Интернет-пейджеры: удобно, но опасно для жизни
Интернет-пейджеры, представляющие собой клиентские части служб мгновенного обмена сообщениями (Instant Messaging, IM), используются сегодня в большинстве компаний. Эта технология изменила способ общения представителей бизнеса с клиентами и партнерами, а также между сотрудниками внутри компании. Удобство, скорость, настоящая двусторонняя связь — вот только самые очевидные характеристики программ обмена мгновенными сообщениями. Однако на практике IM-связь не только эффективна, но и опасна.
Какие угрозы могут быть связаны с IM-программами? Во-первых, существует масса вредоносных программ, атакующих пользователей тех или иных IM-протоколов. Во-вторых, уязвимости в программах-клиентах могут служить прекрасной мишенью для хакерских нападений. И в-третьих, через IM-сети постоянно передается конфиденциальная информация, которую достаточно легко перехватить. Ну а если в вашей компании появился инсайдер, то эту информацию не понадобится даже перехватывать — ему будет вполне достаточно выслать ее своему внешнему контакту с помощью IM-клиента.
Обратимся теперь к исследованию аналитического центра InfoWatch под названием «IM — Instant Messenger or Information Misuse?». В ходе этого проекта эксперты опросили более 1,1 тыс. пользователей портала SecurityLab.ru. Остановимся прежде всего на ключевых выводах исследования. Во-первых, подавляющее большинство (92,4%) респондентов признают опасность IM-технологий, но практически каждый второй (48,6%) на практике бездействует и полностью игнорирует возникающие риски ИТ-безопасности.
Во-вторых, основная угроза, возникающая при использовании IM-клиентов, — это утечка конфиденциальной информации (42,3%), что абсолютно справедливо: каждый четвертый респондент (24,5%) согласился, что постоянно пересылает конфиденциальные сведения через IM-клиент, а еще 15,8% затруднились дать однозначный ответ.
В-третьих, почти половина компаний (41,4%), защищающихся от IM-угроз, использует блокировку трафика, а почти треть (27,0%) — административные ограничения. Таким образом, респонденты предпочитают запрещать IM-трафик вместо того, чтобы контролировать это эффективное средство коммуникации.
В-четвертых, лишь чуть больше половины (57,9%) респондентов, использующих блокировку трафика, считают эту меру эффективной. Напротив, три четверти компаний уверены, что административные ограничения (74,7%) и мониторинг IM-трафика (78,9%) являются эффективным средством защиты от IM-угроз. Несмотря на высокие риски, компании малого бизнеса (до 100 рабочих станций) используют специальные средства для защиты от IM-угроз на 23,8% реже, нежели крупные корпорации (более 501 пользователя). Последние тоже защищаются далеко не всегда — меры принимаются только в 66,8% случаев.
Результаты исследования
Отметим, что первое российское исследование, посвященное безопасности IM-клиентов в корпоративной среде, было проведено аналитическим центром InfoWatch в середине 2005 года («Интернет-пейджеры: брешь внутренней безопасности или будущее средство бизнес-коммуникаций?»). Несмотря на то что базы респондентов в прошлом и настоящем исследованиях значительно различаются, некоторые параллели между ними провести все-таки можно. Поэтому, сравнивая нынешние результаты с показателями двухлетней давности, аналитический центр InfoWatch останавливается только на самых общих тенденциях.
На рис. 1 представлен портрет респондентов по количеству компьютеризованных рабочих мест в организации. Наибольшая часть опрошенных сотрудников работает преимущественно в малых компаниях (61,3%), имеющих не более 100 рабочих станций. На долю среднего бизнеса (101-500 компьютеризованных мест) пришлось 21,7%. Оставшаяся часть респондентов (17,0%) представляет крупный бизнес. В дальнейшем результаты опроса будут сегментированы в зависимости от размеров бизнеса респондентов.
Рис. 1. Число компьютеризованных
рабочих мест
Согласно результатам исследования (рис. 2), подавляющее большинство пользователей (74,3%) использует сервис ICQ, что свидетельствует о высокой популярности данной программы в России. Правда, более половины (54,3%) респондентов применяют не только ICQ, но и другие IM-программы, а значит, несколько увеличивают вероятность возможных рисков. По сравнению с результатами двухлетней давности ситуация практически не изменилась: IM-клиенты не используют 12,8% опрошенных, причем влияние различий в базе респондентов на этот фактор можно считать несущественным.
Рис. 2. Используемые IM-клиенты
Таким образом, технологии IM стали полноценным средством бизнес-коммуникации. Версия об их возможном отмирании в связи с проблемами безопасности не выдержала проверки временем. Бизнес-выгода, которую приносит использование IM, настолько велика, что абсолютное большинство компаний готовы применять IM-клиенты, невзирая на их очевидную незащищенность. Это прекрасно понимают и злоумышленники, что неизбежно приведет к распространению вредоносных программ, эксплуатирующих уязвимости пейджеров. Не стоит забывать и о внутренних угрозах, то есть об инсайдерах, использующих IM-каналы.
На рис. 3 приведена диаграмма, демонстрирующая основные угрозы, возникающие в связи с применением IM-программ. Нетрудно заметить, что в списке угроз лидирует утечка конфиденциальной информации, которую отметили 42,3% опрошенных. Риски, связанные с вирусными атаками и нецелевым использованием ИТ-ресурсов, набрали примерно по 20% голосов, спам и реклама — по 10,0%. Отметим, что только 7,6% респондентов считают, что использование IM-клиентов абсолютно безопасно.
Рис. 3. Угрозы, возникающие в связи
с использованием IM
Следующий вопрос исследования касался наиболее серьезной угрозы IM — утечки конфиденциальной информации (рис. 4). Как выяснилось, только 59,7% респондентов уверены в том, что они никогда не пересылают подобную информацию по IM-каналам, а 24,5% опрошенных, напротив, периодически ее пересылают. Рискнем предположить, что реальное количество людей, занимающихся подобными вещами, гораздо больше — многие попросту не хотят себе в этом признаться.
Рис. 4. Пересылка конфиденциальной
информации через IM-клиент
Введение различных политик и регламентов является, наверное, самым простым способом снижения рисков от использования IM-программ. Тем не менее 62,0% респондентов представляют компании, которые таких регламентов не имеют. Более того, лишь у 14,9% респондентов действие политик можно считать эффективным. Данные, свидетельствующие о применении политик на предприятиях, приведены на рис. 5.
Рис. 5. Применение IM-политик
на предприятиях
В табл. 1 показана зависимость использования политик от размера организации-респондента. Нетрудно заметить, что чем больше компания, тем выше вероятность наличия регламента и его эффективного применения. Вместе с тем для малого бизнеса опасность утечек может оказаться даже более серьезной: если крупная корпорация потерпит убытки и восстановится, то небольшая компания рискует стать банкротом после кражи всего нескольких важных документов.
Таблица 1. Эффективность использования IM-политик в компаниях разного размера
|
Политика отсутствует |
Политика действует эффективно |
Политика есть, но не имеет никакой силы |
Затрудняюсь ответить |
Малый бизнес |
69,2% |
9,3% |
10,9% |
10,6% |
Средний бизнес |
61,9% |
18,0%a |
11,1% |
9,0% |
Крупный бизнес |
39,5% |
28,1% |
13,7% |
18,7% |
С помощью табл. 2 можно проследить зависимость пересылки конфиденциальной информации от наличия корпоративной политики безопасности в сфере IM. Исходя из полученных данных напрашиваются два основных вывода. Во-первых, эффективный регламент значительно (примерно в два раза) снижает риск утечки, однако не исключает его полностью. Во-вторых, наличие неэффективного регламента не только не снижает, но даже повышает вероятность пересылки конфиденциальных данных. Поэтому если организация хочет ввести регламент использования IM-программ, то она должна позаботиться о его эффективности.
Таблица 2. Политика безопасности и утечка конфиденциальной информации
|
Политика действует эффективно |
Политика есть, но она не имеет никакой силы |
Политика отсутствует |
Конфиденциальная информация пересылается |
14,9% |
31,1% |
24,0% |
Конфиденциальная информация не пересылается |
78,1% |
53,1% |
60,3% |
Затрудняюсь ответить |
6,9% |
16,5% |
16,1% |
Практика защиты от угроз
Остальные способы защиты от IM-угроз приведены на рис. 6. Из полученных данных следует, что почти половина компаний (46,6%) никак не защищается от IM-угроз, а среди применяемых методов преобладают запретительные меры (блокировка трафика). Контролирующие же меры (мониторинг) пока не получили широкого распространения — по всей видимости, их внедрение сопряжено с техническими проблемами и сопротивлением пользователей.
Рис. 6. Используемые способы защиты
от IM-угроз
Как и следовало ожидать, крупные организации принимают различные меры защиты от IM-угроз гораздо чаще. Огорчает другое — прирост наблюдается в основном за счет строго запретительных мер, таких как блокировка трафика. Уровень применения контролирующих мер, напротив, во всех компаниях примерно одинаково низок (8-10%) — табл. 3.
Таблица 3. Корреляция между мерами защиты и размером фирмы-респондента
|
Административные ограничения |
Блокировка трафика |
Мониторинг |
Архивирование |
Другие меры |
Никакие меры не применяются |
Малый бизнес |
13,0% |
16,5% |
8,1% |
0,6% |
5,8% |
56,0% |
Средний бизнес |
14,7% |
29,4% |
7,2% |
1,9% |
6,2% |
40,6% |
Крупный бизнес |
14,9% |
30,2% |
9,9% |
2,2% |
10,6% |
32,2% |
По мнению экспертов аналитического центра InfoWatch, сегодня существуют инструменты, позволяющие эффективно применять контролирующие меры, такие как мониторинг и архивирование трафика. Складывая всю информацию в хранилище, организация существенно снижает вероятность утечки. Пользователи понимают, что пересылаемая информация где-то сохраняется, поэтому ведут себя осмотрительно. Ну а в тех случаях, когда утечка все-таки произошла, заархивированные данные помогут найти злоумышленника. Наконец, создание IM-архива является обязательным условием ряда нормативных актов и международных стандартов.
В табл. 4 находятся данные, демонстрирующие зависимость применяемых мер от наиболее опасных угроз. Из полученных результатов следует сразу несколько основных выводов. Во-первых, административные меры и блокировка трафика являются некими универсальными способами защиты от большинства IM-угроз. Во-вторых, применение мониторинга наиболее разумно в тех случаях, когда основной риск для компании заключается в утечке конфиденциальной информации. В-третьих, практически половина пользователей, признавших угрозы IM-программ, никак не защищается от них.
Таблица 4. Зависимость защитных мер от степени опасности угрозы
Помимо вопроса об уже используемых способах защиты, целью исследования было выяснить, какие методы защиты, по мнению респондентов, следует применять. Как оказалось, распределение ответов по используемым (рис. 6) и рекомендованным (рис. 7) мерам значительно различается. Отметим, что на рис. 7 сумма ответов превосходит 100%, поскольку респондентам предлагалось выбрать несколько вариантов ответа.
Рис. 7. Рекомендованные способы защиты от IM-угроз
В отличие от используемых методов, большинство рекомендованных методов предполагает контролирующие способы воздействия на пользователей. С одной стороны, это объясняется непопулярностью запретительных мер, а с другой — пониманием преимуществ применения IM для бизнеса компании.
Рис. 8. Меры по защите пересылаемой
конфиденциальной информации
В рамках исследования аналитический центр InfoWatch попытался оценить эффективность применяемых методов в зависимости от рекомендованных методов. Полученные результаты подтвердили тезисы предыдущего абзаца — только 57,9% респондентов, использующих блокировку трафика, назвали эту меру рекомендованной. В отношении административных ограничений и мониторинга эти доли заметно выше: они составляют 74,7 и 78,9% соответственно. Таким образом, можно сделать вывод о том, что блокировка трафика является как наиболее нерекомендуемой, так и максимально непопулярной мерой защиты от IM-угроз.
В завершение обратимся к рис. 8, демонстрирующему незащищенность респондентов, признавшихся в пересылке конфиденциальной информации. Исследование показало, что 60,3% компаний, в которых работают эти сотрудники, вообще не защищаются от IM-угроз. Очевидно, что если подобная ситуация будет сохраняться, то внутренние нарушители обязательно ею воспользуются.
Итоги
Данное исследование подтвердило правильность тех тенденций, которые были сформулированы два года назад. Как мы уже неоднократно отмечали, IM-технологии стали стандартным средством коммуникации, применяемым в подавляющем большинстве компаний. Представители этих фирм начинают постепенно осознавать угрозы, связанные с IM, и соответственно применять различные методы защиты. В то же время до сих пор существует масса никак не защищенных организаций, являющихся потенциальной мишенью для инсайдеров.
Дальнейшее развитие IM-программ как средства бизнес-коммуникаций представляется вполне определенным. С одной стороны, будет расти количество инструментов защиты, а с другой — повышаться спрос на эти инструменты со стороны клиентов. Численность организаций, в принципе игнорирующих защиту IM-каналов, будет, таким образом, снижаться. Очевидно, что усилия компаний в области защиты IM (как поставщиков, так и заказчиков) будут стимулироваться возрастающим количеством угроз — не только со стороны внешних нарушителей, но и в первую очередь со стороны инсайдеров.