26.05.2015 00:48
    Поделиться

    Эксперт: Уровень защищенности крупных компаний сильно понизился

    Сегодня в Москве открывается Международная конференция по информационной безопасности. Ведущие специалисты по безопасности и хакерская элита со всего мира будут говорить о реальных угрозах и практических решениях в этой сфере.

    Обсуждая проблемы информационной безопасности, много говорится о выборе правильной политики, о новых требованиях по защите персональных данных, о построении взаимоотношений между ИБ-службой и руководством, о взаимосвязи принципов ITIL/ITSM и стандартов ISO 27001/27002. Но, как показывает статистика, эти теории не особенно помогают. Окружающие нас информационные системы быстро растут и усложняются, но одновременно с этим становятся и более уязвимы.

    Уровень защищенности крупных компаний за последние два года значительно понизился. Согласно тестам на проникновение, которые проводились экспертами в 2014 году, почти в 90% систем внутренней сети компании можно при желании проникнуть (в 2011-2012 годах такое было возможно только в 74% систем). При этом 61% систем может успешно атаковать злоумышленник низкой квалификации: в 2013 году такие нарушители могли взломать лишь 46% систем.

    Еще одна группа проблем безопасности российских IT-инфраструктур связана с ухудшением международных отношений. C точки зрения безопасности это означает, что импортная аппаратная база и ПО являются сейчас "недоверенными продуктами", в которых могут находиться закладки зарубежного производителя.

    Все эти угрозы требуют нового подхода к защите сразу по нескольким направлениям, которые мы считаем приоритетными для реальной информационной безопасности в 2015 году. Среди них внешний периметр и рабочие места, защита приложений, антивирусы, импортозамещение.

    К примеру, большинство проблем защиты периметра связаны с тем, что даже администраторы и ИБ-специалисты компаний не всегда знают, из чего состоит их "периметр". Во многих случаях безопасность периметра измеряется лишь сертификатами о соответствии требованиям ИБ. На практике же, когда делается аудит безопасности, сами клиенты не знают, какие именно сети и системы им надо защищать.

    Зато атакующие прекрасно знают, что сейчас через Интернет можно получить доступ к тысячам банкоматов и десяткам тысяч промышленных систем управления (АСУ ТП), включая и такие, о сетевой безопасности которых владельцы даже не задумываются. Например, системы управления кондиционированием серверных комнат. Простота доступа к этим системам подтверждается статистикой - в 87% протестированных систем в 2014 году использовались словарные пароли, в том числе установленные по умолчанию и пустые.

    Что можно сделать? К примеру, провести реальную инвентаризацию, расширив понимание периметра и включив сюда браузеры, Java, Adobe, Flash и другое клиентское ПО. Также необходимо отказаться от паролей для клиентского доступа, а использовать альтернативные, более надежные системы идентификации.

    Самый распространенный миф о сайтах - "это просто моя визитка, никаких конфиденциальных данных там нет". И даже если владелец сайта признает, что сайт защищать надо, он все равно чаще всего считает, что это задача либо хостинг-провайдера, либо тех самых разработчиков, которым он сайт заказал.

    На практике атака на веб-сайт все чаще становится первым шагом для проникновения в корпоративные сети. По данным исследования, в 2014 году в 60% случаев вектор проникновения во внутреннюю сеть основывается на уязвимостях в коде веб-приложений.

    Для многих слово "антивирус" стало единственным синонимом компьютерной безопасности; они верят, что существует "самый лучший" антивирус, который защитит от любых взломов. А что на практике? Хорошая новость: российские антивирусы действительно самые лучшие в мире. Но это не означает безопасность хотя бы потому, что значительное количество провалов безопасности происходит вообще без вирусов (взять хотя бы админский пароль 123456, который можно просто подобрать). Кроме того, многие современные зловреды умеют обходить антивирусные программы. По статистике, сейчас из каждой тысячи сетевых узлов 10-15 взломаны и заражены. А современная суперсвязность сетевых ресурсов приводит к мгновенному распространению новых зловредов по планете: антивирусы просто не успевают обновляться с такой скоростью.

    Поэтому необходимо осознать, что антивирус не панацея, а лишь одна из возможных систем обеспечения безопасности. Например, системы анализа защищенности и соответствия стандартам безопасности помогают устранить многие уязвимости до того, как ими воспользуется вирус.

    Предполагается, что курс на импортозамещение в области IT должен привести к независимости используемых решений и, как следствие, к улучшению защищенности этих решений от закладок и уязвимостей, известных зарубежному производителю и иностранным спецслужбам. Некоторые при этом верят, что использование ПО с открытым кодом гарантирует безопасность.

    На практике это не так. Во-первых, во многих областях пока нет возможности заместить импортную аппаратную базу и связанное с ней низкоуровневое ПО. Поэтому в основе "российских" решений зачастую лежат OEM-компоненты, которые поставляются неизвестно откуда, без соответствующего контроля безопасности. Аналогичная история с "российским ПО", которое при внимательном рассмотрении оказывается зарубежным open source-продуктом в отечественной обертке. А примеры таких уязвимостей, как HeartBleed и ShellShock, наглядно показали, что открытость кода не означает безопасность.

    Хорошей гарантией защищенности могло бы стать внедрение принципов безопасной разработки (SSDL), что предполагает контроль кода на всех этапах. Но внедряют ли такую практику разработчики, которые спешат сдать очередной "отечественный" продукт путем банального перевода чужих интерфейсов на русский язык? Очевидно, что немногие из них думают о дальнейшей поддержке и развитии продукта. И это может лишь усугубить проблемы национальной информационной безопасности.

    Поделиться