Мыслить, как инсайдер

Чтобы поймать преступника, нужно мыслить, как преступник. Думаю, что это утверждение не вызовет ожесточенных дискуссий. Пожалуй, то же самое можно сказать и о нарушителях корпоративных политик информационной безопасности. Но, что самое интересное, опыт показывает, что безопасники не слишком хорошо умеют мыслить как инсайдеры. Что, само собой, замедляет поимку последних.

Проблема, конечно, достаточно серьезная, и наскоком её не решить. Безопасник, особенно опытный (а неопытных в серьезных компаниях попросту нет), - это человек с деформированным мышлением. "Профессиональная паранойя" - не фигура речи, а образ мыслей и жизни хорошего безопасника. Она во многом-то и помогает соблюсти безопасность в компании. Но когда дело доходит до сложных случаев, когда инсайдер действительно ловок, и безопаснику нужно приложить немало интеллектуального труда, чтобы поймать того, - вот тогда-то профессиональная паранойя и выходит "боком". Потому что, см. выше, мыслить нужно как инсайдер. У того не паранойя, а осторожность, характерная только для того, кто понимает, как высок риск и каковы ставки.

Как решить эту проблему, честно говоря, не знаю. Думается, необходима, как в фильме "Молчание ягнят", консультация с тем, кто умеет мыслить, как маньяк инсайдер. Хотя, возможно, и этого тоже будет недостаточно - но, во всяком случае, в сложных ситуациях это будет неплохим подспорьем. Другое дело, что найти этого инсайдера-консультанта будет вовсе не так просто... Так что проблема действительно серьезная. Может, у вас есть мысли по поводу того, как её решить?

Р. Идов,

аналитик компании SearchInform

Наконец-то нашли виноватых!

Кто виноват в том, что существуют ботнеты? Вопрос непростой, но лично мне думается, что не столько их создатели, которые просто делают непыльный бизнес на беспечности одних и жадности других, а те, на чьих компьютерах трудятся "невидимые труженики" - трояны, составляющие этот ботнет.

Моим мыслям созвучны и результаты некоторых исследований: По данным компании Zscaler, которая занимается разработкой и совершенствованием возможных способов защиты от ботнетов, XSS, CSRF, фишинга и использования уязвимостей в приложениях, на долю социальных сетей, устаревших плагинов браузеров и HTML-фреймов приходится наибольшая часть угроз безопасности для пользователей компьютеров. Источник

Конечно, существует точка зрения, что обвинять в распространении вредоносного ПО тех пользователей, на чьих компьютерах оно появилось и работает, - это примерно то же самое, что говорить жертве насильника, что она сама виновата тем, что спровоцировала его своей короткой юбкой. Но здесь, на мой взгляд, всё-таки уместнее сравнение с мошенничеством: обманутые вкладики АО "МММ" (и будущие обманутые вкладчики его новой ипостаси) просто не разбирались в азах экономики, как и обладатели рассадников троянов не очень разбираются в азах ИБ.

Именно по этой причине трояны и ботнеты будут вечными - даже если когда-нибудь те "драконовские" меры по подписыванию любого исполняемого кода, которые предлагал в своё время Intel, и будут распространены повсеместно. Потому что всегда найдётся лазейка, пока есть экономическая целесообразность подобных действий. Ну, а она всегда будет. Так что, увы, несмотря на то, что виновные найдены, прогноз не слишком утешителен...

Р. Идов,

аналитик компании SearchInform

В защиту "облаков"

Мало у кого сегодня не вызывают опасения так активно рекламируемые сервис-провайдерами "облачные" технологии. Но мало кого не пугают перемены (как пела в своё время "Машина времени" в бессмертном "Повороте"). Давайте взглянем на них трезво и успокоимся, наконец-таки.

Основная проблема облаков, которую все активно муссируют вокруг и около, а именно, расположение критически важных для организаций данных на серверах третьих компаний уже давно не является проблемой, а вполне обычной ситуацией. Не верите? Купите "Контур информационной безопасности" и посмотрите, какое количество документов ваши сотрудники пересылают через бесплатные почтовые сервисы и всякие "файлообменники" наподобие RapidShare. Вы правда думаете, что сервис-провайдер, с которым вы официально заключили договор, которому заплатили деньги и которого в любой момент можете прижать к стенке, будет охранять ваши конфиденциальные данные лучше, чем те фирмы, которые вам вообще ничем не обязаны, и которые стараются экономить на всём, чтобы закачать больше данных и заработать на рекламе? Подумайте ещё раз. Ах, ваши сотрудники не пользуются всем перечисленным выше? Значит, ваш безопасник либо гений, либо врёт вам.

Поехали дальше. Проблема снижения занятости в ИТ уже тщательно разобрана и прожевана коллегами-конкурентами в их корпоративном блоге: http://infowatch.livejournal.com/260836.html. Конечно, сравнение с 70-ми достаточно спорно, но с общим посылом трудно не согласиться: у страха глаза велики, кино не убило театр, телевизор не убил кино, а "облака" не отменят необходимости в нормальных админах. То есть, конечно, может, где-то и отменят, но тут же эту контору поглотят менее жадные конкуренты.

Получается, что единственная проблема заключается в доступности сервисов - не в ценовой, а в физической. То есть, говоря русским языком, проблема в том, что отключение интернета будет сродни отключению электричества. Знаете, и это не проблема - пока нет интернета, народ сходит пообедает, а потом вернется к своим делам. Мало есть бизнесов, где нужен резервный генератор в подвале. Для них можно озадачиться и несколькими резервными каналами подключения к Глобальной сети.

Вывод понятен: незачем бояться "облаков". Да, разумная осторожность не помешает, как и всегда в этом мире, но для паники совершенно никаких поводов нет.

Р. Идов,

аналитик компании SearchInform

Новое слово в аутентификации

Казалось бы, с изобретением биометрии в технологиях аутентификации сказать особенно нечего. И даже не столько нечего, сколько незачем. Потому что может лучше рассказать о человеке, чем всё то, чем его с самого рождения наделила природа? Проблема только в  том, что их не очень удобно считывать...

Именно в этом и заключается главная "ахилессова пята" биометрии: вам нужны достаточно дорогие и достаточно громоздкие сканеры, чтобы обеспечить аутентификацию должным образом. Ну и, конечно, всё это требует тщательного тестирования и долгого внедрения - хотя, конечно, и работает значительно лучше, чем пластиковые карточки и прочие электронные ключи, которыми запросто можно с кем угодно поменяться. Хотелось бы всё-таки проводить аутентификацию с помощью, так сказать, подручных средств, и не менее точно.

Невозможно? В Пентагоне думают иначе. Мой любимый новостной сайт пишет: Агентство перспективных разработок министерства обороны США DARPA работает над новым способом идентификации, позволяющим считывать биометрические данные пользователя в ходе обычной работы с клавиатурой. Изначальная цель программы состоит в идентификации человека, который работает в обычной среде - не нарушая обычного режима работы. Цель новой программы DARPA - разработка "активного способа авторизации", предполагающего, что личность пользователя будет устанавливаться по "индивидуальной работе с клавиатурой с помощью действий, которые обычно выполняются".

Поживём, конечно, увидим, что из этого получится, но сама идея очень интересная. И если реализация не подкачает (а надежды на это есть - DARPA это вам не какой-нибудь стартап), то мы можем увидеть массу нового в области той же банковской безопасности и защиты мобильных устройств. Ну, а если нет, то через пару лет обязательно придумают какой-нибудь не менее элегантный способ аутентификации без сканеров.

Р. Идов,

аналитик компании SearchInform

Open Source в безопасности

Век живи - век учись. Ещё не так давно я думал, что информационная безопасность и движение за свободу программного кода - вещи плохо друг с другом совместимые. Оказывается, всё вовсе не так плохо, как могло бы вначале показаться. Безопаснику очень даже есть что найти в мире программ с открытыми исходными кодами.

Честно говоря, недоверие к open source, наверное, есть у любого безопасника, потому что как-то на подсознательном уровне не получается увязать программу с ОТКРЫТЫМ исходным кодом и защиту чего бы то ни было. Лично моё предубеждение против "опенсорсных" программ в области ИБ сформировалось благодаря антивирусу ClamAV, показавшему себя просто фантастически неэффективным на одном из моих старых компьютеров. Может быть, конечно, с тех пор и сам антивирус изменился, но, как известно, беречь честь надо смолоду.

Но вот намедни набрёл я на весьма познавательную статью о том, какие есть open source разработки в сфере информационной безопасности. Блог, в котором она опубликована, кстати, тоже весьма рекомендую к прочтению. Список решений, конечно, очень интересен, особенно меня порадовала OpenDLP.

На самом деле, почему бы и не существовать "опенсорсным" решениям в области информационной безопасности? Ведь это вполне нормально, потому что вендоры продают, по сути, больше поддержу решений, чем сам программный код. А  появление его в открытом виде может даже сделать это ПО более привлекательным для компаний, благодаря возможности самостоятельно провести аудит, а не верить сертификатам.

В общем, думаю, что open source в сфере ИБ - это, если и не тренд, то точно не случайность. Таких решений, может, и не будет так много, как коммерческих, но они тоже имеют право на жизнь.

Р. Идов,

аналитик компании SearchInform

Процесс, а не результат

Подумалось мне тут после очередного разговора с одним бизнесменом, что непонимание сути безопасности и есть причина всех фиаско в её достижении. Под сутью я здесь понимаю то, что люди, не являющиеся профессионалами в этой области, имеют в виду некую, скажем так, статичную безопасность, которая, как и другие идеальные конструкты, не встречается в этом мире. Безопасность - явление динамическое; процесс, а не результат. Именно с понимания этого и необходимо начинать работу по установлению ИБ в любой организации.

Ведь как себе видит среднестатистический человек безопасность, особенно информационную? Вполне понятно, как: все "под колпаком", каждый дрожит от страха перед "большим братом", который слышит каждый его вздох и видит каждое движение мыши, и поэтому даже не помышляет о том, чтобы не то что утечку информации сотворить, а даже лишний раз в "Одноклассники" зайти.

Безопасники тоже, к сожалению, тоже грешат статической интерпретацией безопасности. Только у них она выглядит так: "установил чудо-софт и стала безопасность". Под чудо-софтом может пониматься что угодно, в нашем случае это будет чаще всего DLP-система. Мысль, согласитесь, заманчива: кто-то за тебя работает, а ты только отчеты пишешь и зарплату получаешь. К сожалению, подобная идея не выдерживает суровой проверки жизнью, а ведь ещё Маркс говорил, что практика - критерий истины.

Поэтому если с безопасностью что-то не в порядке, несмотря на всевозможные купленные инструменты, то стоит подумать над, так сказать, метафизическими основами и запустить процесс - тогда только получится безопасность.

Р. Идов,

аналитик компании SearchInform

Пока гром не грянет...

Недавно приходилось обсуждать проблему безопасности данных при использовании социальных сетей с одним руководителем небольшой айтишной фирмы. Он к социальным сетям относится достаточно настороженно, но считает, что всё-таки пользы от них больше, чем вреда. Я же старался убедить его в обратном.

Его аргументы, в общем-то, вполне разумны: многие из его сотрудников (которые в большинстве своём являются программистами) используют их для решения профессиональных вопросов. Поскольку программистов в социальных сетях достаточно, равно как и тематических сообществ, то это оказывается зачастую продуктивнее, чем более привычное общение на форумах - отклик на заданный вопрос можно получить в разы быстрее. Причем, что интересно, лучше всего работают не отечественные Профессионалы.ру, и не "айтишная" LinkedIn, а Facebook - видимо, там, где больше народу, и спрашивать полезнее.

Ещё один аргумент в пользу социальных сетей - нескольких своих сотрудников он нашел именно в них. Там же общается и с некоторыми заказчиками, хотя, конечно, это и далеко не единственный канал коммуникации с ними. И, несмотря на все мои предостежения по поводу того, что "уведенный" аккаунт в социальной сети, где в "друзьях" есть и подчиненные, и партнеры, грозит огромным количеством неприятностей, он только отмахнулся от советов быть осторожнее с социальными сетями. А уж про утечки данных из них и вовсе сказал, что вероятность попасть в одну из них минимальна.

И вот на днях звонит мне этот человек и рассказывает, что действительно каким-то образом у него "увели" аккаунт Facebook, который заполнили какой-то непотребщиной, и который начал рассылать порно-спам. Бота, конечно, быстро забанили, доступ к аккаунту знакомый восстановил. Но, что самое интересное, наказание за бепечность не заставило себя долго ждать: один из клиентов тут же объявил, что ссомневается в профессиональной компетентности "айтишника", у которого смогли взломать аккаунт. Клиент был не то чтобы сильно важный, но осадок остался...

Теперь мои советы были выслушаны уже весьма внимательно. А ведь если бы прислушаться к ним пораньше, можно было бы избежать многих неприятностей. Впрочем, у нас это обычное дело - не заниматься ИБ до тех пор, пока гром не грянет...

Р. Идов,

аналитик компании SearchInform

Безопасность дорожает?

Всегда очень интересно читать прогнозы аналитиков по поводу рынка информационной безопасности. Кстати, надо сказать, что, в отличие от многих других прогнозов (например, о том, чем закончится очередной кризис), достаточно многое из предсказанного сбывается. Возможно, потому, что в отрасли действительно есть хорошо заметные тренды.

Информация действительно очень интересная: Мировые расходы на услуги по обеспечению информационной безопасности (ИБ) в текущем году вырастут примерно на 13% и достигнут $35,1 млрд, сообщает Gartner. В прошлом году объем рынка в денежном выражении составил $31,1 млрд. По прогнозу аналитиков, в будущем году мировые расходы на ИБ-услуги вырастут до $38,3 млрд и по итогам 2015 г. превысят $49,1 млрд. Таким образом, рост за 5 лет будет соответствовать примерно 58%. Источник

Рост этот, на мой взгляд, обусловлен не только тем, что увеличивается количество компаний, которые нуждаются в эффективной информационной защите своего бизнеса. Конечно, и это всё тоже присутствует, потому что электронный документооборот появляется даже в таких архаичных заведениях, как военкоматы, что уж говорить о бизнесе. Но дело ещё и в самой стоимости обеспечения ИБ. Она со временем не просто не снижается, а постоянно увеличивается.

Почему так? С одной стороны, растет число угроз, с другой - изобретаются новые способы защиты, внедрение которых тоже стоит денег. Причем чем современнее угроза, тем дороже защита от неё в силу того, что количество предложений на рынке серьезно ограничено. Конечно, не всем нужна защита от таких угроз, но количество компаний, заинтересованных в ней, опять-таки, увеличивается.

Думаю, в обозримом будущем агрессивность среды возрастет настолько, что компания, не применяющая всего спектра средств защиты, будет настолько проигрывать в конкурентной борьбе, что защита будет "съедать" больше бюджета, чем реклама. Впрочем, поживем - увидим...

Р. Идов,

аналитик компании SearchInform

В лес да по ягоды или Правительственные походы за ежевикой

Терроризм – очень удобный повод для правительств при решении каких-то своих задач. Удобный в том плане, что им можно подкрепить практически любое свое действие, связанное с доступом к конфиденциальным данным. Помните летнюю шумиху в России с участием ФСБ и Skype? Есть у группы «Агата Кристи» песня под названием «В интересах революции». И оно вполне подходит в качестве общего названия для тех событий «Арабской весны», свидетелями которой мы стали не так давно. И далеко не последнюю роль в минувших волнениях сыграли Skype и BlackBerry, не позволяя спецслужбам беспрепятственно слушать, о чем договариваются «подозрительные личности».

Тему Скайпа песочили\мочалили\мусолили\ уже много раз. Поэтому сегодня я хотел бы заострить внимание на канадской компании RIM, и ее интересном подходе к обеспечению конфиденциальности разговоров своих клиентов… до поры, до времени.
Для тех, кто не в курсе, кратко пробегусь по основным фактам. RIM – канадская компания, известная в бизнес-кругах своими смартфонами BlackBerry и различными решениями для них. По сути, слово BlackBerry стало нарицательным обозначением высококлассного коммуникатора. Ну а главной его особенностью является использование специального сервера (BlackBerry Enterprise Server, BES) и возможности шифрования по стандарту AES для защиты сообщений от перехвата. Именно эти «особенности» набили оскомину спецслужбам разных стран, раз за разом вовлекая RIM в эпицентр шпионских скандалов.

К примеру, французские чиновники активно пользовались коммуникаторами этой компании, в том числе для передачи секретных данных. В Великобритании же смартфоны BlackBerry использовались хулиганами для организации массовых беспорядков и координации действий.

В общем, чтобы мирно сосуществовать со спецслужбами, руководству RIM приходиться идти на уступки и тем или иным образом давать спецслужбам запрашиваемую ими информацию.

Кручу-верчу, ключи шифрования выдавать не хочу

Какие же варианты решения придумали канадцы? После конфликта с правительством Индии, которое грозилось прекратить деятельность компании на территории страны, RIM пошла на беспрецедентный шаг и открыла центр дешифровки сообщений BlackBerry. Центр непосредственно предназначен для помощи индийским спецслужбам в перехвате и анализе сообщений, пересылаемых пользователями платформы.

Ранее спецслужбам приходилось преодолевать больше препятствий для того, чтобы получить нужную информацию: власти указывали данные об абоненте, данные которого надо было дешифровать, а также юридическое обоснование необходимости дешифровки, после чего компания и производила указанную операцию, предоставляя властям данные переговоров. Недовольство объяснялось потерянным временем на улаживание юридических формальностей. Тем не менее, даже сейчас индийские спецслужбы говорят, что им необходим еще более широкий доступ.

По другому пути решили пойти в России. Долгое время ввоз смартфонов BlackBerry там был вообще запрещен. Причина та же – спецслужбы в стране не могли получать доступ к трафику сообщений этой платформы, что создавало лазейку для террористов. RIM, со своей стороны, отказывалась выдать ключи шифрования. Поэтому операторы сотовой связи начали подключать абонентов через VPN-канал от корпоративной сети до площадки оператора. Таким образом, у «сильных мира сего» появилась возможность контролировать проходящую почту с помощью СОРМ-2.
Вскоре операторы все же организовали «подобие» шифрования, подключив услугу BlackBerry Internet Service, однако, трафик по-прежнему идет по пути, описанному выше. Но BIS может использовать для передачи данных не только сеть оператора, но и Wi-Fi. Что делают власти? Правильно, они запрещают его и заставляют аппаратно отключать.
Что же ждет нас? Настолько ли оправдано шифрование RIM, если в страну компания допускается только после того, как будет придуман способ прослушки для спецслужб?

Николай Луцкевич,
эксперт по информационной безопасности компании SearchInform

Зеркало

Правильные вопросы

Что там ни говори, а всё-таки очень правильная пословица "гусь свинье не товарищ", пусть во времена всеобщей политкорректности она и выглядит несколько старомодно. Но она очень хорошо отражает тот факт, что "на вкус и цвет все фломастеры разные". То есть, говоря менее образно, то, что хорошо для большого холдинга, может не очень хорошо подходить небольшой компании.

Да-да, речь, конечно, именно о DLP-системах. Почему-то редко кто говорит о том, что DLP-система должна быть достаточно гибкой для того, чтобы подходить большому спектру разных организаций. Обычная позиция вендора состоит в том, что DLP - удел ооочень крупных компаний, которые могут "потянуть" её многомесячное внедрение. На самом деле, в подобных продуктах нуждаются вовсе не одни только корпорации-"монстры", но и организации среднего масштаба. Проблема в том, что на них не сделаешь таких больших денег, как на очень крупных компаниях. Но ведь не станешь говорить об этом вслух?

Впрочем, проблема не только в размере организаций - к счастью, тот же "Контур информационной безопасности SearchInform" очень хорошо масштабируется, за счет чего может быть внедрен даже в компании с буквально десятком компьютеров. Дело еще и в том, чем именно организация занимается. Вопрос о том, каким образом этот аспект влияет на работу DLP в компании, тоже поднимается чрезвычайно редко. Поэтому было очень интересно увидеть не где-нибудь, а на CNews вот эту статью.

К счастью, SearchInform и здесь очень даже на высоте, потому что у нас масса инсталляций в госорганизациях. Благодаря модульной архитектуре каждый заказчик может кастомизировать продукт под себя, и никто другой из DLP-вендоров пока не может предложить ничего более гибкого. Поэтому, несмотря на то, что нас СNews забыли спросить,  на вопрос, заданный в лиде статьи, лично я могу ответить утвердительно: "да, госсектору подойдут готовые решения". Во всяком случае, одно из них.

Р. Идов,

аналитик компании SearchInform

Проблема приоритетов

Как бы там ни было, всегда существует в человеческой жизни такая проблема, как расстановка приоритетов. Что делать: сходить попить пива или посвятить вечер изучению очередного исследования по персональным данным? Как говорится, каждый выбирает по себе. В информационной безопасности всё то же самое, только, к сожалению, как показывает практика, правильно расставить приоритеты может далеко не каждый. Что, собственно говоря, и приводит к закономерным результатам, называемым в народе "фэйлами".

 Типичный пример: обычная компания, занимающаяся кое-какими конструкторскими разработками. Понятно, что без информационной безопасности им никуда, но безопасностью (всей) руководит бывший мент, со своими понятиями о добре и зле. В итоге получаем, что на безопасность тратятся солидные деньги, везде стоят камеры, сотрудники не могут войти-выйти из комнаты без карточки и (один из немногих по-настоящему положительных моментов) не могут попасть в чужую комнату, если карточка не позволяет этого сделать. Опоздать тоже боятся, социальные сети запрещены, как и Скайп, чтобы вставить в компьютер флэшку, нужно идти с ней к сисадмину (будто у него другой работы нет). Естественно, никакой DLP-системы нет и в помине - да что там DLP, даже файрвола, хотя сисадмины вроде бы очень настаивали. Хотелось бы дидактично сказать, что из-за этого у них происходят утечка за утечкой, и компания сильно страдает в финансовом плане, но нет, пока, что называется, "проносит". Но долго ли будет проносить и дальше?..

Очевидно, что проблема именно в расстановке приоритетов и каком-то прямо чиновничьем подходе к обеспечению безопасности: средства выделены, средства освоены, и пока нет никаких проблем, никто не анализирует правильность их "освоения". И  именно поэтому получается, что силы службы безопасности сосредоточены, в общем-то, на мелочах, а не на действительно важных вопросах. И организовать утечку информации в результате проще, чем залезть с рабочего компьютера на запрещенный Facebook.

Эта ситуация, ещё раз подчеркну, достаточно типична для российских компаний, поэтому хочется обратить внимание читателей на то, что расстановка приоритетов - необходимый (но, конечно, недостаточный) пункт в построении эффективной системы безопасности любой организации.

Р. Идов,

аналитик компании SearchInform

И что теперь, бомбить?

Интересное дело, как иногда одно неосторожное слово может спровоцировать такой конфликт, что человек, который имел неосторожность это слово произнести, будет не просто не рад - расплата за неосторожность может быть очень и очень высокой. Собственно, во многом информационная безопасность как род человеческой деятельности и состоит именно в том, чтобы таких высказываний было поменьше... Но дело не в этом. А в одном таком высказывании, которое, конечно, вряд ли причинит много неприятностей своему автору, но, тем не менее, весьма симптоматично показывает, что "Империей зла" в глазах "забугорных друзей" наша страна будет оставаться ещё долго. Так долго, что и до вооруженного конфликта недалеко - а чего, нефть-то есть.

Баронесса Полин Невилл-Джонс (Pauline Neville-Jones), полномочный представитель британского премьер-министра Дэвида Кэмерона по вопросам информационной безопасности, заявила о причастности России и Китая к кибератакам на правительственные ресурсы других стран, передает Agence France-Presse.
Заявление было сделано в ходе интервью радиостанции BBC Radio 4. Темой разговора была кибербезопасность. В ответ на замечание интервьюера о том, что Россию и Китай часто называют среди стран, участвующих в атаках, баронесса сказала, что разделяет эту точку зрения. "Безусловно, это так. Правительства некоторых стран куда сильней других заинтересованы в деятельности такого рода", - заявила она и добавила, что причисляет к этому списку Китай и Россию.

Источник

Весьма любопытно, вы не находите? Напомню, войну в Ираке развязали в поисках некоего таинственного химического оружия, которого, к слову говоря, так и не нашли. Теперь, судя по акцентам, главным аргументом будет кибероружие, которое, кстати говоря, найти ещё более непросто. Пентагон, кстати, не так давно принял закон, по которому можно отвечать на кибератаки вполне себе рекальными бомбежками - улавливаете, куда ветер дует?

Не знаю, конечно, как принято у дипломатов, но заявление баронессы попахивает, по меньшей мере, бестактностью, помноженной на некомпетентность. Собственное ли мнение она озвучила, или текст был прочитан под диктовку? И если верно последнее предположение, кто автор этого текста? Будем ждать прояснений, дамы и господа...

Р. Идов,

аналитик компании SearchInform