Заключение Сегодняшний «рельеф» в области безопасности информационных технологий выглядит очень сложным и очень динамично меняющимся: появляются новые технологии, новые методы, угрозы растут количественно и качественно. Иногда бывает так, что в угрозах реализуются относительно старые идеи, которые были неактуальны в своё время из-за, например, малых доступных объёмов ОЗУ в системах тех лет или из-за невысокой производительности старых процессоров.
Количественные характеристики роста числа угроз можно оценить, например, по росту размеров баз антивирусных сигнатур у одного из главных разработчиков антивирусных продуктов – компании Symantec: за последние несколько лет (5-6) объём этих баз (запакованных с помощью zip) вырос в шесть-семь раз – примерно с 25-30 мегабайт до 180-190 мегабайт! При этом сигнатурный анализ – это всегда ответная реакция, в ответ на уже появившийся и, возможно, уже широко распространившийся вирус. Как вывод: обязательно наличие проактивных технологий защиты на всех уровнях, и в виде IPS, и в антивирусных продуктах, и в технологиях типа UAC.
Сегодня можно говорить даже о некотором системном кризисе в антивирусной индустрии, проиллюстрированном шуточным рисунком ниже, но ведь, как известно, в каждой шутке есть доля шутки:
Рис.141 Вирусы и антивирусы: давно и сейчас. Ещё одним симптомом кризиса в AV-индустрии можно назвать «эпидемии» некоторых, казалось бы, давно уже забытых «древних» вирусов, которые случались в последние полтора-два года. Их причиной, как выяснилось, стало удаление сигнатур старых вирусов из современных баз данных. Таким образом производители AV пытались отреагировать на практически экспоненциальный рост объёмов антивирусных баз, размеры которых уже представляют серьёзные проблемы при работе и при обновлениях.
Угрозы безопасности, исходящие, условно говоря, «из сети», сегодня также растут невероятными темпами. Новые угрозы возникают с новыми технологиями, при этом проблемы «старых» угроз никуда не исчезают. Протоколы ARP, DHCP и некоторые другие фундаментальные протоколы как были, так и остаются беззащитными и уязвимыми. Противостоять атакам с этих направлений можно только средствами достаточно «продвинутого», а, значит, не дешёвого сетевого оборудования, что может себе позволить далеко не каждая компания или организация.
В CERN’е очень серьёзно относятся к вопросам информационной безопасности, каждый пользователь, прежде чем он получит доступ к сети CERN, должен пройти минимальное обучение и сдать соответствующий экзамен. В связи с этим любопытно будет процитировать правильный ответ на вопрос: «Насколько активно подвергается атакам извне информационная сеть CERN'а?», с вариантами ответа: «изредка», «часто», «постоянно». Правильным будет ответ – «постоянно». Остаётся только гадать, как и какими техническими средствами обеспечивается безопасность «периметра» огромной сети CERN, имеющего суммарную пропускную способность каналов связи с «внешним миром» в сотни гигабит в секунду!
Опять же, как и в случае с вирусами, сегодня становятся возможными успешные атаки с использованием старых идей и технологий, просто из-за многократно возросших возможностей и мощностей, доступных атакующим. Если выставить в виде «приманки»1 в Интернет машину с открытым TCP-портом 22 (SSH) и проанализировать логи подключения к ней, то можно будет увидеть массированные brute force атаки по подбору имени/пароля, ведущиееся быстро и настойчиво. Это действуют botnet-ы – сотни, тысячи, десятки тысяч ботов («заражённых» машин), пытающихсяя взломать вашу систему. И если на этой машине не предприняты дополнительные меры безопасности, например, лимитированный список адресов, с которых разрешено подключение, или блокировка IP-адреса, с которого за ограниченный отрезок времени было выполнено определённое количество неудачных попыток авторизации и т.п. – то «старая» технология подбора пароля «в лоб», реализованная на новой платформе – сети заражённых машин – может оказаться успешной. И, рано или поздно такая машина окажется в результате взломана, даже если пароль на доступ к ней был достаточно длинный и сложный.
Ещё одним примером реализации «старой» идеи на новой платформе могут служить атаки на криптографические протоколы. Их изучают, пытаясь найти уязвимости, как в самих алгоритмах, так и используя всё тот же brute force. Ставшие в последнее время доступные огромные и, одновременно, недорогие вычислительные мощности (технология GPU (Cuda)) позволяют, например, находить коллизии в MD5 за очень короткие времена – часы и даже минуты. Ещё одной модной тенденцией в этой области становится высокая (и, опять же, недорогая) вычислительная мощность, доступная в «облаках». Есть примеры, когда за весьма умеренную плату, на взятом в аренду «облаке» из нескольких десятков тысяч вычислительных ядер, за неделю было вычислено несколько коллизий для гораздо более устойчивого алгоритма SHA1.
Botnet’ы, как пример использования массовых структур, на сегодня являются серьёзнейшей проблемой безопасности в ИТ, в частности они чаще всего бывают источником самых разнообразных DDoS-атак, от которых бывает весьма сложно и непросто защититься. Известны случаи, когда владелец сайта был вынужден неоднократно менять множество провайдеров и хостинг из-за того, что на его сайт велась мощная DDoS-атака, организованная, возможно, его конкурентами. Стоило его сайту сменить площадку и «подняться» с новыми адресами, как распределённая атака на него тут же возобновлялась. Иногда это приводило к тому, что оказывались «съеденными» все магистральные каналы хостера и он обращался к владельцу сайта с просьбой переехать от него куда-нибудь в другое место. Провайдеры помогали «отбить» DDoS, анализируя атаку и тонко настраивая свои firewall-ы и IPS, но атакующие модифицировали свои технологии – и атака на сайт возобновлялась. В итоге несколько компаний вынуждены были полностью уйти из виртуального мира, так и не сумев справиться с проблемой DDoS. Такое невозможно представить, например, для компаний уровня Microsoft, чьи сайты много и часто пытаются «уничтожить» распределёнными атаками, там всё обычно заканчивается нахождением и устранением причины, хотя, конечно, и средствам защиты уделяется соответствующее внимание. Но компании поменьше, не обладающие большими ресурсами, вполне могут оказаться уничтоженными и исчезнут из «Всемирной Паутины», дальше прекратив своё существование в мире реальном.
Новые технологии несут с собой и новые опасности, это, если можно так сказать, закон природы. Нельзя назвать совсем уж новой технологию IPv6, всё-таки она начала разрабатываться довольно давно, два десятилетия назад, но сравнительно массовое её внедрение происходит только в последние два-три года. Все производители основных операционных систем отреагировали на эту тенденцию, на сегодня поддержка IPv6 существует во всех без исключения современных ОС, от серверных, до настольных и мобильных. И это принесло новые проблемы в области безопасности. Например, некоторые производители смартфонов на базе Android установили довольно легкомысленные и чрезмерно мягкие настройки в своей реализации протокола IPv6, в результате чего выяснилось, что подключившись к двум разным сетям – Wi-Fi и 3G – такое устройство, без участия пользователя, становится маршрутизатором, о чём тут же начинает рассылать анонсы в сеть. Средства протокола IPv6, облегчающие автонастройку, очень способствуют тому, что в вашей сети может возникнуть такой вот самопровозглашённый маршрутизатор, трафик через которой проходит в обход защиты вашего «периметра». В этом смысле дешёвый доступ в Интернет через мобильные устройства или USB-модемы обозначил серьёзную проблему контролируемого, точнее, неконтролируемого доступа. Если, в соответствии с политиками компании, администраторы закрыли на корпоративном МСЭ возможность попадать на некоторые сайты (среди которых чаще других встречаются «Одноклассники», «В Контакте», “Facebook”, “Twitter” и т.п.), то конечному пользователю обойти эти ограничения сегодня очень просто – мобильный Интернет к его услугам.
Ещё одна сторона мобильности – когда мобильное устройство пересекает границу корпоративной сети. Сегодня ноутбук работает внутри периметра, завтра человек уезжает с ним в командировку, где подключается к интернету через неизвестные заранее и непонятные с точки зрения безопасности, точки подключения. А послезавтра ноутбук возвращается «домой», подключаясь к корпоративной сети «мимо» МСЭ, охраняющего границу сети, и может привезти с собой из командировки (или после того, как побывал в домашней сети) неизвестное количество вредоносных программ. Которые могут тут же приступить к поиску других жертв, пытаясь их взломать уже изнутри корпоративной сети, без необходимости преодолевать при этом защиту на «периметре».
Осознавая это новое, «мобильное», направление угроз, некоторые производители средств безопасности сегодня предлагают свои решения. В частности, компания Microsoft, в сотрудничестве с некоторыми другими компаниями, в т.ч. Cisco (NAC), предлагает сложную и комплексную систему NAP (Microsoft Network Access Protection). Суть её заключается в том, что при подключении к корпоративной сети ноутбука или другого мобильного устройства, какое-то время отсутствовавшего в ней, это устройство помещается в т.н. «карантин», реализуемый в том числе и средствами переконфигурирования сетевых устройств. Ноутбук оказывается в изолированной сети, «побег» из которой невозможен – в этой подсети есть доступ только к необходимым ресурсам, выход в интернет и корпоративную сеть закрыт. Система изучается на предмет актуальности установленных на ней обновлений, патчей, антивирусных баз, на ней проводится сканирование дисков и т.п. действия. После чего, когда все необходимые процедуры будут проведены, система получит все необходимые обновления, антивирусы, настройки (например, для персонального firewall-а), «карантин» будет снят и машина будет допущена в корпоративную сеть и/или Интернет. Сложно, дорого, не очень оперативно – но, судя по основным сегодняшним тенденциям – практически безальтернативно, в первую очередь, для крупных организаций.
В качестве итога можно резюмировать: в области безопасности информационных систем никогда нельзя останавливаться на достигнутом. Динамика такова, что ещё вчера считавшаяся безопасной триада: «обновления»–«антивирус»–«firewall» для отдельной машины, на сегодня уже не может считаться таковой. Не говоря уже о гораздо более сложных механизмах для сетей корпоративного уровня. Сочетание самых разнообразных средств обеспечения безопасности, с поддержание их в актуальном состоянии (антивирус с антивирусной базой даже недельной давности уже подвергает систему серьёзному риску), с обязательным отслеживанием и использованием новых технологий – вот основные тенденции в сегодняшнем мире безопасности в информационных технологиях.
|