eWeek Labs изучает запросы пользователей и реакцию производителей
Все ближе день, когда американское правительство пополнится еще одним органом - министерством отечественной безопасности (Homeland Security Department). Его появление конечно же скажется на ситуации с защитой вычислительных и сетевых систем - но каким образом? Этот вопрос не может не волновать потребителей ИТ. Интересуют их, естественно, и другие аспекты проблемы - в частности, совершенствование методов взлома и новые разработки производителей средств защиты.
Винсент Уифер из Symantec внимательно
следит, чтобы никто не “вставил ногу в дверь”
Два мира - общественной безопасности и иностранных разведок, - ранее существовавшие совершенно раздельно, теперь соседствуют в вечерних новостях. Стражи правопорядка предпринимают акции на самом высоком уровне, примером чему может служить расследование, проведенное в конце прошлого года фирмой Ptech. А законодатели, со своей стороны, принимают документы, требующие широкомасштабной (и потенциально прибыльной для производителей ИТ) обработки информации - взять хотя бы закон с лукавым именем “Патриот США” (его полное название - “Объединение и усиление Америки за счет предоставления средств, необходимых для предотвращения и пресечения терроризма”).
Понятно, что менеджеров ИТ из частного сектора экономики столь навязчивые новые правила весьма тревожат. Тем более, что в Белтвее ведется обычная закулисная борьба фракций, которая может помешать министерству безопасности приступить к работе в запланированный срок - 1 марта. Чиновникам до сих пор не удается договориться, чьи люди займут в новом органе те или иные высшие посты...
В предлагаемом ниже обзоре специалисты eWeek Labs рассматривают проблемы безопасности и с точки зрения корпоративных пользователей. Здесь же анализируется постепенно меняющееся отношение производителей ИТ к решению этой проблемы, а также их реакция на запросы потребителя, реализованная в продуктах и услугах.
Выполнить задачу обеспечения безопасности правительству мешают масштабы Интернета. “Что мне стоит написать вирус в Южной Америке, воспользоваться зомби в Японии и атаковать цели в США? - рассуждает Винсент Уифер, старший директор подразделения Symantec Security Response корпорации Symantec. - Очень трудно создать закон, который бы не противоречил законам других стран и при этом не устарел уже через пару минут после принятия”.
А Брайан Келли, исполнительный директор частной компании iDefense, также занимающейся защитой вычислительных сетей, уверен, что для обеспечения безопасности правительство способно использовать международные программы и даже поддерживать их, но создавать собственное законодательство в этой области выше его сил. “Правительство должно занять место лидера и обеспечить общее руководство, но ему не стоит заниматься ненужным законотворчеством, - утверждает Келли. - В противном случае появится масса контролеров и бюрократов, а само дело в конце концов пострадает”.
Сходной точки зрения придерживаются и производители средств защиты, само собой разумеется, защищающие свою область деятельности. Да и корпоративные пользователи, с которыми беседовали сотрудники eWeek Labs, воспринимают программы правительства по обеспечению компьютерной безопасности с явным недоверием.
“Когда правительство пытается ограничить экспорт, скажем, криптотехнологий, это больше мешает, чем помогает, - считает Эд Бининкаса, директор информационной службы фирмы FN Manufacturing. - Многие компании вроде нашей являются многонациональными, да и границы между государствами начинают стираться. Не стоит забывать и того, что технология развивается и в других странах, поэтому такие ограничения снижают конкурентоспособность американцев”.
А старший вице-президент и исполнительный директор United Labor Bank из калифорнийского города Окленда Майкл Шведхельм отнюдь не считает, что реакция законодателей и властей обязательно должна идти в одном русле с культурой динамической среды безопасности. “Я чувствую себя намного комфортнее и увереннее в нынешних условиях с централизованными частными и получастными организациями наподобие CERT, SANS и Bug Traq”, - признается он.
Сомнение в том, что государственные антитеррористические органы должны заниматься кибероружием, высказывает и Уифер из Symantec. “Сегодняшнюю обстановку я сравнил бы не с одиннадцатым, а с восемнадцатым сентября, которое тоже стало ключевой датой, - говорит он, имея в виду вспышку вируса Nimda спустя неделю после террористических атак на Всемирный торговый центр и Пентагон. - Не стоит тратить время на выяснение того, кто собирается атаковать. В большинстве случаев хакеры используют сходные технологии”.
И все же есть одна сфера, где роль государства не может вызывать никаких сомнений. Это - поддержание порядка.
“Я привык к тому, что раз в квартал приходят аудиторы, делают свою работу и идут дальше. Служба ИТ к таким визитам готова, принимает гостей, а затем возвращается к обычным делам, - рассказывает Стив Артик, вице-президент фирмы Pedestal Software. - Сейчас мы взаимодействуем намного теснее, так как руководство само сильно заинтересовано в таком контроле. Все дело в законе о страховании здоровья и отчетности по нему, нарушение которого чревато огромными штрафами”.
При таком внимании к отчетности намного легче обосновать расходы на средства обеспечения безопасности, чем раньше, когда больше рассуждали о потенциальных угрозах и сбоях в работе.
Пограничный патруль
И пользователи техники, и получатели счетов хотят знать, почему их личные данные находятся в опасности, финансовое положение становится известным посторонним лицам, а возможность выполнять повседневную работу оказывается под постоянной угрозой безответственных шутников и хладнокровных преступников (не говоря уже о ненадежности технологий). Невыполненные обещания не просто разочаровывают: люди чувствуют себя так, будто их предали, и никто уже не поверит в реальность “защищенных” вычислительных систем.
Самое горькое разочарование поджидает тех, кто, по словам Уифера из Symantec, думает, что все сделано. У них установлен антивирус, сеть защищена брандмауэром, и они полагают, что сполна оплатили счет за свою безопасность. “Но разве кто-то может предусмотреть абсолютно все?” - задается вопросом Уифер.
И в самом деле, архитекторы ИТ весьма остро переживают необходимость перенацеливания своих скудных ресурсов.
“Защита периметра сегодня становится важной как никогда, - уверен Роберт Розен, исполнительный директор Национального института артритов, костно-мышечных и кожных заболеваний. - Я знаю статистику по министерству здравоохранения и социального обслуживания. Хорошо, что мы надежно защищаемся, только вот платить за это приходится очень дорого. Лучше было бы потратить эти средства на медицинские исследования”.
Многие подразделения ИТ обманывают себя, когда сначала расходуют деньги на технологии защиты, а затем тратят массу времени на устранение проблем, которые часто сводят на нет предполагаемые преимущества.
“Людей охватывает ложное чувство безопасности сразу же после развертывания защитных технологий, пусть даже непонятных им, - считает Келли из iDefense. - Они думают, что если светятся огоньки, то все нормально. А между тем инструментарий неправильно устанавливается, неправильно обслуживается, неправильно конфигурируется... В конце концов основная работа администратора - обеспечить обмен данными”.
Слова Келли полностью подтверждаются опытом eWeek Labs, накопленным в ходе международных акций OpenHack. Одну из главных опасностей создают неправильно сконфигурированные системы, и никакое законодательство эту проблему не решит. Не только независимые организации наподобие института SANS, но и ФБР отводят ей один из высших приоритетов.
Причины недовольства, равно как и стимул к постоянному упрощению параметров безопасности, кроются в огромном количестве ложных предупреждений, которые выдают многие защитные системы.
“Как правило, сканирование системы выявляет до двух сотен слабых мест, - констатирует Уифер из Symantec. - Но если проанализировать основные атаки, то окажется, что достаточно закрыть лишь некоторые уязвимые места”.
По словам этого специалиста, в подавляющем большинстве случаев хакеры используют крохотную долю потенциальных брешей. Поэтому стратегия безопасности должна базироваться на реальных, а не на возможных угрозах.
Больше всего нужен инструментарий, который бы сам постоянно определял, что является нормой, и привлекал администратора только для решения неординарных проблем. Совершенно очевидно, что сама такая идея, как уверен Шведхельм из United Labor Bank, просто безумна, если у вас нет автоматизированной системы, - человеческое вмешательство здесь должно быть сведено к минимуму.
Решить долгожданную задачу и совместить безопасность с высокой производительностью администратора обещает фирма Stratum8 Networks из калифорнийского города Санта-Клара. Ее продукт под названием Stratum8 APS, опираясь на несколько запатентованных алгоритмов, за день-два строит модель приемлемого состояния конкретного узла, причем делает это в неблокирующем “режиме обучения”.
“Допустим, в период обучения мы видим, что во всех 40 тысячах сеансов мы получили куки с довеском в 18 байт, - поясняет исполнительный директор фирмы Боб Уолтерс. - В этом случае едва ли стоит предполагать, будто сам Господь проводит атаку с отказом в обслуживании. Мы несколько ослабляем правила, но не вводим их в действие до тех пор, пока их не утвердит человек. Благодаря этому удается избежать жалоб на ложные предупреждения”.
Действуя на прикладном уровне, технология Stratum8 позволяет создавать очень эффективную модель. В этом она намного превосходит другие технологии, которым не хватает высокоуровневого знания того, что должно происходить в системе.
“Даже на самых сложных Web-узлах имеется всего десяток-другой послаблений, - говорит Уолтерс. - То ли дело системы обнаружения взломов в сетевых доменах с сотнями, а то и тысячами подобных выражений”. Технология Straturm8 проверку в eWeek Labs еще не проходила, но, судя по независимым отзывам, обещаниям фирмы продукт соответствует.
Улучшить свои системы путем выбора наилучшей точки защиты стремятся и другие производители. Вместо того чтобы бороться с хаосом сетевого пограничья, они оптимизируют баланс между ресурсами и результатами на высшем уровне сервера приложений.
“Концепция сетевых экранов возникла после того, как мы открылись для электронной почты и других подобных сервисов, поскольку были вынуждены заделывать бреши, - утверждает Род Мерчисон, вице-президент по разработке продукции фирмы Ingrian Networks. - Теперь же всю угрозу мы видим от протоколов, которые приходится держать открытыми ради ведения бизнеса. Но самую серьезную опасность представляют сейчас Web-серверы”.
В финансовой и медицинской областях корпоративные
партнеры eWeek Labs Майкл Шведхельм (слева) и
Роберт Розен хотят выявлять угрозы совместными усилиями
Эти слова полностью подтверждаются наблюдениями eWeek Labs, сделанными в ходе OpenHack. Организаторы атак на тестовые сайты почти не пытались нападать на базовые структуры, а выходили прямо на прикладной уровень, где и начинали искать уязвимые места.
Для всех систем защиты по периметру серьезной угрозой становится постоянно растущая фрагментация трафика, пересекающего границы в зашифрованном виде.
“Самые свежие примеры угрозы - модифицированные Nimda и Code Red, приспособленные для работы через SSL (Secure Socket Layer - уровень безопасных гнезд), - предупреждает Мерчисон из Ingrian Networks. - Между клиентом и сервером существует шифрованный туннель, но в большинстве развернутых сегодня серверов действие SSL прекращается на плате внутри самого сервера”.
Чтобы защитить серверы от атак, в ходе которых защитные системы преодолеваются “в камуфляже”, продукты Ingria принимают на себя весь контроль над входящим трафиком. “Мы можем разрывать открытые подключения, когда они передаются на сервер, - поясняет Мерчисон. - Например, мы сканируем данные, находим номер кредитной карточки и шифруем его перед тем, как он вернется на сервер. Все, что имеет форму или структуру XML или SOAP (Simple Object Access Protocol - простой протокол доступа к объектам), как, впрочем, и все остальное, можно обнаружить и зашифровать ключом, хранящимся в аппаратуре. К шифрованию на местах мы относимся очень серьезно”.
У производителей компьютерных микросхем сама мысль о том, что корпоративный покупатель будет шифровать, дешифрировать и перешифровывать одни и те же данные, вызывает разве что скептическую улыбку. Дело в том, что сети строятся, что называется, с бору по сосенке, ни о какой единой структуре здесь и речи быть не может. И это - скорее расплата за экономию при использовании независимого Интернета, нежели последствия применения заказных сетей с добавлением услуг. eWeek Labs надеется, что в перспективе корпоративные менеджеры смогут видеть, что и где происходит. Сеть уже не будет единым монолитом, который хотя и более эффективен, но страдает целым рядом недугов, включая опасность отказа из-за одной-единственной неисправности и несовместимость технологий.
Пока же радует то, что корпорации быстро осваивают средства шифрования для VPN, и полученные результаты их вдохновляют (такое, правда, при обсуждении вопросов безопасности можно слышать не часто).
“По сравнению с сетями на основе кадров внедрение VPN приводит к расширению полосы пропускания, снижению расходов и увеличению надежности, - отмечает Бининкаса из FN Manufacturing. - Пользователям это нравится. Такие перспективы удовлетворяют даже тех, для кого технология VPN остается тайной за семью печатями. Это не мешает принять ее на вооружение”.
Опыт Бининкасы ясно говорит о том, что ИТ-администраторам вполне по силам заботиться о повышении безопасности и усовершенствованиях. Благодаря этому потребители на себе ощущают пользу нововведений и начинают поддерживать необходимые меры.
Опасен тот враг, что внутри
Длина периметра пропорциональна размеру фигуры, но площадь растет в квадратичной зависимости. То же можно сказать и о проблемах на границах сети: обнаруживать и решать их гораздо легче, чем те, которые могут возникнуть в любой точке внутри периметра.
А ведь результаты исследований различных групп, включая подразделение компьютерных взломов ФБР из Сан-Франциско, свидетельствуют, что не менее трети атак производится именно изнутри. Если же оценивать наносимый системам урон или ущерб для предприятия в стоимостном выражении, то эта цифра будет еще больше.
“Компании тратят массу денег на сетевые экраны и системы выявления взломов, - отмечает Дэн Джуд, президент фирмы Security Software Systems, - но оказывается, что 70% брешей имеют внутреннее происхождение. Это не просто финансовая информация. Это - интеллектуальная собственность. Данные, пересылаемые внутри сети, требуют самого пристального внимания”.
Под “опасной компьютеризацией” в общем смысле понимается злонамеренное использование ИС, наносящее серьезный ущерб предприятию. А это значит, считает Джуд, что корпоративные ИТ-подразделения должны интересоваться распространением сексуально ориентированной электронной почты не меньше, чем атаками на инфраструктуру ИТ или конфиденциальные данные.
Продукт под названием Policy Central, предлагаемый фирмой Security Software Systems, как раз и предназначен для корпоративного контроля над использованием вычислительной техники служащими. Как следует из юридической практики, суды сегодня явно исповедуют идею, что деятельность в корпоративных сетях находится в полном ведении компании-владельца и подлежит самому тщательному изучению этой компанией и ее аппаратом ИТ либо другим персоналом, отвечающим за безопасность. В таких условиях важнейшим фактором являются документированные уведомления пользователей, и Security Software Systems восполняет этот пробел.
“Прежде чем служащему будет разрешено работать с любым приложением или Web-узлом, он должен выразить свое согласие с правилами компании, которые регламентируют допустимость тех или иных действий, - поясняет Джуд. - Его согласие сохраняется в базе данных”. После такой формальной регистрации администратор получает полное право применять технологию Security Software Systems для сканирования не только сообщений электронной почты, но и файлов документов (например, электронных таблиц) и выходов в Интернет. А это, как подчеркивает Джуд, дает результат незамедлительно, так как пользователи знают: действия каждого из них регистрируются.
Нравится вам это или нет, но прецедент уже создан, и дело теперь только за технологией, которая сделает такой контроль общедоступным. Как только подобный инструментарий получит широкое распространение, отказаться от его применения будет рискованно: работодателя сразу же могут обвинить в небрежности даже при отсутствии соответствующего законодательства.
“Сегодня пользователи, похоже, относятся к средствам блокировки и сканирования намного спокойнее, чем раньше, - отмечает Бининкаса из FN Manufacturing. - Широкое освещение событий заставило их полнее ощутить, что происходит и как это опасно. Конечно, такие методы людям не по душе, но они понимают их необходимость”. Его фирма одной из первых стала внедрять подобные процессы, что вполне объяснимо: она работает в военном бизнесе, где любое действие должно быть четко задокументировано.
Впрочем, законы в этой области устанавливают для себя сами пользователи и бизнес-подразделения, и так будет продолжаться и после того, как новая технология станет предметом широкого потребления. “Меня сильно беспокоят беспроводные сети, - признается Шведхельм. - Что стоит нечистоплотному пользователю вставить в USB-порт одного из ПК жучок и скомпрометировать всю нашу сеть?”
Но и в обычных проводных сетях замысел архитектора корпоративной безопасности может быть нарушен ради сиюминутного удобства.
“Я постоянно слышу жалобы пользователей на сетевые экраны, - говорит Таэр Элгеймал, главный инженер фирмы Security. - Свой доступ в Интернет они настраивают сами: покупают маршрутизатор и устанавливают его без всякого брандмауэра. Это не техническая проблема, а вопрос управления, хотя сегодня слишком много внимания уделяется уязвимости техники”.
Являясь автором патента на протокол SSL, лежащий в основе большинства розничных транзакций Интернета, Элгеймал авторитетно рассуждает о возможностях технологии: “Сегодня в области безопасности подвизается слишком много компаний, тогда как нужно просто вести дела, как в электронном бизнесе. Компания владеет данными, ей принадлежит компьютер, и когда доходит до работы с ними, именно она диктует, что разрешается делать и как”.
А вот что говорит по этому поводу Шведхельм: “Наш совет директоров хорошо разбирается в проблемах безопасности, нужно только снабжать его информацией. Я рад, что правление банка в ходе последней проверки проявляло живой интерес к средствам защиты. В результате руководство еще раз убедилось, насколько важна сетевая безопасность”.
Правда, как и Бининкаса из FN Manufacturing, Шведхельм работает в области, где давно привыкли к тщательнейшему анализу всего и вся, поэтому ему намного легче, чем другим, убедить менеджеров и пользователей в необходимости подобных шагов. В других сферах подразделениям ИТ на начальных этапах приходится сталкиваться с гораздо большим сопротивлением.
А теперь - все вместе
И внутренние, и внешние угрозы нужно рассматривать с международной и межведомственной точек зрения. Говоря о внутренних проблемах, Уифер из Symantec заявил представителям eWeek Labs: “Мы привыкли, что на предприятии есть отдельная группа антивирусов для настольных систем, отдельная группа обнаружения атак, отдельная группа сетевых экранов. Комбинированная угроза со стороны Nimda и других изощренных программ заставила нас изменить весь подход”.
Что же касается угроз внешних, то, по его мнению, нужно общаться с людьми из других организаций, которые тоже могут отметить какие-то общие признаки. Чего стоит, например, повторение пяти симптомов на десятке сайтов. Именно так обычно звонят в дверь непрошенные гости, чтобы потом вставить ногу”.
В сети имеется много заслуживающих уважения ресурсов, где можно сопоставить угрозы с широко распространенными средствами безопасности. Однако кроме них стоит поискать и отраслевые узлы.
“Недавно я встречался с представителями пяти канадских банков, - вспоминает Келли из iDefense. - Им очень хотелось сравнить то, что происходит у них, с наблюдениями других банкиров. Если кто-то опробовал порт в одном банке, а потом такая же проба отмечается и в других, то возникает очень сильное подозрение, что некто пытается организовать атаку”.
В каталогах маркетинговых фирм перечисляются десятки тысяч торговых ассоциаций, поэтому eWeek Labs просто не в состоянии предложить универсальные рекомендации для целой отрасли. Взять на себя роль лидера в обеспечении безопасности должно их руководство - это даст гораздо больший эффект, чем ответные действия после каждого крупного инцидента.
Как и другие методы, такое сотрудничество между множеством организаций открывает богатые возможности для автоматизации, что, в свою очередь, позволяет повысить надежность защиты при минимальных затратах на нее.
“Знать, какие ПК по-настоящему безопасны, и сообща применить это знание к другим - таким образом можно предохранять потенциально уязвимые компьютеры от контакта с другими системами”, - уверен Фредерик Фелман, вице-президент сан-францисской фирмы Zone Labs. Ее продукт под названием Integrity 2.0 предлагает совместные меры безопасности, которые можно рекомендовать удаленным пользователям.
Шведхельм также поддерживает кооперативный подход, но при этом считает, что небольшие компании наподобие его банка United Labor могут оказаться здесь в невыгодном положении. Причина банальна: за системы высшего звена и платить приходится по высшему разряду.
“Активы нашего банка составляют 125 млн. долл., но у нас работает всего 30 служащих, - поясняет он. - Для решения множества задач мы привлекаем соисполнителей, но сетевую безопасность предпочитаем обеспечивать сами. Вот только найти новейший инструментарий, цена которого не разорит банк, сегодня практически невозможно. Нам нужны недорогие средства обнаружения взломов, улучшенные системы анализа журнальных файлов, которые смогли бы разобраться во всей мешанине и предупредить меня, если возникнет опасность. Неплохо было бы, если они заодно сообщат, откуда эта опасность исходит”.
Организовать множество контрольных точек, необходимых для оперативного обнаружения опасности, можно только путем привлечения к программе очень широкого круга компаний, а для этого нужны более доступные средства безопасности. Но без таких возможностей по выявлению и распознаванию угроз министерство отечественной безопасности едва ли сможет играть серьезную роль в обеспечении корпоративных ИТ.
С редактором по техническим проблемам Питером Коффи можно связаться по адресу: peter_coffee@ziffdavis.com.
Вопрос доверия
Чтобы администраторы ИТ восстановили доверие корпоративных менеджеров, а частный сектор сохранил инновационный потенциал, необходимо выполнить четыре условия (или хотя бы уделять им больше внимания).
- Безопасность на границах. Первое условие защиты по периметру - четкое различие между теми, кто имеет право на доступ к информации и другим ресурсам, и теми, кто может быть приглашен в качестве гостя с привилегиями более низкого уровня. Такое условие уже предусматривается прямо или косвенно в подавляющем большинстве программ безопасности ИТ и направляемых в эту сферу инвестиций.
- Контроль со стороны старших. Второе условие внутреннего контроля - четкое распределение привилегий, включая право на доступ к информации и ее изменение, которые должны строго соответствовать должностным потребностям каждого пользователя. В этой сфере труднее определить цели и политику, не говоря уже об их отражении в реальных технологиях и практике ИТ. Может оказаться, что корпоративным творцам ИТ не так-то легко обосновать, почему организация должна тратить время и деньги на защиту от самой себя. Тем не менее даже при наилучшем управлении огромная доля серьезных, хотя и трудно уловимых угроз носит внутренний характер, независимо от того, что является их причиной: случайность или злонамеренность.
- Взаимопомощь по-соседски. Третье условие заключается в сотрудничестве. Корпоративные ИТ охватывают 24 часовых пояса, а в таких условиях лучший ответ на новые угрозы, предотвращающий их разрушительный эффект, можно дать только совместными усилиями. Никто из членов сообщества не должен стесняться говорить: “Я не понимаю, что происходит, но то, что творится, хорошим не назовешь”.
- В интересах общества. Четвертое условие, которым также нельзя пренебрегать, - правительственная реакция. Шокированные происшедшим 11 сентября 2001 г., законодатели готовы предоставить исполнительной власти самые широкие права, а исполнительная власть в такой атмосфере готова использовать все имеющиеся ресурсы даже с риском нарушить общественный комфорт (ее действия, например, порой кажутся нарушающими личную свободу). Сегодня девиз властей таков: “Опасность реальна, а личный ущерб гипотетичен”.