно отчетам экспертов, еще в 2004 г. обогнала по темпам роста и доходности торговлю наркотиками и оружием. И пока ситуация не изменится, спамеры, как один из отрядов киберпреступного войска, будут бороться против антиспамерских технологий, используя для этого часть своих криминальных сверхдоходов. Только за 2007 г., по данным BSA, в спаме было использовано новых технологий более чем в два раза больше, чем за два предыдущих года.
Такое положение вещей вызывает симметричные действия компаний, разрабатывающих средства защиты от спама, что спровоцировало рост рынка антиспамерских средств на 0,5 млрд. долл. в год. Выбор решений для организации защиты от спама достаточный как для корпоративных, так и для индивидуальных пользователей. Сегодня защититься от вредоносных программ и спама можно в том числе и через провайдеров, предоставляющих соответствующие услуги (см., например, www.pcweek.ru/themes/detail.php?ID=72976; www.pcweek.ru/themes/detail.php?ID=106468).
Интеллектуальные вредоносы
Вирусные воздействия, прямой финансовый ущерб от которых в 2007 г. снизился (согласно данным CSI) по сравнению с 2006-м вдвое, в прошлом году, как отметил Андрей Степаненко, директор по маркетингу “Информзащиты”, претерпели знаковые изменения. Г-н Степаненко приводит несколько наиболее ярких примеров, характеризующих эти перемены.
Один из них — почтовый червь Feebs. Попав в компьютер, он не организует рассылку писем по адресному списку зараженного компьютера, как это делают его менее интеллектуальные собратья, а ждет, пока пользователь компьютера сам напишет письмо, с тем чтобы поместить в его конец свое вредоносное дополнение. Это позволяет червю организовать механизм самораспространения через доверенных адресантов в теле писем со вполне деловым содержанием. Получатель подобного письма не в состоянии вручную отфильтровать по внешним признакам на входе зараженную таким способом корреспонденцию. К тому же, как выяснилось, этот способ распространения отличается хорошей скоростью заражения.
Другим примером качественных изменений в вирусной среде стала технология Storm, вызывающая большую обеспокоенность у специалистов по защите информации. Они называют ее “платформой нападения” за то, что она объединяет трояна, бот-программу, червя, спам-машину и организатора DoS-атак.
Бот-ядро Storm в отличие от других бот-программ не образует из зараженных компьютеров явно выраженную иерархическую структуру. Его центр управления очень хорошо маскируется благодаря тому, что умеет связываться с любой из зараженных машин, которая, в свою очередь, по технологии P2P передает команды на вредоносные действия другим членам бот-сети. Если Storm попадает на компьютер с запущенным веб-сервером, червь создает на сервере зараженную страницу и рассылает ссылку на нее по бот-сети, с тем чтобы зараженные машины вставляли в спамерские письма новый пул адресов.
Эта военная хитрость обезоружила разработанные и активно продвигаемые в 2007 г. технологии борьбы с бот-сетями. Чтобы нарушить управление бот-сетью, теперь недостаточно вычислить зараженную управляющую машину и изолировать ее от сети, поскольку управляющие функции в состоянии выполнить любой член бот-сети, а обнаружить вершину такой сети, как считает Андрей Степаненко, чрезвычайно трудно.
Постоянная мутация Storm затрудняет очистку компьютеров от заражения, к тому же в этой технологии реализована самозащита. С заданной злоумышленниками регулярностью эта бот-сеть проводит атаки на сайты разработчиков средств по борьбе с вредоносным кодом, с тем чтобы затруднить загрузку обновлений и тем самым усложнить процесс лечения от мутирующих версий Storm. Если безопасники начинают сканировать сеть зараженных машин, то Storm распространяет по своей сети IP-адреса компьютеров исследователей и зараженные машины проводят на них DoS-атаки. Этот механизм автоматической самозащиты серьезно затрудняет исследование бот-сети.
К настоящему времени, по мнению г-на Степаненко, не найдено эффективных средств борьбы со Storm, антивирусные компании регулярно выпускают патчи на обновления этого червя, но он по-прежнему организует наиболее масштабные эпидемии, и многие пользователи даже не подозревают о заражении Storm из-за высокой латентности этого вредоносного ПО.
Инсайд: злонамеренность и халатность
Согласно данным CSI, ущерб от нарушений безопасности, приходящийся на каждого работника в каждой компании, составляет в США 50 долл. в год, при этом 60% атак на компании организуются изнутри и именно по вине персонала. Счет утративших конфиденциальность персональных данных клиентов — в пенсионных фондах, банках, страховых компаниях, медицинских учреждениях и т. п. — в США идет уже на сотни миллионов. Сотрудники теряют носители информации, приносят на мобильных носителях внутрь сети вирусы.
На волне проблемы утечек информации специалисты по информбезопасности активно муссируют тему инсайдерских угроз. Расставить в ней верные акценты помогает собранная американской исследовательской компанией Geer Risk Services информация об утечках за последние четыре года. Эта информация свидетельствует о том, что доля утечек, связанных со злонамеренными действиями инсайдеров, составляет всего 5% от общего числа, а 60% утечек приходится на банальные потери носителей информации — ноутбуков, коммуникаторов, флэш-накопителей, съемных дисков и т. п. — из-за халатности их владельцев. Остальные 45% данных теряют конфиденциальность из-за краж внешними злоумышленниками, при этом зачастую они покушаются вовсе не на данные, а на носитель, на котором те хранятся, т. е. на тот же ноутбук.
Давление нормативного регулирования
Результаты анкетирования 500 участников форума Forester’s Security Forum EMEA 2007, которых попросили оценить по пятибалльной системе наиболее важные для них аспекты защиты информации, показали, что на первое место респонденты поставили соответствие нормативным актам, регулирующим бизнес их компаний. На втором месте — обеспечение непрерывности бизнеса и восстановление после катастроф, на третьем — защита от утечек. Влияние спама и вирусов заботит ИТ-руководителей гораздо меньше. Фактически это означает, что именно организационные проблемы волнуют специалистов по защите больше всего.
Нормативное регулирование в области ИБ налагает на компании обязанность соблюдать довольно жесткие условия работы с информацией, что, с одной стороны, способствует сохранению конфиденциальности данных, а с другой — прозрачности функционирования компаний.
Например, чтобы выйти на Нью-Йоркскую фондовую биржу, компания должна официально заявить о том, что ее информационные системы соответствуют требованиям закона Сарбейнса — Оксли (SOX), тем самым подтверждая свою готовность к аудиторским проверкам, которые в случае обнаружения несоответствия SOX грозят штрафом, достигающим 5 млн. долл.
Банк, который является прямым партнером системы Visa и не выполняет в своих бизнес-процессах стандарт PCI DSS, определяющий требования к защите платежных систем, обязан платить ежемесячный штраф до тех пор, пока не пройдет аудит, подтверждающий соответствие требованиям стандарта PCI DSS.
Связанные с выполнением этих и других нормативных требований затраты в результате оборачиваются для компаний повышением ее уровня безопасности и лояльности клиентов. Хотелось бы надеяться, что, выдвигая соответствие нормативным актам на первое место в списке приоритетных рисков, связанных с ИБ, компании осознают эти прямые выгоды, а не только следуют формальному выполнению требований внешних контролирующих структур. Правда, исследования, как-либо подтверждающие это, автору статьи не встречались.
В прошлом году компания Gartner впервые опубликовала кривую гиперцикла развития для 25 нормативных документов Европы и США, имеющих отношение к ИБ. Из этого графика, показывающего стадии развития и степень влияния документов на компании, видно, что регуляторы “закручивают гайки”, и компаниям приходится тратить заметные средства на соответствие требованиям этих документов.
Реагируя на рост в бюджете статей расходов на ИТ-безопасность, составляющих, по экспертным оценкам 5% от всех средств, выделяемых на ИТ, в 2007 г. уже 85% (против 60% в 2006-м) западных компаний стали оценивать возврат инвестиций в ИБ (структура расходов на ИБ в западных компаниях в пересчете на одного сотрудника в год в зависимости от их размеров приведена в таблице). В то же время в России число таких организаций, как сообщил Владимир Мамыкин, директор по информационной безопасности “Майкрософт Рус”, ничтожно мало. Он считает это следствием того, что российские компании тратят на ИБ примерно в десять раз меньше зарубежных компаний: вроде как и не стоит беспокоиться о такой незначительной расходной статье бюджета компании. И в то же время это серьезно затрудняет финансирование направления ИБ.
Кадры решают…
То, что сегодня очаги киберперступлений, согласно данным компании F-secure, сосредоточены в Китае, России и странах Южной Америки, а завтра к ним присоединятся школы “черных” хакеров из Африки, Юго-Восточной Азии и Центральной Америки, г-н Мамыкин объясняет недоработкой в законодательстве этих стран, но главным образом тем, что слабым законам противостоят сильные мозги, которым в слаборазвитых странах нет легальной, хорошо оплачиваемой работы и которые благодаря Интернету могут выплеснуть свой интеллектуальный потенциал в виде киберпреступлений во внешний мир.
Поэтому одним из первых шагов в борьбе с киберпреступностью, по мнению г-на Мамыкина, должно стать создание рабочих мест, привлекательных для ИТ-профессионалов. Как показывают исследования, даже экономический спад в США не станет причиной стагнации на рынке труда в ИТ-отрасли (см. www.pcweek.ru/themes/detail.php?ID=107602). Страны, переживающие экономический подъем (где как раз и располагаются очаги новой волны киберперступлений), тем более заинтересованы в том, чтобы создать условия, при которых ИТ-кадры смогут принять цивилизованное решение, по какую сторону баррикад им реализовывать свои знания.