Главные на данный момент угрозы безопасности

Сегодня проблемы безопасности стоят перед организациями острее, чем когда-либо прежде. Старые беды вроде вредоносного кода обрушиваются на них с новой силой, поскольку средства проникновения в сети и наборы эксплойтов превращаются в товар. За годы непрерывно обостряющейся борьбы специалистов по защите с кибер-преступниками изощренность атак возросла. Все большее число сотрудников и клиентов пользуется новыми способами доступа в вездесущий Интернет.

Ситуация усугубляется тем, что сложные экономические условия заставляют организации сокращать свою инфраструктуру безопасности и расходы на защиту. В докладе компании PricewaterhouseCoopers за 2010 г. “Испытание огнем” (он основан на результатах ее собственного исследования “Состояние информационной безопасности в глобальном масштабе”, в ходе которого совместно с журналами CIO и CSO были проведены интервью с 7200 руководителями из 130 стран) указывается, что основными методами управления затратами при осуществлении проектов в области безопасности являются развертывание систем в уменьшенных масштабах или перенесение развертывания на более поздний срок.

Доклад подтверждает, что несмотря на рост угроз, расходы на обеспечение безопасности не увеличиваются. В 2009 г. впервые за последние четыре года доля респондентов, ответивших, что “расходы на защиту будут увеличиваться”, снизилась на 6%. При этом свыше 50% опрошенных заявило, что они “озабочены сокращением затрат, которое затрудняет создание адекватной защиты”. По их мнению, “угроза для их бизнес-активов возросла”.

Учитывая рост угроз и сокращение расходов, руководители служб информационной безопасности (chief information security officer, CISO) и ИТ-администраторы считают, что теперь в их обязанности входит не только отражение атак, но убеждение отвечающих за финансы сотрудников в необходимости выделения средств на обеспечение безопасности. В американских компаниях — в отличие от правительственных органов — руководители больше не желают тратить большие деньги лишь ради того, чтобы чувствовать себя защищенными. Ныне CISO должны не просто показать, что корпоративные активы надежно защищены, но и с цифрами в руках обосновать выгоды такой защиты.

Укрепление сотрудничества между руководителями бизнес-подразделений и ИТ-служб имеет стратегическое значение. В период экономического спада на специализированные средства защиты выделяется меньше ресурсов, а представители бизнеса чаще требуют ознакомления с целостными и убедительными планами, прежде чем выделить средства на безопасность. Реализация новых мер защиты или совершенствование уже имеющихся без четко очерченных целей и надежных методов определения их успешности быстро становятся неприемлемыми.

Это является правилом для сотрудников всех уровней, от высшего менеджмента до специалистов по безопасности, находящихся на передовой линии обороны. В деле обеспечения эффективной работы системы безопасности и документального засвидетельствования этой эффективности важную роль играют коммуникации — рассылка тревожных сообщений и отчетов.

Такое возросшее внимание к новым проектам, ставшее результатом инициатив по совершенствованию управления, снижению рисков и более строгому соблюдению нормативных требований, заставляет службы информационной безопасности делать свою работу более прозрачной. Прозрачность начинается с хорошо продуманных интегрированных защитных мероприятий, которые поддаются централизованному продвижению и управлению. К ним относятся борьба с вредоносными программами, предотвращение потери данных (data loss prevention, DLP), оценка уязвимости и установка исправлений ПО. Все большее значение приобретают управление угрозами и создание отчетов на основе нескольких журналов, ведущихся различными приложениями.

Экономический спад ведет к росту преступности

Атаки — как извне, так и изнутри — не являются чем-то новым. Однако за последний год появилось много докладов (например, изданных компаниями Panda Security, PwC и M86 Security), где указывается, что нынешний всплеск компьютерных преступлений вызван состоянием экономики, которое дает изготовителям вредоносного кода дополнительные стимулы к воровству. Трудно спорить с этим широко распространенным доводом. Столь же трудно понять, почему названные компании считают свой вывод оригинальным. (Ладно вам, ребята. Стоит ли указывать, что в непростые времена растет число склонных к воровству? Поинтересуйтесь у Жана Вальжана, героя романа “Отверженные”, действительно ли это является чем-то новым.)

Новое это явление или нет, но мошенничество привлекает все больше внимания со стороны высшего менеджмента. В уже упоминавшемся докладе PwC говорится также, что “защита данных теперь стала высшим приоритетом, и такая необходимость, как утверждают, диктуется временем”. Среди обследованных организаций доля реализовавших стратегию DLP увеличилась с 29% в 2008 г. до 44% в 2009-м. Многие респонденты указали, что их организации “неизменно придают большое значение безопасности данных и информации в соответствии с уровнем риска, которому те подвергаются”.

Сегодня в ходе битвы за информационную безопасность речь идет о деньгах. Международные преступные синдикаты арендуют сети ботов, а затем помогают мелким мошенникам отмывать деньги, украденные с помощью засланных в банки “троянцев”, таких как семейства Zeus и Silentbanker.

Прежде для совершения кибер-преступлений необходимо было нанять опытного программиста. Теперь же для этого достаточно приготовишек, умеющих писать скрипты, поскольку инструменты для создания эксплойтов, созданные с помощью пакетов Mpack и Gpack, широко доступны в Интернете. Большинство инструментов даже сопровождаются гарантией, технической поддержкой и обновлением версий. Вредоносный код до такой степени вышел из-под контроля, что мы становимся свидетелями эволюции мировой экономики услуг, когда некоторые начинают предлагать “криминальное ПО в виде сервиса”. Об этом упоминается в апрельском докладе компании M86 Security “Веб-эксплойты: для этого есть соответствующее приложение”.

Понятно, что в этих условиях проблема вредоносного кода занимает одно из первых мест в списке приоритетов любого человека, будь то домашний пользователь или CISO. В прошлом году резко возросло количество вариантов одного эксплойта (и это похоронило антивирусное ПО, использующее образцы кода), как и доля легитимных веб-сайтов, которые были взломаны и использовались для загрузки вредоносного кода на компьютеры ничего не подозревающих посетителей (и это означало, что решения для фильтрации веб-контента на основе доменных имен должны быть погребены по соседству с применяющими сигнатуры антивирусами).

Растет и число целенаправленных атак. Компания McAfee в своем “Прогнозе угроз на 2010 г.”, выпущенном в декабре 2009 г., описала эту широко распространенную проблему и привела в качестве примера GhostNet — “сеть из по крайней мере 1295 взломанных компьютеров, разбросанных по 103 странам”.

Многие предприятия при обновлении ПО полностью полагаются на системы управления заплатками. В 2009 г. практически все компании (Symantec, McAfee, IBM Internet Security Systems и др.) сообщали об увеличении количества атак, нацеленных на приложения. McAfee отмечала, что основной мишенью нападающих являются продукты корпорации Adobe Systems, в первую очередь Flash и Acrobat Reader.

Специалисты по безопасности утверждают, что многие из наиболее распространенных эксплойтов используют уязвимости, выявленные и исправленные пять и более лет назад. Чтобы уменьшить эту угрозу, достаточно просто регулярно устанавливать заплатки, хотя занятие это нудное и требующее времени.

Web 2.0: помощь и стимулы

Web 2.0 оказался во многих отношениях полезен компьютерным преступникам. Размещаемый пользователями контент стал главным источником вредоносного кода. В конце 2009 г. IBM ISS сообщила, что на легитимных сайтах вроде PlayStation.com обнаружено больше зловредного ПО, чем на подозрительных веб-узлах. Общедоступные службы блогов используются для размещения ссылок на порносайты, которые попутно загружают вредоносный код на компьютеры посетителей.

Социальные сети, такие как Facebook и Twitter, формируют ложное чувство доверия между пользователями и открывают отличные возможности для атак. Взрывообразное распространение на сайтах Facebook, Google и iPhone бесполезных игрушек, именуемых приложениями, вносит большой вклад в подрыв пользователями своей собственной безопасности.

К сожалению, нет сомнений, что ситуация с угрозами, распространяемыми через Web 2.0, будет усугубляться, прежде чем начнет выправляться. Мы уже помогли преступникам, собрав все свои персональные данные и сведения о наших интересах и разместив все это на серверах, которые мы не контролируем. Мошенник, желающий выдать себя за вас, за пять минут решит половину своей задачи, прочитав информацию на сайтах социальных сетей.

Кроме того, службы сокращенных URL-адресов, такие как Bit.ly и TinyURL.com, хотя и удобны, но при этом маскируют реальный URL и мешают людям и машинам определить надежность ссылки.

Не за горами HTML5, который принесет с собой совершенно новые виды атак. Если исчезает разница между веб-приложениями и настольными приложениями, этим воспользуются атакующие. Руководители корпоративных служб безопасности должны тщательно изучить HTML5, а также будущую операционную систему Google Chrome и определить, перевешивают ли их достоинства сопряженные с ними риски.

Поначалу это слияние локальных ресурсов с ресурсами Интернета восторгов не вызовет, и компании будут проявлять осторожность. Однако со временем появится какое-нибудь дурацкое приложение для домашних компьютеров, которое вам придется поддерживать по распоряжению генерального директора. Вашей службе информационной безопасности, разработчикам приложений для настольных ПК и для Интернета необходимо быть готовыми к такому повороту дел.

Обратная сторона медали — необходимость защищать свои серверы Web 2.0. От атак может пострадать не только ваша компания, но и ваши сотрудники, клиенты и партнеры по бизнесу. Каждая компания несет ответственность перед Интернет-сообществом за защиту своих серверов от их использования для атак.

Так что предусматривайте встроенные средства защиты при проектировании вашего сайта и процесса проверки качества ПО. Установите брандмауэр для веб-приложений и систему предотвращения вторжений (intrusion prevention system, IPS). Необходимо выявлять такие уязвимости, как встраивание вредоносного кода в ссылку на, казалось бы, безобидный сайт (cross-site scripting, XSS или CSS), IFrame (Inline Frame — HTML-документ, встроенный в другой HTML-документ) и плохо спроектированные формы, допускающие инъекцию SQL-кода.

Сегодняшние угрозы мало отличаются от прежних, но преступникам стало легче их создавать. В то же время компании делают все возможное для снижения расходов на безопасность. В результате единственный способ защитить корпоративные сети и данные — это хорошо спланированные инициативы в области безопасности и активный обмен информацией между руководителями бизнес-подразделений и служб информационной безопасности.