Оружие в глобальной информационной войне

Многое из того, о чем будет идти речь в этой статье, связано со спецификой новой информационной структуры, которая известна нам как Интернет, и соответствующей моделью взаимодействия людей. Исторически Интернет возник как достаточно «доверительная» структура. Эта сеть объединяла людей (скорее даже вычислительные центры) и преследовала по сути цель оптимизировать разработку, создание и тестирование программных средств, ведение научных исследований, не связанных с самой компьютерной техникой и сетевой тематикой. Очень важно подчеркнуть, что изначально Сеть была дружественной, ориентированной на достижение максимального комфорта и эффективности. Вопросы безопасности были скорее вопросами разграничения, разделения вычислительных ресурсов между равнодоступными или равнополномочными членами Сети. Соответственно, на раннем этапе жизни Интернета такая концепция вполне оправдывала себя — достаточно длительное время этика поведения в Сети, которая возникла изначально, была адекватной реальности и она работала. Но в дальнейшем Сеть стала стремительно расти, и к достаточно однородному сообществу пользователей, обладавших сходным менталитетом, сходными подходами, представлениями и этическими нормами, стали присоединяться разные, зачастую совершенно случайные организации и структуры, которые далеко не всегда разделяли эти нормы и представления. Когда Сеть действительно превратилась во «Всемирную паутину», принципы, которые были изначально заложены в основу Интернета и по сути определяли конкретные технические решения, стали, что называется, «плыть». Конечно, до разных регионов волна Интернета дошла в разное время. России она достигла примерно в 1996 году — именно тогда Интернет стал достаточно массовым явлением не только в научной среде (напомним, что один из первых каналов в Интернет был организован в Институте атомной энергии им. И. В. Курчатова в 1990 году), но и среди индивидуальных пользователей.

Однако рано или поздно расширение структуры Интернета вызвало радикальные изменения в характере отношений в Сети. В каком-то отношении Интернет похож на человечество в целом: он так же разделен на множество "лоскутков", зачастую имеющих сложную форму, в нем так же нельзя найти общей морали, единых для всех этических норм. Если вначале сетевая среда была по преимуществу дружественной, то сейчас она стала агрессивной. Иногда агрессия проявляется лишь в том, что над вами могут зло подшутить как над новичком, но часто она носит гораздо более опасную форму и связана для многих участников с потерей жизненно важной информации и денег. Значительно выросла криминальная составляющая жизнедеятельности Сети. В результате в Интернет-сообществе возникла концепция, получившая название «Глобальная информационная война» (ГИВ). Словом "война" здесь обозначается отнюдь не противостояние между государствами. Война идет между этическими системами — между людьми, придерживающимися цивилизованных норм “межчеловеческого взаимодействия”, и "отщепенцами" (скорее даже анархически настроенными нигилистами), для которых эти нормы ничего не значат и зачастую становятся центром концентрации агрессии. Конечно, иногда агрессивность проявляется в отношении целых государств, чьи сайты по тем или иным политическим причинам "взламываются" особенно интенсивно. Однако прежде всего ГИВ — это война людей с людьми, противостояние представлений о том, что можно и чего нельзя делать. В каком-то смысле это "война всех со всеми". Нередко агрессия при этом бывает немотивированной — некоторые люди видят в ней способ доказать свое техническое или интеллектуальное превосходство над другими, самоутвердиться. Встречаются попросту хулиганские проявления, ну и, конечно, случаи сознательного воровства — объектом кражи становятся учетные данные, за которыми стоят деньги, а также ценная конфиденциальная информация.

Криминальная составляющая

Чем дальше, тем большее распространение получает криминал в Интернете. Если раньше взломщики в основном просто развлекались или демонстрировали свои силы, причем практически всегда действовали в одиночку, то сейчас обычным делом стали массовые атаки, целью которых может оказаться, к примеру, ослабление или полная нейтрализация конкурента в области электронного бизнеса.

Арсенал средств и возможностей, имеющихся в распоряжении злоумышленников, растет. Перенос бизнес-операций в виртуальное пространство означает для компаний появление нового вида угроз. Так, блокировка работы электронного магазина, создание помех в его работе, несанкционированное размещение на его сайте информации, порочащей владельца магазина либо его услуги, и т. п. — все это может значительно снизить оборот электронного бизнеса. Но это лишь малая толика опасностей, подстерегающих тех, кто пытается организовать бизнес в Интернете. Атака на корпоративный сайт может не только вывести этот сайт из строя, но и поставить под угрозу основной бизнес компании, не связанный с электронными средствами, — в частности, у компании может быть похищена деловая информация. Данные могут быть фальсифицированы для дезинформирования сотрудников подразделений, использующих Интернет, что, в свою очередь, нарушит общение с клиентами, поставщиками.

Опасность и внутри, и снаружи

Существуют различные модели взаимодействия атакующей и защищающейся сторон, но общий вывод, увы, один: множество атак бесконечно, а системы защиты способны противостоять только небольшой его части.

Между тем такая система, ограничивающая доступ из сетей общего пользования (например, Интернета) к ресурсам внутренней корпоративной сети, необходима.

Но это еще не все. Если раньше до 80% атак на корпоративные информационные ресурсы шло извне и лишь 20% — изнутри, то сейчас ситуация значительно меняется. Доля внутренней составляющей в статистике нарушений системы безопасности растет. Сейчас, по некоторым оценкам, злонамеренные попытки получить несанкционированный доступ к ресурсам в половине случаев предпринимают внутренние пользователи.

Приоритеты в защите информации

Ситуация с защитой сетевой информации зачастую отражает внутреннее состояние самих сетей. Если на предприятии нет стратегии внутренней безопасности или забота о безопасности лежит на плечах системного администратора, сеть чаще всегооказывается незащищенной. Действующие на многих предприятиях формальные ограничения легко обходятся квалифицированными пользователями — в таких случаях о системе безопасности говорить бессмысленно. Дело в том, что такая система не может ограничиваться каким-то законченным техническим решением и системой организационных запретов. Это должен быть комплекс, основанный на хорошо проработанной организационной структуре. Прежде чем начать строить такой комплекс, необходимо понять, что и от чего именно мы защищаем. При этом необходимо объяснить всем сотрудникам, включая руководство (и особенно руководству), какие объекты в сети следует хранить от чужих глаз и рук. Далее нужно выработать простые и понятные нормы, как технические, так и этические и организационные, соответствующие специфике предприятия. При распределении полномочий, средств идентификации и аутентификации пользователей следует учесть возможность передачи их секретных частей посторонним лицам или просто отключения тех или иных ограничений — например, для какого-то хорошего знакомого или друга. Чтобы защита была эффективной, необходимо довести до сведения каждого сложившуюся ситуацию.

И только третьим по значимости фактором — после организационных процедур и выработки этических норм — станут технические средства.

Технические средства

Для построения систем защиты от несанкционированного доступа из Интернета сейчас используются три основные технологии: межсетевые экраны (МЭ); системы обнаружения атак (СОА) и системы контентной фильтрации (СКФ).

Весь отечественный и зарубежный опыт применения традиционных межсетевых экранов свидетельствует о невысокой их эффективности — в силу отсутствия или минимальной обработки передаваемых данных (обрабатывается в основном только адресная информация IP-адреса, порты, флаги протоколов, но не передаваемые этими протоколами данные). Практически традиционный межсетевой экран аналогичен слегка прикрытой двери в крепостной стене. Иными словами, трудно ограничить доступ туда, куда его, наоборот, требуется предоставить.

Системы обнаружения атак играют, по сути, роль сторонних наблюдателей, оценивающих события в системе и передаваемые данные и принимающих решения о наличии или отсутствии атак на контролируемые объекты. Реагировать на обнаруженные атаки по-прежнему должны либо администраторы, либо некая связка СОА — МЭ, что приводит либо к значительным задержкам реакции на атаку (читай: значительным потерям), либо иногда к блокированию фальсифицированных источников атак — важных легальных серверов и т. д.

Системы контентной фильтрации достаточно перспективны и способны как реально оградить АС от враждебного содержимого серверов, так и предотвратить утечку внутренней информации по открытым каналам. К сожалению, данная система тоже не лишена значительных недостатков: требует наличия отдельного межсетевого экрана, развертывания СОА для защиты серверов демилитаризованной зоны и, главное, высококвалифицированного персонала.

Для большинства организаций среднего размера такие затраты на защиту просто неадекватны величине потерь при реализации угроз. Но защищать свои системы все равно нужно! Есть возможность совместить лучшие свойства этих систем в одном устройстве. Такая технология, представляющая собой межсетевой экран с системой исключения атак (СИА), в частности, была реализована фирмой "ЭЛКО Технологии" в коммерческом серийном устройстве под названием МЭ “ЭльФ”. Идея весьма проста: зачем сетевую фильтрацию возлагать на одно устройство, обнаружение атак — на другое, а контентную фильтрацию — на третье? Можно в одном устройстве просмотреть трафик на предмет наличия сигнатур атак и нарушения корпоративной политики по передаче информации и на нем же принять решение о дальнейшей судьбе этих данных. Естественно, главный вопрос в этом случае — актуальность базы сигнатур атак. В качестве основы для СИА используется СОА Snort, что позволяет бесплатно получать самые актуальные базы сигнатур.

Конечно, данный подход не лишен недостатков, и тем более его нельзя считать панацеей, но это технология, доступная предприятиям малого и среднего бизнеса и способная реализовать действенную защиту.

Павел Волков — руководитель отдела компании "ЭЛКО Технологии" (http://www.elco.ru). С ним можно связаться по e-mail: PVolkov@elco.ru.