Исследование "Средства защиты информации от несанкционированного доступа"

Исследование "Средства защиты информации от несанкционированного доступа"

Результаты опроса

В настоящее время все больше российских компаний ставят перед собой задачу создания управляемой и эффективной системы информационной безопасности. Журнал "Information Security/Информационная безопасность" совместно с отраслевым маркетинговым агентством GMT Plus провел очередное исследование рынка, посвященное изучению использования средств защиты информации от несанкционированного доступа корпоративным пользователем, Некоторые результаты исследования прокомментировал Максим Эмм - заместитель директора по консалтингу компании "Информзащита". С диаграммами исследования, не вошедшими в настоящую публикацию, можно ознакомиться на сайте www.itsec.ru и www.ssgroteck.ru в разделе "Исследования"

Вопросы IT касаются всех и каждого

При оценке респондентами объема затрат своих компаний от оборота на IT (рис. 1) примерно одинаковое количество голосов набрали ответы "более 25%" и "менее 5%", что позволяет сделать следующий вывод: затраты на IT учтены и в высокотехнологичных IT-компаниях, и в тех, для которых IT -по большей части автоматизация некоторых бизнес-процессов (последние в меньшей степени интересуются вопросами сертификации).

Логичные затраты

Совершенно логично, что большинство компаний (порядка 70%) тратят на информационную безопасность менее 10% от своего оборота (рис. 2). Совершенно естественно, что затраты на IT в общем (построение сетей, закупка оборудования, серверов, программного обеспечения) превышает корпоративные финансовые расходы на информационную безопасность. Скажем, большую сетевую инфраструктуру, включающую в себя 100 серверов, не требуется оснащать сотней серверов средств защиты. Поэтому затраты на безопасность невелики. Показатель "до 10%" вполне объясним, он не меняется уже много лет и, скорее всего, в ближайшем будущем расти не будет.

Опасность -изнутри и снаружи

"Внутренние и внешние нарушители..." На наш взгляд, совершенно правы те опрошенные (почти 60%), которые ответили, что одинаково опасны оба типа нарушителей (рис. 3). Очень сложно составить четкий список отличий внутренних злоумышленников от внешних. Для примера возьмем следующую ситуацию. Внешний нарушитель использует компьютер внутреннего пользователя для того, чтобы осуществить определенные злонамеренные действия. С одной стороны, этого злоумышленника можно считать внутренним нарушителем: он использует компьютер сотрудника данной компании. С другой стороны, компьютером управляет человек вне организации. Вопрос о том, к какому виду нарушителей отнести этого преступника, остается без ответа.

Разделять угрозы на внешние и внутренние в современной ситуации не очень корректно. Тем не менее внутренние нарушители (люди, которые имеют доступ к конфиденциальным данным и информационной системе организации), как правило, представляют большую опасность, чем внешние.

Простота - ключ к популярности

Как показывает диаграмма на рис. 4, подавляющее большинство опрошенных использует антивирусные продукты. Действительно, такого рода средства наиболее распространены в нашей стране. Все остальные ответы расположились в порядке убывания популярности, в основном, по одной простой причине: брандмауэры, средства разграничения доступа и прочие все-таки довольно сложно использовать. Многие указанные средства требуют весьма квалифицированной настройки и поддержки.

Осознанная мера защиты

Персональные сетевые экраны делятся на две группы:

1)персональные, специально выделенные;

2)встроенные, например, в сетевое оборудование.

Учитывая, что под понятием "межсетевые экраны уровня предприятия" понимались специально выделенные межсетевые экраны, а "аппаратные межсетевые экраны " - встроенные в какое-то оборудование (например, в маршрутизаторы), результаты опроса (рис. 5) становятся легко объяснимыми. Большинство (около 60%) применяют специальные межсетевые экраны, то есть используют меру защиты, необходимость в которой давно осознана.

"Повинуясь" государственным требованиям

Тот факт, что почти 80% респондентов уделяют внимание наличию сертификатов ФСБ, ФСТЭК и других федеральных органов власти, подталкивает нас к следующему выводу:

1)либо опрошенные работают в государственных органах;

2)либо опрошенные работают в компаниях, которые вынуждены использовать сертифицированные средства защиты, "повинуясь" государственным требованиям.

На самом деле специалисты по безопасности давно осознали, что существующие сертификационные требования ФСБ, ФСТЭК России и т.д. безнадежно устарели. Справедливыми разве что можно считать требования ФСБ России к сертификации в части криптографии.

Результаты данной части опроса (рис. 6) свидетельствуют о том, что:

1)либо компании вынуждены использовать сертифицированные продукты;

2)либо сотрудники отделов безопасности данных компаний не осознают все преимущества коммерчески доступных продуктов перед сертифицированными ФСТЭК и ФСБ России.

Анализ логов в борьбе с инсайдерами

Для борьбы с различными типами инсайдеров во многих компаниях применяется аудит действий пользователя в сети (рис. 7). Следует отметить, что если в организации фиксируются все передвижения пользователей по Интернету, то вряд ли администраторы способны проанализировать полученную огромную массу информации. Наиболее эффективным является запись и анализ логов всех пользователей по их передвижению в Интернете.

Незаметные атаки

Следует сказать, что довольно много атак на корпоративные ресурсы остаются незамеченными. Атаку, как правило, "замечают" только тогда, когда атакованный ресурс, к примеру, дал сбой в работе или подвергся дефейсу (взлому). Часто никто даже не обнаруживает случаи, когда кто-либо "незаконно" получил пароль, скажем, к почтовому серверу или системе конфиденциальной информации. С другой стороны, публичный Web-сервер доступен всем, и очевидно, что большинство из выявляемых атак - атаки на Web-ресурсы.

С учетом вышесказанного можно вполне с уверенностью утверждать следующее: как минимум половина из тех респондентов (24%), которые утверждают, что в их компаниях не ведется статистика атак на корпоративные Web-ресурсы, скорее всего, сталкивалась с атаками. Все дело в том, что примерно 10-11% из этих людей, вероятно, не подозревают об успешно проведенных атаках (рис. 8).

В высоком проценте организованных атак на корпоративные Web-ресурсы можно найти и положительное зерно: большая часть компаний, специалисты которых приняли участие в исследовании, как минимум занимаются мониторингом своей безопасности.

Угрозы ИБ: что опаснее?

Нет ничего удивительного в том, что в ходе опроса такая угроза, как неумышленные действия пользователей, оказалась лидером среди угроз информационной безопасности организаций (рис. 9). Это объективный факт. Более опасными, но менее вероятными являются случаи хищения, нарушения работоспособности, отказ оборудования и внутренних систем жизнеобеспечения по вине пользователей-злоумышленников - частота реализации этих угроз на порядок меньше по сравнению с ошибками пользователей, которые каждый день имеют дело с информационной системой организации.

Справедливости ради, необходимо отметить, что угроза "трояна" намного серьезнее, чем угроза спама. Однако, как видно из диаграммы на рис. 9, респонденты еще не в полной мере осознают эту разницу.

Предупрежден -значит, вооружен

Информационная безопасность - это проблема, которая требует пристального внимания и тщательного изучения. Отрадно видеть, что в компаниях 40% респондентов проводится инструктаж пользователей по ИБ (рис. 10).

Эффективность обучения соблюдению ИБ в рамках общего инструктажа представляется весьма сомнительной. Как это обычно происходит? Работникам предоставляют инструкцию для чтения, где разъяснены некоторые моменты защиты информации, не более. Кроме того, никто не проверяет, выполняют ли проинформированные пользователи предписания инструкции.

В поисках рыночных закономерностей

Со временем сетей становится больше, масса программного обеспечения увеличивается еще быстрее, все чаще выходят обновления к программным продуктам - все это вполне закономерно влечет за собой активное развитие средств поиска уязвимостей, а также будет способствовать этому и в будущем (рис. 11). На многих типовых серверах уязвимость в большой сети может привести к довольно ощутимым потерям информации и в итоге к значительному ущербу организации.

Само по себе расширение использования сетей имеет своим следствием расширение покупок брандмауэров, VPN, IDS и т.д.

Вряд ли стоит прогнозировать рост продаж антивирусных продуктов. На сегодняшний день рынок в данном секторе пресыщен, и весьма трудно найти компанию, в которой бы не использовались те или иные антивирусные продукты.

Отметим также, что в настоящее время рынок средств защиты информации качественно меняется. На это влияет и отсутствие уже на протяжении нескольких лет принципиально новых технологий защиты, и насыщение рынка продуктами, реализующими имеющиеся технологии. Многие компании уже "напробовались" всевозможных решений и пришли к пониманию того, что без эффективного разграничения доступа, все эти средства не добавляют защищенности. Поэтому в ближайшие годы, скорее всего, наиболее востребованными будут технологии, позволяющие эффективно управлять доступом пользователей к корпоративным ресурсам и приложениям. Эти технологии называются по-разному: управление безопасностью, Identity management, Access control, но суть у таких решений одна -минимизировать полномочия пользователей в системе и управлять процессом предоставления этих прав.

Комментарий эксперта

А. Крячков
Директор по продуктам компании Aladdin

ПО МНЕНИЮ многих IT-специалистов и аналитиков рынка ИБ, одной из основных угроз ИБ сегодня является проблема инсайдера -сотрудника компании, который либо намеренно, либо случайно становится источником утечки информации.Борьба против внутреннего "врага" в наиболее прогрессивных компаниях уже становится важным приоритетом в построении системы ИБ. Как ведется эта борьба? Прежде всего, необходим комплексный подход к системе И Б, включающий в себя оценку рисков для конкретной компании, создание надежной технологической базы (в соответствии с этой оценкой) и перманентную работу с персоналом. Последний аспект не является таковым по значимости. Следует вывести четкие принципы соблюдения И Б, разработать правила использования конфиденциальных данных, на практике показывать сотрудникам, к чему может привести записанный на стикере пароль или оставленный без присмотра электронный ключ для доступа к информационной системе компании. Важно регулярно проводить разбор инцидентов, информировать персонал о новых угрозах, вводить административные санкции, организовывать тренинги и т.п. Рекомендации в отношении защиты от внутренних угроз очень просты и заключаются в строгом следовании концепции 3А (Аутентификация, Авторизация, Аудит) - ее должна придерживаться каждая компания, заботящаяся о своей репутации и позиции на рынке. Данная концепция основывается на следующих требованиях:

• доступ к критичным ресурсам компании должен быть персонифицированным, что позволяет снизить риск отказа пользователей от совершенных ими действий;
• для аутентификации рекомендуется использовать аппаратные средства (смарт-карты или USB-ключи);
• обязателен аудит действий пользователей и администраторов (как минимум штатными средствами) в информационной системе;
• необходимо применять шифрование критически важных данных, представляющих сферу особого интереса инсайдера;
• ключевая информация и другие секретные данные пользователя должны храниться на личном съемном носителе (например, на смарт-карте или USB-ключе), что повысит личную ответственность каждого сотрудника;
• в качестве профилактики и для снижения риска утечки информации важно проводить регулярный мониторинг всех действий пользователей в сети.

А.П. Кекишев
Главный инженер ЗАО "Монлайн"

НЕ ЯВЛЯЯСЬ экспертами в области защиты информации, но имея опыт разработки и внедрения вычислительных сетей, считаем возможным дать некоторые рекомендации по выбору средств защиты информации.

Во-первых, необходимо ответить на два существенных вопроса:

1.Какого рода информация подлежит защите и каковы ее параметры?

2.От кого/чего надо эту информацию защищать?

Отвечая на первый вопрос, надо прежде всего иметь исчерпывающие данные о защищаемой информации, в особенности о ее стоимости. Под понятием "стоимость информации" следует подразумевать: ее рыночную стоимость и тот ущерб, который понесет фирма при потере или копировании данных. Стоимость информации должна учитываться при выборе средств защиты, поскольку неразумно тратить на защиту больше финансовых средств, чем может повлечь за собой возможный ущерб. Целесообразными считаются расходы (как на технические, так и на организационные методы защиты) в размере 10% от стоимости информации. Хотя встречаются заказчики, не имеющие представления о стоимости своей информации, с абсурдными требованиями к ее защите, подогреваемыми СМИ и современной кинопродукцией.

Ответ на второй вопрос частично определяется ответом на первый. Как говорится, "ищи, кому выгодно". Определив круг потенциальных взломщиков, гораздо легче подобрать адекватные средства защиты. Например, для защиты от внутренних угроз зачастую хватает организационных мер и правильной настройки информационной системы, а от внешних - решающим является стоимость информации.

Во-вторых, надо иметь в виду, что 100%-ной защиты не существует. Даже в сетях, полностью отрезанных от внешнего мира, информацию можно похитить, подкупив сотрудника фирмы. В большинстве случаев информация, хранящаяся в сети, имеет ценность только для своего создателя, и защищать ее требуется лишь от любителей, взламывающих системы из спортивного интереса или ради удовольствия. Для борьбы с подобными нарушителями вполне достаточно средств, встроенных практически в любой программный или аппаратный firewall.