Безопасность средства защиты
МНЕНИЕ
Сегодня эксперты говорят о повышенном интересе к вопросам информационной безопасности. Вместе с тем в конце прошлого года закрылся один из журналов, освещающих данную тематику. Если отбросить соображения о том, что причина этого события лежит в экономической плоскости, то остается предполагать, что стало просто не о чем писать.
Действительно, несмотря на растущий общий интерес к проблемам безопасности, на рынке наблюдается определенного рода застой, который отражается и на содержании специализированной ИТ-прессы. За последнее время практически не появилось никаких принципиально новых продуктов и решений. Существующие решения “вылизываются” производителями до такой степени, что становится все сложнее и сложнее отличить их друг от друга как по функциональности, так и по производительности. Бесспорно, о новых возможностях продуктов необходимо сообщать, но постоянно читать о том, что они становятся все более функциональными и интегрированными, - довольно скучное занятие. Скорее сегодня удивит отсутствие в том или ином средстве таких функций, как централизованное управление, возможность бесперебойной работы, резервирования и всего того, о чем кричат рекламные листовки.
Набили оскомину и статьи, привязывающие результаты определенного аналитического исследования к достоинствам конкретной системы защиты. (В частности, опираясь на статистику компании Infowatch, свидетельствующую о том, что основную обеспокоенность сегодня вызывают вопросы защиты от внутреннего злоумышленника, нас начинают убеждать в том, что для решения всех вопросов достаточно... ну вы, наверное, об этом читали.)
Статьи по поводу того, что для обеспечения комплексной безопасности необходимо приобрести и внедрить в защищаемой сети все имеющиеся в арсенале средства защиты, - столь же бесполезны. Причины те же: перед специалистами, на практике занимающимися обеспечением безопасности, стоят весьма конкретные прикладные задачи, решить которые не позволит даже установка очередного самого-самого (производительного, быстрого, современного, функционального, надежного - на ваш выбор) средства безопасности (антивируса, IDS, межсетевого экрана...).
Хотя тут и я немного слукавил. Безусловно, чем надежнее работают установленные системы и чем меньше внимания требуют они на свое администрирование, тем больше времени останется у администратора на выполнение повседневных задач.
Недавно, просматривая прессу, я наткнулся в одной из таких статей общепустого толка на хоть и банальную, но мудрую мысль: “Эффективность системы ИБ и труда администраторов средств информационной безопасности будет чрезвычайно низкой при отсутствии средств сбора, анализа, хранения информации о состоянии системы ИБ, централизованного управления всеми ее составляющими”. В этой статье как раз говорилось о том, как надо “нашпиговать” сеть для успешной борьбы с внешними и внутренними угрозами. Однако автор попутно сформулировал одну из важнейших повседневных задач безопасников: знать и понимать, что происходит в их системе, и иметь возможность эффективно управлять своим хозяйством.
В чем же тут проблема? Основное внимание специалистов занимает вопрос минимизации полномочий пользователей по доступу к информации и ресурсам ИС. Ведь иначе говорить о дальнейшей защите бессмысленно. А теперь давайте задумаемся: настройки, касающиеся полномочий пользователей, есть не только у средств защиты. Эту же задачу решает огромное количество прикладных программ и штатных настроек безопасности ОС. Именно тут мы сталкиваемся с серьезными проблемами. Ведь в крупных системах велико количество пользователей, приложений и информационных ресурсов. А управление их настройками практически не контролируется специалистами по безопасности. Точнее, в организации скорее всего есть политика безопасности, регламенты и тому подобные документы, цель которых - рассказать администраторам из ИТ-департамента о том, как надо управлять этими настройками. А средств контроля за исполнением этих документов, кроме периодического аудита, у безопасников сегодня нет.
Масла в огонь подливает еще и понимание того, что сами процессы настроек указанных систем лежат вне сферы деятельности специалистов по безопасности. Более того, зачастую они могут и не догадываться о том, что в ИС происходят или, наоборот, не происходят какие-либо изменения. Так, весьма вероятны ситуации, когда администраторы, экспериментируя с новым ПО, заводят пару учетных записей с паролями типа “12345”; когда в суматохе текущих дел не удаляются учетные записи уволенных сотрудников; когда кому-то только потому, что он не может подсоединиться к базе, а боссу через двадцать минут нужны результаты, даются административные права, гарантирующие работоспособность приложения; когда для отладки сети на межсетевом экране “временно” открываются огромные дыры....
И как решать эту проблему? Ведь из поля внимания службы безопасности не должны ускользать даже самые незначительные на первый взгляд изменения, тем более что каждое из них связанно с тем, что кто-то из сотрудников или приобретает какие-то права на доступ к ресурсам информационной системы, или теряет их. Это означает, что он может получить лишнюю информацию либо лишиться доступа к той, что ему нужна. И то и другое в равной степени недопустимо, поскольку может таить угрозу безопасности, а также приводить к срыву выполнения текущих задач.
Отсюда вывод: необходимо контролировать все изменения в настройках информационной системы.
Но проблема организации такого контроля - вопрос, касающийся не только безопасности, и, вероятно, по этой причине он пока не обсуждается в профессиональных изданиях. Данный вопрос лежит сразу в трех плоскостях, затрагивая еще ИТ-отрасль и ряд организационных моментов.
Сегодня уже созданы системы, которые могут осуществлять такой контроль, накапливать и хранить историю изменений настроек ОС, но для этого они должны иметь свои рецепторы-агенты во всех прикладных системах и компонентах ОС, связанных с безопасностью. (Но попробуйте убедить администратора установить подобный агент на домен-контроллер... Об этой проблеме пока не написано ни слова.)
Кроме того, очевидно, что без подобных систем контроля чем больше систем защиты мы внедрим, тем больше усложним себе жизнь их настройкой. Но практически ничего не получим с точки зрения безопасности - так, забытая, не удаленная вовремя учетная запись может напрочь перечеркнуть все наши старания.
В завершение - мысль, подытоживающая опыт многих специалистов по ИБ: больший эффект дает не столько внедрение очередной программы, которая, как кажется, решает наболевшую проблему, сколько наведение порядка в существующем хозяйстве. А для этого необходимо видеть корни этих проблем, делиться своими наблюдениями с окружающими и сообща искать решения. Возможно, если так и будет, то и специализированную прессу по информационной безопасности читать станет гораздо интереснее.
С автором, экспертом компании “Информзащита”, можно связаться по адресу:saveliev@infosec.ru