Тематический бюллетень
| Вид материала | Бюллетень |
- Тематический бюллетень, 1078.94kb.
- Тематический бюллетень, 1186.6kb.
- Тематический бюллетень, 656.11kb.
- Тематический бюллетень, 870.43kb.
- Тематический бюллетень, 1019.68kb.
- Тематический бюллетень, 842.39kb.
- Тематический бюллетень, 853.6kb.
- Тематический бюллетень, 897.18kb.
- Бюллетень новых поступлений 2007 год, 816.76kb.
- Бюллетень новых поступлений 2007 год, 897.56kb.
IDC Security Roadshow 2008 в Москве
Алексей Игнатьев
1 апреля в отеле Рэдиссон САС Славянская состоялась конференция «Информационная безопасность предприятия: технологии на службе бизнеса». Конференция была организована компанией IDC в рамках проводимой в ряде стран Европы, Ближнего Востока и Африки серии мероприятий IDC Security Roadshow 2008.
Необходимость проведения подобных мероприятий обусловлена многообразием современных систем защиты информации, несмотря на то, что все они базируются на тех или иных технологиях антивирусной защиты и межсетевых экранов. Поэтому вопросы окупаемости инвестиций в ИТ, управления инфраструктурой, выработки единых стандартов являются жизненно необходимыми и актуальными.
На конференции выступил Себастьян Шрайбер, эксперт в области ИТ-безопасности и основатель компании SySS Gmbh. Во время своего выступления он продемонстрировал ряд атак в режиме реального времени.
Владимир Курбатов, начальник Управления информационной безопасностью Лукойл-Информ, рассказал о месте ИБ-подразделения в общей структуре компании и о том, какую роль должен играть его руководитель.
Информационная безопасность – часть общей системы риск-менеджмента, цель которой обеспечить минимизацию операционных рисков, которые возникают при неверном построении бизнес-процессов, неэффективном внутреннем контроле, несанкционированных действиях персонала и т.д. Курбатов рекомендовал уделить внимание созданию методики оценки рисков информационной безопасности, наладить взаимодействие с другими подразделениями и принимать активное участие в построении архитектуры предприятия.
О необходимости минимизировать риски путем внедрения процессов управления уязвимостями говорил Лотар Мишель (Lothar A. Michel), представлявший компанию Qualys. По его мнению, в ряде случаев уязвимости были известны достаточно длительное время до того, как их использовал злоумышленник. Проблема здесь в том, что патчи, устраняющие уязвимость, выпускаются по прошествии какого-то время после ее обнаружения. Устанавливаются эти патчи еще через какое-то время – соответственно, довольно длительный промежуток времени система находится в незащищенном состоянии. Говоря об основных трудностях, с которыми по всему миру сталкиваются ИТ-отделы, Лотар упомянул об отсутствии достаточных временных, людских, финансовых ресурсах, о том, что нет четкого и единого понимания проблемы сетевой безопасности, а также о том, что все проблемы решить невозможно – необходим грамотный анализ рисков, позволяющий акцентировать внимание на наиболее насущных вопросах безопасности.
Владимир Мамыкин, директор по информационной безопасности Майкрософт Рус рассказал о современных глобальных трендах. Сегодняшняя школа «вирусописателей-налетчиков» из Китая, России и Южной Америки постепенно вытесняется новыми школами, которые получили развитие Центральной Америке, Африке и Юго-Восточной Азии. Причинами возникновения новых школ он назвал развитие интернета в этих регионах вместе со слабым законодательством и отсутствием работы в ИТ-секторе. По данным опроса, проведенного CSI, 436 компаний вирусным атакам в 2007 году подверглись 52% из них. При этом с такими угрозами, как кража мобильных устройств и ноутбуков, а также атаки со стороны собственных сотрудником подверглись 52 и 59 % компаний, соответственно. На обеспечение компьютерной безопасности в среднем расходуется 5 % от ИТ-бюджета, однако, несмотря на все разговоры об ИБ-аутсорсинге, реально им практически никто не пользуется.
Я задал несколько вопросов Денису Батранкову, старшему системному инженеру, представлявшему IBM на форуме.
Какое в современных ИТ-угрозах, по-вашему, соотношение социальной инженерии и технических решений?
Точную оценку дать трудно, я думаю, что это 50 на 50, потому что без социальной инженерии сейчас заразить кого-то трудно. Как происходит: человек заходит на какой-то красиво оформленный сайт, на котором размещен антивирус последней версии, который защищает от всех видов атак и т.п. На самом деле, это вирус лежит. И многие люди попадаются. И Google, кстати, при поиске начал подписывать «осторожно, этот сайт содержит вредоносный код».
Другая тема – это общеизвестные сайты, на которых при помощи технологии Web 2.0 можно опубликовать какую-то свою информацию.
Существуют другие сайты, где за $15 продается код, который можно разместить, например, в блоге и тем самым заразить компьютер посетителя страничке и получить доступ к его паролям и т.д. Т.е. сейчас социальная инженерия очень большую роль играет, и ее роль будет только увеличиваться.
Компании развивают безопасность, защита становится все лучше и лучше, вход и уязвимости закрыты, а открытой остается, к примеру, только электронная почта. И, пожалуй, единственный выход у злоумышленников – написать по электронной почте письмо, которое заставит сотрудника зайти на тот или иной сайт, где уже пользователя попросят ввести его логин и пароль или иную ценную информацию. На этом ведь фишинг и основан.
Сколько компания в среднем должна тратить на свою информационную безопасность?
Вообще говоря, это зависит от ситуации. Нельзя назвать определенный процент, сумму – очень часто такие ответы дают аудиторы, которые по книжкам советуют, как заниматься безопасностью. У IBM совсем другой подход: мы берем конкретную сеть и говорим, по каким направлениям нужно вложить деньги, чтобы минимизировать риски наилучшим образом. Потому что можно купить один и тот же продукт, но применив его в различных сетях, риски минимизируются по-разному. Поэтому речь должна идти об индивидуальных решениях, и нельзя говорить о конкретных суммах.
Есть ли какие-то особенности у России по сравнению с общемировыми тенденциями?
Россия очень активно интегрирована в глобальный рынок, поэтому каких-то принципиальных особенностей нет, за исключением того, что у нас все с некоторым запозданием появляется. Какая-нибудь технология появляется в Америке, и она только через год приходит в России. Но в крупных компаниях с этим дела обстоят лучше. Я вижу проблему в донесении информации о существовании новых проблем и том, что с ними надо работать. Соответственно, пока это переведется – большинство людей все-таки на русском читает – только после этого начинает развиваться новая тема. Это касается не только России, но и всего мира.
Насколько, по-вашему, у нас развита система повышения квалификации для ИТ-персонала, занимающегося безопасностью?
Вполне. В том числе и в Москве существуют учебные центры, которые занимаются обучением сотрудников для глобальных компаний. И у IBM есть учебные центры. Мы, например, приглашаем компании, чтобы их сотрудники, даже никак не связанные ни с ИТ, ни с безопасностью, пришли и послушали, как правильно, к примеру, пользоваться паролями: что не надо его записывать на листочке, не надо приклеивать на монитор, не стоит использовать в качестве пароля свое имя или год рождения – простые вещи людям надо рассказать. Хотя, конечно, никто слушать, как правило, не хочет. У ИТ-специалистов по безопасности проблема часто в другом: они страдают от того количества информации в журналах, бюллетенях, которое надо проанализировать. И наверняка этим мало кто занимается, потому что чтение таких объемов информации ежедневно очень сильно утомляет. Соответственно, люди фактически перестают заниматься безопасностью: они перестают читать и уже не знают, что происходит. Поэтому я и предлагаю использовать аутсорсинг: пусть чтением занимаются другие.
Каким может быть эффективный метод борьбы с инсайдерами?
На мой взгляд, единственной возможностью здесь является анализ поведения. Должна быть внедрена автоматизированная система анализа поведения, которая строит, так называемые, шаблоны поведения. Т.е. пользователь в своей обычной ежедневной, ежеквартальной и ежегодной работе выполняет строго фиксированные действия. Допустим, сотрудник уехал в командировку и по защищенному VPN имеет доступ к корпоративной сети. Какие его действия: проверить почту, зайти на файловый сервер, скачать нужный файл и отключиться. Но представьте хакера, который украл логин и пароль. Он будет как слепой котенок тыкаться во все уголки сети или производить сплошное скачивание – запросы будут совсем другими – система такое аномальное поведение зафиксирует. Или, например, человек никогда не заходил на сервер, а тут решил скачать с него информацию. Система должна оповестить специалиста, чтобы уже тот определил, или у сотрудника сменилась должность, или же он решил для каких-то своих целей получить эту информацию.
www.it-world.ru
21.04.08 14:48