Информационная безопасность. Как обосновать?
Пример расчета ущерба, возникающего вследствие атаки на защищаемый объект
Анализ российской прессы последних лет показывает, что вопросам обеспечения информационной безопасности стало уделяться больше внимания. Описываются различные технологии, рассказывается о новых продуктах и решениях и т.д. Но к изменению существующей ситуации это не приводит: компании как не использовали средств защиты, так и не используют до сих пор. При этом парадокс заключается в том, что если спросить любого грамотного технического специалиста, нужно ли обеспечивать информационную безопасность, то он однозначно ответит утвердительно. В своей статье я постараюсь объяснить эту проблему и найти способы ее решения.
Зачем надо защищаться?
Ответов на этот вопрос может быть множество — в зависимости от структуры и целей вашей компании. Для одних главной задачей является предотвращение утечки информации (маркетинговых планов, перспективных разработок и т.д.) к конкурентам. Другие могут пренебречь конфиденциальностью информации и сосредоточить свое внимание на ее целостности. Так, для банка важно в первую очередь обеспечить неизменность обрабатываемых платежных поручений, например, чтобы злоумышленник не смог несанкционированно дописать в платежку еще один нолик или изменить реквизиты получателя. Для третьих компаний на первом месте стоит обеспечение доступности и безотказной работы информационных систем компании, в частности, для провайдера Interner-услуг, для компании, имеющей Web-сервер, или для оператора связи первейшей задачей является именно обеспечение безотказной работы всех (или наиболее важных) узлов своей информационной системы. Расставить такого рода приоритеты можно только в результате анализа деятельности компании [1].
Когда речь заходит об обеспечении безопасности любого предприятия, то первое, с чего начинается решение данного вопроса, — это физическая защита системы контроля доступа, охранные видеокамеры, датчики, системы сигнализации и т.п. Все это приобретается и устанавливается в большом количестве, но когда дело доходит до информационной безопасности, то руководство скептически относится к средствам, ее реализующим. Если турникет, видеокамеру или огнетушитель можно потрогать руками и целесообразность их применения видна невооруженным глазом, то применение систем защиты информации (систем обнаружения атак, систем анализа защищенности и т.д.) необходимо тщательно обосновывать. Связано это с тем, что мир физической безопасности понятен любому человеку, в том числе и руководству компании. Однако, как только речь заходит об информационных технологиях, то со стороны руководства сразу же возникает непонимание. И связано это с тем, что технические специалисты (которым не надо объяснять необходимость средств защиты) и руководство компании говорят на разных языках. Первые оперируют техническими понятиями, а вторые — экономическими. Поэтому, чтобы доказать необходимость приобретения средств защиты, технические специалисты должны освоить новый язык общения, понятный руководящему составу.
Чтобы не быть голословным, хочу привести некоторые статистические данные, которые лишний раз подтверждают, что основная причина, по которой тормозится обеспечение информационной безопасности в организации, — это недостаток поддержки со стороны руководства, возникающий вследствие непонимания необходимости этого процесса.
В 1999 году две организации — ICSA и SAIC — провели опрос 745 респондентов, задав им один-единственный вопрос: «Каково главное препятствие, возникающее перед вами при обеспечении информационной безопасности?» В табл. 1 показано, как распределились ответы.
Аналогичный опрос, проведенный в 1999 году изданием InformationWeek среди 2700 респондентов в 49 странах мира, дал результаты, которые мы приводим в табл. 2.
Хочется сразу отметить, что в настоящий момент сложилась непростая ситуация. Межсетевые экраны и антивирусные системы у всех на слуху. Именно они в первую очередь и приобретаются в случае появления в бюджете статьи расходов на средства защиты информации. Однако эти средства уже не удовлетворяют современным требованиям, предъявляемым к защитным системам. Они не отражают и даже не обнаруживают целый ряд очень опасных атак [2]. Поэтому ограничиваться только этими средствами нельзя, так как они обеспечивают необходимый, но явно недостаточный уровень защиты корпоративных ресурсов. Дополнить их должны такие средства, как системы анализа защищенности, системы обнаружения атак, обманные системы и т.д.
Для того чтобы узнать тайны компании, сегодня нет необходимости перелезать через высокие заборы и обходить периметровые датчики, вторгаться в защищенные толстыми стенами помещения, вскрывать сейфы и т.п. Достаточно проникнуть в информационную систему, и в течение нескольких секунд или минут можно будет перевести сотни тысяч долларов на чужие счета или вывести из строя какой-либо узел корпоративной сети. Все это приводит к огромному ущербу, причем не только к прямому ущербу, который может выражаться в цифрах со многими нулями, но и к косвенному. Например, выведение из строя того или иного узла потребует значительных сумм для восстановления его работоспособности, которые складываются из затрат на обновление или замену программного обеспечения и зарплаты обслуживающего персонала. А атака на публичный Web-сервер компании и замена его содержимого на любое другое может привести к снижению доверия к фирме и, как следствие, к потере части клиентуры и уменьшению доходов.
По сравнению с физической безопасностью компьютерная безопасность находится еще в младенчестве. С каждым очередным достижением в области информационных технологий появляются и новые аспекты обеспечения информационной безопасности. При этом у уже существующих решений появляются новые грани, на которые приходится смотреть под другим углом зрения. Физическая защита — относительно статичная область. Она включает в себя системы разграничения доступа, системы сигнализации, оборудование для наблюдения, позволяющие идентифицировать и предотвратить физическое вторжение в защищаемую область. В свою очередь, компьютерная безопасность ориентирована не на физический мир, а на киберпространство, где злоумышленники, находящиеся порой за сотни километров от своей жертвы, в том числе и в другой стране, должны быть определены только при помощи серии нулей и единиц [3]. За последний год число компьютерных преступлений возросло на порядок. И ущерб, нанесенный в результате несанкционированных компьютерных посягательств, измеряется миллионами долларов.
Чтобы обосновать для руководства необходимость приобретения средств защиты, необходимо четко объяснить их назначение. Проще всего сделать это с помощью аналогий из мира физической безопасности. О межсетевых экранах и антивирусных системах я говорить много не буду, так как это те из немногих средств защиты, которые понятны всем. Перейду к другим решениям — технологиям анализа защищенности, обнаружения и отражения угроз. Эти технологии известны многим специалистам в области физической безопасности. Они представлены такими средствами физической безопасности, как системы сигнализации и оповещения. В свою очередь, эти системы делятся на два категории: постоянного и периодического действия. Первые системы, к которым можно отнести пожарную и охранную сигнализацию, охранное телевидение и т.п., непрерывно следят за объектом защиты. Системы периодического действия работают по другому принципу, анализируя состояние объекта защиты в заданные моменты или через определенные промежутки времени. Типичным примером таких средств является периодический обход территории охранниками. К средствам отражения можно отнести ограждение территории, замки и решетки и пр.
Информационная система — это тоже своего рода здание, только виртуальное, которое необходимо защищать. И использовать для этого нужно аналогичные механизмы, но с учетом особенностей информационных технологий. Например, несанкционированный вход в обычное здание блокируется охранником или турникетом, в виртуальном же здании для этого используется межсетевой экран или система аутентификации, которые проверяют входящий (и исходящий) в систему трафик на соответствие различным критериям.
Понятно, что злоумышленник для проникновения в здание может подделать пропуск (в виртуальном мире — подделать адрес) или пролезть через окно (в виртуальном мире — через модем). И никакой охранник или турникет не защитит от этого. И тут на первый план выходят средства обнаружения угроз в виде датчиков охранной сигнализации, идентифицирующих различные угрозы:
- контролирующие пространство помещений (объемные датчики);
- контролирующие периметр объекта защиты (линейные датчики);
- контролирующие отдельные предметы (точечные датчики).
В виртуальном здании применяются схожие датчики. Называются они сенсорами системы обнаружения атак. Единственное отличие от датчиков охранной сигнализации — в наличии двух категорий вместо трех:
- контроль сетевого сегмента (аналог объемного датчика). В случае применения данного сенсора совместно с межсетевым экраном или иным средством защиты периметра сети сенсор системы обнаружения атак, функционирующий на уровне сети, выполняет роль линейного датчика;
- контроль отдельного узла информационной системы (аналог точечного датчика).
Аналог механизма охранной сигнализации и оповещения периодического действия тоже присутствует в виртуальном мире. Это системы анализа защищенности, которые по требованию администратора безопасности или по расписанию проводят ряд проверок заданных компонентов информационной системы. Можно провести следующее сравнение: подобно охраннику, периодически обходящему все этажи здания в поисках открытых дверей, незакрытых окон и т.п., действует и система анализа защищенности. Только в качестве здания выступает информационная система, а в качестве незакрытых окон и дверей — уязвимые места этой системы.
Хард или софт?
Хотелось бы остановиться еще на одном аспекте выбора средств защиты. В последнее время наряду с чисто программными широкое распространение получили и программно-аппаратные решения, так называемые security appliance. И хотя на первый взгляд такие аппаратные реализации существенно дороже, но это только на первый взгляд. Стоимость аппаратного обеспечения составляет порядка 5-12 тыс. долл. Стоимость решения, основанного на применении только программного обеспечения, выполняющего аналогичные функции, может быть существенно выше. И это несмотря на то, что само ПО стоит меньше. Такой эффект достигается за счет того, что для программного обеспечения системы защиты необходимы компьютер (желательно brand name), лицензионный дистрибутив операционной системы и сопутствующее программное обеспечение, к этому нужно прибавить также затраты на установку и настройку всего комплекса. Для программно-аппаратного решения таких «дополнительных» затрат не существует — они уже включены в стоимость железа.
Первоначально средства сетевой безопасности периметра реализовались как дополнительные механизмы фильтрации в маршрутизаторах. Такие устройства стоят от 4 до 9 тыс. долл. Затем стали появляться другие решения, основанные на применении выделенных компьютеров для решения задач сетевой безопасности. Эти решения были более функциональными, чем фильтрующие маршрутизаторы, но и требовали значительных сумм на приобретение (от 12 до 20 тыс. долл.) и поддержание работоспособности.
В середине 90-х годов стали появляться интегрированные решения, объединяющие в себе возможности вышеназванных технологий. Эти решения, которые называются security appliance, поставлялись как специальные устройства, использующие обычные операционные системы и «урезанные» для выполнения только защитных функций. Удобство данного решения заключалось в том, что администратор или оператор защиты взаимодействовал с защитным устройством через графический интерфейс (GUI), минуя операционную систему. Стоимость таких систем составляет от 5 до 12 тыс. долл.
К достоинству таких решений относятся:
- простота внедрения в технологию обработки информации. Поскольку такие устройства поставляются с уже предустановленной и настроенной операционной системой и защитными механизмами, необходимо только подключить его к сети, что выполняется в течение нескольких минут;
- производительность. Поскольку из операционной системы исключаются все «ненужные» сервисы и подсистемы, то устройство работает более эффективно с точки зрения надежности и скорости;
- простота управления. Данные устройства могут управляться с любой рабочей станции Windows 9x, NT, 2000 или UNIX. Взаимодействие консоли управления с устройством осуществляется либо по стандартным протоколам (например, telnet или SNMP), либо при помощи специализированных или защищенных протоколов (например, Ssh или SSL);
- отказоустойчивость и высокая доступность;
сосредоточение на защите. Решение исключительно задач обеспечения сетевой безопасности не приводит к трате ресурсов на выполнение других функций, например маршрутизации и т.п. (Обычно попытка создать универсальное устройство, решающее сразу множество задач, ни к чему хорошему не приводит.)
В отчете, опубликованном независимой консалтинговой компанией Gartner Group в июне 1997 года, было сказано, что к 2002 году 80% компаний с доходами от 20 до 200 млн. долл. выберут именно аппаратные решения (appliance), а не программные. Основная причина такого выбора — обеспечение столь же высокого уровня защиты, как и в программных решениях, но за меньшие деньги. А вторая причина — простота и легкость интеграции этих решений в корпоративную систему.
Однако сразу необходимо отметить, что для большинства российских компаний программно-аппаратные решения все же пока еще слишком дороги, несмотря на вышеуказанные плюсы. Связано это с тем, что многие компании не приобретают специальный компьютер для системы защиты, а пытаются использовать уже существующие (как правило, устаревшие). Кроме того, развитие компьютерного пиратства привело к тому, что и программное обеспечение на эти компьютеры ставится нелицензионное. Ну и наконец, стоимость оплаты труда отечественных специалистов на порядок ниже, чем за рубежом. Все это приводит к тому, что в России основной упор делается именно на программных решениях, хотя программно-аппаратные решения и считаются более эффективными. Остается надеяться, что со временем ситуация изменится к лучшему.
Что выбрать?
Итак, вы наконец-то смогли убедить руководство в необходимости средств защиты. Что же выбрать? Универсальных рецептов тут нет: все зависит от тех целей, которые вы перед собой ставите. Можно привести только некоторые общие рекомендации. Во-первых, затраты на обеспечение информационной безопасности не должны превышать стоимости защищаемого объекта или величину ущерба, который может быть нанесен вследствие атаки на защищаемый объект. Основная проблема — определить размер такого ущерба. Можно привести следующую упрощенную модель оценки ущерба.
Исходные данные:
- Время простоя вследствие атаки, tП (в часах).
- Время восстановления после атаки, tВ (в часах).
- Время повторного ввода потерянной информации, tВИ (в часах).
- Зарплата обслуживающего персонала (администраторов и т.д.), ZО (в долл. за месяц).
- Зарплата сотрудников атакованного узла или сегмента, ZС (в долл. за месяц).
- Число обслуживающего персонала (администраторов и т.д.), NО.
- Число сотрудников атакованного узла или сегмента, NС..
- Объем продаж атакованного узла или сегмента, O (в долл. за год).
- Стоимость замены оборудования или запасных частей, ПЗЧ (в долл.).
- Число атакованных узлов или сегментов.
- Число атак в год, n.
Стоимость потерь от снижения производительности сотрудников атакованного узла или сегмента (ПП) будет равна:
Стоимость восстановления работоспособности атакованного узла или сегмента ПВ состоит из нескольких составляющих:
ПВИ — стоимость повторного ввода информации;
ППВ — стоимость восстановления узла (переустановка системы, конфигурация и т.д.).
Упущенная выгода от простоя атакованного узла или сегмента (U) составляет:
Таким образом, общий ущерб от атаки на узел или сегмент корпоративной сети организации (ОУ) составит:
Данная модель поможет вам приблизительно оценить финансовые затраты, возникающие вследствие атак на какие-либо ресурсы организации, и поможет остановить свой выбор на защитных средствах, стоимость которых не превышает расчетной цифры. Однако все эти голые цифры редко интересуют конечных пользователей. Поэтому хотелось бы привести несколько примеров, когда стоит применять те или иные решения.
В зависимости от масштаба компании можно выделить три основных класса сетей:
- Enterprise — центральная сеть компании, которая может насчитывать сотни и тысячи узлов;
- ROBO (Regional Office/Branch Office) — сеть регионального филиала, насчитывающего несколько десятков или сотен узлов;
- SOHO (Small Office/Home Office) — сети небольших филиалов или домашние (мобильные) компьютеры, подключаемые к центральной сети.
Можно также выделить три основных сценария обеспечения информационной безопасности для этих классов сетей, различающихся разными требованиями к обеспечению защиты информации.
При первом сценарии минимальный уровень защищенности обеспечивается за счет возможностей, встроенных в сетевое оборудование, установленное на периметре сети (например, в маршрутизаторах). В зависимости от масштабности защищаемой сети эти возможности (защита от подмены адресов, минимальная фильтрация трафика, доступ к оборудованию по паролю и т.д.) реализуются в магистральных маршрутизаторах (например, Cisco 7500 или Nortel BCN), маршрутизаторах региональных подразделений (например, Cisco 2500 или Nortel ASN) и маршрутизаторах удаленного доступа (например, Cisco 1600 или 3Com OfficeConnect). Практически никаких дополнительных финансовых затрат этот сценарий не требует.
Второй сценарий, обеспечивающий средний уровень защищенности, реализуется уже при помощи дополнительно приобретенных средств защиты, к которым относятся несложные межсетевые экраны и системы обнаружения атак и т.п. В центральной сети может быть установлен межсетевой экран (например, CheckPoint Firewall-1), на маршрутизаторах могут быть настроены простейшие защитные функции, обеспечивающие первую линию обороны (списки контроля доступа и обнаружение некоторых атак); весь входящий трафик проверяется на наличие вирусов и т.д. Региональные офисы могут защищаться более простыми моделями межсетевых экранов. При отсутствии в регионах квалифицированных специалистов рекомендуется устанавливать программно-аппаратные комплексы, управляемые централизованно и не требующие сложной процедуры ввода в эксплуатацию (например, CheckPoint VPN-1 Appliance на базе Nokia IP330).
Третий сценарий, позволяющий достичь максимального уровня защищенности, предназначен для серверов eCommerce, Internet-банков и т.д. При этом применяются высокоэффективные и многофункциональные межсетевые экраны, серверы аутентификации, системы обнаружения атак и системы анализа защищенности. Для защиты центрального офиса могут быть применены кластерные комплексы межсетевых экранов, обеспечивающих отказоустойчивость и высокую доступность сетевых ресурсов (например, CheckPoint VPN-1 Appliance на базе Nokia IP650 или CheckPoint VPN-1 с High Availability Module). Также в кластер могут быть установлены системы обнаружения атак (например, RealSecure Appliance) [6]. Для обнаружения уязвимых мест, которые могут быть использованы для реализации атак, можно использовать системы анализа защищенности (например, семейство SAFEsuite компании Internet Security Systems). Аутентификация внешних и внутренних пользователей осуществляется при помощи серверов аутентификации (например, CiscoSecure ACS). Ну и наконец, доступ домашних (мобильных) пользователей к ресурсам центральной и региональных сетей обеспечивается по защищенному VPN-соединению. VPN (Virtual Private Network) также используются для обеспечения защищенного взаимодействия центрального и региональных офисов. Функции VPN могут быть реализованы при помощи как межсетевых экранов (например, CheckPoint VPN-1), так и специальных средств построения VPN (например, «Континент-К», созданный НИП «Информзащита»).
Что дальше?
Казалось бы, после того как средства защиты приобретены, все проблемы снимаются. Однако это не так. Покупка средств защиты — это только верхушка айсберга. Мало приобрести защитную систему, самое главное — ее правильно настроить и эксплуатировать. Поэтому финансовые затраты на приобретении не прекращаются. Необходимо заранее заложить в бюджет такие позиции, как обновление программного обеспечения, поддержка со стороны производителя или поставщика и обучение персонала правилам эксплуатации приобретенных средств. Без соответствующего обновления система защиты со временем перестанет быть актуальной и не сможет отслеживать новые изощренные способы несанкционированного доступа в сеть компании. А авторизованное обучение и поддержка помогут быстро ввести систему защиты в эксплуатацию и настроить ее на технологию обработки информации, принятую в организации. Если говорить языком цифр, то примерная стоимость обновления составляет около 15% стоимости программного обеспечения. Стоимость годовой поддержки со стороны производителя, которая, как правило, уже включает в себя обновление ПО, составляет около 20-30% стоимости системы защиты. Таким образом, каждый год вы должны тратить не менее 20-30% стоимости ПО на продление технической поддержки. Кроме того, обучение одного человека на авторизованных курсах зарубежных компаний составляет около 800-1500 долл. Стоимость обучения на курсах российских компаний существенно ниже — 150-400 долл.
В заключение нужно сказать, что приобретение средств защиты — это не бесполезная трата средств. Это инвестиции, которые при правильном вложении окупятся с лихвой и позволят поднять ваш бизнес на новую высоту.
Литература
- Лукацкий А.В. Защитите свой бизнес//Мобильные системы. 1999. № 12.
- Лукацкий А. Отмычки к «поясу невинности»//Business Online. 2000. № 5.
- Лукацкий А. Адаптивная безопасность сети//КомпьютерПресс. 1999. № 8.
- Лукацкий А. Анатомия распределенной атаки//PCWeek/RE. 2000. № 5.
- Алексеенко В., Древс Ю. Основы построения систем защиты производственных предприятий и банков — М.: МИФИ, 1996.
- Лукацкий А. Новые подходы к обеспечению информационной безопасности сети//КомпьютерПресс. 2000. № 7.
КомпьютерПресс 11'2000