Оставив позади 2009 г., мы пытаемся предугадать, что принесет нам год текущий. Всех нас волнует вопрос о том, каких изменений стоит ожидать в сфере обеспечения безопасности данных. К тому же следует принять во внимание, что в ближайшее время вступит в силу Федеральный закон Российской Федерации от 27 июля 2006 г. № 152 “О персональных данных” и российское правительство уже планирует проведение активных проверок соответствия его требованиям. Борьба между компьютерными злоумышленниками и специалистами по защите важной информации не прекращается ни на минуту, а это значит, что используемые обеими сторонами методы постоянно меняются. И чем лучше вы сможете спрогнозировать действия противной стороны, тем лучше “вооружены” вы будете для защиты. Мы рассмотрим здесь некоторые новые тенденции, которые, на наш взгляд, сегодня развиваются особенно быстро, и поговорим о том, как эти изменения могут повлиять на общую стратегию защиты баз данных.
Злоумышленники получают все более совершенные программные средства
За прошлый год набор программных средств с открытым исходным кодом, имеющийся в распоряжении злоумышленников, значительно усложнился и усовершенствовался, а в 2010 г. еще большее число хакеров возьмет эти средства на вооружение. Благодаря широкому распространению эти программные средства с новыми видами атак и новыми функциональными возможностями будут все эффективнее, позволяя хакерам любых уровней квалификации проникать в базы данных все более изощренными способами. В результате увеличится число полностью автоматизированных случайных атак, не нацеленных на конкретную компанию, а ищущих слабые места в системе защиты везде, где только можно. В ежеквартально выходящем наборе исправлений (CPU) корпорации Oracle, как и во многих исправлениях, которые каждый вторник выпускает корпорация Microsoft, сообщается о новых уязвимостях. Эти уязвимости будут сразу же эксплуатироваться программными средствами злоумышленников, позволяя им совершать немедленные атаки на указанные “слабые места”.
Появляются решения для защиты данных в облаке
Значительным препятствием, которое не позволяет многим организациям перейти на технологию Cloud Computing (облачных вычислений) является вопрос защиты приложений, в которых хранятся важные данные. Согласно требованиям законодательства, компании должны представить неопровержимые доказательства того, что данные о кредитных картах и прочая личная информация обрабатывается в соответствии с правилами и постановлениями; однако в облаке такие данные труднее отслеживать. Как защитить информацию, когда неизвестно даже, на каком сервере она находится? Данные часто перемещаются и могут копироваться без уведомления; к тому же приложения, обращающиеся к ним, просты в установке и интеграции, однако их работу трудно контролировать с точки зрения безопасности, что создает возможность возникновения бреши в защите. Но появляются и новые решения, устраняющие проблемы с защитой данных в облаке. Методы, привязывающие элементы управления данными к основной базе данных, а также централизованное управление правилами и возможностями входа в систему позволяют защитить данные даже в чрезвычайно динамичной среде.
Важной задачей становится соблюдение нормативных требований при минимальных затратах
Организации сознают, что необходимо соблюдать нормативные требования по защите данных, принятые в соответствующих отраслях, однако в нынешних экономических условиях приходится тщательно контролировать каждую статью расходов. Поэтому большинство предприятий прекратят инвестиции в решения по защите данных, как только будет достигнут минимальный уровень соответствия требованиям. При выборе технологий предпочтение будет отдаваться продуктам, обеспечивающим достаточную защиту при минимальной общей стоимости владения. Количество используемых ИТ-ресурсов также будет сведено к минимуму, поэтому при выборе решений ключевое значение будут иметь и такие факторы, как простота внедрения и сроки достижения приемлемого уровня соответствия требованиям.
Злоумышленники извне находят дорогу во внутренние сети
Обычно мы рассматриваем атаки как нечто, идущее извне локальной сети или же от внутренних пользователей, злоупотребляющих своими привилегиями. Однако в 2010 г. эти представления придется значительно пересмотреть, так как все более распространенными становятся другие виды атак: ·
- обычное посещение веб-сайта теперь может повлечь за собой загрузку новых типов вредоносных программ, которые будут анонимно атаковать компьютеры изнутри сети, не затрудняясь поисками бреши в системе защиты; ·
- участятся случаи организованного преступления, нацеленного на конкретные компании — проникновение злоумышленников в организацию под видом сотрудников или подрядчиков с единственной целью — получить доступ к важным данным; ·
- широкое распространение получит использование финансовых средств (подкупа или вымогательства с целью оказания давления) для привлечения сотрудников, имеющих доступ к конфиденциальной информации, в качестве помощников злоумышленников.
Чтобы обезопасить себя от подобных “внутренних” уязвимостей, потребуются решения, обеспечивающие защиту данных независимо от источника атаки. Таким образом, важнейшей частью стратегии безопасности данных в каждой организации должен стать выход за рамки мер по защите сетевого периметра или мониторинг сети.
Меньше данных — меньше риска
Подобно тому как активное использование правил удержания сообщений электронной почты позволило ограничить раскрытие данных в сфере предоставления электронной информации (eDiscovery), вскоре компании начнут активно удалять важные данные сразу после их использования. Подумайте, а надо ли вам хранить записи об оплате обучения, налоговые декларации по финансовой помощи на образование и сведения о банковском счете учащихся, после того как они завершат обучение? Насколько долго нужно сохранять данные о владельце кредитной карты, после того как срок оспаривания операции по этой карте миновал? Каждая ситуация уникальна и требует всестороннего анализа ключевых бизнес-процессов, но подумайте вот о чем: если старые важные данные можно просто удалить, останется меньше данных, которые необходимо защищать.
Автор — главный директор по технологиям в компании Sentrigo.