Обзор подготовлен При поддержке
CNewsAnalytics Radware

Новые типы атак похоронят вашу сеть

Любое прогнозирование в сфере ИТ достаточно проблематично, однако, не заглядывая на десятилетия вперед, можно наметить некоторые перспективные направления развития средств защиты. С одной стороны, разработчики этих продуктов будут искать для себя новые рынки сбыта. С другой стороны, продолжат совершенствоваться хакерские технологии, против которых, собственно, и разрабатываются защитные механизмы. Более того, эффективных решений по защите от некоторых новых угроз до сих пор не существует.

О перспективах дальнейшего развития средств защиты можно говорить, исходя из общих тенденций развития ИТ, а также эволюции кибер угроз. Зависимость бизнес-процессов от информационных технологий продолжает возрастать. Соответственно, любые простои или нарушения функционирования сети могут привести к серьезным последствиям для компаний — от финансового ущерба до банкротства. С другой стороны, увеличивается объем трафика в глобальных и корпоративных сетях, границы между которыми размываются. Развитие беспроводных технологий делает их периметр крайне нечетким.

С технологическим прогрессом неразрывно связана эволюция угроз, для которых ИТ становятся и каналом реализации, и мишенью. В числе наиболее значимых «тенденций» в области хакерских технологий можно, в частности, выделить:

Рост числа многовекторных атак. Атаки в защищаемые пределы предпринимают уже не только через один канал несанкционированного доступа. Гораздо эффективнее воздействовать сразу на несколько уязвимых мест. Например, Web-сервер, ICQ, разделяемые каталоги, электронная почта и т.д. Не получится проникнуть за оборонительный рубеж через один канал—получится через второй. В будущем подобные виды атак будут превалировать над другими.

Рост скорости распространения атак. В 80-е годы эпидемией считалось распространение бутового вируса на дискете по компьютерам одного отдела в течение нескольких недель. Сейчас вредоносная программа (например, червь) может заразить все уязвимые узлы (а их сотни миллионов) в течение нескольких минут.

Инфраструктурные атаки. Если раньше основной мишенью были корпоративные сети, то сейчас фокус сместился на инфраструктуру операторских сетей. Это гораздо опаснее, поскольку атака на ядро сети оператора приводит к отказу всех его клиентов, соответственно масштабы ущерба намного превосходят последствия одиночной атаки, даже на очень большую компанию. В последнее время наметилась также тенденция атак на критичные инфраструктуры/приложения — АСУ ТП (SCADA), систему управления полетами, медицинские системы, системы управления электростанциями (в том числе и атомными) и т.д. Подобные атаки давно вышли из разряда невинных проделок и приводят к очень серьезным последствиям, и не только финансовым (экологические катастрофы, человеческие жертвы и т.д.).

Атаки на приложения. Если раньше бюллетени по информационной безопасности изобиловали описанием атак сетевого уровня (дыры в ICMP, TCP, DNS, UDP, ARP и т.д.), то сейчас ситуация коренным образом изменилась. Атаки поднимаются все выше — Apache, IIS, SAP R/3, Oracle, "1С" и т.д. В будущем ситуация ухудшится еще больше — SOAP, XML, Web-сервисы... Все они станут мишенью злоумышленников. Сюда же можно отнести и рост так называемого grayware — spyware, adware, pornware и т.д.

Рост некомпетентности пользователей по мере компьютеризации страны. Федеральная программа «Электронная Россия», «Электронная Москва», «Электронный Татарстан» и многие другие направлены на компьютеризацию всех регионов страны. Однако за оснащением сельских школ компьютерами и установкой на оживленных улицах интернет-киосков все забывают об обучении пользователей. А ведь именно низкая квалификация и пресловутый «человеческий фактор» являются основными источниками проблем информационной безопасности.

Мобильный спам. По информации Wireless Services, за 2004 год объем SMS-спама в США вырос более чем вдвое. Если год назад спам составлял 18%, то сейчас — 43% от всех SMS-сообщений. Пользователи, привыкшие к засорению своих почтовых ящиков и уже не обращающие внимания на предложения купить «Виагру» или посетить уникальный семинар, с легкостью отзываются на сигнал мобильного телефона. Тем более, что в отличие от электронной почты, на экране мобильного телефона просто нет места, чтобы сразу высветить адрес отправителя SMS, что вынуждает пользователя открывать пришедшее сообщение. Пока частота SMS-спама не так велика — в среднем 5 сообщений в неделю, но наблюдаемая тенденция вызывает опасения. Только за первые 9 месяцев 2004 года мобильный спам превысил в 3 раза число почтовой рекламы.

«Оффшорный кибертерроризм». Некоторые специалисты опасаются появления так называемого оффшорного кибертерроризма, в рамках которого злоумышленники могут внедрять вредоносный код в программное обеспечение, создаваемое в оффшорных зонах.

Утечка биометрических данных. Увеличение интереса госструктур к биометрической идентификации своих граждан делает актуальным вопрос об утечке данных — отпечатков пальцев, геометрии руки, сетчатки глаза. Паспорт или кредитка подлежат замене, а отпечатки пальцев нет. В настоящее время не существует биометрические сканеров, способных распознавать муляжи.

Технологии безопасности в ближайшем будущем

Появление сетей нового поколения Internet-2, NGN, IIN и т.д., а также рост числа узлов, подключаемых к глобальным сетям, приводит к лавинному росту объема передаваемого трафика. А это в свою очередь приводит к сложностям при обнаружении следов несанкционированной активности, так как современные средства защиты с большим трудом могут обрабатывать трафик на скоростях выше 1 Гбит/сек. В современных условиях частичное решение проблемы заключается в балансировке нагрузки между несколькими средствами защиты, но по мере роста сетевых скоростей такой подход скоро перестанет быть эффективным. Поэтому первой тенденцией можно назвать рост пропускной способности средств защиты.

Другой стороной медали, связанной с увеличением сетевых скоростей, является рост числа ложных срабатываний, что приводит к сигнализации об атаках, которых в реальности не происходит (false positive) или которые не могут нанести ущерб корпоративным ресурсам. Как следствие, администратор безопасности начинает пропускать сообщения от средств защиты, что в свою очередь отрицательно сказывается на уровне защищенности информационной системы. Решением данной проблемы, которую некоторые консалтинговые компании назвали «смертью систем обнаружения атак», является применение систем управления информационной безопасностью (security information management system или security threat management systems). Основная задача таких систем — сбор, анализ и корреляция событий безопасности от разнородных средств защиты и снижение числа сообщений, которые требуют принятия решений от администратора безопасности. В России сейчас отмечается активизация спроса на такие системы, которые на Западе уже давно и прочно обосновались в арсенале многих служб информационной безопасности.

События последних лет показывают, что современные атаки не просто наносят ущерб конкретным компаниям и организациям,—они несут разрушения и операторам связи, «сметая все на своем пути». Достаточно вспомнить распределенные атаки «отказ в обслуживании» (Distributed Denial of Service, DDoS) и массовые эпидемии червей, зафиксированные в последние годы. От них в первую очередь страдает инфраструктура операторов связи, по которой и распространяются данные атаки. Ведь здесь нет никакой разницы — атаковать Web-сервер небольшой компании или магистральный маршрутизатор, на котором сходятся потоки от сотен и тысяч заказчиков. Поэтому неслучайно выделение на рынке средств сетевой безопасности в отдельное направление систем отражения DDoS-атак. Причем используют эти системы относительно новые подходы к идентификации несанкционированной активности. Если раньше они ориентировались, в основном, на сигнатурные принципы обнаружения атак, то сегодня основной акцент делается на поведенческих или «аномальных» методах, которые позволяют обнаруживать в том числе и многие неизвестные атаки. Кстати, необходимо заметить, что тенденция замены сигнатурных методов поведенческими отмечается не только в сетевой безопасности, но и в области защиты отдельных узлов. Например, многие современные средства предотвращения атак на сервера и рабочие станции строятся именно по этому принципу.

Защита конечных устройств (включая лэптопы и КПК) также «выходит из тени» и становится все более актуальной. Это связано с активным внедрением «в жизнь» концепции виртуального офиса, согласно которой получить доступ к корпоративной сети можно из любой точки земного шара (разумеется, в которой есть доступ к интернет). Таким образом, границы корпоративной сети становятся размытыми. И если раньше их можно было эффективно защитить с помощью межсетевого экрана, то сейчас любой мобильный или домашний пользователь выходит из-под защиты этого корпоративного «телохранителя», а значит, становится беззащитным перед лицом хакерской угрозы. «Масла в огонь» подливают различные технологии беспроводного и мобильного доступа. Поэтому все важнее становится защита каждого мобильного компьютера, имеющего доступ к корпоративной сети.

Малая производительность таких систем усложняет их защиту. Если установить отдельно антивирус, отдельно персональный межсетевой, отдельно систему контроля утечки информации и т.д., то все ресурсы компьютера будут тратиться на решение задачи его защиты — в ущерб основным бизнес-процессам. Поэтому современный рынок диктует иные требования, а именно, объединение защитных функций в одном решении. Аналогичная тенденция наблюдается и в области сетевой безопасности — производители выпускают устройства, совмещающие в себе межсетевые экраны, системы построения VPN, системы предотвращения атак, антивирусы и т.д.

Из вышеперечисленных тенденций вытекает одна и, пожалуй, самая главная, — постепенный отказ от «навесных» систем защиты и переход к интегрированной безопасности. Интегрированной в сетевую инфраструктуру, в приложения, в операционные системы, в базы данных, в смартфоны, в микроволновые печи и т.п. Это позволяет учесть вопросы информационной безопасности еще на этапе проектирования автоматизированной системы, что и является залогом роста защищенности корпоративной сети и ее ресурсов. Забегая далеко вперед, можно предположить, что постепенно небольшие игроки рынка информационной безопасности будут постепенно вытеснены с него более сильными своими «собратьями». Это лишний раз подтверждают те шаги, которые предпринимают ведущие поставщики ИТ-решений во всем мире.

Итак, направления развития средств защиты намечены, перспективные технологии информационной безопасности определены... Пожалуй, информационная безопасность—это единственная область современных технологий, где год от года наблюдается заметный рост. Как показывают исследования Gartner, инвестиции в сетевую безопасность растут независимо от масштаба компании — это правило действует и для предприятий, насчитывающих десять сотрудников, и для гигантов со штатом в несколько десятков тысяч человек. Важность средств информационной безопасности понимают все — от руководителя компании до руководителя информационной службы. Если в 2002 году угроза нарушения информационной безопасности компании не входила в бизнес-приоритеты CIO компаний по всему миру, то в 2003 году эти опасения поднялись в рейтинге уже на 12 место, а в 2004 году вышли на первое. В 2005 году информационная безопасность стала «номером один» в числе выбранных CIO приоритетных технологий, а снижение информационных рисков становятся их главной инициативой.

Алексей Лукацкий / CNews

Андрей Калашников: Понятия комплексной и дорогостоящей системы защиты не являются синонимами

О том, кто должен отвечать за информационную безопасность в компании и о том, как будет развиваться рынок ИБ в ближайшие годы, рассказал Андрей Калашников, директор Центра технологий безопасности компании IBS.

Андрей Калашников

CNews: Насколько сильно темпы роста объема продаж на рынке защиты информации коррелируют с ростом продаж на ИТ-рынке в целом? Какое влияние оказала проведенная административная реформа на рынок ИБ?

Андрей Калашников: Несколько лет темпы роста рынка информационной безопасности опережали рост рынка ИТ в целом. В настоящее время можно предположить, что, несмотря на некоторое замедление темпов роста сегмента ИБ, развитие этого направления в ближайшие годы будет по-прежнему опережать рост рынка ИТ.

Что же касается административной реформы, то ее влияние на рынок ИБ до настоящего времени состояло лишь в том, что процесс контроля и лицензирования сферы ИБ со стороны государственных органов был более запутанным.

CNews: Согласны ли вы с распространенным мнением, что уровень защиты корпоративных систем в России не уступает западному?

Андрей Калашников: Для того чтобы ответить на данный вопрос, требуется четко определить, во-первых, о каких корпоративных системах и каких механизмах защиты идет речь, и, во-вторых, что значит «не уступает». В России, как и на Западе, компании находятся на разных уровнях зрелости, с точки зрения подхода к информационной безопасности, поэтому сравнивать их представляется бессмысленным. Если же сравнивать компании, относящиеся к одному уровню, то, поскольку имеют место схожие угрозы в области информационной безопасности, используется схожий набор механизмов их парирования. Большинство механизмов обеспечения ИБ реализуется либо за счет продуктов западных фирм, либо за счет их российских аналогов, поэтому говорить о чьем-либо преимуществе не приходится.

Полный текст интервью


Вернуться на главную страницу обзора

Версия для печати

Опубликовано в 2005 г.

Toolbar | КПК-версия | Подписка на новости  | RSS