Информационная безопасность предприятий — взгляд эксперта

Ошибки в построении системы информационной безопасности предприятий зачастую оборачиваются не только потерей данных, но и гораздо более серьезными последствиями. О принципах построения и внедрения средств информационной безопасности, о возможных угрозах и средствах их обнаружения и предотвращения в своем интервью, данном ответственному редактору журнала КомпьютерПресс Наталии Елмановой, рассказывает Ханес Любих, профессор Швейцарского университета информационных технологий, в прошлом — руководитель отдела информационной безопасности одного из швейцарских банков, а в настоящее время — ведущий специалист по информационной безопасности корпорации Computer Associates, производителя семейства продуктов eTrust, охватывающего все (или почти все) аспекты обеспечения информационной безопасности предприятий.

омпьютерПресс: Какие, на ваш взгляд, проблемы, связанные с обеспечением информационной безопасности на предприятиях, могут считаться сегодня наиболее серьезными?

Ханeс Любих: Это во многом зависит от размера предприятия. Крупные компании в течение длительного времени вкладывают средства в обеспечение информационной безопасности, но из-за отсутствия инструментов оценки эффективности таких инвестиций руководство таких предприятий нередко стремится снизить эти затраты, сомневаясь в необходимости значительных вложений в данную область. При этом нередко руководители не имеют точного списка уже имеющихся на предприятии средств подобного рода.

Ханес Любих, профессор Швейцарского университета информационных технологий

Основная проблема малых и средних предприятий состоит в том, что они часто вообще не в состоянии позволить себе осуществить построение эффективной системы информационной безопасности самостоятельно. А ведь без этого им будет очень нелегко выжить на рынке в случае появления у них серьезных проблем с безопасностью, поскольку большой компании намного проще восстановиться после атаки.

КП: Какие проблемы, связанные с обеспечением информационной безопасности, на ваш взгляд, ожидают предприятия в ближайшем будущем?

Х.Л.: Я думаю, что следует ожидать два типа угроз подобного рода. Первый из них — это уже известные угрозы наподобие DoS¹ -атак, но очень крупномасштабные. Второй тип угроз — это более сложные атаки, которые используют различные направления проникновения — как технологические, так и использующие человеческий фактор. К примеру, при планировании атаки на крупное предприятие можно подкупить или шантажировать его сотрудника либо проникнуть на предприятие, пронести на его территорию необходимое оборудование и организовать атаку изнутри. При этом вполне вероятно, что на такую атаку уйдет много времени и средств. На мой взгляд, угрозы подобного рода в подавляющем большинстве не являются техническими: в них задействованы прежде всего люди и процессы и только затем — технологии. А значит, контрмеры тоже должны быть не техническими, хотя многие руководители компаний до сих пор пребывают в заблуждении, что именно технологии способны решить проблемы безопасности.

¹ DoS (Denial of service, — отказ в обслуживании) — вид атаки, характеризующийся избыточной перегрузкой запросами атакуемой системы и использованием возникающих вследствие этой перегрузки сбоев в ее работе.

КП: Что бы вы порекомендовали предприятиям для решения подобных проблем?

Х.Л.: Прежде всего руководители компаний должны понять, что полностью избежать атак и иных проблем безопасности им не удастся. Им следует смириться с тем фактом, что некоторые атаки окажутся успешными, при этом научиться их выявлять, а также организовать IT-инфраструктуру таким образом, чтобы предприятие не теряло способности функционировать, даже если оно подверглось атаке. Крупным компаниям я рекомендую точно определить, какие элементы системы безопасности у них есть и как они между собой взаимодействуют. Средним и малым предприятиям я бы посоветовал передоверить задачу обеспечения безопасности сторонней организации.

КП: Каковы наиболее часто встречающиеся ошибки, совершаемые руководителями служб информационной безопасности крупных компаний?

Х.Л.: Меня всерьез беспокоит то, что очень многие наши клиенты устанавливают обновления систем безопасности раз в неделю или раз в месяц, не обращая внимания на наши рекомендации производить такие действия ежедневно. Да и вообще, в крупных компаниях нередко работают высокооплачиваемые специалисты, которые ежедневно совершают очевидные ошибки — например целыми днями просматривают log-файлы брандмауэров, вместо того чтобы заменить брандмауэр и автоматизировать этот процесс.

Нередко руководители IT-служб вообще не имеют представления о том, какие у них имеются активы — компьютеры, мобильные и другие устройства, и каковы источники данных, попадающих в компанию. Правда, в последнем случае мы можем установить аппаратное обеспечение, которое внедрит программные агенты на все устройства, обладающие IP-адресом. Агент внедряется в операционную систему и сообщает по защищенному каналу на сервер, собирающий сведения о сети, об обнаруженном программном обеспечении, а также позволяет в случае подозрений отключить устройство от сети.

КП: Каковы особенности стратегии Computer Associates в области информационной безопасности?

Х.Л.: Для Computer Associates основными являются три направления деятельности. Первое — это управление идентификацией и правами доступа. Недавно мы усилили свои позиции в этой области, приобретя одного из ведущих поставщиков решений подобного назначения, компанию Netegrity, и в ближайшем будущем собираемся интегрировать ее инструменты и технологии c имеющимися у нас.

Второе направление нашей деятельности связано с управлением безопасностью и с созданием продуктов, которые будут собирать информацию обо всем аппаратном и программном обеспечении, имеющемся в компании, обо всех обновлениях ПО и обо всех уязвимостях, а также поставлять в реальном времени средства защиты для каждого элемента IT-инфраструктуры и информировать IT-специалистов о том, что уровень защиты того или иного элемента недостаточен.

И наконец, третье направление — это так называемая интеллектуальная защита (security intelligence), суть которой — сбор и анализ имеющейся информации о различных событиях. Эта идея реализована в портале безопасности, который умеет общаться с несколькими сотнями средств обеспечения безопасности от разных поставщиков. В частности, именно этот портал мы использовали в Афинах на прошлогодних Олимпийских играх для сбора информации со всех сетевых и мобильных устройств (несколько миллионов событий в день), благодаря чему сотрудники подразделения безопасности Олимпиады имели полную картину происходящего.

Помимо этого мы активно работаем над технологиями, которые позволяют предотвратить атаку. Для этого используется эвристический анализ характера поведения. Сначала продукт «обучается» на многих примерах нормального поведения, а затем анализирует реальное поведение и сообщает об обнаруженных отклонениях. Так, например, если финансовый департамент компании никогда не работает в выходные и вдруг в три часа ночи в воскресенье начинает функционировать — этот факт подозрителен и требует расследования. Но пока мы в основном исследуем этот вопрос.

По нашим наблюдениям, 80% проблем, связанных с нарушением защиты данных, вызывают от 10% хорошо известных вирусов и червей. Но всегда существуют и особые случаи, которые также следует стараться выявить, пусть даже это окажется ложной тревогой.

Замечу, что другие компании делают то же самое. Так, компания Cisco объявила об инициативе «безопасная сеть», суть которой заключается в том, что прежде чем компьютеру будет дозволено соединиться с сетью, сетевая система допуска проверяет, удовлетворяет ли данный компьютер требованиям к безопасности.

В целом же в сети реализуется многоуровневая система безопасности и создаются три линии обороны. Первая должна остановить как можно больше угроз от вторжения в самом начале, вторая — обнаружить в реальном времени те из них, что смогли проникнуть сквозь первую линию обороны, и третья линия — изоляция подозрительных файлов, данных и устройств.

КП: Каковы основные потребители средств обеспечения безопасности Computer Associates? Есть ли у вас продукты для небольших компаний?

Х.Л.: В основном нашими клиентами являются крупные предприятия — приобретение некоторых наших продуктов не оправданно, если в компании менее 500 устройств. Но ряд наших продуктов масштабируется «вниз» до уровня домашних пользователей, хотя, конечно, на этом рынке много других поставщиков и по большому счету не так уж и важно, чьи именно продукты использовать. Но для небольших компаний мы предлагаем антивирусные и антиспамовые решения, которые не требуют установки и обновления, а просто позволяют подключиться к соответствующему серверу через Интернет и просканировать компьютер.

Отмечу, что продукты для конечных пользователей и небольших компаний можно продавать через торговых партнеров — они не требуют адаптации. А вот для построения системы безопасности крупного предприятия требуется интеграционный проект, на который компании придется выделить определенные средства. Правда, обычно любая компания стремится сократить расходы и при этом сохранить прежний уровень безопасности, да и вообще, как правило, компании отнюдь не рвутся финансировать ИТ-инфраструктуру, поскольку сама по себе она прибыли не приносит. Именно это и делают наши продукты  — позволяют упростить управление теми средствами обеспечения безопасности, что уже имеются на предприятии, и обеспечивают выполнение большего числа функций при меньших затратах.

КП: При выборе средства обеспечения безопасности — будь то антивирусы, антишпионское программное обеспечение или иные категории продуктов — важны скорость реакции компании-поставщика на новые угрозы и своевременное появление соответствующих обновлений. Каково среднее время реакции CA на новые угрозы и как именно она на них реагирует?

Х.Л.: Наш отдел безопасности в CA работает круглосуточно и расположен в трех различных точках земного шара. Он постоянно поставляет обновления для наших продуктов. Обычно клиент сам определяет, как часто ему должны поставляться обновления. Сами мы поставляем обновления ежедневно, а в случае антивируса — чаще, чем раз в день.

Как только мы узнаем о новой угрозе, наша команда изучает ее и в течение четырех часов докладывает о своих выводах. После этого принимается решение о том, нужно ли выпускать срочное обновление или можно создать его к концу следующего дня. Мы замечали, что в ряде случаев слишком быстрая реакция создает другие проблемы  — за вирус или иную угрозу принимается то, что таковой не является. Как-то у нас появился новый файл с сигнатурой нового вируса и заблокировал все zip-файлы во всех электронных письмах — нам пришлось его отозвать.

КП: В чем, на ваш взгляд, заключаются преимущества продуктов CA перед конкурентами?

Х.Л.: Я думаю, что главное преимущество наших продуктов в том, что с ними можно работать индивидуально, а не покупать дорогостоящую платформу безопасности. Но при появлении других инструментов для обеспечения безопасности от CA они распознают их и начинают работать совместно, и пользователю не надо думать об интеграции продуктов. Вдобавок мы обеспечиваем достаточный уровень сервиса, можем осуществить интеграцию с продуктами независимых поставщиков благодаря пониманию синтаксиса и семантики сообщений от этих продуктов.

КП: Каковы планы дальнейшего развития средств безопасности CA?

Х.Л.: Мы планируем, во-первых, сократить промежуток времени между первым сообщением о новой угрозе и внедрением соответствующих обновлений. А во-вторых, планируем развивать средства анализа информации от систем безопасности других типов, в частности от охранных систем, служб видеонаблюдения, электронных пропускных устройств. К примеру, по данным пропускной системы, сотрудника в здании нет, но под его учетной записью кто-то зарегистрировался в сети, и такой факт следует проанализировать на предмет нарушения безопасности.

КП: Неужели столь очевидная вещь до сих пор никем не реализована?

Х.Л.: Проблема заключается в том, что подобного рода системы передают сообщения в собственные командные центры, а не в ИT-службу, и для интеграции систем физической безопасности и информационной безопасности нужен общий язык описания событий. Таким языком, например, может стать язык SAML², используемый консорциумом Liberty Alliance³.

Кроме того, мы планируем в ближайшем будущем активно работать над крупномасштабными проектами совместно с такими партнерами, как Ernst&Young, IBM, и намерены стать не только продуктовой, но и сервисной компанией.

КП: Большое вам спасибо за интересную беседу. Желаем вашей компании успехов на российском рынке.

² SAML (Security Assertion Markup Language) — язык разметки защищенных утверждений, разработанный организацией по развитию стандартов структурированной информации OASIS.

³ Liberty Alliance — консорциум, в который входят около 70 компаний, включая Sun Mycrosystems, AOL и HP. Цель деятельности консорциума — создание единой системы идентификации пользователей Интернета, альтернативной Microsoft Passport и, в отличие от последней, являющейся децентрализованной.

КомпьютерПресс 4'2005