Проблемы корпоративной информационной безопасности. Взгляд эксперта
Говоря о проблемах информационной безопасности предприятий, обычно в первую очередь обсуждают технические аспекты реализации угроз и защиты от них. Однако практика показывает, что зачастую наиболее существенную роль в возникновении проблем играет человеческий фактор. Об этом, а также о многих других аспектах корпоративной безопасности в своем интервью, данном ответственному редактору журнала КомпьютерПресс Наталии Елмановой, рассказывает руководитель центра компетенции компании Trend Micro в России Михаил Кондрашин.
КомпьютерПресс: Каковы, на ваш взгляд, наиболее серьезные угрозы, подстерегающие сегодня корпоративных и домашних пользователей?
Михаил Кондрашин: Благодаря усилиям компаний IBM и Microsoft сейчас везде используются в основном однотипные платформы, поэтому вирусы и иное вредоносное ПО тоже везде одни и те же. Но для домашних и корпоративных пользователей они превращаются в разные угрозы. Если реализация угрозы для домашних пользователей, у которых в нашей стране, как правило, нет Интернет-активов, чаще всего все заканчивается только лишним интернет-трафиком, что, в случае безлимитного тарифа, может ему и не мешать, то в корпоративной среде все гораздо многогранее и сложнее. Безобидный вирус, саморассылющийся по электронной почте, может в считаные минуты сделать недоступным корпоративный почтовый сервер.
В большой компании все угрозы в конечном счете имеют свой денежный эквивалент. Для руководства крупной компании нет угрозы вирусов как таковых — им нужно только, чтобы IT-инфраструктура компании работала надежно. Денежный ущерб, возникающий из-за угроз, многогранен — например, он включает неоправданные расходы на обслуживание. Неразумно тратить много сил и средств на защиту от угроз вчерашнего дня, игнорируя сегодняшние тенденции. Возьмем, к примеру, проблему макровирусов, которая существовала несколько лет назад. Если после появления первого концепта макровируса было в кратчайшие сроки написано больше макровирусов, чем обычных вирусов за предыдущие 15 лет, то сегодня их практически нет — и новые версии Office содержат определенные средства защиты от макровирусов, и антивирусы имеют надежные эвристические механизмы их блокировки, а главное, как ни банально это звучит, писать макровирусы стало немодно. Но до сих пор, говоря о средствах защиты, зачастую делают акцент на макровирусах, хотя их угроза невелика, и в то же время игнорируют более актуальные угрозы, например шпионское ПО.
Наиболее серьезная угроза безопасности — это люди. Домашний пользователь сам себе враг, когда открывает присланную ему неизвестно кем ссылку на сомнительный сайт или не покупает антивирусы, которые решают подавляющее большинство его проблем.
Основная угроза в корпоративной среде — тоже люди, но здесь дело обстоит несколько иначе. Во-первых, это руководители компаний, которые не умеют правильно распределять ресурсы. Классический пример неправильного распределения ресурсов — возложение ответственности за безопасность на администратора сети вместо разделения обязанностей по управлению работоспобностью инфраструктуры и по обеспечению безопасности между разными людьми. Во-вторых, это конечные пользователи, которые ведут себя в корпоративных сетях намного более безрассудно, чем дома, считая, что они надежно защищены от угроз сотрудниками, отвечающими за безопасность. Но никакие технические средства не способны решить весь спектр проблем, возникающих по причине безрассудного поведения. Если защитить пользователя техническими средствами настолько, чтобы он не смог сам себе навредить, — то он не сможет и работать.
КП: При реализации подобной жесткой защиты наряду с дополнительными трудностями в работе пользователей имеет место также косвенный ущерб, наносимый компаниям, которые внедряют на таких предприятиях другое программное обеспечение — проблемы внедрения ПО в защищенной среде зачастую требуют дополнительных затрат на борьбу со средствами защиты (когда, например, невозможно ни включить ноутбук в корпоративную сеть, ни прочесть компакт-диск с устанавливаемым продуктом) или даже расходов на переделку внедряемого ПО.
М.К.: Это общая проблема любого внедрения. По нашему опыту, предусмотреть все, с чем придется столкнуться у заказчика, практически невозможно и конфигурация его сети не всегда позволяет легко внедрить продукт (в том числе и средства защиты).
КП: А должны ли средства защиты быть столь требовательными к конфигурации сети? У заказчика в сети может быть что угодно, но защищаться ему все равно надо.
М.К.: Современные средства защиты должны обладать изощренной сетевой функциональностью. Обычный антивирус, даже установленный на каждой рабочей станции, защиту не обеспечивает. Только при обмене информацией по сети, при поддержке разных сетевых протоколов продукт позволяет создать защищенную сеть и становится управляемым и контролируемым. Такой продукт должен поддерживать сессионность, шифрование, маршрутизацию, трансляцию адресов, поэтому его внедрение требует наличия интегратора, который будет тщательно все это настраивать.
КП: Получается, что компаниям правильнее прибегать к услугам интеграторов, а не заниматься внедрением средств защиты самостоятельно?
М.К.: Да. Опыт показывает, что компании, внедряющие средства защиты своими силами, затягивают этот процесс, тогда как интегратор осуществляет такое внедрение в более сжатые сроки. Кроме того, современные средства защиты нетривиальны. Администратор сети знает, как работают его межсетевые экраны и прокси-серверы, но какой трафик порождает комплексный корпоративный антивирусный продукт, он обычно не представляет. А вместе с интегратором он сможет быстро решить эти вопросы.
КП: Какие проблемы обеспечения корпоративной информационной безопасности представляются вам сегодня наиболее актуальными для руководителей информационных служб компаний и с какими новыми проблемами им придется столкнуться в ближайшем будущем?
М.К.: Одна из важных проблем обеспечения корпоративной информационной безопасности — проблема так называемых точечных решений. Например, сеть, рабочие станции, файловый сервер и почтовый сервер защищены по отдельности, причем зачастую продуктами разных производителей. Накладные расходы на эксплуатацию такой неинтегрированной системы очень велики — все эти серверы нужно поддерживать в работоспособном состоянии, администраторы этих серверов в критических ситуациях должны работать совместно и, что очень сложно, каким-то образом сопоставлять между собой события, поступающие от разных средств безопасности. Ведь даже если взять антивирусы от различных производителей — у них по-разному называются одни и те же вирусы, при этом стандартизация именования вирусов невозможна просто потому, что средство борьбы с вирусом и его имя в антивирусной лаборатории должны быть созданы в кратчайшие сроки. Кроме того, у различных продуктов разная архитектура, разные правила формирования протоколов, разные принципы классификации вредоносного ПО.
КП: Таким образом, при построении защиты корпоративной сети правильнее ориентироваться на продукты одного производителя?
М.К.: В большинстве случаев это может оказаться более оправданно экономически. Даже если выбранный вами продукт и пропустит вирус, который был бы обязательно пойман конкурирующим продуктом, ущерб от этого вируса будет несопоставим с расходами на эксплуатацию средств защиты от разных производителей. Не стоит забывать, что не все вирусы настолько опасны, как широко известные KLEZ, NIMDA и несколько других. Расхождение в базах различных антивирусных вендоров наиболее существенно в части детектирования наименее опасной части Интернет-фауны. К слову сказать, использование двух и более продуктов все равно не гарантирует отсутствия вирусов в сети.
КП: Бывают ли случаи, когда применение средств защиты разных производителей все же оправданно?
М.К.: Использование продуктов нескольких производителей однозначно оправданно в следующих случаях. Первый из них — это внедрение с минимальной совокупной стоимостью владения. Например, если Интернет-провайдер предоставляет антивирусную и антиспамовую защиту почтового и веб-шлюзов. В этом случае основные затраты на обслуживание ложатся на плечи провайдера, а клиент только вносит ежемесячные или ежеквартальные платежи. В такой ситуации использование «ортогонального» продукта для защиты внутренней части сети оправданно.
Второй случай — это проверка файлов, которые могут повлиять на репутацию компании (например, файлов, публикуемых в Интернете или распространяемых на компакт-дисках). Такие файлы нужно проверять при помощи нескольких средств защиты. Бывает, что из-за ложного срабатывания эвристического анализатора на каком-то файле антивируса того или иного производителя в подобные файлы приходится вносить изменения — репутация компании стоит дороже.
Третий случай — защита крупных компаний с централизованным управлением безопасностью, объем бизнеса которых намного превышает объем бизнеса поставщиков средств защиты. Таким компаниям нужна стабильность, и они подстраховываются на случай возникновения проблем у производителей средств защиты.
КП: Но ведь вирус может попасть в компанию раньше, чем к поставщику средств защиты.
М.К.: Так обычно и происходит, только, как правило, это оказывается не ваша компания.
КП: А если вирус написан специально для атаки на нашу компанию?
М.К.: Cледует различать массовые угрозы (например, вирусы, рассылаемые по почте) и целевые атаки. Превентивная защита, эвристика, брандмауэры, антивирусы в случае целевой атаки не помогут, что бы по этому поводу ни говорили производители средств защиты. Целевая атака обязательно предполагает выяснение того, какие средства защиты и антивирусы имеются у атакуемой сети, проверку срабатывания их эвристических анализаторов, выяснение, по какому протоколу можно отправлять данные через брандмауэр, определение настроек прокси-сервера и наличие уязвимостей. Примеры целевых атак можно, например, найти по адресу http://www.anti-malware.ru/index.phtml?part=survey&surid=attacs.
Если вернуться к рассматриваемому вопросу о наиболее важных проблемах обеспечения корпоративной информационой безопасности, то следует также выделить проблему контроля работы средств защиты. Как правило, предполагается обычная установка средств защиты на серверы и рабочие станции. Но реальные сети динамичны — пользователи приносят с собой ноутбуки и КПК, подключают их в сеть напрямую или через VPN1 , поэтому нужно заметить, что в сети появилось новое устройство, и среагировать на него. Проблемой является отсутствие в компаниях системы принудительного применения политик (Policy Enforcement), поскольку мало кто из IT-специалистов о нем знает.
КП: Что представляет собой принудительное применение политик?
М.К.: Это программно-аппаратный комплекс, который обеспечивает аудит средств защиты. В качестве примера можно назвать Cisco NAC (Network Admission Control). Как только появляется первый трафик от нового устройства, осуществляется его аудит, и в зависимости от того, что на нем было найдено (или, наоборот, не найдено), доступ этого устройства в сеть разрешается или запрещается. По нашему опыту, большинство компаний, которые пострадали от вирусов или иного вредоносного ПО, страдают не от того, что вирус не был пойман антивирусом, а от того, что кое-что в сети не было защищено. Хотя технология Cisco NAC, ограничивающая доступ к ресурсам сети тем устройствам, которые не соответствуют политике безопасности, была представлена более года назад, она пока что мало где используется.
Указанная технология позволяет проверять, установлен ли антивирус и работает ли он, определять версию операционной системы, наличие установленных обновлений безопасности, убеждаться в том, что пользователь не работает под учетной записью администратора. А политика безопасности содержит сведения о том, что доступ предоставляется в том случае, если обнаружено то или иное ПО (например, антивирус конкретного производителя). Поэтому можно установить на устройство локальную версию антивируса, просканировать его и только затем предоставить доступ.
КП: Как в этом случае решаются вопросы лицензии на ПО, устанавливаемое на устройство?
М.К.: В случае применения продуктов Trend Micro всегда можно поставить еще один экземпляр клиентского средства защиты. Как только устройство отключится от корпоративного сервера обновлений и будет отключено от сети (например, если речь идет о ноутбуке), то ценность установленного на него продукта станет равна нулю. Для внедренцев с ноутбуками и для личных ноутбуков пользователей, представляющих не меньшую угрозу, можно создать отдельные политики.
В очередной раз возвращаясь к рассматриваемым нами проблемам обеспечения корпоративной информационной безопасности, отметим также проблему развития угроз во времени. У многих компаний нет четкого плана действий в случае появления вредоносного ПО, а безрассудные действия наподобие отключения почтовых серверов могут привести к намного более тяжелым последствиям, нежели действия вируса. При этом ни начальник службы безопасности, ни производитель средств защиты не может заранее написать для администраторов никаких инструкций, так как заранее не известно, что за вирус появится в будущем, поэтому регламентированы должны быть не действия, а каналы получения информации. А в случае большой компании с распределенной сетью должна также существовать схема оповещения всех администраторов.
Еще одна проблема обеспечения корпоративной информационной безопасности заключается в постепенном распространении смартфонов и КПК, обладающих функциональностью мобильных телефонов. Это явление, конечно, пока не приобрело массового характера. Но проблем с такими устройствами будет много — существуют антивирусы-сканеры для КПК, но отсутствуют средства контроля наподобие реакции на включение смартфона и начало синхронизации. Реализация такого обнаружения — задача нетривиальная. Если ноутбук подключается в локальную или в беспроводную сеть, то смартфон постоянно подключен к сети оператора сотовой связи и вдобавок периодически оказывается подключенным к локальной сети предприятия.
КП: Каких продуктов и решений, на ваш взгляд, не хватает для решения указанных проблем? В чем, по-вашему, заключается причина их отсутствия на рынке?
М.К.: Для тех же смартфонов не существует корпоративного антивируса, и не ясно, должен ли он быть корпоративным, ведь, как уже было отмечено, к корпоративной сети смартфон подключается периодически, а к сети оператора сотовой связи он подключен постоянно. Однако пока почти нигде нет средств защиты, поставляемых операторами сотовой связи, к примеру антивируса, который обновлялся бы оператором сотовой связи за дополнительную абонентскую плату. Пока что во всем мире операторов, представляющих такой сервис, можно сосчитать по пальцам. Ведь вирусов для смартфонов пока немного и крупных эпидемий еще не было, поэтому сотовые операторы не спешат внедрять такие средства, полагая, что конечные пользователи не готовы за них платить. Тем не менее число используемых платформ сокращается, выявляются явные лидеры, а сами смартфоны становятся более массовыми, поэтому скоро эта угроза станет реальной.
Кроме того не хватает таких средств принудительного внедрения политик, когда с помощью единого средства можно было бы описать всё, вплоть до ограничения количества бумаги, которую пользователь может использовать в принтере, или средств принудительной установки каких-то программ для обеспечения безопасности (а не только аудита). С появлением таких систем этот подход будет использоваться повсеместно и будет так же самоочевиден, как «централизованное управление».
Все еще мало аутсорсинговых моделей предоставления услуг безопасности — даже таких простых, как защищенные шлюзы электронной почты, где предоставляется не просто доступ в Интернет, но и антивирусная и антиспамовая проверка трафика. Как правило, российские компании уже имеют достаточный штат администраторов для поддержки защиты своими силами, хотя это обходится намного дороже, чем оплата безопасности как сервиса. Особенно это касается малых предприятий.
По словам Дэвида Перри, директора Всемирной службы просвещения корпорации Trend Micro2, существуют четыре составляющих решения проблем безопасности. Во-первых, должны быть созданы безопасные операционные системы (и действительно, каждое новое поколение Windows не оставляет шансов целому пласту актуальных некогда угроз), во-вторых, должны быть разработаны более совершенные средства защиты, в-третьих, должна быть улучшена законодательная база, а в четвертых — должны быть модернизированы средства просвещения пользователей.
Типичный пример необходимости просвещения — борьба с фишингом3 . Фишинговые технологии развиваются очень активно в силу высокой экономической привлекательности данного криминального бизнеса. Средства защиты пока что не поспевают за ними, хотя в качестве частичной меры вполне хватило бы контекстного предупреждения пользователя о том, что «если вы зашли на этот сайт по ссылке из письма, то не стоит вводить никакую персональную информацию. Даже если этот сайт выглядит для вас знакомым — это может быть подделка». Пока ни один поставщик средств защиты не предоставляет такого сервиса, когда антивирус дает пользователю рекомендацию в опасной ситуации, а также пока нет канала доставки такой информации рядовым пользователям. Есть и другие примеры полезности такого гипотетического сервиса. Возьмем нашумевший пример с ПО для защиты дисков, выпущенных компанией Sony. В составе этого ПО был драйвер, деинсталляция которого могла приводить к сбоям и к появлению «синего экрана смерти» (авторы компонента не интересовались, что произойдет при его деинсталляции), а само ПО при этом было основано на технологии Rootkit4 и, следовательно, представляло опасность. Если антивирус удалил бы это ПО, то пользователь мог столкнуться с «синим экраном», а потом обнаружить, что музыкальные диски больше не воспроизводятся. А у производителей антивирусов нет способа доступно объяснить пользователю на его родном языке, что же на самом деле произошло — например: «У вас было установлено ПО компании Sony, которое мы считаем опасным по следующим причинам, поэтому мы его удалили». Очевидно, что основная проблема подобного сервиса — локализация. Непросто обеспечить оперативный перевод советов и рекомендаций на языки всех стран, где продается продукт.
Если говорить о законодательстве, то стоит вспомнить о шпионском ПО, которое не считается вирусом. Вы должны прочесть лицензионное соглашение, в котором может быть сказано, что это ПО отправляет те или иные ваши файлы к себе на анализ и вы имеете право отказаться от установки ПО, а если вы согласились — то это ваши проблемы. Практика показывает, что лицензионные соглашения мало кто читает.
Но согласно современному законодательству лицензионным соглашением оправданно все, и, как только очередное обновление антивируса блокирует такое ПО, начинаются судебные преследования антивирусных компаний.
На мой взгляд, законодательно должно быть регламентировано наличие стандартной маркировки на коробке с ПО, сообщающей о том, какую информацию и куда это ПО передает (наподобие маркировки компьютерных игр и видеофильмов с указанием рекомендованного возраста для просмотра). Эта маркировка не запрещает покупать — она носит рекомендательный характер. В будущем, если в продуктах появятся программные аналоги маркеров, станет также возможен автоматический контроль со стороны операционной системы — если продукт помечен как не работающий с Интернетом, то операционная система должна проверить, так ли это, и заблокировать этот процесс, если это не так. Бизнес, связанный со шпионским и рекламным ПО, останется — всегда найдутся те, кто не возражает смотреть рекламу или отсылать какие-то сведения о себе за доступ к бесплатному ПО или к сервисам. Просто этот бизнес перестанет быть угрозой для всех.
Пока что процесс создания новых законов движется медленно, но он идет — распространение вирусов, например, уже законодательно запрещено: в США уже принят закон против спама.
КП: Нередко ограничения безопасности (возможно, избыточные) значительно затрудняют пользователям выполнение их обязанностей, и те зачастую вынуждены грубо их нарушать (например, сообщать друг другу пароли). Существуют ли проверенные способы избежать подобных ситуаций, в том числе упростить управление ограничениями безопасности?
М.К.: Если говорить об антивирусах в плане обеспечения гарантии того, что пользователи не отключают антивирусный монитор, а если и отключают, то не пользуются почтой и Интернетом, то я бы рекомендовал упомянутое выше принудительное применение политик. Это позволяет вместо огульных запретов более гибко подойти к проблеме с разных сторон. Например, можно определить, что сканировать весь диск нужно, если антивирусная база устарела более чем на пять дней, — и это будет происходить автоматически. Конечно, можно запретить абсолютно все, но можно достичь и разумного компромисса. В то же время практика показывает, что если не определить в политике, что антивирус должен быть на всех рабочих станциях, то на каких-то из них его обязательно не окажется.
Если рассматривать ваш пример с паролями, то эта проблема, на мой взгляд, уже решена — достаточно внедрить систему аутентификации на основе одноразовых паролей, смарт-карт или USB-брелоков с сертификатами.
КП: Каковы, на ваш взгляд, самые распространенные ошибки, совершаемые системными администраторами и руководителями информационных служб при организации защиты корпоративных информационных ресурсов от вредоносного ПО?
М.К.: Подытоживая сказанное, отмечу в первую очередь неправильную оценку совокупной стоимости владения средствами защиты. Администраторам обычно импонирует та или иная функциональность продукта, которая кажется им панацеей от всех бед, — в результате продукт рекомендуется для внедрения без анализа его работы в целом. А при оценке совокупной стоимости владения обсуждается лишь стоимость лицензий и их продления, но при этом забывают о сопровождении и техподдержке.
Вторая существенная ошибка — отсутствие внедрения полного спектра защиты. Защита должна быть везде. Да, при внедрении, возможно, обнаружатся какие-то проблемы производительности или совместимости. Но всегда можно настроить защиту в щадящем режиме, и когда возникнет такая необходимость, например в момент эпидемии, можно кое-что изменить в настройках — и защита станет более надежной. Можно обсуждать достоинства и недостатки продуктов, простоту выгрузки их из памяти, скорость и размер обновлений, оперативность реакции производителя на новые угрозы. Но практика показывает, что подавляющая часть проблем возникает не из-за того, что антивирус плох, а из-за того, что он не везде установлен и не везде правильно обновляется.
Еще одна распространенная ошибка — отсутствие стратегии поведения в нештатных ситуациях, прежде всего стратегии координации усилий администраторов, а также отсутствие последующего анализа такой ситуации, например отчетов от каждого администратора о том, что было обнаружено на подчиненных ему компьютерах. Такой анализ обычно позволяет понять, правильно ли расходуются средства на защиту.
Распространенной ошибкой также является игнорирование человеческого фактора. Все понимают, что нужно обновлять продукт и устанавливать новые версии. Но при этом игнорируется тот факт, что компании необходимы сотрудники, которые за всем этим не просто следят, а управляют процессом защиты, зная, чем занимается компания, что и почему в ней запрещено или разрешено, и с какими рисками это связано. Классический неверный подход: администратор сервера Microsoft Exchange отвечает за антивирус на своем Exchange, администратор Интернет-шлюза — за антивирусы для почты и веб-трафика и т.д.
На самом деле антивирус — это не решение проблемы, а инструмент управления антивирусными рисками. Но менеджерам по маркетингу компаний — поставщиков средств защиты проще называть продукты универсальными решениями, а не инструментами — с такой формулировкой заказчик «чувствует себя защищенным», просто купив продукт. Но затем начинается эпидемия, и тот же заказчик, не занимаясь управлением защитой, сталкивается с проблемами и принимает решение о покупке другого продукта, исходя из предположения, что имеющийся продукт плох. Вот один маргинальный, но вполне реальный пример из жизни — администратор устанавливает почтовый антивирус, но не устанавливает никаких средств защиты на рабочие станции, а потом возмущается тем, что на рабочих станциях появился вирус. Администратор был почему-то уверен, что наличие почтового антивируса гарантирует отсутствие вирусов на рабочих станциях.
Конечно, есть проблемы недооценки необходимости защиты тех или иных компонентов ПО, например систем мгновенного обмена сообщениями. Однако, допустим, для Microsoft Live Communication Server средства защиты существуют, равно как и для порталов, например для того же SharePoint Portal Server, — просто пока мало кто этим интересуется.
КП: Это серьезный аргумент в пользу применения распространенных продуктов — ведь для самодельного аналога SharePoint Portal Server нет никаких антивирусов.
М.К.: Вы затронули очень интересный аспект. Экзотические серверные продукты, позволяющие обмениваться почтой или хранить файлы, — это большая беда. Антивирусы пишут для популярных сред. Если самим сделать портал — непосредственно для него вирусов не появится, поскольку его использует десяток заказчиков. Но и антивируса для него тоже не будет, поэтому в хранящихся на нем файлах вирус так и будет храниться. Если в компании используются традиционные продукты — Domino, Exchange, Windows, для них существуют как вирусы, так и антивирусы. Если же вы поменяете операционную систему рабочей станции на более экзотическую, например на Solaris, — вирусной угрозы для вас практически не будет. Но если создать на базе того же Solaris файловый сервер, то он станет замечательным хранилищем вирусов для Windows-клиентов.
КП: Какова основная задача возглавляемого вами Центра компетенции Trend Micro? C какими проблемами можно обратиться в Центр компетенции?
М.К.: Центр компетенции Trend Micro — это точка аккумулирования знаний. Его назначение — поддерживать системных интеграторов, внедряющих средства защиты, делиться знаниями с партнерами и читателями журналов. Конечным же пользователям, нуждающимся во внедрении средств защиты, следует обращаться к нашим партнерам.
КП: Михаил, большое спасибо за интересную беседу. Мы желаем вам и вашим партнерам успехов в решении обсуждавшихся сегодня проблем.
