100 Мифы и заблуждения информационной безопасности Лукацкий

Вид материалаДокументы

Содержание


Миф общий: "Можно создать абсолютно защищенную систему"20.10.2008 17:18
Подобный материал:
1   2   3   4   5   6   7   8   9   ...   69

Миф общий: "Можно создать абсолютно защищенную систему"20.10.2008 17:18


Просматривая недавно публикации по информационной безопасности, я наткнулся на целый ряд статей разных авторов, посвященных такой непростой задаче, как доказательство возможности создания абсолютно защищенной системы. И это несмотря на общепризнанный факт того, что такую систему создать невозможно. Мало того. Многие компании даже создают системы, называемые «абсолютно защищенными». Как правило, такие заявления делаются фирмами, занимающимися криптографической защитой. Например, компания ссылка скрыта, создавшая Virtual Matrix Encryption, или TriStrata Securities. Однако и в области не криптографии регулярно всплывают фирмочки, заявляющие о революции в области информационной безопасности и создании абсолютно защищенной системы. Например, компания ссылка скрыта, выпустившая одноименное устройство и даже гарантирующая возврат денег, если ее систему взломают (как тут не вспомнить рекламу мужского дезодоранта OldSpice, обещающего схожие гарантии).

Но это все небольшие компании, которые, выйдя на уже поделенный рынок, пытаются привлечь к себе внимание любыми способами. А что же крупные и известные игроки этого рынка? И здесь есть свои герои. Например, такой гранд в области информационной безопасности, как Symantec, проводила в июле 2003 года семинар с претенциозным названием: «Абсолютная защита корпоративной сети предприятия на основе интегрированных решений Symantec». А компания Oracle, которая в начале 2002 года выпустила невзламываемую версию своей СУБД. Именно таким эпитетом (unbreakable) награждали версию 9i популярной СУБД. На сайте Oracle можно было найти много ссылок на невзламываемость. Вот только некоторые из них: «Независимые аналитики подтверждают "неуязвимость" СУБД Oracle9i», «Нельзя сломать», «Неуязвимость: Oracle9i Application Server 2» и т.п. А электронные сообщения в рамках рекламной кампании содержали такой текст: «Oracle9i. Unbreakable. Can't break it. Can't break in» («Oracle9i. Невзламываемый. Его невозможно взломать. В него невозможно проникнуть»).

Может быть специалисты названных компаний знают что-то такое, что действительно позволяет им создавать абсолютно неприступную систему обороны информационных систем любой компании. «А почему, собственно, абсолютной защиты не существует?», - спросил я себя и попытался найти доказательство этого общепризнанного факта.

В качестве примера для рассуждения возьмем обычную сеть (аналогичные рассуждения применимы к любой системе или объекту), существующую практически у любой компании. Если говорить человеческим языком, то вероятность взлома такой сети внешним хакером или внутренним злоумышленником зависит, как минимум, от трех параметров (на самом деле их больше). Первым параметром является надежность средств, защищающих сеть, или иными словами, вероятность их взлома или обхода. Таких средств может быть несколько – системы обнаружения атак, антивирусные системы, системы контроля содержимого и т.д., а может быть и так, что линия обороны состоит только из единственного межсетевого экрана или маршрутизатора с функциями безопасности.

Данный параметр никогда не будет равен максимальному значению – единице. Связано это с тем, что, к сожалению, не существует абсолютно надежных систем, которые лишены ошибок и уязвимостей. Ведь людям, создающим эти системы, свойственно ошибаться и эти ошибки могут стоить очень дорого, что уже не раз демонстрировала история. Да и статистика нам подтверждает это – среднестатистическая программа содержит до 15 ошибок/уязвимостей на 1000 строк кода. Однако и нулю рассматриваемый параметр равен быть не может, т.к., хоть какой-то, но уровень защиты эти средства обеспечивают (а иначе, зачем они нужны?).

Второй параметр, влияющий на защищенность сети, - это уже не качество реализации, а качество настройки и конфигурации системы защиты. Этот параметр также зависит от человеческого фактора, но т.к. число возможных настроек несоизмеримо меньше числа строк программного кода в системе, то его максимальное значение, единица, теоретически может быть достигнуто. По умолчанию, этот параметр нулю не равен, т.к. обычно система защиты как-никак, а настроена (пусть и не самым лучшим образом). На практике значение этого параметра меняются волнообразно, т.к. качество настроек постепенно ухудшается и требуется их регулярный аудит.

И, наконец, третий параметр – быстрота реагирования на атаки злоумышленников не только со стороны автоматизированных средств защиты, но и со стороны специалистов, отвечающих в компании за безопасность. Даже пропущенная периметровыми защитными системами атака может быть вовремя замечена расторопным администратором, который успеет предотвратить ее разрушительные воздействия. Этот вероятностный параметр, как и предыдущий, может быть равен единице.

Обратившись к следствию из известной теоремы умножения вероятностей получаем, что вероятность защиты от взлома или обхода защитной системы никогда не будет равна единице, т.е. создать абсолютно защищенную систему невозможно в принципе.

Из этого вывода можно вывести и несколько интересных следствий. Во-первых, абсолютно защищенную сеть создать невозможно до тех пор, пока вероятность взлома системы защиты не достигнет нулевого значения (и наоборот – пока надежность защиты не достигнет единицы). А это возможно только в том случае, если устранить из процесса создания защитного средства или механизма (как и из создания системы вообще) человеческий фактор, являющийся главной причиной всех ошибок. Очевидно, что на современном этапе развития науки и информационных технологий это невозможно.

Во-вторых, надежность даже суперзащищенной системы быть сведена «на нет» некачественной или неграмотной настройкой (т.е. если второй описываемый выше параметр не равен единице). Т.е. любая система требует квалифицированного персонала, не только знающего, но и умеющего грамотно настраивать средства защиты. Это лишний раз доказывает необходимость наличия программы обучения, тренингов и повышения осведомленности в области безопасности. Можно привести хорошую аналогию. Если на двери стоит серьезный замок фирмы MOTTURA или MULT-T-LOCK, но вы просто не заперли замок или забыли в нем ключ, то о какой защите может идти речь?

В-третьих, несвоевременное реагирование (или его отсутствие) на попытки проникновения в корпоративную сеть также делают ее незащищенной. Неслучайно сегодня часто можно на различных конференциях встретить доклады, посвященные управлению инцидентами, построению SOC (Security Operations Center) и т.д.

В заключение хочу лишний раз повторить, что абсолютной защиты не существует, чтобы вам не рассказывали продавцы межсетевых экранов, антивирусов и т.п. защитных систем. В любой ситуации всегда присутствует человеческий фактор, который и вносит в такую стройную на бумаге картину всевозможные проблемы, нарушающие с таким трудом найденный паритет между обороной и нападением.