Собственно информация. Ее можно а) украсть; б) уничтожить; в) изменить; г) заблокировать; д) скомпрометировать. Но информация сама по себе пассивна, для того, чтобы влиять на нее, нужно воздействовать на носитель или систему, в которой информация "живет". Для защиты информации от раскрытия и несанкционированного изменения используются получившие в последние годы серьезное развитие методы криптозащиты.
Оборудование и элементы инфраструктуры. Сюда относятся серверы, активное сетевое оборудование, кабельные системы, электропитание, вспомогательные системы. Для таких объектов существует угроза физического воздействия, которое может привести к повреждению объекта, потере функциональности, либо к появлению в системе чужеродных объектов, влияющих на работу системы или осуществляющих съем информации. Кроме того, существует риск похищения объектов защиты. Это не кажется смешным, особенно с учетом того, что в 2000 году усредненный ущерб от кражи лэптопов составил более 10 миллионов долларов. Для минимизации риска в этом направлении используются классические методы физической защиты (защитный периметр, пропускная система и контроль доступа персонала, видеонаблюдение, "закладки" и системы сигнализации, срабатывающие при похищении оборудования, вооруженная охрана, служба собственной безопасности и т.п.) Что касается вирусов, выжигающих оборудование, это, к счастью, пока только легенды (и, возможно, вопрос относительно далекого будущего).
Программное обеспечение. Это операционные системы, прикладные программы, сервисы. И это основные цели классических атак и основные источники уязвимостей. Атаки на такие объекты могу привести а)к краху системы (программы, сервиса), частичной или полной потере функциональности; б)выполнению атакующей стороной (или в результате внешнего воздействия) несанкционированных либо непредусмотренных действий внутри системы; в)получению контроля над системой.
Защита от атак, использующих уязвимость программного обеспечения, как правило, и является основной задачей классических систем информационной безопасности.
Персонал. Анализ возможностей физического и психологического воздействия на системного администратора выходят за рамки этой статьи. Хотя, если серьезно говорить о безопасности в целом, администратор крупной информационной системы должен являться объектом защиты. И объектом пристального внимания службы собственной безопасности. Пока остановимся на том, что целенаправленное или случайное воздействие на персонал, имеющий административные полномочия в системе, может привести к возникновению существенных рисков. Отметим также, что для отдельных систем "цена вопроса" может оказаться сопоставимой со стоимостью всей системы.
Мы рассмотрели основные объекты, подвергающиеся угрозам с точки зрения информационной безопасности.
Кто и что может представлять угрозу для информации? Кто может выступать субъектом воздействия такого рода, и какие средства могут при этом применяться?
"Злоумышленник". Некто, в силу определенных мотивов осуществляющий сознательные действия, которые могут нанести ущерб. Мотивы могут быть самые разные - от спортивного интереса до обиды на работодателя. Или до исполнения служебных обязанностей сотрудником заинтересованной организации.
"Администратор". Лояльный сотрудник, имеющий полномочия суперпользователя, который в силу каких-либо обстоятельств непреднамеренно осуществляет действия, наносящие ущерб. Причиной может быть элементарное отсутствие квалификации, усталость, чрезмерная загрузка. Классический пример - команда rm -rf / * (удалить все файлы, включая вложенные директории, без подтверждения) в UNIX, ставшая темой анекдотов и страшных историй. И, тем не менее, периодически выполняемая. Администратор имеет практически неограниченные полномочия в системе, и даже если какая-то информация защищена от изменения и компрометации, очень сложно предотвратить ее уничтожение.
"Вирусы". Обобщим под этим названием все "самовоспроизводящиеся" программы, созданные человеком, но во многом живущие своей собственной жизнью, подчиняясь заложенному в них алгоритму. Это и вирусы, и черви, и распространяющиеся с ними "троянские кони". Контроль за ними со стороны создателя может быть полностью утерян (пример - сетевой червь Морриса), или частично сохранен (Code Red). В случае вирусной атаки выяснить первоначальный источник заражения и автора программы во многих случаях невозможно (по крайней мере, это выходит за рамки обязанностей и возможностей специалистов по безопасности информационных систем и провайдеров).
Разумеется, есть еще "форс-мажорные обстоятельства, то есть обстоятельства непреодолимой силы, выходящие за пределы разумного предвидения и контроля сторон, как то…." и т.п., но это вопрос скорее юридического характера. И хотя относящиеся к форс-мажорным обстоятельствам катастрофы, стихийные действия, террористические акты, действия правительства и властей и т.п. и т.д., безусловно, представляют угрозу для информации (а также для специалистов по безопасности), это тема для другой статьи.
Согласно последним данным, опубликованным Институтом Компьютерной безопасности [Computer Security Issues & Trends, 2001 CSI Computer Crime and Security Survey], на первом месте по количеству зафиксированных инцидентов стоят вирусные атаки. На втором месте - кражи лэптопов. На третьем - действия инсайдеров внутри сети. И только на четвертом месте, со значительным отрывом, идет проникновение в сеть извне.
Что касается заявленного финансового ущерба, то здесь данные не столь достоверны - с учетом того, что слишком многое можно списать на вошедших в моду хакеров и сорвавшихся с цепи сетевых червей. С другой стороны, далеко не все пострадавшие заявляют о нанесенном ущербе, боясь испортить репутацию компании. Разброс цифр очень велик - так, для удаленных атак заявленная сумма ущерба колеблется от 100 долларов до 10 миллионов на каждую атаку, при средней величине в 0, для вирусных атак - от 100 долларов до 20 миллионов, а усредненная цифра - чуть больше 200 долларов.
При этом есть категории инцидентов, где средний ущерб действительно велик - это финансовое мошенничество и кража информации. Так, для мошенничества величина среднего ущерба оценивается почти в 4,5 тысячи долларов, при совокупном заявленном ущербе, приближающемся к 100 тысячам долларов. И эта информация подтверждается, в частности, сообщениями о банкротстве ряда фирм, занимавшихся интернет-торговлей.
Вероятность атаки, направленной на сеть хостинг-провайдера или дата-центр, велика. В первую очередь, это обуславливается большим числом размещаемых ресурсов. В случае дата-центров становится существенным и характер размещаемой информации, ее высокая цена и критичность. В этом случае нельзя исключать опасности профессионально подготовленной и проведенной атаки, направленной на получение или уничтожение информации, а также на получение контроля над ресурсом.
В случае "классического" хостинга (понимая под этим компании, специализирующиеся на виртуальном веб-хостинге) профессиональная атака маловероятна, но заведомо велико число лобовых, "brute force" атак, а также атак с использованием хорошо известных уязвимостей. Весьма вероятны атаки на почтовые серверы с целью безнаказанной передачи большого объема спама (незапрошенной информации, как правило, рекламного характера). Что касается сложных профессиональных атак, то их подготовка требует достаточно серьезных усилий (а по возможности и участия инсайдеров), что по цене окажется гораздо дороже полученного результата, даже при успешной реализации атаки.
Политика безопасности различна для разных организаций и систем. Как по разному выстраивается обеспечение безопасности жилого дома, магазина и атомной станции, точно так же по разному строится информационная безопасность хостинг-провайдера, корпоративной информационной системы и дата-центра.
Дата-центры, или Центры Обработки Данных, ЦОД - новое явление, вызванное развитием сети (а также развитием бизнеса в сети). Крупные компании, выходящие в Интернет, предъявляют свои требования, в первую очередь, касающиеся уровня оказания услуг и обеспечения безопасности. При этом большинство существующих хостинговых компаний ориентировано на другой сегмент рынка и имеет свою специфику. В большинстве своем они не готовы к решению подобных задач. Если вернуться к нашей метафоре, то жилые дома не предназначены для размещения промышленных площадок и банков, а тем более, атомных станций.
Хостинговые компании появились раньше дата-центров и в иной экономической ситуации (как в России, так и на Западе). У большинства таких компаний основная задача - предоставление недорогих и достаточно профессиональных услуг по размещению и поддержке веб-сайтов и несложных почтовых систем. Среди клиентов оказываются и частные лица, и небольшие компании, и бюджетные организации, и шоу-бизнес, и многие другие. Крупный корпоративный бизнес и организации, связанные с властью и управлением, как правило, не работает с хостинговыми компаниями именно в силу низкой защищенности и негарантированности уровня оказания услуг.
Задача снижения себестоимости во многом определяет структуру информационной системы "классического хостера". Как правило, используются "не-брендовые" серверы под управлением Linux или Free-BSD, веб-серверы Apache, базы данных MySQL и Postgress, и скрипты на Perl и PHP. Все это имеет плюс в виде бесплатности и минус в отсутствии нормальной технической поддержки от вендоров (впрочем, веб-серверы Apache действительно весьма надежны и удобны).
Надо отметить, что во многих случаях "классические" хостинг-провайдеры не имеют собственного активного сетевого оборудования и собственных каналов связи, используя инфраструктуру провайдера. С одной стороны, это позволяет значительно снизить цену на услуги, с другой - лишает возможностей контроля и значительно ограничивает возможный уровень обеспечения безопасности.
В целом, общий уровень защиты у среднего хостера адекватен цене размещаемой информации и возможным угрозам. Политика безопасности, как правило, не разрабатывается, а все изменения в системе проводятся одним или несколькими администраторами. Отсутствие поддержки со стороны вендоров, небольшие штаты - все это, с одной стороны, заставляет системных администраторов быть всегда в хорошей форме, но с другой стороны серьезно снижает возможности и уровень защиты.
Впрочем, как мы уже говорили, для разных категорий объектов подходят свои методы защиты, и не имеет смысла на каждый жилой дом ставить зенитку и систему противоракетной обороны. И в задачи охранника жилого дома входит борьба с хулиганами и ворами, но никак не отражение атаки коммандос и не отлов профессиональных разведчиков.
Дата-центры стали появляться сравнительно недавно, и их, по большому счету, нельзя считать развитием хостинговых компаний. Это совсем другая структура, ориентированная на предоставление сложных комплексных услуг, которые могут требоваться заказчику (как правило, корпоративному). При этом одной из особенностей дата-центров является их высокая защищенность - и в смысле защиты территории, и в смысле технических средств и организационных мер безопасности.
В обеспечении информационной безопасности в дата-центрах есть своя специфика. В первую очередь - это необходимость обеспечения "прозрачного" доступа клиентам, работающим через Интернет (в том числе, и через терминальные сервисы), при соблюдении очень жестких требований к защите информации. Еще одной особенностью является использование разнообразных платформ и приложений, что не позволяет сконцентрироваться на безопасности какой-либо одной платформы или одной линии продуктов. Следует учитывать и то, что доступ к определенной категории клиентской информации не должен иметь никто, включая администраторов системы.
Надо учитывать и то, что для большинства коммерческих продуктов режим ASP появился сравнительно недавно. Соответственно, такие продукты не имеют длительной истории эксплуатации в режиме разделенного удаленного доступа и, соответственно, не могут похвастаться тщательным тестированием на уязвимости. Поэтому перед запуском ASP-продукта необходима длительная процедура тестирования и конфигурирования. Для определения настроек брандмауэров требуется анализ трафика, определение диапазона открытых портов, статистических характеристик трафика в различных режимах.
Рассмотрим некоторые конкретные элементы защиты, их возможные реализации и целесообразность применения в различных ситуациях.
"Нулевой" рубеж обороны - это сокрытие структуры сети, так называемая имитационная защита. Специальное программное обеспечение эмулирует сетевые сегменты, сервера и уязвимости. Постоянный контроль за атаками на несуществующую сеть позволяет выявить источники угроз. С другой стороны имитационная защита вводит в заблуждение потенциальных агрессоров и затрудняет определение истинной структуры системы и планирование атак.
Первый рубеж защиты - детектор вторжений, IDS. Производя анализ входящего трафика, эта система отслеживает появление сигнатур известных типов атак. В ряде случаев устанавливается система адаптивной защиты, в которой при обнаружении определенных сигнатур осуществляется изменение списков доступа на сетевом экране (firewall). Таким образом, осуществляется оперативное блокирование источника атаки. При этом целесообразно ограничивать число проверяемых сигнатур (что характерно, например для Cisco IDS - NetRanger). Это позволяет увеличить быстродействие и снизить вероятность ложных тревог (что критично для адаптивной системы). Снижение числа обнаруживаемых атак компенсируется применением дополнительных систем обнаружения вторжений в локальных контурах защиты (чаще всего используется свободно распространяемый детектор SNORT).
Стоит отметить, что с использованием IDS связан ряд проблем. В первую очередь, это ложные срабатывания. Подобная ситуация наблюдалась во время "эпидемии" Code Red и NIMDA. Эта проблема решается, но возможность таких событий всегда надо иметь в виду.
В компаниях, занимающихся "классическим" виртуальным веб-хостингом, аппаратные IDS практически не используются, в первую очередь в силу дороговизны. Программные "легкие" детекторы тоже используются довольно редко, так как они требуют значительных системных ресурсов. Анализ трафика (разбор пакетов) производится при необходимости "в ручную", с использованием утилит типа tcpdump. Основная масса атак отслеживается при анализе журнальных файлов.
