PCWEEK Review

Экспертиза • Актуальные технологии • Проекты • Мнения • Стандарты

ВСТУПИТЕЛЬНОЕ СЛОВО

PCWEEK Review 1 (106), 2010 3

Тема информационной безопас-ности является, пожалуй, наи-более популярной на ИТ-рынке. И это не случайно. Во-первых, область ИБ очень емкая и мно-гогранная, во-вторых, данный

сегмент динамично развивается, что за-ставляет всех игроков рынка постоян-но держать руку на пульсе. Технологии, которые, казалось бы, обеспечивали на-дежную защиту еще несколько лет на-зад, сегодня уже не всегда действенны и актуальны.

Облачные вы-числения и рабо-та сотрудников в удаленном режиме способствует воз-никновению новых проблем в обеспече-нии информацион-ной безопасности. Границы сетевого пе-риметра размывают-ся, что значительно усложняет работу службы ИТ-безопасности. Многообра-зие и новые возможности Веб 2.0 увели-чивают спектр зловредного ПО и под-нимают требования к защите на новую высоту. О средствах защиты в условиях интернета второго поколения читайте на страницах 18—20.

Инсайдеры всегда представляли наибольшую угрозу для конфиденци-альной информации. Для решения по-добной задачи используются как орга-низационные методы, так и технические средства. Подробный материал на эту

тему вы найдете на 14. А на стр. 34 из-ложено описание успешного проекта внедрения системы контроля съемных носителей.

Всего пару лет назад технологии вир-туализации были сродни экзотике, а сегодня все труднее найти крупные кор-порации, которые не виртуализируют свою ИТ-инфраструктуру. Такой под-ход ставит новые задачи перед службой ИБ. О сложностях защиты информации в виртуальной среде рассказывается в

статье на стр. 28. Об экономических

аспектах вспомина-ют обычно раз в год, при формировании сметы расходов на ее обеспечение или в случаях, когда про-исходит очередной инцидент в системе ИБ. Между тем, эти

аспекты необходимо учитывать при планировании всех ини-циатив в области ИБ. Со статьей об эко-номике информационной безопасности вы сможете ознакомиться на стр. 12.

Редакция PCWEEK выражает надеж-ду, что этот спецвыпуск поможет вам вооружиться нужными знаниями для надежной защиты конфиденциальной информации вашего предприятия.

Олег Пилипенко, главный редактор PCWeek/UE

Быть начеку,следить за новыми веяниями

с

ТЕХНОЛОГИИ, КОТОРЫЕ, КА-

ЗАЛОСЬ БЫ, ОБЕСПЕЧИВАЛИ

НАДЕЖНУЮ ЗАЩИТУ ЕЩЕ

НЕСКОЛЬКО ЛЕТ НАЗАД, СЕ-

ГОДНЯ УЖЕ НЕ ВСЕГДА ДЕЙ-

СТВЕННЫ И АКТУАЛЬНЫ.

Олег Пилипенко

СОДЕРЖАНИЕ

PCWEEK Review 1 (106), 20104

12

15

24

3 ВСТУПИТЕЛЬНОЕ СЛОВО

6 Угадывать или знать. Технологии выявления конфиденциальной информации

8 Десятки стандартов ИБ: что выбрать?

10 Уязвимости есть везде. Вопрос лишь в популярности той или иной ОС

11 Насколько интересен SaaS укра-инскому бизнесу?

12 Экономика информационной безопасности

14 DLP – «сигнализация» против утечки данных

16 Концепция S(Security)aaS – «под-ключай и работай!»

18 «Web 2.0 коренным образом изменил концепцию ИТ-безопасности»

20 Веб-фильтр для компании «Астелит»

22 «Информационная безопасность должна быть всесторонней»

24 Информационная безопасность в Украине – эпоха «возрождения»?

28 Проблемы ИБ в виртуальной среде

30 Защита узла доступа в интернет посредством бесплатного ПО

31 Курс – на проактивную защиту

32 Вопросы безопасности хранения данных

34 Контроль доступа к съемным носителям

Учредитель и издатель: ООО «СК Украина»Директор: Наталья ПроценкоЗам. директора: Тамара Зарва

РЕДАКЦИЯ

Главный редактор: Олег Пилипенко, Дизайнер: Олег Юсупов

Тел./факс: (+380-44) 207-49-09E-mail: [email protected]

ОТДЕЛ РЕКЛАМЫ

Менеджер по продажам: Кирилл Михайличенко

Тел./факс: (+380-44) 207-49-09 E-mail: [email protected]

РАСПРОСТРАНЕНИЕ

© СК Украина, 2010 04050, Украина, Киев, ул. Глубочицкая, 17,

оф. 206

Газета печатается по лицензионному со-глашению с компанией Ziff Davis Publishing Inc. Перепечатка материалов допускается только с разрешения редакции. За содержание рекламных объявлений редакция ответствен-ности не несет.

Editorial items appearing in PC Week/UE that were originally published in the U.S. edition of PC Week are the copyright property of Ziff Davis Publishing Inc. Copyright 2010 Ziff Davis Inc. All rights reserved. PC Week is a trademark of Ziff Davis Publishing Holding Inc.

Приложение зарегистрировано Министерством юстиции Украины. Свидетельство о регистрации № 13442-2326Р от 03.12.07

PC Week Review выходит 10 раз в год

PCWeek Review Информационная безопасность

6 PCWEEK Review 1 (106), 2010

ЭЭккссппееррттииззаа

Угадывать или знать?Технологии выявления конфиденциальной информации

В статье речь пойдет о так называемых фишинг-методах – преступных дей-ствиях в интернете, направленных на воровство конфиденциальных данных пользователей. Анализ ставших достоянием общественности случаев воров-ства позволяет выявить наиболее часто используемые технологии

Методы социальной инженерии

Основной принцип в дан-ной методике воровства конфиденциальной ин-формации состоит в под-мене сайта авторизации банков или поставщиков

интернет-сервисов. Основными инструментами являются:Фишинг — массовая рассылка электронных писем, побуждающих пользователей от имени популяр-ных брендов перейти по указанным в этих письмах ссылкам на фальши-вые сайты, имитирующие сайты на-стоящих организаций, с целью вы-удить персональную информацию.Фарминг отличается от фишин-га тем, что перенаправление на фальшивый сайт происходит принудительно, без уведомления пользователя.

Последовательность действий приблизительно такая:1. Сначала создается фальшивый сайт, на который будут перена-правляться запросы пользовате-лей. Для этого злоумышленники могут просканировать большой

диапазон IP адресов для поиска уязвимых хостов. На таком хосте размещаются HTML страница, со-держащая сообщения, и серверная часть скриптов для сбора данных, введенных пользователями.2. Следующая задача – перена-править пользователей легаль-ного сайта на фальшивый. Этой цели мошенники достигают либо фарминг-методами, используя уязвимость DNS-серверов или заменой локального хостинг-файла на компьютере жертвы, либо фишинг-методами, орга-низуя рассылку спама с другого взломанного сервера.

Существует множество спосо-бов реализации такого подхода, приведем простейшие из них:• использование специаль-ных символов (%00, @, %01), которые в адресе URL могут вызвать переход на ложный веб-узел. Например, при ис-пользовании адреса http://www.e-gold.com%[email protected] бу-дет открыт веб-узел http://login.com, хотя в поле адреса и строке

состояния отображается адрес http://www.e-gold.com;• регистрирование созвучных или визуально похожих DNS-доменов. К примеру, сравните: реальный www.citibank.com с

ложными www.citibnk.com или www.c1tibank.com;

реальный www.amazon.com с ложными www.amason.com или www.alnazon.com;

• рассылка внушающих доверие писем примерно следующего содержания: «…вследствие вну-тренней ошибки, произошедшей примерно 86 секунд назад, Ваши данные потеряны, и мы не смо-жем верифицировать Вас в даль-нейшем. Пожалуйста, перейдите по указанной ссылке и введите логин и пароль для создания ак-каунта заново. В противном слу-чае Ваш аккаунт будет удален окончательно»;• используя вредоносное про-граммное обеспечение, изме-нить файл hosts на компьютере жертвы, поставив в соответствие реальному IP-адресу ложный DNS, благодаря чему браузер

Сергей ЯКИМЧУК | директор по развитию бизнеса в Украине, компания «Аксофт»

Информационная безопасность PCWeek Review

7

жертвы будет соединяться с ложным сервером и т.д.

Классическим примером работы методов социальной инженерии является использование уязвимо-сти в технологии авторизации, ис-пользующей для доступа к счету IP-адрес компьютера пользователя и комбинацию секретного вопроса-ответа. Оказалось, что временная блокировка счета, спроектиро-ванная как дополнительная мера безопасности, на деле может быть использована хакерами для массо-вого закрытия доступа к счетам и последующей фишинг-атаки.

Хакеры могут действовать сле-дующим образом: организуется фальшивый сайт, на котором раз-мещается соответствующая веб-страница входа для клиентов сер-виса. Собирается информация о реальных учетных именах и, что-бы не вызывать подозрений, поль-зователей переводят на настоя-щий сайт. Используя полученные логины, фишеры могут заблоки-ровать счета пользователей. Цели можно легко достигнуть, посылая запрос на авторизацию с указан-ными учетными именами с любо-го общедоступного места. Всякий раз, принимая реальный логин, система защиты будет задавать секретный вопрос, поскольку все запросы идут не с «родных» ком-пьютеров клиентов. Фишерский скрипт будет отвечать на секрет-ные вопросы неверно и таким образом блокировать доступ к счетам. Затем, пользователям заблокированных счетов злоу-мышленники рассылают письма от имени владельца сервиса с за-просом на конфиденциальную информацию для разблокировки счета. Определенная часть клиен-тов данные предоставит, ведь на

тот момент счета действительно будут заблокированы, а в письмах, для пущей убедительности, будет указан реальный логин пользова-теля. Используя полученные кон-фиденциальные данные, фишеры свяжутся со службой поддержки и разблокируют счета, получив над ними полный контроль.

Кейлоггеры

Под кейлоггерами сегодня име-нуют специальные программы, отслеживающих нажатие кла-виш на компьютерах пользовате-лей и отсылающих полученную таким образом информацию по заранее заложенному адресу.

Как правило, с кейлоггерами бороться не сложно – достаточно в службах установить имитатор клавиатуры при вводе наиболее «востребованных» мошенниками данных (пароль, CVV код кре-дитной карты и др.). В этом слу-чае манипулятор «мышь» успеш-но заменяет клавиатуру.

Трояны

Чаще всего эти вредоносы при-меняется для взлома почты с веб-интерфейсом. Такой способ организации доступа к почте по-зволяет прикрепить троянскую программу — апплет, который будет выполнен Java машиной при открытии письма доверчи-вым пользователем. Дальше – дело техники, фантазии и квали-фикации хакера.

Метод съема локальных настроек

При работе в Сети пользователь применяет как минимум операци-онную систему и веб-браузер. Обе программы хранят историю рабо-

ты пользователя, и при определен-ных обстоятельствах эти данные позволяют получить доступ к кон-фиденциальной информации.

Кража cookies

Cookies – фрагмент данных, соз-данный веб-сервером и храни-мый на компьютере пользователя. Cookies используется в том числе для хранения настроек пользо-вателя и его персональных пред-почтений. При попытке открыть страницу соответствующего сайта, браузер пересылает фай-лы cookies веб-серверу в HTTP-запросе. Обычно cookies «живут» определенное время, в том случае, если пользователь не нажимает кнопку «Выход», а просто закры-вает окно браузера. Если перехва-тить cookies и установить себе в браузер, можно зайти в почтовый ящик жертвы, не вводя пароль.

Кража PWL файлов.

В этих файлах Windows запоми-нает настройки пользователя, в том числе пароли, если неопыт-ные пользователи сохраняют их по запросу операционной систе-мы. Теоретически злоумышлен-ник может скопировать PWL файл в системную папку Windows своего компьютера, войти в систе-му под именем этого файла, затем автоматически (без ввода пароля) попасть в почтовый ящик жертвы.

Описанный перечень методов не является полным, существуют также методы с гораздо большей эффективностью, но даже зна-ние базовых технологий фишеров позволит предпринять превен-тивные меры для защиты конфи-денциальных данных. PC




Десятки стандартов ИБ: ЧТО ВЫБРАТЬ?Уровень ИТ-зрелости компании часто оказывает значительное влияние на ее конкурентоспо-собность. Поэтому обеспечение конфиденциальности, целостности и доступности информации можно с уверенностью отнести к необходимым условиям непрерывности бизнеса.

Начиная строить систему информационной безопас-ности (ИБ) предприятия или приводя в порядок хаотически развивавшие-ся точечные решения, спе-

циалисты, ответственные за ИБ, как правило, задаются вопросами: чем руководствоваться при выбо-ре мер и средств информационной безопасности, как измерять защи-щенность и оценивать риски, как организовать непрерывную работу и совершенствовать системы ИБ?

В настоящее время в мировой практике используется большое количество стандартов, методик и других документов, регламен-тирующих процессы управления информационной безопасностью: ISO27001, ISM3, COBIT, ITIL/ITSM, BSI-100-2, ISO13335-4, CRAMM, ISO15408.

Зарубежные эксперты уделяют значительное внимание стандарту ISM3 «Модель зрелости управления информационной безопасностью». Основная идея ISM3 в том, что ин-формационная безопасность заклю-чается не только в предотвращении атак на информационные активы, но и в достижении бизнес-целей ор-ганизации, несмотря на всевозмож-ные инциденты (атаки, технические сбои, ошибки персонала).

Система управления информа-ционной безопасностью (СУИБ),

согласно ISM3, разрабатывается, внедряется и функционирует в рамках пяти уровней зрелости: Basic, SME, eCommerce, Enterprise и Military. По оценкам наших спе-циалистов, самый высокий эффект от инвестиции в ИБ получается на базовом уровне при осуществле-нии начальных инвестиций. Поэ-тому важно именно на начальном этапе правильно определить на-правление развития СУИБ и сле-довать выбранной стратегии.

Стандарт ISM3 совместим с дру-гими методологиями и стандарта-ми информационной безопасно-сти. Так, требования к управлению документооборотом в ISM3 и ISO 9001 аналогичны, принцип посто-янного развития (PDCA), помимо ISO 9001, ISO 27001, BSI-100-2, используется, с небольшими моди-фикациями, и в ISM3. Идентичны определения безопасности в ISM3 и CobiT, а ключевые показатели могут быть измерены с помощью метрик ISM3. ISM3 полностью со-вместим с ITIL и конкретизирует данную методологию. Следует от-метить также совместимость ISM3 с международными стандартами серии ISO 27000, получившими широкое признание на многих, в том числе и украинских, пред-приятиях.

СУИБ, построенные с использо-ванием ISM3, соответствуют требо-

ваниям ISO 27001. Следовательно, ISM3 и ряд других, совместимых с ISO 27000 стандартов, могут ис-пользоваться для внедрения СУИБ с последующей их сертификацией по ISO 27001, ISO 27002.

Так, на практике, в условиях современных украинских пред-приятий, нашими специалистами успешно используется методика IT-Grundschutz (ИТ-Грундшутц), разработанная германским пра-вительственным федеральным офисом по информационной без-опасности (BSI), позволяющая строить СУИБ, соответствующую требованиям ISO 27001.

Данная методика включает стандарты и каталоги BSI 100-1, BSI 100-2, BSI 100-3 регламенти-рующие построение СУИБ и стан-дартизирующие подход к анализу рисков. Каталоги типовых инфор-мационных активов, связанных с ними угроз и контрмер, содержат конкретные практические реко-мендации для оценки рисков, вы-бора и применения мер ИБ.

Следует отметить непрерывное развитие серии стандартов ISO 27000. Именно они в настоящее время наиболее полно отражают мировые практики в управлении информационной безопасностью и будут активно использоваться украинскими предприятиями в ближайшем будущем. PC

Ольга ВОЛОШИНА | начальник управления инфраструктурных решений компании «АМИ»


9


PCWeek ReviewPCWeek Review Информационная безопасностьИнформационная безопасность Интервью

УЯЗВИМОСТИ ЕСТЬ ВЕЗДЕ Вопрос лишь в популярности той или иной ОС

Об основных угрозах компьютерным сетям, вирусных тенденциях и степени безопас-ности различных операционных систем рассказывает Александр Гостев, руководи-тель центра глобальных исследований и анализа угроз «Лаборатории Касперского».

PC WEEK/UE: Каковы ваши прогнозы в отноше-нии развития вредоносно-го ПО в текущем году?

Основной тренд, который будет до-саждать нам в 2010 году – это изменение вектора заражения пользователей. В на-стоящее время виру-сописатели активно начинают осваивать файлообменные сети, например torrent-сети. Есть очень много причин того, почему проис-ходит сдвиг в сторону распростра-нения вирусов через пиринговые сети. Одна из главных связана с тем, что пользователи таких се-тей очень часто отключают анти-вирусную программу, когда за-гружают пиратские программы, и вирусы попадают на компьютер с подобным нелегальным ПО. Не-сколько крупных эпидемий 2009 года было вызвано именно виру-сами в торрентах.

Кроме того, произошел каче-ственный скачок сложности ряда вредоносных программ. Сейчас линия фронта у нас проходит на уровне веб-антивируса, файло-

вый сканер, который проверяет файлы на вашем компьютере – уже пройденный этап. Сегодня са-мое главное – не до-пустить заражения всеми доступными способами, не дать вирусу попасть в компьютер.

PC WEEK/UE: Чем объяснить отсутствие крупных вирусных эпидемий в среде ОС для мобильных платформ?

На самом деле, довольно крупные эпидемии вредоносных программ для Windows Mobile и Symbian уже были. Хотя безусловно, коли-чество мобильных вредоносных программ для альтернативных платформ значительно меньше, чем число вредоносов для персо-нальных компьютеров под управ-лением ОС Windows. В мобиль-ном сегменте пока нет одной ярко выраженной платформы-лидера (как Windows на ПК), поэтому злоумышленники с 2008 года выбрали несколько другой век-тор атак – примитивные J2ME-троянцы, которые работают как

на смартфонах под управлением Symbian и Windows Mobile, так и на обычных мобильных телефо-нах с поддержкой J2ME.

PC WEEK/UE: Насколько новая ОС Windows стала более безопасна в сравне-нии с Vista?

Главная проблема – не сама опе-рационная система, а уязвимо-сти в приложениях сторонних производителей (например, в продуктах Adobe и т. д.). Кроме того, снизить нынешний уро-вень «популярности» сложно-го вредоносного ПО (руткитов и т.п.) реально помогут только переход на 64-разрядные си-стемы и выполнение принципа «запускаются только подписан-ные программы». Этот принцип прекрасно работает и в Windows Vista, не только в Windows 7.

PC WEEK/UE: Можно ли утверждать, что системы Linux надежнее защищены от вирусов по сравнению с Windows?

Это утверждение не соответству-ет истине. Если посмотреть на процент уязвимостей, например, Ubuntu Linux и в других опера-

Александр ГОСТЕВ

Информационная безопасность PCWeek Review Информационная безопасность PCWeek Review

ционных системах, особой разни-цы не заметно – бреши есть вез-де. Вопрос лишь в популярности той или иной ОС. Когда Ubuntu начнут использовать 90% пользо-вателей, мы увидим аналогичную картину – черви, поддельные ан-тивирусы и мошенничество.

PC WEEK/UE: Какие основные тенденции можно отметить в антивирусной индустрии?

В среде антивирусных компаний происходит один весьма важный процесс – мы начинаем исполь-зовать так называемые cloud-технологии. Все компании на-мерены разрабатывать облачные системы безопасности, те, кто это-го не сделает, рано или поздно «уй-

дут со сцены». Технология чрез-вычайно перспективна: с одной стороны она позволяет защищать пользователей, с другой – создает ряд новых проблем, связанных со злоупотреблением интеллектуаль-ной собственностью антивирус-ных компаний.

Еще один важный тренд в анти-вирусной индустрии: консолида-ция различных игроков на этом рынке для противостояния акту-альным угрозам. Так, для борь-бы с вирусом Kido была создана группа Conficker Working Group.

PC WEEK/UE: Расскажите о наиболее эффективных на сегодня методиках борьбы с вирусами.

Если говорить о перспективе на последующие 2-3 года, то мы не собираемся отказываться ни от сигнатурных технологий антиви-русной борьбы, ни от проактивных, ни от поведенческих. Могу только сказать, что мы намерены активно усиливать поведенческие методы.

В текущей версии системы у нас уже есть поведенческий анализа-тор, мы планируем его всячески улучшать. Но, как показывает практика, простейший сигнатур-ный метод оказывается наиболее быстрым и эффективным. Есть та-кая красивая аналогия по поводу сосуществования старых и новых технологий: появление airbag в ма-шинах не отменяет наличие обыч-ного ремня безопасности. PC

Юлия ЦИДЫЛО, ведущий менеджер по работе с корпоративными кли-ентами ООО «Техника для бизнеса»

Одним из влияющих на по-пулярность SaaS в Украине факторов, является высо-кий уровень пиратства. В этих условиях стоимость SaaS, какой бы дешевой ни

была подписка, не может конкури-ровать с ценой пиратской копии традиционного продукта.

Необходимость наличия посто-янно действующего подключе-

ния к интернету при SaaS также является критической, а с этим тоже возникают известные про-блемы. Многие провайдеры уже предлагают локальную установ-ку на сервере заказчика, что даст возможность компании работать в оффлайн режиме при отсут-ствии подключения к интернету, но такая двойная разработка и поддержка стоит дороже.

Главной же трудностью внедре-ния проектов по реализации SaaS-проектов оказалась потребность в больших инвестициях со стороны

провайдеров. Ведь нужен более ка-чественный уровень программных решений и более высокий уровень технической поддержки.

Особенно остро стоит вопрос доверия провайдеру, ведь многие заказчики отказываются от при-менения SaaS из-за соображений безопасности и страха утечки ин-формации. Эти же соображения влияют на то, что заказчик если и решается на концепцию SaaS, то использует ее только для второсте-пенных приложений,

Как у каждого продукта, у SaaS есть свои плюсы и минусы.К числу преимуществ можно отнести суще-ственную экономию денег на легали-зации ПО для компании, сравни-тельно быстрое развертывание и оперативное обновление ПО, сокра-щение затрат на техническую под-держку, которую осуществляет про-вайдер услуг. PC

11

В последнее время поставка программного обеспечения по модели SaaS ста-ет все более популярной, особенно в западных странах. В Украине и странах СНГ этот тип использования, несмотря на прогнозы, развивается не так стре-мительно. Поскольку ПО как услуга рассчитано на масштабность использо-вания, то возможность индивидуализации приложений под заказчика здесь минимизирована. Именно поэтому (не считая стоимости) такой тип поставки чаще всего выбирают предприятия малого и среднего бизнеса.

Насколько интересен SaaS украинскому бизнесу?




ЭКОНОМИКА информационной безопасностиОб экономических аспектах информационной безопасности вспоминают обычно раз в год, при формировании сметы расходов на ее обеспечение или в случаях, когда очередной инцидент в системе ИБ приводит к заметному ущербу для предприятия. Между тем, эти аспекты необходимо учитывать при планировании всех инициатив в области ИБ.

Современные методы и ре-шения дают возможность обеспечить очень высокий уровень безопасности, од-нако и затраты на эти ме-роприятия могут оказать-

ся весьма значительными – в крупных организациях затраты на защиту информационных си-стем иногда достигают 20-30% ИТ-бюджета. В связи с этим, задача создания эффективной методики определения и опти-мизации общей стоимости вла-дения системой ИБ представля-ется весьма актуальной.

При всем разнообразии воз-можных моделей поведения в меняющейся среде, почти все их объединяет один важный об-щий методологический элемент: в большинстве случаев реакция бизнеса на новые угрозы и новые возможности предполагает осу-ществление новых инвестиций в определенные организационные и/или технические мероприятия.

В качестве основного показателя, отражающего это соотношение, в экономической практике при-

нято использовать функцию воз-врата инвестиций – ROI (Return on Investment):

ROI = N PV(R,d) + N PV(C,d)

R дополнительный денежный поток, создаваемый в резуль-тате реализации проекта;

C затраты, связанные с реали-зацией проекта;

d ставка дисконтирования;NPV функция дисконтирования.

Модель отдачи от инвести-ций наглядно демонстрирует, какие две основные задачи не-обходимо решить при анализе любого инвестиционного про-екта и, в частности, проекта по реализации мероприятий в сфере ИБ: расчет затрат, связан-ных с проектом, и расчет допол-нительного денежного потока.

Одним из наиболее перспек-тивных подходов к расчету рас-чет дополнительного денежного потока (R), получаемого в ре-зультате инвестиций в средства защиты информации, является методика, которая опирается на

количественную оценку рисков ущерба для информационных ресурсов и оценку уменьшения этих рисков, связанного с реа-лизацией дополнительных меро-приятий по защите информации.

Анализ затрат на реализацию проектов в сфере ИБ целесоо-бразно осуществлять, опираясь на известную базовую методо-логию Total Cost of Ownership (ТСО). В общем случае суммар-ная величина ТСО включает в себя затраты на: проектирование информацион-

ной системы; приобретение аппаратных и про-

граммных средств; разработку программного обе-

спечения и его документиро-вание, а также на исправление ошибок и доработку в течение периода эксплуатации; текущее администрирование ин-

формационных систем; техническую поддержку и сервис-

ное обслуживание; расходные материалы; телекоммуникационные услуги; затраты на обучение; издержки, связанные с поте-

Сергей КАРПЕНКО | Руководитель Центра Бизнес-знаний SI BIS, член экспертной группы ECAC по кибер-терроризму, [email protected]


13

рей времени пользователями в случае сбоев в работе ин-формационных систем.

В общем виде ТСО для анализа эф-фективности и целесообразности вложений в реализацию проектов по повышению уровня защищенности информации определяется как сумма всех элементов затрат, скорректи-рованная с учетом фактора времени:

T предполагаемый жизненный цикл проекта;

N количество видов затрат, при-нимаемых в расчет;

Ctn затраты n-ого вида, понесен-ные в t-ом периоде, грн.

Таким образом, в целом могут быть определены затраты, свя-занные с реализацией меропри-ятий по обеспечению информа-ционной безопасности. Однако наибольшую сложность пред-ставляет определение положи-тельного эффекта от внедрения средств защиты информации.

Одним из немногих спосо-бов определения эффекта от осуществления мероприятий в сфере защиты информации яв-ляется денежная оценка того ущерба, который может быть нанесен информационным ре-сурсам предприятия, и кото-рый может быть предотвращен в результате реализации пред-лагаемых мероприятий. Таким образом, предполагаемый пре-дотвращенный ущерб и будет составлять полученный эконо-мический эффект или дополни-тельный денежный поток.

Экономическая оценка эффек-тивности мер по защите инфор-мации предполагает: оценку существующих угроз

для информационных активов, которых коснется реализация защитных мер; оценку вероятности реализации

каждой из выявленных угроз; экономическую оценку по-

следствий реализации угроз.

Для осуществления такого ана-лиза, как правило, используются следующие базовые понятия:

оценочная величина еди-новременных потерь (Single Loss Expectancy, SLEi) – пред-полагаемая средняя оце-ночная сумма ущерба в ре-зультате одного нарушения информационной безопас-ности i-го типа. Она может быть определена как про-изведение общей стоимости защищаемых информаци-онных активов AV (Active Value) на коэффициент их разрушения вследствие на-рушения информационной безопасности EFi (Exposure Factor); количество нарушений ин-

формационной безопасно-сти за год (Annualized Rate of Occurrence, AROi) – оце-ночная частота, с которой в течение года происходят на-рушения информационной безопасности i-го типа. оценочная величина

среднегодовых потерь (Annualized Loss Expectancy, ALEi) – суммарный размер потерь от нарушений ин-формационной безопасно-сти (реализации рисков) i-го типа в течение года.

ALEi = SLEi � AROi = (AV � EFi) � AROi

Непосредственный эффект от реа-лизации мероприятий по повышению уровня информационной безопасно-сти будет проявляться в том, что: негативные последствия каждой

реализованной угрозы после реа-лизации мероприятий (EFi') будут меньше, чем были до их реализа-ции: EFi >EFi'; частота нарушений информаци-

онной безопасности уменьшится после реализации мероприятий AROi > AROi' .

В результате уменьшенная вели-чина ALEi' будет составлять:

ALE'i = SLEi � AROi = (AVi � EFi') � AROi'

Таким образом, суммарный годовой эффект от реализации мероприятия будет определяться как:

R = � ALEi = ALEi - ALE'i

Исходя из этого, общий денеж-ный поток от реализации меро-приятия определяется по следу-ющей формуле:

На основе этих данных может быть определен суммарный эф-фект от реализации меро-приятий в сфере информацион-ной безопасности, а также продемонстрирована целесоо-бразность вложений в те или иные средства защиты инфор-мации в условиях конкретного предприятия. PC



ТТееххннооллооггииии

DLP – «сигнализация» против утечки данныхОбычно информация, которая обрабатывается и пересылается в корпоративной сети компании, носит конфиденциальный характер, поэтому хранение и недопустимость ее утечки является залогом успеха в бизнесе. Для решения подобной задачи исполь-зуются как организационные методы, так и технические средства, которые следует рассматривать в едином контексте.

Прежде всего необходимо от-метить, что при решении задачи охраны секретных данных компании зачастую сталкиваются с проблемой определения конфиденци-

альности информации. Согласно закону Украины «Об информации» конфиденциальная информация — это сведения, которые находят-ся во владении, пользовании или распоряжении отдельных физиче-ских или юридических лиц и рас-пространяются по их желанию со-гласно с предусмотренными ними условиями. К тайной относится информация, которая содержит сведения, составляющие государ-ственную и иную предусмотрен-ную законом тайну, разглашение которой причиняет ущерб лицу, обществу или государству. И хотя в нормах закона четко не указано, что к тайной информации принад-лежит коммерческая тайна, в Граж-данском кодексе Украины в ст. 505 дается следующее определение:

«Коммерческой тайной является информация, которая представля-ет собой секретную в том смысле, что она в целом или в определенной форме и совокупности ее составных не является известной и легкодо-ступной для лиц, обычно имеющих дело с видом информации, к которо-му она принадлежит, в связи с этим имеет коммерческую ценность и была предметом адекватных су-ществующим обстоятельствам средств относительно сохранения ее секретности, принятых лицом, которое законно контролирует эту информацию».

Как правило, организации от-носят к коммерческой тайне сле-дующие сведения: производство, управление, планы, финансы, кон-тракты, цены, научно-технические достижения, информацию о дер-жателях платежных карт и другие подобные данные. После опреде-ления того, какая информация является коммерческой тайной,

ее группируют и составляют к ней матрицу доступа.

На втором этапе, после вы-полнения организационных ме-тодов, происходит внедрение технических средств, которые контролируют доступ к данным и осуществляют мониторинг ЛВС компании, предотвращая утеч-ку. В международной практике подобные решения называются Data Loss Prevention (DLP). В основном, такие системы состоят из трех основных модулей.

1. Агент, инсталлируемый на рабо-чую станцию.

2. Сканирующий модуль.3. Сетевой модуль.

1. АГЕНТ на рабочей станции кон-тролирует действия сотрудника, работающего с конфиденциаль-ной информацией. Хотя функ-ционал агентов может отличать-ся, есть базовый набор функций, который присущ всем решениям:

Александр ХОМУТОВ | директор ООО «ИТ Лэнд» www.itland.com.ua


15

блокирование или аудит на за-пись для USB-устройств;

блокирование или аудит на за-пись CD/DVD-дисков;

блокирование или аудит на пере-мещение конфиденциальных до-кументов на файловые серверы;

блокирование или аудит при пе-чати на локальном или сетевом принтере.

Следует различать DLP-агентов и агентские модули таких реше-ний как Device Lock, GFI Endpoint и т.д. DLP агент не блокирует USB-порты, не запрещает запись на CD/DVD-устройства или печать на принтере, а осуществляет кон-троль этих операций.

Это означает, что он может за-блокировать передачу информа-ции, если она отмечена в системе как конфиденциальная, и есть соответствующая политика, ко-торая запрещает определенному человеку выполнять именно та-кую операцию. В этом подходе и заключается принципиальная разница между DLP-агентом и другими агентскими решениями для контроля рабочих станций.

2. СКАНИРУЮЩИЙ МОДУЛЬ — это приложение, которое поможет определить местонахождение конфиденциальной информации в сети предприятия. С помощью этого модуля выполняется скани-рование рабочих станций сотруд-ников, файловых серверов, баз данных и т. д. После завершения процесса выводится детальный отчет по каждому компьютеру или каталогу с общим доступом. Кроме того, если создать соот-ветствующую политику, такой модуль сможет перемещать най-денную конфиденциальную ин-

формацию с рабочих станций сотрудников, каталогов с общим доступом и других ресурсов в ме-сто, заданное администратором. Например, это может специаль-ный файловый сервер.

3. СЕТЕВОЙ МОДУЛЬ анализирует весь исходящий трафик предпри-ятия. Именно благодаря ему со-трудники отдела ИТ-безопасности

могут контролировать, какая ин-формация «утекает» в интернет из корпоративной сети. Несомненно, что такие веб-сервисы, как кор-поративная почта, электронная почта с веб-доступом и системы мгновенных сообщений являются основным каналом для передачи «секретов». Сетевой модуль вы-полняет не только аудит утечек конфиденциальной информации, но и способен заблокировать по-добные попытки. Отметим, что на рынке Украины представлены практически все ли-дирующие DLP-решения – RSA, Websense и Symantec. Принцип

работы DLP-систем похож меж-ду собой, основные отличия за-ключаются в масштабируемости, «тонких» настройках и системе лицензирования. Немаловажным фактором является поддержка со стороны разработчика. Например, RSA и Symantec имеют расширен-ные представительства в СНГ, ко-торые осуществляют локализацию и поддержку своих продуктов.

В заключение хотелось бы от-метить, что «слепое» внедрение DLP-решений без подготовки по-литики информационной безо-пасности и категоризации инфор-мации обречено на неудачу. Поэтому перед внедрением лю-бой технической системы обяза-тельно нужно иметь четко пропи-санные документы. PC

Материалы подготовлены от-делом ИБ компании «ИТ Лэнд».

По техническим вопросам обра-щаться к Александру Полякову,

специалисту отдела ИБ ООО «ИТ Лэнд», [email protected]

SMTP

HTTPSSSH

SPAN TAP

SMTPOutbound

Relay

MailServers

ПК c установленным DLP агентом

AdministratorУправляющий

сервер DLP решенияАнализатор сетевого

трафика (HTTP, SMTP, IM, FTP,POP3, IMAP)

InternetFirewallFi ll

Схема работы DLP-решения



S(Security)aaS: «ПОДКЛЮЧАЙ И РАБОТАЙ!»

Классические средства обе-спечения информационной безопасности – межсетевые экраны, VPN, системы об-наружения и предотвраще-ния вторжений – защищают

корпоративные сети и сервера от угроз из внешней сети. Более но-вые угрозы, такие как бот-сети, фи-шинг, вредоносы Web 2.0, делают мишенью конечных пользователей, поскольку получают доступ к ПК и инфицируют корпоративные сети.

На смену устаревшим методикам приходит концепция Software as a Service или, как частный случай – Security as a Service заключающая-ся в том, что услуги обеспечения безопасности предоставляются сторонней организацией не в виде аппаратных или программных ре-шений, а в виде сервиса. И эта со-временная методика – «подключай и работай» — гораздо более удобна и рентабельна. Ведь весь процесс интеграции сводится лишь к до-бавлению правила на маршру-тизаторе, направляющего http- и https-трафик на узел очистки и контроля.

В первую очередь S(Security)aaS интересна распределенным компаниям, с большим количе-ство некрупных офисов, которые требуют защиты. Классические средства защиты требуют немалых вложений, определяемых не столь-ко стоимостью решений, как за-тратами на их интеграцию. Низкая стоимость SaaS и мизерные затра-ты на интеграцию этих сервисов

могут сделать эти решения очень привлекательными для страховых компаний, банков и т. д.

Второй группой потребителей SaaS являются провайдеры и мо-бильные операторы, которые могут перепродавать эти сервисы своим абонентам (как бизнес-класса, так и домашним пользователям). Тре-тья группа — мелкий и средний бизнес, который не имеют средств для внедрения «тяжелых» реше-ний ИБ, но требующий защиты своих данных.

Внедрение серьезного решения DLP – обычно не по карману пред-ставителям малого бизнеса. Ис-пользование Security as a Service может за приемлемую цену за-крыть основные бреши в безопас-ности небольших компаний, без дополнительных затрат на квали-фицированных системных адми-нистраторов и интеграцию.

В текущих экономических усло-виях в работе многих компаний возникает неразрешимое на пер-вый взгляд противоречие. С одной стороны, предприятия вынуждены урезать ИT-бюджет, а вместе с ним и расходы на информационную безопасность, с другой стороны, в нынешней ситуации прослежива-ется необходимость тщательнее защищаться от внешних и вну-тренних угроз, снижать расходы компании путем более рациональ-ного использования ресурсов.

Принципиально новое на рын-ке Украины решение Zscaler

позволяет разрешить эти противоречия. Компания предо-ставляет услуги фильтрации web-трафика абонента. Филь-трация решает различного рода задачи, которые мы рассмо-трим ниже более подробно.

• Анализ загружаемого контен-та на наличие вирусов и прочего вредоносного программного обе-спечения. • Защита от фишинга (fishing). Решение компании ZScaler позво-ляет справитяься с этой проблемой с помощью ограничения доступа к сайтам оказавшимся в «черном» списке или с помощью оповеще-ния пользователей о потенциаль-ной опасности. • Утечка информации. Условно ка-налы утечки можно разделить на два типа: online – через электрон-ную почту, IM и прочие сетевые каналы и offline – через различного рода носители информации, такие как CD, карты флеш-памяти и про-чие. Компания Zscaler предостав-ляет услуги анализа исходящего интернет-трафика на наличие цен-ной информации. Набор стандарт-ных шаблонов настроек позволяет быстро настроить защиту в соответ-ствии с требованиями различных стандартов (PCI DSS, SOX etc).• Родительский контроль. Эта проблема актуальна для компа-ний, которые хотят, чтобы их со-трудники не тратили свои рабо-чее время на посещение посторонних сайтов. PC

Алексей ПОЛОНСКИЙ | Консультант отдела ИБ компании "RRC Украина"


17


PCWeek Review Информационная безопасность Интервью

«Web 2.0 коренным образом изменил концепцию ИТ-безопасности»

В чем опасность угроз Web 2.0, почему старые методики ИБ уже не работают и какие тех-нологии защиты информации будут использоваться в будущем – об этом мы говорили с главой представительства компании Websense в СНГ Мидхатом Семирхановым.

PC WEEK/UE: Еще несколько лет назад для защиты организации было достаточ-но установить антивирусы на всех серве-рах и рабочих станциях, а также бранд-мауэр по периметру корпоративной сети. Сегодня компания Websense заявляет, что для надежной защиты этого недоста-точно. Чем обусловлено такое мнение?

Во-первых, изменился сам под-ход к проблеме. Если раньше все, строили «заборы» – устанавли-вали файервол и огораживали свое «железо», которое находит-ся внутри сети, то сейчас реалии меняются. Все больше людей не привязаны к офисной сети и пери-метральной работе, поскольку ра-ботают удаленно либо на выезде.

Информация уже хранится не внутри компании, а в «об-лаке», т.е. используются так называемые cloud-технологии, когда организации задейству-ют сторонние датацентры. Все это заставляет пользователей менять подходы к защите ин-формации. Не самого оборудо-вания, а именно информации, которая составляет основную ценность для компании. Ак-цент угроз также достаточно серьезно сместился. Если рань-ше они приходили в виде неких файлов, то сейчас большинство

угроз поступает в виде ссылок на определенные ресурсы в Ин-тернете. Причем, эти ресурсы могут быть вполне законопослушными. Мы не утверждаем, что нужно отказы-ваться от файрво-лов, антивирусов и пр., однако нужно в более широком смысле отслеживать разные способы ре-шения тех или иных задач, связанных с безопасностью.

PC WEEK/UE: В чем функции и задачи решений Websense пересекаются с со-временными антивирусами, а в чем их дополняют?

На рынке антивирусов все предельно понятно. Основ-ные направления деятельно-сти – контроль рабочей стан-ции и канала, т.е. защита от уже известных угроз. К сожа-лению, антивирусы недоста-точно хорошо противостоят новым вирусным угрозам; это касается и специфических атак на конкретные активы. Проще говоря, антивирус должен знать, что он ловит.

Наша задача – не привязы-ваться к действующим угро-зам, а обнаруживать те угрозы,

которые недавно по-явились. Это один из компонентов нашего решения, которое занимает-ся защитой от уте-чек. Аналогичные разработки есть у Symantec и McAfee, но только у нас это интегрировано в единое решение. Мы не конкуриру-

ем с антивирусами, а во многом их расширяем и дополняем. В частности Websense реализо-вываем множество проектов, где наши продукты работают в связке с антивирусом.

PC WEEK/UE: Исходя из опыта, как вы считаете, когда организация покупает решение класса веб-фильтрации, какую задачу она преследует в первую очередь: оптимизировать использование сотрудни-ками ресурсов Интернета или защитить корпоративную сеть от вредоносов?

В данный момент стоимость подключения к интернету не критична для компании. Но есть другие важные факторы. Пер-

Мидхат СЕМИРХАНОВ

Дистрибутор в Украине: ООО “Хедтекнолоджи Украина”+380 44 353 3020, www.headtechnology.com.ua

| Lumension® Device Control | Lumension® Application Control | Lumension® Patch & Remediation || Lumension® Scan | Lumension® AntiVirus | Lumension® Risk Manager |

УГРОЗАМIT-БЕЗОПАСНОСТИ


19

вый – производительность тру-да сотрудников. Наши решения позволяют видеть, чем занима-ется сотрудник на рабочем ме-сте, как он использует свое вре-мя. и четко это контролировать.

Раньше подход был следую-щим: в компании отключали интернет для всех сотрудников, оставляя выход в Сеть только ключевым работникам или раз-решали доступ всего лишь к 10-15 сайтам. Сегодня облачные технологии коренным образом меняют подход, и интернет становится обычным рабочим инструментом, как, например, телефон.

Статичный интернет, каким мы его знали несколько лет на-зад, позволял создавать веб-фильтрацию в виде списка неко-торых URL. Теперь этот подход

исчерпал себя потому что Web 2.0 все изменил коренным обра-зом. Не стоит забывать, что 70% мирового трафика приходится на 100 ведущих порталов. В первую очередь, это социальные сервисы и поисковики технологии Web 2.0. Здесь невозможно четко раз-граничить, что разрешить, а что запрещать.

Элементарный пример – Википедия. С одной стороны нельзя запретить сотрудни-кам ею пользоваться, потому что это глобальный источник информации, с другой сто-роны, на ее страницах может быть абсолютно все. Поэтому наше решение категоризиру-ет информацию на лету, т. е. при каждом конкретном об-ращении на URL происходит категоризация этой ссылки с

точки зрения безопасности и типа контента.

PC WEEK/UE: Какие решения Websense пользуются наибольшей популярностью в СНГ и почему,?

В настоящий момент основной наш продукт – это Websense Security Suite, который работает на стандартной системе фильтрации, то есть, по URL-ссылкам. Однако в нынешнем году мы наблюдаем до-статочно серьезный интерес к на-шему основному решению — Web Security Gateway. Этот продукт все наши ведущие клиенты либо уже используют, либо активно тести-руют. Наше решение ориентирова-но на корпоративный сектор, и чем более разветвленнe. сеть филиалов имеет заказчик, тем меньше у нас конкурентов. PC

• Защита от краж и утечек конфиденциальных данных• Контроль подключения устройств и съемных носителей• Контроль запуска приложений по принципу белого списка• Выявление и управление уязвимостями• Централизованное управление патчами и обновлениями• Соответстивие стандартам • Управление ИТ-рисками

Управление уязвимостями | Защита конечных точек | Защита данных | Соответствие стандартам | Рискменеджмент

Дистрибутор в Украине: ООО “Хедтекнолоджи Украина”Дистрибутор в Украине: ООО “Хедтекнолоджи Украина”+380 44 353 3020, +380 44 353 3020, www.headtechnology.com.uawww.headtechnology.com.ua

| Lumension® Device Control | Lumension® Application Control | Lumension® Patch & Remediation || Lumension® Device Control | Lumemension® Application Control || Lumension® Patch & RRemediation || Lumension® Scan | Lumension® AntiVirus | Lumension® Risk Manager || Lumension® SSccan | Lumension® AntiVirus | Lummension® Risk Manager | |

даннносисиссеелолоогогого ссспипискскскаааелоллллооогг

ныхнныхыителейейит леи ееййии

а

Скажи “ПРОЩАЙ!”УГРОЗАМУГРОЗАМIT-БЕЗОПАСНОСТИIT-БЕЗЗООППААССНОСТИ


PCPCPCPCPCWeWeWeWeWeekekekekek RRRR Revevevevevieieieieiewwwww ИнИнИнИнИнфофофофоформрмрмрмрмацацацацациоиоиоиоионнннннннннаяаяаяаяая бббб безезезезезопопопопопасасасасаснононононостстстстстььььь

Перед ИТ-службой компании «Астелит» стояла задача предоставить своим сотруд-никам возможность использования потенциала Web 2.0 и при этом обеспечить без-опасность сети, рабочих мест и корпоративных данных.

Постановка задачи

ациональный оператор мо-бильной связи ООО «Асте-лит», предоставляющий услуги под брендом life:), является лидером в Украи-не по привлечению новых

абонентов. По состоянию на ко-нец 2009 года оператор обслужи-вал 12,2 миллиона клиентов. Сеть life:) обеспечивает покрытие тер-ритории, на которой проживает 96% населения страны, и предо-ставляет возможность роуминга в 172 странах.

Ежедневная работа свыше ты-сячи сотрудников ООО «Асте-лит» неразрывно связана с ин-тернетом. При этом Всемирная сеть заключает в себе множество проблем, связанных с информа-ционной безопасностью, ведь все многообразие ресурсов класса Web 2.0 несет для пользователей повышенный риск заражения ра-бочих станций и хищения конфи-денциальной информации.

Перед отделом сети передачи данных и корпоративных ИТ ком-пании «Астелит» была поставлена задача предоставить сотрудникам возможность использования в полной мере потенциал Web 2.0 и при этом обеспечить высокий уро-вень безопасности корпоративной сети, рабочих мест и данных.

Способ решения проблемы

По словам Александра Щербин-кина, начальника группы систем-ного администрирования и под-держки пользователей отдела сети передачи данных и корпоратив-ных ИТ «Астелит», для решения вышеописанной проблемы был выбран программный продукт Websense Web Security. Постав-ку и технические консультации в настоящее время осуществляет ООО «ИТ Лэнд», давний партнер

мобильного оператора и один из лидеров на рынке информацион-ной безопасности Украины. «Тех-нические специалисты компании «ИТ Лэнд» осуществляют первую линию поддержки Websense Web Security. При помощи данного решения наш отдел обеспечил не только доступ к новейшим веб-инструментам и приложениям Web 2.0, но и защиту корпоратив-ной сети организации от атак», — отметил А. Щербинкин.

Websense Web Security Suite – продукт для веб-безопасности, защищающий организацию от известных и новых веб-угроз. Система обеспечивает защиту от шпионских программ, вредонос-ного мобильного кода, фишинга, ботов, перехватчиков клавиату-ры и веб-сайтов с негативной ре-путацией. В отличие от традици-онных решений, Websense Web Security Suite блокирует каналы обратной связи шпионских про-грамм и ботов, предотвращая их соединение с хост-серверами.

Продукт еженедельно сканирует более 600 млн. веб-сайтов и приме-няет свыше 100 уникальных про-цессов для выявления новых ком-плексных интернет-угроз.

Приложение Websense Web Security управляется через графи-ческий веб-интерфейс, имеющий интуитивную панель управления,

Внедрения

Национальный оператор мобильной связи ООО «АСТЕЛИТ», предостав-ляющий услуги под брендом life:), является лидером в Украине по привлечению новых абонентов. По состоянию на конец 2009 года опе-ратор обслуживал 12,2 миллиона клиентов. Сеть life:) обеспечивает покрытие территории, на которой проживает 96% населения страны, и предоставляет возможность роумин-га в 172 странах.

21

ИИнИнИнИнИнффофофофоформрмрмрмрмацацацацациоиоиоиоионнннннннннаяаяаяаяая ббббб безезезезезопопопопопасасасасаснононононостстстстстььььь PCPCPCPCPCPCWWeWeWeWeWe kekekekekek RRRRR Reveveveveviieieieieiewwwww

наглядные средства создания по-литик, механизм делегирования администрирования и гибкие сред-ства отчетности. В состав пакета входят сервисы Web Protection Services, которые ведут непрерыв-ный мониторинг веб-сайтов, тор-говых брендов организации, а так-же собственных URL организации, для предотвращения их использо-вания в мошеннических целях.

Программное обеспечение Websense Web Security анализи-рует как контент, так и контекст интернета с помощью передовой технологии ThreatSeeker Network. Анализ контента в реальном вре-мени сочетается с мощными сред-ствами защиты от вредоносных программ, защиты на основе репу-тации и фильтрации URL. Прило-жение Websense превентивно бло-кируют вредоносный контент еще

до того, как традиционные ИБ-решения смогут его обнаружить.

«Решение Websense анали-зирует контент входящего/ис-ходящего HTTP-трафика со-трудников ООО «Астелит». Мы оценили преимущества техно-логий Веб 2.0 и, в то же время, снизили риски до приемлемого

уровня», — резюмировал Алек-сандр Щербинкин.

Корпорация Websense – один из лидеров в области технологий защи-ты веб, электронной почты и данных. Компания обеспечивает информа-ционную безопасность для свыше 42 миллионов сотрудников 50 тысяч организаций по всему миру. PC

12

Интернет

Websense Security Labs

ThreatSeeker™

Пользователь

WebSecurity V7

т

Комплексный подход Websense к фильтрации веб-контента


PCWeek Review Информационная безопасность Интервью

«Информационная безопасность должна быть всесторонней»

Миграция в «облака» — это лишь модная тенденция, поэтому потребность в комплекс-ной защите на рабочем месте в обозримом будущем никуда не исчезнет. Так полагает Алексей Герасимчук, исполнительный директор компании ESET-Ukraine.

PC WEEK/UE: В каком направлении вы намерены расширять или углублять свой бизнес?

Основное направление — расши-рение функционала продукто-вой линейки и поддержка других платформ. На данный момент у нас реализованы все решения под Windows-платформу и сер-веры Linux/Unix, кроме того, сейчас в бета-версии находится решение под рабочие станции Linux/Unix.

Наша расширенная поддерж-ка платформ Linux обусловле-на следующими факторами. В условиях кризиса и уменьшения бюджета, растет популярность бесплатных продуктов и бес-платных операционных систем, которые распространяются по лицензии Open Source. Расту-щая популярность влечет за со-бой интерес и со стороны кибер-преступников, которые будут изобретать новые способы про-никновения на машины с Linux.

PC WEEK/UE: Планирует ли ESET про-двигать свои решения в «облака»?

Могу отметить, что тенденции антивирусных вычислений в

«облаке» пока что спорные. По нашему мнению, «облако» — не самый удачный вариант развития антивирусной инду-стрии. Во-первых, есть возможность воровать данные из «облака», во-вторых, возникает вопрос интеллекту-альной собственности. Ведь данные пользо-вателя отправляются для проверки в некий «облачный» сервис и в этом заключается идеологически скользкое место.

PC WEEK/UE: Многие антивирусные вендоры говорят, что пока неясно, как защитить свою интеллектуальную соб-ственность в «облаках» от кражи. Но все равно собираются двигаться в этом направлении…

На самом деле это модная тенденция. Сама технология, конечно же, будет развивать-ся — это новинка на рынке, она набирает популярность и уже есть масса сервисов, до-ступных в «облаке». Вопрос конфиденциальности остается открытым. Технология разви-ваться будет, вопрос лишь в

том, куда она дойдет. Я думаю, со временем ситуация станет прозрачнее и понятней.

PC WEEK/UE: Как бы вы проранжировали системы Windows XP SP3, Vista и Windows 7 с точки зрения уязвимости?

Работа, которая ве-дется Microsoft, не-сомненно, велика. Например, можно отметить тот же кон-

троль пользовательских прав в Windows 7. Вопрос лишь в том, что глобально это проблему не решило. Да, до сих пор мно-гие пользователи используют Windows XP SP3, но те вирусы, которые реализованы под ХР, точно так же «подходят» под Windows 7. Кроме того, дело не только в ОС, но и в прикладных программах.

Объективное мнение — коли-чество вирусов растет. Ко всему прочему добавляются поли-морфные вредоносы, которые сами меняют свое тело, дабы из-бежать определения антивирус-ными продуктами. Это тоже за-метно прибавляет проблем. PC

Алексей ГЕРАСИМЧУК

23




ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ В УКРАИНЕ – эпоха «возрождения»?

В настоящее время рынок информационной безопасности (ИБ) в Украине переживает пе-риод качественных изменений. На этой оценке сходятся как ведущие эксперты в области ИБ, так и большинство специалистов по информационным технологиям (ИТ). Если еще год назад информационная безопасность на украинских предприятиях ассоциировалась лишь с развертыванием антивирусных средств, то в настоящее время акценты постепенно стали смещаться в сторону комплексных проектов, учитывающих различные угрозы безопасности и решающих задачи защиты бизнеса в целом. Но все ли компании готовы к таким проектам на самом деле, и какие технологии безопасности они могут эффективно использовать уже сейчас? В данной статье мы попытаемся ответить на эти вопросы.

Изменения co знаком качества

Наиболее важной современ-ной тенденцией является возникновение у заказчи-ков новых, более зрелых требований к продуктам и услугам в области инфор-

мационной безопасности и защи-ты данных. Так, обеспечение ИБ в Украине стало переходить из требований чисто технических в ранг экономических, что есте-ственным образом отразилось на цепочке принятия решений. Теперь заинтересованность в решении задач обеспечения без-опасности все чаще стали про-являть бизнес-подразделения компаний, поскольку от их эф-фективного решения зависит надежность корпоративных информационных систем, на-

пример, планирования ресурсов предприятия (ERP - Enterprise Resource Planning) или управ-ления взаимоотношениями с клиентами (CRM - Customer Relationship Management), а также бесперебойность бизнес-процессов в целом. Более того, еще до запуска проектов по ИБ стали активно оцениваться такие экономические показатели, как совокупная стоимость владения (TCO - Total cost of ownership) и возврат инвестиций (ROI - Return On Investment) в ИБ, без чего сегодня не обходится ни одна крупная компания.

Второй важной тенденцией рынка информационной безо-пасности в Украине стало то, что ИБ перестала быть некой экзо-тикой и прерогативой крупных ведомств и силовых структур, как это было всего несколько лет назад. Сегодня это осознанная

необходимость, в том числе под-крепленная реальными эконо-мическими расчетами. Благода-ря этому на предприятиях стали увеличиваться бюджеты по вне-дрению высокотехнологичных продуктов и решений в области ИБ. Кроме этого сам рынок ин-формационной безопасности становится более совершенным и развитым: совершенствуются цепочки поставок, автоматизи-руется система заказов, растет уровень бизнес-культуры, ка-чественно меняется взаимодей-ствие партнёров по ИБ.

Третья тенденция — повыше-ние внимания к информационной безопасности на государственном уровне. Теперь ИБ рассматрива-ется как основа экономической безопасности. Как известно, с этим связано законодательное регулирование вопросов ИБ, а именно: лицензирование дея-

Антон БОНДАРЬ | генеральный директор Aladdin Security Solutions. | Антон КРЯЧКОВ | директор по продуктам Aladdin Software Security R.D.


25

тельности, экспортно-импортные ограничения, обязательная сер-тификация продуктов и услуг. Опыт развития рынка ИБ в дру-гих странах Европы показывает, что внимание со стороны госу-дарства способствует формирова-нию более четких «правил игры», является показателем стабилиза-ции отрасли и закреплением за ней своего места в системе эконо-мики страны.

Появление на украинском рынке потребности в решениях и услугах ИБ, как со стороны коммерческих организаций, так и со стороны предприятий го-сударственного сектора, являет-ся своеобразным «показателем зрелости» отрасли и всего рынка ИТ. Уже сейчас наиболее про-двинутые корпоративные заказ-чики рассматривают проверен-ные временем и востребованные технологии информационной безопасности. Но какие решения и технологии ИБ им следует ис-пользовать прежде всего? Какую преследовать цель и на что обра-тить свое внимание?

Как оценить готовностьк внедрению ИБ?

Выбор любых средств безопас-ности корпоративной инфра-структуры и информационных ресурсов по большому счету за-висит от двух факторов: зрело-сти рынка и зрелости конкрет-ной компании, её способности к внедрению тех или иных систем ИБ. Рассмотрим наиболее по-пулярные варианты оценивания готовности компаний к таким проектам, а руководство любой компании сможет самостоятель-но и, самое главное, корректно

отнести свой бизнес к той или иной категории.

Простейшей классификацией компаний является разделение на основе числа рабочих мест. Так, к рынку мелких компаний относятся организации, насчи-тывающие менее 100 рабочих мест (ПК - персональных ком-пьютеров). Существует и бо-лее «низкая планка», но на наш взгляд, отсечение в 100 ПК — наиболее адекватный порог для внедрения систем информаци-онной безопасности. К числу средних относятся компании до 500 рабочих мест, к крупным следует причислить организа-ции, имеющие до 2 000 ПК, а к сверхкрупным — от 2 000 ПК и выше. Компаний из последней категории в Украине не так мно-го (около полутора десятков), но эти гиганты обладают наиболь-шим уровнем зрелости: имеют свои чётко выраженные стан-дарты и «правила игры» при ра-боте с ними.

Дополнительной классифика-цией может служить доход ком-пании в год, например: малый бизнес (до 5 млн. евро в год), средний бизнес (от 5 до 50 млн. евро в год), крупный бизнес (бо-лее 50 млн. евро в год).

Оценка уровня информацион-ной инфраструктуры

Условно, уровни, по которым менеджер по ИТ и руководи-тель компании в целом смогут оценить степень развития кор-поративной информационной инфраструктуры предприятия и готовность к внедрению систем ИБ, можно классифицировать следующим образом:

ПЕРВЫЙ УРОВЕНЬ. Корпоративная информационная инфраструкту-ра хаотична: используются раз-личные операционные системы (ОС), часто несовместимые меж-ду собой приложения, «само-писный» софт. Корпоративная сеть не подразумевает механиз-мов единого централизованного управления и поддержки. Ав-томатизирована, как правило, лишь часть бизнес-процессов (например, бухгалтерия и склад-ской учёт). Стандартов управ-ления, внутренних документов по ИТ-безопасности, не гово-ря о политиках ИБ, нет. Соот-ветственно все проблемы, свя-занные с сетевыми сбоями или остановкой работы отдельных приложений, решаются по мере их поступления.

Аналогичная ситуация и с уязвимостями с точки зрения интернет-угроз. Чаще всего в таких компаниях установлен антивирусный пакет (в основ-ном, это «коробки», предлагае-мые антивирусными вендорами для мелкого и среднего бизнеса), но требования производителя по обновлениям выполняют-ся далеко не регулярно. Кроме того, «стандартный набор» не защищает от постоянно про-грессирующих угроз, таких как программы-шпионы, фишинг, спуфинг, фарминг и др.

Организации первого уровня довольно примитивно относят-ся к вопросу аутентификации пользователей, к управлению идентификационными данными и устройствами. В большинстве случаев речь можно вести лишь о парольных политиках доступа к сети и приложениям. Админи-стратор обладает неограни-



ченной властью над всеми ин-формационными ресурсами и процессами такой компании. Понятно, что риски, связанные с превышением администра-торских полномочий, а, следо-вательно, утечки конфиденци-альных данных по этому каналу, очень высоки.

ВТОРОЙ УРОВЕНЬ. Подход к ор-ганизации системы ИБ на этом уровне качественно от-личается от первого. К этой категории относятся компа-нии уже находящиеся на не-кой фазе стабильности бизне-са, в определенной рыночной ячейке с цивилизованной конкуренцией. Именно такая в целом устойчивая ситуация позволяет обращать внима-ние не только на внешние, пу-бличные преимущества, но и на внутреннюю организацию бизнес-процессов и способы их оптимизации.

В таких компаниях разрабо-таны политики и стандарты, автоматизирована подавляю-щая часть процессов и опера-ций. Более серьёзный подход наблюдается и с точки зрения антивирусной защиты. Как правило, внедрена эшелониро-ванная (многоуровневая) анти-вирусная система, состоящая, как минимум, из основного межсетевого экрана, антивиру-са на стороне сервера и защиты, установленной на ПК пользо-вателей. Однако фактически политика информационной безопасности этим и ограничи-вается. Она строится исходя из внешних угроз, а внутренним пока внимание не уделяется.

Управление информацион-ными ресурсами и процессами

на втором уровне - централи-зованное, из единой точки. Для управления идентификаци-онными данными в качестве службы каталога используется Microsoft Active Directory.

С точки зрения кадров на поддержку внутренней ИТ-инфраструктуры, находящиеся на втором уровне предприятия выделяют отдельный ресурс, соответственно работа ИТ ста-бильна и, более того, на средства безопасности уже отводится ми-нимальный бюджет, в какой-то мере (но чаще всего не полно-стью) удовлетворяющий нуж-дам компании в ИБ. Подход к решению проблем в области ИТ-безопасности в большинстве сво-ём ещё реактивный – проблемы решаются по мере поступления.

ТРЕТИЙ УРОВЕНЬ. Компании этого уровня самые зрелые с точки зрения характеристик информационной инфра-структуры и места в ней ИБ. Они имеют разработанные и внедрённые стандарты и по-литики упреждающего реаги-рования. Сформирована еди-ная и четкая ИТ-стратегия, а также регламенты в области ИТ и ИБ, созданные с учётом бизнес-интересов компании. Управление инфраструктурой централизованное, использу-ется автоматическая система распределения ПО, установка новых программ и обновление существующих версий авто-матизированы и централизо-ваны. Активно применяется оптимизация совместимости используемых приложений. Управление идентификаци-онными данными реализуется через Active Directory, но при

этом могут использоваться дополнительные системы (в том числе, аппаратные) для усиления функций аутенти-фикации и идентификации пользователей при доступе к сетевым ресурсам. На внеш-нем периметре применяется эшелонированная защита, предполагающая шлюзовые комплексные решения кон-тентной фильтрации входя-щего и исходящего трафика, а также межсетевые экраны на серверах и рабочих станциях под управлением групповых политик и антивирусы на ко-нечных устройствах – ком-пьютерах пользователей.

В организациях третьего уровня широко распростра-нен удаленный доступ к ин-формационным ресурсам, при этом он защищен программно-аппаратными средствами (смарт-картами или токенами). Проактивная модель реагиро-вания на ИТ-угрозы выстрое-на в соответствии с результа-тами аудита информационной безопасности. Бесперебойная работа ИТ и перманентное снижение рисков, благодаря профилактическим мерам, яв-ляются основными требовани-ями к сетевой инфраструкту-ре компаний третьего уровня. Соответственно применяются средства обеспечения отказоу-стойчивости, защита от втор-жений, сбоев, аварий и т.п.

С кадровой точки зрения в компаниях выделен отдельные ресурс (отдел, направление), в сферу ответственности кото-рого входит обеспечение ин-формационной безопасности, а на неё, в свою очередь, выде-ляется отдельный бюджет.



27

ИБ на предприятии — от «охо-ты» до «индустриального про-изводства»

Еще в 2004 году эксперты из-вестной аналитической компа-нии Gartner Group, анализируя опыт развития индустрии ИБ в ведущих европейских странах, сделали попытку формализо-вать степень развития бизнеса и готовность предприятий к про-ектам в области ИБ. По отно-шению руководства компаний к вопросам ИБ были выделены 4 фазы такой готовности, кото-рые носят следующие условные наименования: «охота и собира-тельство», «феодальная», «воз-рождение» и «индустриальная».

Современный уровень разви-тия ИБ в Украине характеризу-ется активным вхождением ком-паний, относящихся к малому бизнесу, в фазу «Феодальная», а более крупных компаний — в фазу «возрождения». Именно по этой причине сегмент решений для предоставления и контро-ля доступа к информационным ресурсам (AAA - Authentication, Authorization, Accounting) явля-ется самым быстрорастущим на сегодняшний день и составляет, по данным IDC, около 83%.

При всём богатстве выбора…

Итак, допустим, руководство ИТ-отдела или подразделения ИБ, а также руководство компа-нии в целом определило, к како-му типу относится предприятие. Это было сделано исходя из осо-бенностей бизнеса и его потреб-ностей с точки зрения защиты информационных ресурсов. Те-перь задача состоит в том, чтобы

понять, какой комплекс средств информационной безопасности необходим.

Критерием принятия реше-ния в таком вопросе является не только и не столько тех-нологическая сторона дела. Важнейшим условием выбора любой технологии является решение экономической за-дачи. И если продукт не опти-мизирует бизнес-процессы, не повышает эффективности ра-боты, а следовательно не уве-личивает уровень продаж, то стоит задуматься о чём-то дру-гом. Именно экономическую обоснованность необходимо принимать во внимание и до-нести до руководства компа-нии. Только в этом случае мож-но рассчитывать на выделение отдельного бюджета под кон-кретный продукт, а в дальней-шем и под развитие технологий ИБ в компании.

Вторым фактором являет-ся учет перспективы развития компании, а, следовательно, масштабируемость решения и его способность гибко удовлет-ворять растущим нуждам ком-пании в существующей струк-туре или при её реорганизации.

Допустим, если компания планирует выходить на регио-нальные рынки или активно развивать филиальную сеть, необходимо, прежде всего, по-заботиться об обеспечении без-опасного мобильного доступа к информационным ресурсам головного офиса и остальных структурных элементов. При современном уровне роста раз-личных угроз безопасности полагаться на парольные по-литики, особенно в части уда-ленного доступа, достаточно

рискованно. Именно поэто-му, учитывая стратегические планы компании, оптималь-ным способом решения зада-чи управления доступом и ау-тентификацией пользователей является развертывание си-стемы IAM (Identity and Access Management) на основе универ-сальных аппаратных платформ – токенов. Использование двухфакторной аутентифика-ции на основе ОТР и цифровых сертификатов стандарта X.509 позволяет полностью отказать-ся от парольной аутентифи-кации, что повышает уровень безопасности, в том числе и при использовании технологий VPN и протоколов SSL.

Помимо перечисленных факторов на принятие реше-ния о выборе той или иной си-стемы безопасности оказыва-ют влияние сертификация решения, техническая под-держка, возможности по обу-чению работе с продуктом, и другие. ИТ-специалист всегда должен иметь ввиду возмож-ность перехода на следующий уровень развития информа-ционной инфраструктуры. Именно этой цели должны быть подчинены процессы по оценке, закупке и внедрению того или иного решения, обе-спечивающего информацион-ную безопасность. При этом, достижение нового уровня зрелости инфраструктуры ИБ в компании – это не результат, а перманентный процесс, тем-пы и эффективность которого напрямую зависят от кор-ректного выбора продуктов, соответствующих бизнес-целям компании и упрощаю-щих их достижение. PC


PCPCPCPCPCWeWeWeWeWeekekekekek RRRR Revevevevevieieieieiewwwww ИнИнИнИнИнфофофофоформрмрмрмрмацацацацациоиоиоиоионнннннннннаяаяаяаяая бббб безезезезезопопопопопасасасасаснононононостстстстстььььь Технологии

В последнее время много гово-рят о преимуществах виртуали-зации ИТ-инфраструктуры. Не спорим, консолидация вычис-лительных ресурсов позволяет сократить время на установку и поддержку серверов, умень-шить операционные затраты, повысить гибкость и отказоу-стойчивость. Однако, кроме вышеуказанных выгод, вир-туализация несет в себе боль-шие проблемы с точки зрения защищенности. Поскольку виртуальные датацентры ста-новятся более сложными и динамичными, возникают раз-личные вопросы, связанные с изолированием рабочей среды, мобильностью, разрастани-ем сетей виртуальных машин (ВМ), установкой доверитель-ных отношений. Рассмотрим более подробно проблемы эксплуатации виртуальной ИТ-инфраструктуры.

Жизненный цикл серверов и контроль изменений. Управ-ление патчами и обновлениями чрезвычайно важно для глад-кой и безопасной работы ИТ-систем. Виртуализация услож-няет этот процесс, ведь серверы работают не постоянно – вир-туальные машины ставят на паузу, выключают, а также «откатывают» в предыдущее состояние. Необходимо пони-мать, что виртуальная среда является крайне динамичной. При этом возникают следую-щие вопросы: какие виртуаль-ные машины развертываются, какие запущены, когда уста-навливались последние обнов-ления, кто владелец данных.

Мобильность ВМ. Под этим термином подразумевается воз-можность виртуальной машины автоматически перемещаться на альтернативные ресурсы. Данная возможность увеличивает гиб-кость, но создает и проблемы – статические политики и другие механизмы безопасности разра-ботаны для традиционных сер-веров, что в случае виртуальных машин может привести к их сбою.

Проблемы безопасности в виртуальных сетях. В усло-виях применения технологий виртуализации сети и серверы уже не являются двумя раз-ными слоями ЦОД. Факти-чески, сетевой трафик между виртуальными машинами на одном физическом сервере не выходит за его рамки и не ин-спектируется традиционными устройствами, отвечающими за сетевую безопасность. Эти «невидимые» сегменты также нуждаются в защите, что тре-бует их мониторинга.

Разграничение обязанно-стей и предоставление при-вилегий являются важным аспектом ИБ, направленным на ограничение возможностей администраторов. При виртуа-лизации действия по настройке серверов и сети выполняются из одной консоли, что приво-дит к проблеме превышения полномочий.

Пути разрешения проблемы

Многие существующие решения по информационной безопасности не оптимизированы для работы в виртуальной среде и могут поста-вить организацию перед опреде-ленными рисками, в том числе ри-сками несоответствия стандартам. Впрочем, уже сегодня имеются раз-работки, обеспечивающие защиту для каждого уровня виртуальной инфраструктуры, включая хосты, сеть, гипервизор, виртуальную ма-шину и трафик между виртуаль-ными машинами. Среди таких ре-шений — продукт IBM ISS Virtual Server Security (VSS), предлагаю-щий защиту от угроз для платфор-мы VMware vSphere 4.

Прозрачная система предот-вращения атак и сетевой экран. IBM VSS для VMware предостав-ляет многоуровневую систему предотвращения атак и межсе-тевого экрана для защиты вирту-ального дата-центра. Данное ре-шение специально разработано для защиты виртуальной среды в ядре ИТ-инфраструктуры.

Автоматическое распозна-вание. Поскольку виртуальные серверы работают в динами-ческой среде, традиционные технологии защиты для них являются неэффективными. IBM VSS может производить автоматическое определение всех появляющихся, а так же

Николай МИХАЛЬ | специалист по информационной безопасности «ИТ Лэнд»

29

ИИнИнИнИнИнффофофофоформрмрмрмрмацацацацациоиоиоиоионнннннннннаяаяаяаяая ббббб безезезезезопопопопопасасасасаснононононостстстстстььььь PCPCPCPCPCPCWWeWeWeWeWe kekekekekek RRRRR Reveveveveviieieieieiewwwww

существующих виртуальных машин. Это помогает повысить осведомленность о процессах, происходящих в виртуальной инфраструктуре, а так же обе-спечивает видимость всего вир-туального пространства.

Обнаружение руткитов на виртуальных машинах. Рутки-ты, базирующиеся на системах

виртуализации, превращаются в настоящую угрозу, так как способны инфицировать сам гипервизор. При этом они не-видимы для традиционных ан-тивирусных утилит. IBM VSS прозрачно инспектирует вир-туальные машины и определяет внедрение руткитов.

Анализ трафика между вир-туальными машинами. Тради-ционные хостовые или сетевые системы предотвращения атак не детектируют трафик между

виртуальными машинами. IBM VSS осуществляет мониторинг трафика между виртуальными серверами и останавливает угро-зу до ее проявления.

Контроль доступа к виртуаль-ным сетям. Продукт IBM VSS производит контроль доступа к виртуальным сетям для карантина или ограничения доступа в сеть с

виртуального сервера до тех пор, пока доступ не будет утвержден. Аудит виртуальной инфра-структуры. Отчеты IBM VSS ото-бражают действия, выполненные привилегированными пользова-телями, например, такие как со-бытия VMotion, смена состояний виртуальной машины или проце-дуры, связанных с авторизацией.

Технология Virtual Patch. Автоматическая защита уяз-вимостей на ВМ не зависит от стратегии компании по установ-

ке обновлений. Добавим, что система не требует установки агентов на виртуальные маши-ны – они защищаются автома-тически при определении.

Общий центр управления ин-формационной безопасностью. Несмотря на то, что темпы вне-дрения технологий виртуализа-ции быстро растут, большинство организаций до сих пор исполь-зует гибридный подход при соз-дании ИТ-инфраструктуры. IBM предлагает продукты, защищаю-щие как физические системы, так и виртуальные. Причем все эти инструменты могут управляться из единой консоли IBM Proventia Management SiteProtector.

ВМЕСТО ЗАКЛЮЧЕНИЯ

Итак, виртуализация предостав-ляет широкие возможности для оптимизации ИТ-инфраструкту-ры, снимая многие ограничения. Однако эти современные и слож-ные технологии открывают бре-ши для новых атак злоумышлен-ников. Продукт IBM Virtual Server Security способен защи-тить виртуальную среду – как сервер, так и виртуальную сеть и другие системы. PC

Материалы подготовлены от-делом ИТ-безопасности компа-нии «ИТ Лэнд» Комментарии и

вопросы вы можете адресовать [email protected] с по-

меткой «IBM VSS»

Виртуализация: новые риски

PCWeek Review Системная безопасность

30

ТТееххннооллооггииии

Защита узла доступа в интернетпосредством БЕСПЛАТНОГО ПО

Поскольку Интернет является окном компании во внешний мир, он становится одним из источников опасности для бизнеса. Именно через web-каналы сегодня распростра-

няются черви, вирусы и прочее вредоносное ПО, происходят утеч-ки конфиденциальных данных за пределы организации. Еще одной из угроз является ненадлежащее использование корпоративного интернет-канала на рабочем месте: онлайн-игры, посещение развлека-тельных сайтов, социальных сетей и т.д.

Для предотвращения зараже-ния компьютеров внутри сети и контроля за использованием интернет-ресурсов существует множество программных комплек-сов от разных производителей. Однако их продукты являются платными, при этом зачастую при-ходится платить не только за ис-пользование самого продукта, но и за операционную систему, на плат-форме которой будет развернут за-щитный комплекс. В то же время большинство системных админи-страторов сегодня по различным причинам не используют возмож-ности Open Source решений, пред-почитая закупать и разворачивать коммерческие системы.

При этом все задачи по контролю трафика сегодня можно решать при

помощи продуктов Open Source. Более того, есть возможность ис-пользовать бесплатные решения, вместе с модульно подключаемыми проприетарными платными про-граммами.

Сформулируем еще раз по пунктам задачи, которые стоят перед систе-мой контроля трафика на корпора-тивном шлюзе.

1. Проверка трафика на вирусы.2. Блокирование доступа к небла-

гонадежным и нежелательным веб-ресурсам.

3. Блокирование рекламных бан-неров.

4. Блокирование трафика, запре-щенного в сети.

5. Просмотр статистики использова-ния Интернет.

Для примера рассмотрим рабо-тающую связку Open Source реше-ний. В качестве корпоративного шлюза в интернет используется сервер на базе Debian GNU Linux с установленными на нем продуктах DansGuardian, L7-Filter, ClamAV и Sarg. Приложение DansGuardian от-вечает за контентную фильтрацию трафика и блокировку нежелатель-ных сайтов. Базы ключевых слов на различных языках позволяют

фильтровать доступ к сайтам по их категориям. Продукт имеет воз-можность блокирования интернет-рекламы (баннеров), а также использования черных и белых спи-сков URL адресов, самостоятельно формируемых администратором.

Для уменьшения нагрузки на сер-вер к DansGuardian можно приоб-рести постоянно обновляющуюся базу классификационных списков сайтов, что позволит избежать не-обходимости проверки контента сайта и блокировать ресурс непо-средственно по его имени. В про-дукте также предусмотрена защита от подмены доменного имени сайта его IP-адресом.

Имеется возможность подклю-чить антивирус, при этом перед системным администратором от-крывается широкий выбор — ис-пользовать стандартный для Linux открытый и бесплатный антивирус ClamAV или установить решение другого вендора. Также с помощью DansGuardian можно ограничивать загрузку файлов по расширениям или mime-типам.

Для просмотра статистики ис-пользуется приложение Sarg. Ста-тистические данные выводятся через веб-консоль и группируется по временным интервалам. Есть возможность просмотра статистики отдельно по пользователю, списку заблокированных загрузок и т. д.

Сергей ЯКИМЧУК | Руководитель отдела технической поддержки в компании SICenter (http://sicenter.net)


Системная безопасность PCWeek Review

С целью контроля трафика на уровне протоколов используется модуль L7-Filter. Он подключает-ся к стандартному в Linux пакетному фильтру IPTables и может отслежи-вать и блокировать большое количество разнообразных про-токолов, например AIM, GoogleTalk, wor ldofwarkra f t , IMAP, POP3 и др.

При использова-нии L7-Filter у системного админи-стратора появляется возможность максимально гибкого управления доступа пользователей к сети, на-

пример, блокирование онлайн-игр и Skype, но при этом разрешение на использование ICQ. Опять

таки, можно блокировать на этом уровне pагрузку файлов различно-го типа. При этом не имеет значе-ния, какое расширение имеет файл

и какой mime-тип присвоил ему сервер. При закачке файла будет проверена сигнатура и, в случае

совпадения, файл за-блокируется после загрузки первого же килобайта.

Таким образом, организовать защи-ту с использованием только открытого ПО в определенных случаях вполне ре-ально. Главным пре-пятствием на этом

пути является консервативность ИT-службы, а так же зачастую не-знание возможностей открытых программ. PC

ICQ

Схема работы шлюза

31

Мишель Климо (Michel Clement), вице-президент Oracle в Центральной и Восточной Европе о продуктах и стратегии корпорации в области ин-формационной безопасности.

Курс – на проактивную защиту

PC WEEK/UE: Каковы, по вашему мнению, главные до-стижения Oracle в сфере ин-формационной безопасности за последние несколько лет?

Oracle разрабатывает решения для безопас-ности уже многие годы. Компа-ния предоставляет комплексный портфель решений, гаранти-рующих безопасность данных, защиту от внутренних угроз и соответствие нормативным до-кументам . С целью повышения уровня безопасности баз данных мы последовательно выводим на рынок такие продукты, как Oracle Database Vault, Oracle Audit Vault и другие.

Например, благодаря Oracle Database Vault, орга-низации могут проактивно защитить информацию, ко-торая хранится в БД Oracle, от нежелательного доступа привилегированных поль-зователей базы данных. Для

этого применяется мультифактор-ная стратегия Oracle Database Vault, которая контролирует доступ, исхо-дя из таких факторов как время дня, IP-адрес, имя приложения, метод аутентификации. Таким образом, предотвращается неавторизованный доступ и обход защиты приложения.

PC WEEK/UE: Что можно отметить в об-ласти промежуточного ПО?

Одним из наиболее востре-бованных решений в области Middleware является Identity Management, которое позволяет осуществлять эффективное цен-трализованное управление и кон-троль за учетными записями поль-зователей, их правами доступа ко всем конечным системам заказчи-ка. Корпорации могут полностью управлять жизненным циклом идентификации пользователя во всех бизнес-ресурсах. Кроме того, продукт построен на сервисно-ориентированной архитектуре, что позволяет легко интегрировать это решение в любую имеющуюся ин-фраструктуру.

Решение Oracle Platform Security Services предлагает разработчикам приложений первую в отрасли ин-фраструктуру декларативной безо-пасности. Благодаря ей, разработчи-ки могут легко интегрировать функции безопасности в свои при-ложения, обеспечивая быстрое про-никновение решений на рынок и гибкость бизнеса. PC

Мишель Климо




Вопросы безопасности хранения данныхЗаявляя о защищенности своих данных, в частности , их хранения, компании нередко реша-ют эту задачу лишь частично. Ведь сама безопасность хранения данных состоит из несколь-ких ключевых моментов: их доступности, защищенности системы хранения и самих данных, защищенности каналов обработки информации, безопасном хранении данных, защите их от утечек и непредвиденных обстоятельств и, как не странно, – производительности. Рас-смотрим каждый из вышеперечисленных вопросов отдельно.

Доступность данных состоит из нескольких компонентов: доступ-ность системы хранения данных, использование raid-технологий, отсутствие не задублированных компонентов в системе хранения данных, доступность сети хране-ния данных, резервирование под-ключений серверов к сети хране-ния данных.

Защищенность системы хранения данных также состоит из несколь-ких частей, таких как: управление авторизированным доступом к СХД, доступ к конкретным дан-ным с конкретного порта, кон-кретного адреса в сети хранения данных (WWN), шифрование данных на уровне самой СХД (Full disk Encryption).

Защита самих данных тоже мо-жет быть реализована различными методами, такими как шифрование данных, шифрование файловых систем, ограничение доступа и т.п.

Охрана каналов обработки данных также состоит из нескольких задач: защищенность сетевых каналов передачи информации в рамках LAN или WAN, и защи-щенность каналов в SAN. Если с

первым существует достаточно много различных технологий, то со второй задачей сложнее. Вы-бор не настолько велик. Но, на-пример, существует решение от ЕМС + RSA - RSA Key Manager for the Datacenter, которое позво-ляет шифровать данные в рамках сети SAN. Конечно, внедрение такого решения требует специ-альных коммутаторов и другого оборудования, однако обеспе-чивает при этом очень высокую степень защиты.

Защита информации в случае непредвиденных обстоятельств – по сути это комплекс мер, который призван обеспечить доступность данных в случае Disaster Recovery. Сюда входит процедура передачи данных на off-site хранение, процедура восстановления с этой копии данных, ведь для компании не так страшно потерять оборудо-вание, на котором находились данные, как сами данные. И если оборудование можно по-добрать аналогичное, купить новое, взять в аренду, восполь-зоваться BRS контрактом и т.п., то данные компании в случае их утраты восполнить нельзя.

Производительность. Казалось бы, какое отношение имеет про-изводительность к защищен-ности?. Но если мы посмотрим на производительность как на время, за которое снимается ре-зервная копия данных, или спо-собность системы работать без потери консистентности дан-ных под высокой нагрузкой, то становится ясно, что это также одна из составляющих защи-щенности данных.

Мы перечислили основные во-просы, которые приходится ре-шать при комплексном подходе к вопросу безопасности хранения данных. Решение этой задачи индивидуально и неоднозначно в каждом конкретном случае. На мой взгляд, сейчас, когда инфор-мация является основой любого бизнеса, как никогда актуально звучат слова Роберта Шемина: «Любое действие имеет свой риск и цену этого риска, точно также как и любое бездействие». Поэтому успешное решение во-проса безопасности хранения данных как части системы защи-ты информационной инфра-структуры предприятий, являет-ся важным и значимым для любой компании. PC

Александр НОВАК | заместитель директора компании «ЛАНИТ - Iv Com»


33



ВВннееддрреенниияя

Контроль доступа к СЪЕМНЫМ НОСИТЕЛЯМ

Ни для кого не секрет, что львиная доля утечек, потерь и умышленных краж корпоратив-ных данных происходит через съемные носители. Именно поэтому в Fozzy Group приняли решение внедрить решение Lumension Device Control для контроля портов и разграничения доступа сотрудников к съемным накопителям.

Информация о проекте:

Количество пользователей: около 2000.Количество подключений уникальных съемных носителей (в сутки): около 230.Количество попыток нелегитимных под-ключений: около 30

«Первоначально в за-висимости от бизнес-задач для разных категорий сотрудни-ков были установ-лены определенные

разрешения по использованию внешних устройств», — отмечает Александр Скоробогатько, руко-водитель департамента инфор-мационной безопасности офиса розничного направления группы компаний Fozzy Group. Сами раз-решения были прописаны в по-литике использования внешних устройств. Таким образом, в пер-вое время USB-порты на рабочих станциях закрывали аппаратно.

C началом использования USB-принтеров порты пришлось от-крыть, поэтому доступ к USB-устройствам закрывали на уровне операционной системы. Однако в масштабах большого предприятия такое решение очень трудоемко и малоэффективно. Именно поэто-му руководство занялось поис-ком более продуктивной системы централизованного управления доступом к внешним устройствам.

Технологический этап тестиро-вания состоял в развертывании серверов для управления поли-тиками и сбора логов системы, создании групп безопасности Active Directory, установке для этих групп политик по доступу к внешним устройствам, под-готовке дистрибутива клиента, установке клиентов на тестовые рабочие станции. Права доступа к внешним устройствам разде-лялись на уровне пользователей путем включения их учетных за-писей в соответствующие груп-пы безопасности Active Directory. Внедрение решения проходило в мультидоменной сетевой инфра-структуре с рабочими станциями Windows XP и Vista. Параллельно

тестировались следующие про-дукты: Lumension Device Control, DeviceLock и Zlock. Далее были подведены итоги тестирования вышеуказанных продуктов, по-сле чего руководство остановило свой выбор на Lumension Device Control.

В первую очередь оценивалось соответствие продукта заявленно-му функционалу. То есть, блокиро-вание доступа на разных уровнях («полная блокировка», «чтение с фильтром» , «чтение без фильтра», «полный доступ с фильтром», «пол-ный доступ»), далее – мониторинг использования, теневое копиро-вание, гибкость настройки, глу-бокая отчетность. Серьезное вни-мание также уделялось средствам централизованного управления установкой клиентов на рабочие станции, управлению политиками, совместимости с существующей ИТ-инфраструктурой, возможно-стям масштабирования, удобству интерфейса».

«К сильным сторонам Lumension Device Control я бы отнес удобство централизованного управления по-литиками, простоту настройки и со-провождения, ролевой принцип рас-пределения доступа, устойчивость клиентского приложения к взломам. C точки зрения недостатков – лично мне не хватает такой опции, как On-line Dashboard», — резюмирует Александр Скоробогатько. PC

Компания FOZZY GROUP – одна из крупнейших торгово-промышленных групп Украины. Владеет сетью супермар-кетов «Сільпо», оптовых гипермаркетов Fozzy, «Фора» и «Буми» и т. д. Основные предприятия промышленного направле-ния Fozzy Group – Нежинский консерв-ный завод, птицефабрика «Варто».


35

www.itland.com.uaООО “ИТ Лэнд”

Barracuda Spam & Virus FirewallСкажи стоп вирусам и спаму. Шлюзовое решение по защите электронной почты. Позволит увеличить производительность почтового сервера.

Barracuda Web FilterФильтрация Web-контента, блокировка вредоносных программ. Позволит увеличить производительность труда.

Barracuda IM FirewallКонтроль IM сообщений. Решение для архивирования,фильтрации исходящего контента. Гибкое управление политиками безопасностями.

Barracuda Web Application FirewallИзбегайте простоя. Защита корпоративныхweb-серверов и web-приложений от атак злоумышленников.

ГАРАНТИЯ 5 ЛЕТ

НЕЗАВИСИТ ОТ

КОЛИЧЕСТВА

ПОЛЬЗОВАТЕЛЕЙ

РУССКОЯЗЫЧНЫЙ

ИНТЕРФЕЙС

SECURITY • NETWORKING • STORAGE

Documents

PCWEEK Review