100 Мифы и заблуждения информационной безопасности Лукацкий
Вид материала | Документы |
СодержаниеМиф №12 "Антивирусные компании всегда знают обо всех вредоносных программах"01.12.2008 19:15 Миф №13 "2 МСЭ лучше чем один"05.12.2008 11:45 |
- Аннотация, 418.67kb.
- Е. А. Свирский Рассматриваются вопросы работы курсов повышения квалификации по информационной, 67.93kb.
- Система менеджмента информационной безопасности, 205.89kb.
- Теоретические основы информационной безопасности автоматизированных систем, 26.65kb.
- Содержание курса. Урок, 902.96kb.
- Обеспечение информационной безопасности организации как метод антикризисного управления, 54.18kb.
- Мифы Древней Греции Мифы Древней Индии Мифы древних славян Мифы североамериканских, 33.93kb.
- «Комплексные системы информационной безопасности», 260.23kb.
- Вопросы по информационной безопасности, 268.68kb.
- Рекомендации по обеспечению информационной безопасности Заключение, 358.69kb.
Миф №12 "Антивирусные компании всегда знают обо всех вредоносных программах"01.12.2008 19:15
Это не совсем так. Они знают о тех вирусах, которые попадают им в руки. Либо путем анализа трафика с помощью установленных в разных частях Интернет ловушек. Либо путем изучения присланных заказчиками подозрительных файлов. Либо путем обмена с коллегами. Но что, если вирус еще не «вышел в свет» и ждет своего часа на жестком диске своего создателя? Или вирус направлен на конкретную компанию и не жаждет широкой славы? Или антивирусная компания просто не получила по различным каналам код вредоносной программы? Разумеется, антивирусный производитель ничего не знает об этом вирусе и не может его обнаружить. Мне можно возразить, что существуют эвристические механизмы, позволяющие обнаруживать неизвестные вирусы. Но свое мнение об эвристике я выскажу в мифе "Антивирусы умеют обнаруживать неизвестные вирусы".
Относительно недавно я столкнулся именно с такой ситуацией. Установленный у меня на компьютере McAfee VirusScan Enterprise не смог обнаружить попавший ко мне из Интернет троянец. Cisco Security Agent, работающий на моем лэптопе и построенный на совершенно иных принципах, смог обнаружить вредоносную активность и заблокировать работу троянца, но не удалить его (текущая версия это уже умеет). Запуск антивируса компании Symantec тоже ничего не дал – никаких подозрительных программ он не обнаружил. Только с третьей попытки мне удалось поймать и искоренить заразу – в этом мне помог Антивирус Касперского. О чем говорит этот факт? О том, что даже если вирус известен одной компании, то это не еще значит, что о нем автоматически узнают все остальные.
В одном фантастическом романе я прочел об идее применения систем искусственного интеллекта в информационной безопасности. Одна система выполняла функцию защиты, вторая - нападения. И они придумывали бесконечное множество возможных способов нападения и защиты, накапливая базу знаний о самых эффективных из них. Возможно, когда-то этот сюжет воплотится в реальную жизнь (уже сейчас есть отдельные примеры автоматического создания сигнатур вредоносных программ) и тогда, действительно, антивирусные производители смогут иметь в своем арсенале знания обо всех возможных вредоносных программах (если не забывать про борьбу брони и снаряда). Но пока об этом приходится только мечтать.
Миф №13 "2 МСЭ лучше чем один"05.12.2008 11:45
В среде специалистов по информационной безопасности бытует мнение, что два средства защиты от разных производителей лучше чем одно. Аргументация очевидна – вторая преграда станет камнем преткновения для злоумышленника, прошедшего через первую линию обороны. Считается, что разные производители по-разному реализуют те или иные защитные механизмы, что и позволяет надеяться на более высокую защищенность корпоративной сети, использующей два средства защиты вместо одного. Однако на самом деле две различных платформы для системы защиты несут с собой гораздо больше проблем, чем решений.
Возьмем, к примеру, межсетевые экраны (МСЭ). По статистике 99% всех проникновений через эти одни из самых распространенных средств защиты периметра связано не с дырами в программном обеспечении МСЭ, а с их некорректной конфигурацией. При использовании двух межсетевых экранов этот риск возрастает вдвое, т.к. вероятность сделать ошибку увеличивается. Уязвимости в межсетевых экранах достаточно быстро обнаруживаются и также быстро устраняются – производители средств защиты уделяют этому немало сил и времени. А вот с неправильной конфигурацией приходится бороться только самому пользователю. И здесь все зависит только от его умения и квалификации.
Управление обновлениями МСЭ реализовать гораздо проще и менее затратно, чем сконфигурировать два различных экрана, с двумя различными архитектурами, с двумя различными методами описания политик безопасности, с двумя различными графическими интерфейсами, да еще и работающими на двух различных платформах.
Отладка новых Интернет-приложений или установления взаимодействия с новым офисом или партнером приводит к необходимости временного создания правил на межсетевом экране. Зачастую неразбериха в используемых протоколах и портах приводит к тому, что перед тем как все заработает, администратор создает несколько десятков правил, которые в режиме «боевой эксплуатации» приходится удалять. В случае использования 2-х межсетевых экранов возрастает риск, что какие-то тестовые правила не будут удалены и в системе защиты образуется зияющая дыра, которой сможет воспользоваться злоумышленник. И это не говоря об увеличении времени тестирования нового приложения.
Развитие информационных технологий приводит к тому, что правила на межсетевых экранах становятся все сложнее и сложнее. Проникновение приставки «e» во многие сферы нашей жизни (e-Business, e-Commerce, e-Government и т.д.) приводит к росту числа правил. Свыше сотни правил – это уже норма для современной корпоративной сети. А значит, для эффективного использования двух средств защиты периметра нужно быть в них одинаково «подкованным», что требует, как минимум, вдвое увеличить затраты на обучение, внедрение, поддержание и повышение своей квалификации. А если мы вспомним про необходимость резервирования критичных элементов инфраструктуры, то нам потребуется как минимум удвоение инвестиций в систему защиты.
Конечно нельзя быть столь категоричным и утверждать, что применение 2-х различных средств защиты не повышает защищенности сети. Все зависит от квалификации. Если вы смогли обойти все подводные камни при внедрении и настройке решений от двух разных производителей, то уровень вашей защиты возрастет. Главное – продолжать и дальше поддерживать защищенность сети на том же уровне в течение всего срока жизни межсетевых экранов.
Да и время не стоит на месте. Информационные технологии постепенно изменяют наш мир и помогают выполнять многие рутинные операции проще, легче и быстрее. Почему бы не представить, что и в области настройки средств защиты можно уйти от рутины, приводящей к ошибкам? Ведь уже давно существуют примеры межсетевых экранов (как минимум Cisco ASA 5500 и Check Point VPN-1) с подсистемами проверки согласованности задаваемых правил. Если в одном месте вы разрешите использовать IP-телефонию, а в другом запретите, такие системы сразу просигнализируют вам об этом. Можно пойти еще дальше. Не только проверять согласованность правил, по которым будут «трудиться» средства защиты, но и сами правила создавать в автоматическом режиме, исключающем вероятность какой-либо ошибки. И сделать надо совсем немного – интегрировать межсетевые экраны с системами управления информационной безопасностью (security information management systems, SIMS). Эти системы знают, какие ресурсы и где в корпоративной сети они находятся, какие права доступа и какие пользователи к ним имеют, а также регулярно проводят инвентаризацию всех происходящих в сети изменений. Почему бы не добавить в них механизм автоматической генерации правил разграничения доступа? Достоинство данного решения в том, что такие правила могут создаваться как для средств сетевой безопасности (межсетевые экраны, системы обнаружения атак и т.п.), так и для систем, защищающих отдельные сервера и рабочие станции (хостовые системы предотвращения вторжений, системы защиты от НСД и т.п.).
Правда первое решение (проверка согласованности) пока есть далеко не во всех межсетевых экранах, а второе относится пока к области фантазий автора, чем к реальности, – системы класса SIMS пока не обладают такой функциональностью.