Обеспечение информационной безопасности

Хакеры

Лекция о безопасности будет неполной без рассказа о хакерах. Термин хакер здесь используется в его современном значении - чело­век, взламывающий компьютеры. Надо заметить, что раньше быть хакером не считалось чем-то противозаконным, скорее, это была ха­рактеристика человека, умеющего профессионально обращаться с компьютерами. В наши дни хакерами мы называем тех, кто ищет пу­ти вторжения в компьютерную систему или выводит ее из строя.

Исследования показали, что хакерами чаще всего становятся мужчины в возрасте от 16 до 35 лет, одинокие, образованные, тех­нически грамотные. Хакеры имеют четкое представление о работе компьютеров и сетей, о том, как протоколы используются для вы­полнения системных операций.

Определение мотивации хакеров. Мотивация дает ключ к пони­манию поступков хакеров, выявляя замысел неудавшегося вторже­ния. Мотивация объясняет, почему компьютеры так привлекают их. Какую ценность представляет ваша система? Чем она интересна? Для какого метода взлома подходит? Ответы на эти вопросы позволят профессионалам в области безопасности лучше оценить возможные угрозы для своих систем.

Привлечение внимания. Первоначальной мотивацией взломщи­ков компьютерных систем было желание «сделать это». И до сих пор оно остается наиболее общим побудительным мотивом.

Взломав систему, хакеры хвастаются своими победами на IRC- канале (Internet Relay Chat - программа для общения в реальном време­ни через интернет), который они специально завели для таких дискус­сий. Хакеры зарабатывают «положение в обществе» выводом из строя сложной системы или нескольких систем одновременно, размещением своего опознавательного знака на повреждаемых ими веб-с границах.

Хакеров привлекает не просто взлом конкретной системы, а стремление сделать это первым либо взломать сразу много систем. В отдельных случаях взломщики специально удаляют уязвимое место, с помощью которого они вывели компьютер из строя, чтобы больше никто не смог повторить атаку.

Желание привлечь к себе внимание порождает ненаправленные атаки, т.е. взлом выполняется ради развлечения и не связан с опреде­ленной системой. Направленные атаки, целью которых является по­лучение конкретной информации или доступ к конкретной системе, имеют другую мотивацию. С точки зрения безопасности это означает, что любой компьютер, подключенный к интернету, представляет со­бой потенциальную мишень для атак.

Все чаще наблюдается еще одна форма мотивации - хактивизм (hactivism), или хакинг во имя общественного блага. Хактивизм свя­зывает себя с политическими акциями и зачастую служит поводом для оправдания преступления. Он является более опасным, поскольку привлекает честных и наивных людей.

Алчность. Алчность - один из самых старых мотивов для пре­ступной деятельности. Для хакера это связано с жаждой получения любой наживы - денег, товаров, услуг, информации. Допустима ли такая мотивация для взломщика? Для ответа на этот вопрос исследу­ем, насколько трудно установить личность взломщика, задержать его и вынести обвинение.

Если в системе обнаружится вторжение, большинство организа­ций исправят уязвимость, которая использовалась при атаке, восста­новят систему и продолжат работу. Некоторые обратятся за поддерж­кой к правоохранительным органам, если не смогут выследить взломщика за недостатком доказательств, или если хакер находится в стране, где отсутствуют законы о компьютерной безопасности. Пред­положим, что хакер оставил улики и задержан. Далее дело будет вы­несено на суд присяжных, и прокурор округа (или федеральный про­курор) должен будет доказать, что человек на скамье подсудимых действительно взломал систему жертвы и совершил кражу. Это сде­лать очень трудно.

Даже в случае вынесения обвинительного приговора наказание хакера может быть весьма легким. Вспомним случай с хакером по имени Datastream Cowboy. Вместе с хакером Kuji он взломал систему Центра авиационных разработок базы ВВС Гриффиз (Griffis) в Риме и Нью-Йорке и украл программное обеспечение на сумму свыше 200 тыс. долл. Хакером Datastream Cowboy оказался 16-летний подросток из Великобритании, который был арестован и осужден в 1997 г. Его присудили к уплате штрафа размером в 1915 долл.

На этом примере важно понять следующее: должен существовать способ борьбы с преступниками, движущей силой которых является жажда наживы. В случае взлома системы риск быть схваченным и осужденным очень низок, а прибыль от воровства номеров кредит­ных карт, товаров и информации очень высока. Хакер будет разыски­вать ценную информацию, которую можно продать или использовать с выгодой для себя.

Хакер, основным мотивом которого является алчность, ставит перед собой особые задачи - его главной целью становятся сайты с ценным содержанием (программным обеспечением, деньгами, информацией).

Злой умысел. И последней мотивацией хакера может быть злой умысел, вандализм. В этом случае хакер не заботится о захвате управления системой (только если это не помогает ему в его целях). Вместо этого он старается причинить вред легальным пользователям, препятствуя их работе в системе, или законным владельцам сайта, изменяя его веб-страницы. Злонамеренные атаки обычно направлены на конкретные цели. Хакер активно стремится нанести ущерб опре­деленному сайту или организации. Основная причина таких атак - желание отомстить за несправедливое обращение или сделать поли­тическое заявление, а конечный результат - причинение вреда систе­ме без получения доступа к ней.

Обеспечение информационной безопасности - это процесс, опере­жающий управление риском, а не следующий за ним. В отличие от от­ветной модели, когда вначале происходит чрезвычайное происшествие, а только потом принимаются меры по защите информационных ресур­сов, предупредительная модель работает до того, как что-то случится.

В ответной модели общие затраты на безопасность неизвестны:

общие затраты на безопасность = стоимость ущерба от происшествия + стоимость контрмер

К сожалению, мы не узнаем стоимость ущерба от происшествия, пока оно фактически не произойдет. Поскольку организация не пред­принимает никаких шагов для предотвращения инцидента, нет ника­кой возможности узнать величину возможного ущерба. Следователь­но, нельзя оценить риск, пока не произойдет реальный инцидент.

Однако организация может сократить затраты на обеспечение ин­формационной безопасности. Правильное планирование и управле­ние риском позволят значительно снизить (если не исключить) вели­чину ущерба от происшествия. Если принимались правильные меры, и инцидент был предотвращен, то величина затрат составляет:

  общие затраты на безопасность - стоимость контрмер
Следует обратить внимание, что  
  стоимость происшествия + стоимость контрмер » стоимость контрмер  

 

Предупредительное принятие необходимых мер - это пра­вильный подход к информационной безопасности. В этом случае организация определяет уязвимые места, выявляет величину риска и выбирает экономически эффективные контрмеры. Это первый шаг в процессе обеспечения информационной безопасности.

Обеспечение информационной безопасности - это непрерывный процесс, включающий в себя пять ключевых этапов (рис. 29): оценку; политику; реализацию; квалифицированную подготовку; аудит.

Каждый из этих этапов по отдельности повышает уровень защи­щенности организации; однако только взятые вместе они обеспечи­вают основу, которая позволит эффективно управлять риском.

  Рис. 29. Обеспечение информационной безопасности

 

Оценка стоимости. Процесс обеспечения информационной безо­пасности начинается с оценки имущества: определения информацион­ных активов организации, факторов, угрожающих этой информации, и ее уязвимости, значимости общего риска для организации. Это важно просто потому, что без понимания текущего состояния риска невоз­можно эффективно выполнить программу защиты этих активов. Дан­ный процесс выполняется при соблюдении метода управления риском. Сразу после выявления риска и его количественной оценки можно вы­брать рентабельную контрмеру для уменьшения этого риска. Цели оценки информационной безопасности следующие: определить ценность информационных активов; определить угрозы для конфиденциальности, целостности, дос­тупности и/или идентифицируемости этих активов;

определить существующие уязвимые места в практической дея­тельности организации;

установить риски организации в отношении информационных ак­тивов;

предложить изменения в существующей практике работы, кото­рые позволят сократить величину рисков до допустимого уровня;

обеспечить базу для создания соответствующего проекта обеспе­чения безопасности.

Необходимо провести оценку собранной информации из трех главных источников: опрос работников; проверка документации; ин­вентаризация.

Нужно проводить опрос работников, которые будут обеспечивать информацией существующие системы безопасности и направления деятельности организации. Не рекомендуется смешивать служебный персонал и руководителей. Опрашивающий должен непринужденно направить разговор на задачи оценки и на то, как человек может со­действовать защите информационных активов. Имейте в виду, что сотрудник может заверить вас, что ни одно из направлений обеспече­ния информационной безопасности активов за ним не закреплено.

Обязательно изучиге все существующие политики, связанные с безопасностью. Исследование не должно ограничиваться только го­товыми документами, внимательно прочитайте и черновики.

Последний этап сбора информации - инвентаризация всех мате­риальных ценностей организации.

Последний шаг оценки - это разработка плана действий по безо­пасности. Организация должна определить, являются ли результаты оценки реальным отображением состояния безопасности, и учесть их при распределении ресурсов и составлении планов.

Вполне вероятно, что в плане самый серьезный риск будет по­ставлен не на первое место. Этому могут помешать проблемы, свя­занные с бюджетом и ресурсами.

Разработка политики. Следующим шагом после оценки, как пра­вило, является разработка политик и процедур. Они определяют пред­полагаемое состояние безопасности и перечень необходимых работ. Без политики нет плана, на основании которого организация разработает и выполнит эффективную программу информационной безопасности. Необходимо разработать следующие политики и процедуры:

Информационная политика. Выявляет секретную информацию и способы ее обработки, хранения, передачи и уничтожения.

Политика безопасности. Определяет технические средства управления для различных компьютерных систем.

Политика использования. Обеспечивает политику компании по использованию компьютерных систем.

Политика резервного копирования. Определяет требования к ре­зервным копиям компьютерных систем.

Процедуры управления учетными записями. Определяют дейст­вия, выполняемые при добавлении или удалении пользователей.

Процедура управления инцидентом. Определяет цели и действия при обработке происшествия, связанного с информационной безо­пасностью.

План на случай чрезвычайных обстоятельств. Обеспечивает дей­ствия по восстановлению оборудования компании после стихийных бедствий или инцидентов, произошедших по вине человека.

Реализация политики безопасности. Реализация политики за­ключается в реализации технических средств и средств непосредст­венного контроля, а также в подборе штата безопасности. Могут по­требоваться изменения в конфигурации систем, находящихся вне компетенции отдела безопасности. В таких случаях в проведении программы безопасности должны участвовать системные и сетевые администраторы.

Системы отчетности по безопасности. Системы отчетности по безопасности — это механизм, с помощью которого отдел безопас­ности отслеживает соблюдение политик и процедур, общее состояние уязвимых мест внутри организации. Для этого используются как руч­ные, так и автоматические системы. В большинстве случаев системы отчетности по безопасности включают оба типа систем.

Мониторинг использования. Механизмы мониторинга гаранти­руют, что работники следуют политикам использования компьютера. Они включают в себя программное обеспечение, отслеживающее ис­пользование интернета. Целью является выявление работников, по­стоянно нарушающих политику компании. Некоторые механизмы способны блокировать такой доступ и сохранять журнал попыток.

Мониторинг использования включает, например, удаление игр, установленных на рабочей станции. Сложные механизмы позволяют определить, что на компьютер пользователя загружено новое про­граммное обеспечение, но они требуют взаимодействия между адми­нистраторами и службой безопасности.

Сканирование уязвимых мест систем. Уязвимые места системы стали очень важной темой в безопасности. Установка операционной системы с параметрами по умолчанию обычно сопровождается за­пуском ненужных процессов и появлением уязвимых мест. Выявле­ние таких мест не составляет труда для службы безопасности, ис­пользующей современные инструментальные средства, а вот их ис­правление отнимает много времени. Служба безопасности должна от­слеживать системы и их уязвимые места с определенной периодично­стью. Необходимо обеспечить администраторов отчетами об уязви­мых местах для их удаления. Сведения о вновь установленных систе­мах нужно доводить до сведения системного администратора.

Соблюдение политики. Соблюдение политики - одно из заданий службы безопасности, отнимающее много времени. Для определения соблюдения политики используются ручной и автоматический режи­мы. Ручной механизм требует от работника службы безопасности ис­следования каждой системы и определения, как выполняются требо­вания политики безопасности в конфигурации этой системы. Это от­нимает чрезвычайно много времени, велика и вероятность ошибок. Намного чаще из общего количества систем выбирается одна, и про­водится ее выборочное исследование. Такой способ требует меньше времени, но далек от совершенства.

Для проведения автоматической проверки соблюдения политики разрабатывается соответствующее программное обеспечение. Такой способ требует больше времени для установки и конфигурирования, но дает более точный результат в более короткие сроки. В этом слу­чае требуется помощь системных администраторов, поскольку про­граммное обеспечение необходимо установить в каждой проверяемой системе. Контроль соблюдения политики может выполняться на ос­нове периодической выборки и результатов обращений к системным администраторам.

Аутентификация систем. Аутентификация систем - это меха­низм, предназначенный для установления личности пользователей, желающих получить доступ в систему или сеть. Она позволяет также идентифицировать лиц, пытающихся завладеть оборудованием орга­низации. Механизмы аутентификации - это пароли, смарт-карты и биометрия. Требования к ним должны быть включены в программы профессиональной переподготовки по вопросам безопасности.

Механизмы аутентификации можно применить к любому пользо­вателю системы. Отсюда следует, что обучение и компетентность пользователя являются важными сторонами развертывания любого механизма аутентификации.

Безопасность в интернете. Реализация безопасности в интерне­те включает такие механизмы, как межсетевые экраны и виртуальные частные сети (VPN), и ведет к изменениям в сетевой архитектуре. Наиболее важным аспектом ее реализации является размещение уст­ройства управления доступом (типа межсетевого экрана) между ин­тернетом и внутренней сетью организации. Без подобной защиты все внутренние системы открыты для неконтролируемых нарушений безопасности. Установка межсетевого, экрана является достаточно сложным процессом и может повлечь за собой сбои в нормальной ра­боте пользователей.

Виртуальные частные сети обеспечивают безопасность для ин­формации, передаваемой через интернет и периметр организации. Вопросы, связанные с VPN, могут быть включены в реализацию ме­ханизмов безопасности в интернете.

Системы обнаружения вторжений. Системы обнаружения втор­жений (IDS) - это системы охранной сигнализации сети. Охранная сиг­нализация предназначена для обнаружения попыток проникновения в защищаемое помещение, a IDS - для разграничения санкционированно­го входа и вторжения злоумышленника в защищаемую сеть.

Самым общим механизмом обнаружения вторжений является ан­тивирусное программное обеспечение. Это программное обеспечение должно работать на каждой рабочей станции и, разумеется, на серве­ре. Антивирусное программное обеспечение - наименее ресурсоем­кий способ обнаружения вторжений.

Перечислим другие способы обнаружения вторжений:

ручная проверка журнала;

автоматическая проверка журнала;

клиентское программное обеспечение для обнаружения вторжения;

сетевое программное обеспечение для обнаружения вторжения.

Ручная проверка журнала весьма эффективна, но занимает много времени и склонна к ошибкам. Люди для этой цели не подходят. Наилучшим способом проверки журналов является создание про­грамм или скриптов, которые просматривают журналы компьютера в поисках возможных отклонений.

Развертывание механизмов обнаружения вторжения не следует проводить до тех пор, пока не будут выявлены области с повышен­ным риском.

Шифрование. Шифрование обычно применяют для защиты кон­фиденциальных или частных интересов. Механизмы шифрования ис­пользуются для защиты передаваемой или сохраняемой информации. Вне зависимости от типа используемого механизма возникают два вопроса, на которые нужно ответить до его реализации: алгоритмы и управление ключом защиты.

Шифрование ведет к замедлению обработки или передачи данных. Следовательно, шифрование всей передаваемой информации не все­гда является целесообразным.

Алгоритмы. При выполнении шифрования выбор алгоритма обу­славливается конечной целью. Шифрование на личном ключе проис­ходит быстрее, чем на открытом. Однако такой способ не позволяет использовать цифровую подпись или подписывание информации. Важно выбрать известные и хорошо изученные алгоритмы. Такие ал­горитмы с большой долей вероятности исключают лазейки, через ко­торые возможен доступ к защищенной информации.

Физическая безопасность. Физическая безопасность традицион­но обособлена от информационной или компьютерной безопасности. Установка видеокамер, замков и охранников обычно не очень хорошо понималась работниками отдела компьютерной безопасности. Если в вашей организации дело обстоит именно так, вы должны найти под­держку со стороны. Имейте в виду, что устройства физической безо­пасности затронут работников организации, как и изменение способа аутентификации. Работники, которые видят видеокамеры в туалете или предъявляют пластиковую карту для входа в кабинет, должны приспособиться к новым обстоятельствам. Если сотрудники пользу­ются такими картами, то организация должна разработать процедуру действий работников, потерявших или оставивших их дома.

Персонал. При применении любых новых систем безопасности вы должны располагать подходящим персоналом. Некоторые системы потребуют постоянного обслуживания (механизмы идентификации пользователей и системы обнаружения вторжений). Другим системам потребуются люди для выполнения положений плана (например, для сканирования уязвимостей).

Вам потребуются обученные сотрудники при проведении учебных программ по повышению осведомленности. Сотрудник отдела ин­формационной безопасности должен присутствовать на каждом учебном занятии, чтобы отвечать на специфические вопросы, даже если обучение проводится отделом обучения.

Последняя проблема, связанная с персоналом, - это ответствен­ность. Ответственность за безопасность организации должна уста­навливаться индивидуально. В большинстве случаев ответственным назначается руководитель отдела безопасности, который отвечает за разработку политики, исполнение плана и реализацию механизмов безопасности. Назначение этой обязанности должно быть первым ша­гом по пути реализации нового плана безопасности.

Проведение профессиональной переподготовки. Организация не может обеспечить защиту секретной информации, не привлекая сво­их сотрудников. Грамотная профессиональная переподготовка - это механизм обеспечения сотрудников необходимой информацией. Про­граммы обучения могут иметь форму коротких занятий, информаци­онных статей или плакатов. Наиболее эффективные программы ис­пользуют все три формы.

Проведение аудита. Аудиторская проверка информационной безопасности в организации (аудит информационной безопасности в организации) [4] - периодический независимый и документирован­ный процесс получения свидетельств аудита и объективной оценки с целью определить степень выполнения в организации установленных требований по обеспечению информационной безопасности.

Аудит информационной безопасности в организации может осу­ществляться независимой организацией (третьей стороной) по дого­вору с проверяемой организацией, а также подразделением или должностным лицом организации (внутренний аудит).

Аудит - это последний шаг в процессе реализации информацион­ной безопасности. После определения состояния информационной безопасности внутри организации, создания соответствующих поли­тик и процедур, приведения в действие технических средств контроля и обучения персонала проведение аудита позволит удостовериться, что все средства контроля сконфигурированы правильно.

Обсуждая место аудита в процессе безопасности, мы в действи­тельности говорим о трех разных функциях: аудит соблюдения поли­тики; периодическая оценка существующих проектов и оценка новых проектов; проверка возможности нарушения защиты.

Каждая из этих функций занимает свое место в процессе обеспе­чения безопасности.

Аудит соблюдения политики. Аудит соблюдения политики - это традиционная функция аудита. Организация имеет политику, опреде­ляющую настройки и конфигурацию систем безопасности. Аудит оп­ределяет реальное состояние дел. Любые отклонения отмечаются как нарушения. Подобные проверки могут выполняться внутренним пер­соналом или внешними консультантами. И в том, и в другом случае этот процесс требует участия системных администраторов.