Такие программы, как Vigilance 2.0, должны определять не запреты, а разрешения
В последнее пятилетие стандартные понятия о том, что требуется для поддержания корпоративной безопасности, до неузнаваемости изменились. Сегодня трудно привести разумные оценки соответствующих статей расходов, так как организации, по понятным причинам не склонны детально освещать свои усилия в этой сфере. Тем не менее можно не сомневаться, что если бы компании с самого начала рационально строили свои инфраструктуры обеспечения безопасности, то значительная часть денежных расходов, на которые им пришлось пойти в связи с принятием закона Сарбейнса - Оксли (SarbOx), о чем много писали в прессе, распределилась бы на более ранние годы.
Оценки затрат на выполнение требований SarbOx могут служить определенным ориентиром и для оценки затрат на безопасность в целом, а уровень, как и тенденции роста этих расходов, поражают воображение. Опрос членов правлений корпораций, осуществленный в 2004 г. RHR International и The Directorship Search Group, показал, что среднегодовые затраты компании на соблюдение SarbOx составляют около 16 млн. долл.; причем некоторые организации, например крупнейший страховщик AIG, называют в 20 раз большие суммы. И это вовсе не реальные стартовые вложения, а только указание на порядок величины текущих расходов.
Шаг пятый: поддержание бдительности
К сожалению, в ряде случаев естественное усердие перерождается в навязчивую идею - как это получилось в Hewlett-Packard, где обсуждающееся на советах директоров стремление сохранить конфиденциальность информации привело в прошлом году к грандиозному скандалу, вылившемуся в отставки ключевых менеджеров, должностных лиц и директоров компании. Так что даже самую разумную стратегию безопасности можно довести в процессе реализации до абсурда.
Основы бдительности - Не забывайте прописные истины. Усовершенствования в обработке данных, взаимодействии систем и хранении информации подвержены утечкам данных и атакам. - Откажитесь от принципа “что не запрещено, то разрешено”. Поставьте во главу угла определение конкретно необходимого авторизованного доступа и управляйте этим доступом. - Средства безопасности должны быть понятными. Остерегайтесь думать, будто сложность и непонятность систем гарантируют защищенность; используйте понятные средства для реального анализа ситуации. Источник: eWeek Labs. |
Однако справедливости ради надо сказать, что большинство организаций право в том, что им еще только предстоит выйти на уровень "достаточно хорошей" безопасности, а потому и опасаться перебора не стоит. Опрос, проведенный в минувшем году компанией ControlPath - разработчиком автоматизированных решений, управляющих соблюдением нормативов, показал, что лишь 28% респондентов уверены в том, что они полностью соблюдают требования законов, регулирующих их бизнес-процессы. Вместе с тем простого выполнения положений закона или нормативных актов далеко не достаточно, чтобы хорошо информированные ИТ-специалисты спали спокойно, - требуется дополнительная работа.
Культура против халатности
В культурном плане любой долгосрочный прогресс в укреплении корпоративной безопасности требует умения плыть против течения развивающейся технологии. Подобно тому, как совершенствование современного оружия в первую очередь помогает мятежникам и террористам, а не вооруженным силам государств, так и развитие ИТ в сферах обработки и хранения данных и взаимодействия систем открывает новые пути для утечек и непредусмотренных форм использования информации из-за преднамеренных действий или просто халатности людей.
В интерактивных отчетах продукта Hercules содержатся высоко информативные срезы состояния рисков
Преодолеть неблагоприятные аспекты развития технологий можно только в том случае, если организация понимает важность осведомленности своего персонала в вопросах безопасности и необходимость его широкого участия в процессах обеспечения безопасности.
Приведем некоторые примеры тревожащих технологических тенденций.
В обработке данных. Аппарат Deep Crack, построенный в 1998 г. компанией Electronic Frontier Foundation для демонстрации возможности осуществления жестких атак на алгоритм DES (Data Encryption Standard), стоил тогда 250 тыс. долл. Сегодня аналогичная по функциям система стоила бы меньше 10 тыс. долл. Для той же цели можно придумать и параллельный алгоритм вычислений в публичной grid-системе Sun Microsystems (www.network.com) стоимостью 1 долл. за час процессорного времени.
В интерфейсах систем. Термин "war driving", обозначающий определение местоположения и обнаружение незащищенных беспроводных точек доступа с целью нелегальных подключений, был придуман в 2001 г.
Сегодня карманный детектор размером менее 20 см и стоимостью не более 60 долл. может показать на своем ЖК-экране сетевой SSID-идентификатор, уровень сигнала, статус криптозащиты и распределение каналов любой точки Wi-Fi-доступа, находящейся в радиусе его действия. С помощью такого детектора шпион может в два счета находить беспризорные и незащищенные Wi-Fi-устройства уровня отделов и небольших компаний, припарковав поблизости от них свой автомобиль, и использовать их для входа в сети.
В хранении данных. USB-устройства флэш-памяти, прежде слишком малоемкие, чтобы быть опасными, теперь развились до такого уровня, что стоимость 1 Гб памяти упала (вслед за Wi-Fi-детекторами) ниже 60 долл. Их можно встраивать в самые неожиданные вещицы - например, в шариковую ручку или (вместе с другими полезными штучками) в складной походный нож.
Растущую угрозу устройств USB-памяти наглядно продемонстрировал инцидент, произошедший в октябре прошлого года в Нью-Мексико во время рейда против торговцев наркотиками. На конфискованных полицией флэшках были обнаружены секретные файлы из Лос-Аламосской национальной лаборатории, а расследование доказало связь между арестованным наркодельцом и внештатным сотрудником лаборатории.
С позиций, бытовавших до 11 сентября 2001 г., атаки на системы безопасности обычно рассматривались как дорогая и сложная затея, требующая сочетания экзотического оборудования и редких познаний. Прежде обнаружение и пресечение странных и необычных вещей являлось надежной стратегией бдительности.
С точки же зрения сегодняшних реалий средства атаки, как и знания и навыки, необходимые для их применения, зачастую достаточно ординарны, а приобрести их можно тривиально простыми путями. Например, в сентябре прошлого года имело место сообщение, что путем Google-поиска была найдена инструкция по эксплуатации одной широко распространенной модели банкомата, содержащая ее фабричный административный пароль, с помощью которого можно заставить банкомат выдавать купюры по 20 долл., зачисляя их в расход как пятидолларовые. Такого рода возможностей существует очень много, как и способов их открыть и передать в руки преступников. Так, на черным рынке продается информация о способах взлома ОС Microsoft Windows Vista, которую в конце 2006 г. можно было купить за 50 тыс. долл.
Все эти факты говорят о необходимости изменить подход к соблюдению безопасности, заменив прежний принцип "что не запрещено, то разрешено" на более жесткую модель "разрешено только то, что разрешено в правилах".
Внедрению такой культуры способны помочь определенные технологии. В прошлом году McAfee купила фирму Preventsys, дополнив свой портфель инструментов, действующих на основе политик (таких как Hercules), опытом Preventsys в анализе беспроводных сетей и автоматизированном аудите. Hercules стал продуктом McAfee после того, как она купила Citadel Security Software.
Превентивный подход к определению полезных и необходимых бизнес-процессов, идентификация данных и привилегий, требующихся для их выполнения, и внедрение систем, обнаруживающих любые нарушения задуманных ограничений, - вот что должно лечь в основу современной культуры ИТ-безопасности.