Необхідність забезпечення безпеки даних і інформаційного захисту

Сучасний розвиток інформаційних технологій і, зокрема, технологій Internet/Intranet приводить до необхідності захисту інформації, що передається в рамках розподіленої корпоративної мережі, яка використовує мережі відкритого доступу. При роботі на своїх власних закритих фізичних каналах доступу ця проблема так гостро не стоїть, оскільки в цю мережу закритий доступ стороннім. Проте виділені канали може собі дозволити далеко не будь-яка компанія. Тому доводиться задовольнятися тим, що є у розпорядженні компанії. А частіший всього Internet. Тому потрібно винаходити способи захисту конфіденційних даних, що передаються по фактично незахищеній мережі.

Розглядаючи питання інформаційного захисту, можна виділити декілька питань, які є базовими і у обов'язковому порядку повинні опрацьовуватися вищим керівництвом компанії при організації інформаційного захисту (рис. 5.1) [Лукацкий А.В. Захистите свій бізнес. <www.bezpeka.com/ru/lib/sec/gen.html>].

Чи треба захищатися? Відповідей на це питання може бути множина, залежно від структури і цілей компанії. Для одних головним завданням є запобігання просочування інформації (маркетингових планів, перспективних розробок і т. д.) конкурентам. Інші можуть нехтувати конфіденційністю своєї інформації і зосередити свою увагу на її цілісності (наприклад, для банку важливо в першу чергу забезпечити незмінність оброблюваних платіжних доручень). Для третіх компаній на перше місце виходить завдання забезпечення доступності і безвідмовної роботи корпоративних інформаційних систем. Наприклад, для провайдера Internet-послуг, компанії, що має Web-сервер, або оператора зв'язку щонайпершим завданням є саме забезпечення безвідмовної роботи всіх (або найбільш важливих) вузлів своєї інформаційної системи. Розставити такого роду пріоритети можна тільки в результаті аналізу діяльності компанії.

 

Рис. 5.1. Ключові питання інформаційної безпеки

 

Звичайно, коли мова заходить про безпеку компанії, її керівництво часто недооцінює важливість інформаційної безпеки. Основний упор робиться на фізичній безпеці (пропускний режим, охорона, системи відеоспостереження і т. д.). Проте за останні роки ситуація істотно змінилася. Для того, щоб проникнути в таємниці компанії, немає необхідності перелазити через огорожі і обходити периметрові датчики, вторгатися в захищені товстими стінами приміщення, розкривати сейфи і т.п. Досить увійти до інформаційної системи банку і перевести сотні тисяч доларів на потрібні рахунки, підмінити або знищити критично важливі дані, вивести з ладу який-небудь вузол корпоративної мережі.

Все це може привести до значного збитку, причому не тільки до прямого, який може виражатися в крупних сумах, але і до непрямого, не менш значущого. Виведення з ладу того або іншого вузла мережі або модуля КІС приводить до витрат на відновлення його працездатності, які полягають в оновленні або заміні програмного забезпечення, витрачанні додаткової зарплати обслуговуючого персоналу. Атака на Web-сервер компанії і заміна його вмісту на будь-яке інше може привести до зниження довіри до фірми і, як наслідок, до втрати частини клієнтури і зниження доходів.

Від кого захищатися? У абсолютній більшості випадків відповідь на це питання - від зовнішніх зловмисників, хакерів. На думку більшості російських підприємців, основна небезпека виходить саме від них: проникають в комп'ютерні системи банків і військових організацій, перехоплюють управління супутниками і т.д.

Така небезпека існує, і її не можна недооцінювати. Але вона дуже перебільшена. Статистика показує: до 70-80% всіх комп'ютерних злочинів пов'язані з внутрішніми порушеннями, які здійснюються співробітниками компанії! Хай випадковому зовнішньому зловмиснику (а більшість "зломів" здійснюють саме такі суб'єкти) вдалося знайти слабке місце в системі інформаційної безпеки компанії. Використовуючи цю "дірку", він проникає в корпоративну мережу - до фінансових даних, стратегічних планів або перспективних проектів. Що він реально має? Не будучи фахівцем в області, в якій працює компанія, розібратися без сторонньої допомоги в гігабайтах інформації просто неможливо. Проте свій співробітник може реально оцінити вартість тієї або іншої інформації, і він володіє привілеями доступу, які дозволяють йому проводити несанкціоновані маніпуляції.

У публікаціях досить прикладів, коли співробітник компанії, вважаючи, що його на роботі не цінують, скоює комп'ютерний злочин, що приводить до багатомільйонних збитків. Части випадки, коли після звільнення колишній співробітник компанії протягом довгого часу користується корпоративним доступом в Internet. При звільненні цього співробітника ніхто не подумав про необхідність відміни його пароля на доступ до даних і ресурсів, з якими він працював в рамках своїх службових обов'язків. Якщо адміністрування доступу поставлене погано, то часто ніхто не помічає, що колишні співробітники користуються доступом в Internet і можуть завдавати збитку своєї колишньої компанії. Спохвачуються лише тоді, коли помічають різко збільшені рахунки за Internet-послуги і просочування конфіденційної інформації. Такий випадок достатньо показовий, оскільки ілюструє дуже поширені практику і порядок звільнення в російських компаніях.

Проте найбільша небезпека може виходити не просто від звільнених або скривджених рядових співробітників (наприклад, операторів різних інформаційних підсистем), а від тих, хто вдягнувся великими повноваженнями і має доступ до широкого спектру самої різної інформації. Звичайне це співробітники ІТ-відділів (аналітики, розробники, системні адміністратори), які знають паролі до всіх систем, використовуваних в організації. Їх кваліфікація, знання і досвід, використовувані в шкоду, можуть привести до дуже великих проблем. Крім того, таких зловмисників дуже важко виявити, оскільки вони володіють достатніми знаннями про систему захисту ІС компанії, щоб обійти використовувані захисні механізми і при цьому залишитися "невидимими".

Тому при побудові системи захисту необхідно захищатися не тільки і не стільки від зовнішніх зловмисників, але і від зловмисників внутрішніх, тобто вибудовувати комплексну систему інформаційної безпеки.

Від чого захищатися? При інтеграції індивідуальних і корпоративних інформаційних систем і ресурсів в єдину інформаційну інфраструктуру визначальним чинником є забезпечення належного рівня інформаційної безпеки для кожного суб'єкта, що ухвалив рішення увійти до цього простору. У єдиному інформаційному просторі повинні бути створені всі необхідні передумови для встановлення достовірності користувача (суб'єкта), достовірності змісту і достовірності повідомлення (тобто створені механізми і інструмент аутентифікації). Таким чином, повинна існувати система інформаційної безпеки, яка включає необхідний комплекс заходів і технічних рішень по захисту:

від порушення функціонування інформаційного простору шляхом виключення дії на інформаційні канали і ресурси;

від несанкціонованого доступу до інформації шляхом виявлення і ліквідації спроб використання ресурсів інформаційного простору, що приводять до порушення його цілісності;

від руйнування вбудованих засобів захисту з можливістю доказу неправомочності дій користувачів і обслуговуючого персоналу;

від впровадження "вірусів" і "закладок" в програмні продукти і технічні засоби.

Особливо слід зазначити завдання забезпечення безпеки систем, що розробляються і модифікуються, в інтегрованому інформаційному середовищі, оскільки в процесі модифікації неминуче виникнення додаткових ситуацій незахищеності системи. Для вирішення цієї проблеми разом із загальними методами і технологіями слід зазначити введення ряду вимог до розробників, створення регламентів внесення змін в системи, а також використання спеціалізованих засобів.

Лавиноподібне розповсюдженням вірусів стало великою проблемою для більшості компаній і державних установ. В даний час відомо більше 45000 комп'ютерних вірусів і кожного місяця з'являється більше 300 нових різновидів [Енциклопедія Вірусів <www.viruslist.com/ru/viruses/encyclo-pedia>]. За різними даними в 2007 році до вірусних атак було схильне від 65% до 80% компаній у всьому світі. Прямі і непрямі втрати обчислюються сотнями мільйонів доларів. І ці цифри неухильно ростуть.

Комп'ютерний вірус - це спеціально написана програма, яка може "приписувати" себе до інших програм, тобто "заражати їх" з метою виконання різних небажаних дій на комп'ютері і в мережі. Коли така програма починає роботу, то спочатку, як правило, управління одержує вірус. Вірус може діяти самостійно, виконуючи певні шкідливі дії (змінює файли або таблицю розміщення файлів на диску, засмічує оперативну пам'ять, змінює адресацію звернень до зовнішніх пристроїв і т.д.), або "заражає" інші програми. Заражені програми можуть бути перенесені на інший комп'ютер за допомогою дискет або локальної мережі.

Форми організації вірусних атак вельми різноманітні, але в цілому практично їх можна "розкидати" по наступних категоріях:

видалене проникнення в комп'ютер - програми, які дістають неавторизований доступ до іншого комп'ютера через Internet (або локальну мережу);

локальне проникнення в комп'ютер - програми, які дістають неавторизований доступ до комп'ютера, на якому вони згодом працюють;

видалене блокування комп'ютера - програми, які через Internet (або мережа) блокують роботу всього видаленого комп'ютера або окремої програми на ньому;

локальне блокування комп'ютера - програми, які блокують роботу комп'ютера, на якому вони працюють;

мережеві сканери - програми, які здійснюють збір інформації про мережу, щоб визначити, які з комп'ютерів і програм, що працюють на них, потенційно уразливі до атак;

сканери вразливих місць програм - програми, перевіряють великі групи комп'ютерів в Інтернет у пошуках комп'ютерів, уразливих до того або іншого конкретного виду атаки;

"відкривачі" паролів - програми, які виявляють легко вгадуванні паролі в зашифрованих файлах паролів;

мережеві аналізатори (sniffers) - програми, які слухають мережевий трафік. Часто в них є можливості автоматичного виділення імен користувачів, паролів і номерів кредитних карт з трафіку;

модифікація даних, які передаються або підміни інформації;

підміна довіреного об'єкту розподіленої ВС (робота від його імені) або помилковий об'єкт розподіленої ВС (РВС).

"соціальна інженерія" - несанкціонований доступ до інформації інакше, ніж злом програмного забезпечення. Мета - ввести в оману співробітників (мережевих або системних адміністраторів, користувачів, менеджерів) для отримання паролів до системи або іншої інформації, яка допоможе порушити безпеку системи.

До шкідливого програмного забезпечення відносяться мережеві черв'яки, класичні файлові віруси, троянські програми, утиліти, хакерів, і інші програми, що завдають явної шкоди комп'ютеру, на якому вони запускаються на виконання, або іншим комп'ютерам в мережі.

Мережеві черв'яки. Основною ознакою, по якій типи черв'яків розрізняються між собою, є спосіб розповсюдження черв'яка - яким способом він передає свою копію на видалені комп'ютери. Іншими ознаками відмінності КЧ між собою є способи запуску копії черв'яка на комп'ютері, що заражається, методи впровадження в систему, а також поліморфізм, "стелс" і інші характеристики, властиві і іншим типам шкідливого програмного забезпечення (вірусам і троянським програмам). Приклад - поштові черв'яки (Email-Worm). До даної категорії черв'яків відносяться ті з них, які для свого розповсюдження використовують електронну пошту. При цьому черв'як посилає або свою копію у вигляді вкладення в електронний лист, або посилання на свій файл, розташований на якому-небудь мережевому ресурсі (наприклад, на заражений файл, розташований на зламаному або хакері Web-сайті). У першому випадку код черв'яка активізується при відкритті (запуску) зараженого вкладення, в другому - при відкритті посилання на заражений файл. У обох випадках ефект однаковий - активізується код черв'яка.

Класичні комп'ютерні віруси. До даної категорії відносяться програми, що поширюють свої копії по ресурсах локального комп'ютера з метою: подальшого запуску свого коду при яких-небудь діях користувача або подальшого впровадження в інші ресурси комп'ютера.

На відміну від черв'яків, віруси не використовують мережевих сервісів для проникнення на інші комп'ютери. Копія вірусу потрапляє на видалені комп'ютери тільки в тому випадку, якщо заражений об'єкт з яких-небудь не залежних від функціонала вірусу причин виявляється активізованим на іншому комп'ютері, наприклад:

при зараженні доступних дисків вірус проник у файли, розташовані на мережевому ресурсі;

вірус скопіював себе на знімний носій або заразив файли на ньому;

користувач відіслав електронний лист із зараженим вкладенням.

Деякі віруси містять в собі властивості інших різновидів шкідливого програмного забезпечення, наприклад "бекдор-процедуру" або троянську компоненту знищення інформації на диску.

Багато табличних і графічних редакторів, системи проектування, текстові процесори мають свої макромови для автоматизації виконання дій, що повторюються. Ці макромови часто мають складну структуру і розвинений набір команд. Макро-віруси є програмами на макромовах, вбудованих в такі системи обробки даних. Для свого розмноження віруси цього класу використовують можливості макромов і при їх допомозі переносять себе з одного зараженого файлу (документа або таблиці) в інші.

Віруси Скрипта. Слід зазначити також віруси скрипта, що є підгрупою файлових вірусів. Дані віруси, написані на різних мовах скрипта (VBS, JS, BAT, PHP і т.д.). Вони або заражають інші програми (командні і службові файли MS Windows або Linux) скрипта, або є частинами багатокомпонентних вірусів. Також, дані віруси можуть заражати файли інших форматів (наприклад, HTML), якщо в них можливо виконання скриптів.

Троянські програми. У дану категорію входять програми, що здійснюють різні несанкціоновані користувачем дії: збір інформації і її передачу зловмиснику, її руйнування або зловмисну модифікацію, порушення працездатності комп'ютера, використання ресурсів комп'ютера в непристойних цілях. Окремі категорії троянських програм завдають збитку видаленим комп'ютерам і мережам, не порушуючи працездатність зараженого комп'ютера (наприклад, троянські програми, розроблені для масованих DoS-атак на видалені ресурси мережі).

Утиліти, хакерів, і інші шкідливі програми. До даної категорії відносяться:

утиліти автоматизації створення вірусів, черв'яків і троянських програм (конструктори);

програмні бібліотеки, розроблені для створення шкідливого ПЗ;

утиліти, хакерів утаєння коду заражених файлів, від антивірусної перевірки (шифрувальники файлів);

"злі жарти", що утрудняють роботу з комп'ютером;

програми, що повідомляють користувача свідомо помилкову інформацію про свої дії в системі;

інші програми, тим або що іншим способом навмисно завдають прямого або непрямого збитку даному або видаленим комп'ютерам.

До інших шкідливих відносяться різноманітні програми, що не представляють загрози безпосередньо комп'ютеру, на якому виконуються, а розроблені для створення інших вірусів або троянських програм, організації DoS-атак на видалені сервери, злому інших комп'ютерів і т.п.

Найбільш масовані атаки проводяться програмами типу "троянський кінь", які можуть бути непомітно для власника встановлені на його комп'ютер і так само непомітно функціонувати на ньому. Найпоширеніший варіант "троянського коня" виконує частіше всього одну функцію - це, як правило, крадіжка паролів, але є і більш "просунуті" екземпляри. Вони реалізують широкий спектр функцій для видаленого управління комп'ютером, зокрема проглядання вмісту екрану, перехоплення сигналів від натиснень клавіш, крадіжку або знищення даних і інформації, зміну і заміну файлів і баз даних.

Іншим поширеним типом атак є дії, направлені на виведення з ладу того або іншого вузла мережі. Ці атаки одержали назву "Реалізація відмови в обслуговуванні" (Denial of Service Realization), і на сьогодні відома більше сотні різних варіантів цих дій. Як вже наголошувалося, виведення з ладу вузла мережі навіть на декілька годин або хвилин може привести до дуже серйозних наслідків. Наприклад, пошкодження сервера платіжної системи банку приведе до неможливості здійснення платежів і, як наслідок, до великих прямих і непрямих фінансових втрат не тільки самого банку, але і його клієнтів.

Саме атаки такого роду зараз є найбільш обговорюють. Проте існують і інші погрози, які можуть привести до серйозних наслідків. Наприклад, система виявлення атак RealSecure відстежує більше 600 різних подій, що впливають на безпеку і зовнішніх атак, що відносяться до можливості.

Загальні методики захисту від вірусів у обов'язковому порядку є обов'язковою складовою частиною "Політики інформаційної безпеки підприємства". У відповідних розділах політики описуються принципи антивірусного захисту, вживані стандарти і нормативні документи, що визначають порядок дій користувача при роботі в локальній і зовнішніх мережах, його повноваження, вживані антивірусні засоби. Набори обов'язкових правил можуть бути достатньо різноманітні, проте можна сформулювати в загальному вигляді наступні правила для користувачів:

перевіряти на віруси всі дискети, CD-RW, ZIP-диски, що побували на іншому комп'ютері, всі придбані CD;

використовувати антивірусні програми відомих перевірених фірм, регулярно (у ідеалі - щодня) оновлювати їх бази;

не вивантажувати резидентну частину (монітор) антивірусної програми з оперативної пам'яті комп'ютера;

використовувати тільки програми і дані, одержані з надійних джерел - найчастіше вірусами заражені піратські копії програм;

ніколи не відкривати файли, прикріплені до електронних листів, що прийшли від невідомих відправників, і не заходити на сайти, що рекламуються через спам-розсилки (за даними Лабораторії Касперського, в даний час близько 90% вірусів розповсюджуються саме таким чином).

Аналогічно можна сформулювати декілька загальних вимог до хорошої антивірусної програми. Така програма повинна:

забезпечувати ефективний захист в режимі реального часу - резидентна частина (монітор) програми повинна постійно знаходитися в оперативній пам'яті комп'ютера і проводити перевірку всіх файлових операцій (при створенні, редагуванні, копіюванні файлів, запуску їх на виконання), повідомлень електронної пошти, даних і програм, що одержуються з Internet;

дозволяти перевіряти весь вміст локальних дисків "на вимогу", запускаючи перевірку уручну або автоматично за розкладом або при включенні комп'ютера;

захищати комп'ютер навіть від невідомих вірусів - програма повинна включати технології пошуку невідомих вірусів, засновані на принципах евристичного аналізу;

уміти перевіряти і лікувати файли, що архівуються;

давати можливість регулярно (бажано щодня) оновлювати антивірусні бази (через Internet, з дискет або CD).

В даний час в Росії використовуються головним чином два перевірені якісні антивірусні пакети: Dr.WEB і "Антивірус Касперського". Кожний з цих продуктів має свою лінійку, орієнтовану на різні сфери застосування - для використання на локальних комп'ютерах, для малого і середнього бізнесу, для крупних корпоративних клієнтів, для захисту локальних мереж, для поштових, файлових серверів, серверів додатків. Обидва продукти, безумовно, відповідають всім вище переліченим вимогам.