17 августа 2012, 16:17
Количество просмотров 112

IT-безопасность: что нас ждет в 2011-м?

В 2010 году произошло несколько значительных событий, связанных с компьютерной безопасностью. В начале года десятки компаний из списка...
IT-безопасность: что нас ждет в 2011-м?


Антон Разумов, консультант по безопасности Check Point Software Technologies


Пожалуй, 2010 год в еще большей степени продемонстрировал бессилие систем компьютерной безопасности предприятий. Помимо кибератак и взломов, широко известных благодаря новостям, ежедневно происходит несколько тысяч подобных событий (если быть точнее, то до 69 в секунду). Но и это всего лишь вершина айсберга, так как большинство атак фактически проходят незамеченными и не фигурируют в отчетах. Понимая это, пользователи часто обращаются к нам с вопросами о том, какие связанные с компьютерными системами угрозы, скорее всего, будут актуальны для мирового рынка в этом году и как их предугадать. И хотя ни один магический кристалл не в силах предсказать, где следует ожидать следующей крупной атаки, я бы хотел сделать обзор текущего состояния систем компьютерной безопасности и описать основные тенденции, которые имеют место в настоящий момент и будут развиваться. Ниже перечислены десять наиболее острых проблем компьютерной безопасности, с которыми сегодня сталкиваются предприятия.

Тенденция № 1: Виртуализация – ажиотаж продолжается

Широкое применение виртуализации началось сравнительно недавно, однако в настоящее время это одна из наиболее передовых технологий, которая применяется организациями не только в целях консолидации и сокращения расходов. Поэтому неудивительно, что в 2011 году тенденция сохранится. Согласно исследованиям агентства Morgan Stanley, руководство компаний продолжит массовый перевод рабочих серверов на виртуальную основу, в результате чего доля таких серверов в 2011 году возрастет до 55% (по сравнению с 42% в 2010 году). По данным журнала Information Week, в июне 2010 года 28% компаний уже использовало собственные «облачные» системы, а еще 30% планировали внедрение таких систем в будущем.

Но, несмотря на свою популярность, виртуализация связана с многочисленными вопросами безопасности. По мнению компетентных лиц, принимающих решения в этой сфере, двумя основными препятствиями являются нехватка специфических для виртуальных сетей знаний у специалистов по безопасности и высокая стоимость новых решений, обеспечивающих защиту данных. Кроме того, дополнительными трудностями, сдерживающими переход к виртуализации, являются проблемы соответствия требованиям стандартов, отсутствие зарекомендовавших себя наработок в области безопасности виртуальных серверов, невозможность использования в виртуальной среде решений, применявшихся для защиты данных на физических серверах.

Тенденция № 2: «Облачные» вычисления

В 2011 году большое количество крупных предприятий, малых и средних компаний осознает необходимость создания частных «облаков». Вместе с тем значительно расширится спектр «облачных» услуг и приложений.

Однако «облачные» вычисления, как и виртуализация, имеют риски, связанные с безопасностью, и предприятиям следует осознавать их. Согласно исследованиям, проведенным в 2010 году агентством Morgan Stanley, основными вопросами, волнующими руководство компаний при переходе на «облачные» технологии, являются защита информации и опасность потери контроля. Перенос данных, владение информацией, совместимость с требованиями стандартов и надежность отводятся на второй план.

Не менее важным является контроль.

Предприятие должно с осмотрительностью подходить к вопросам доступа к критически важным приложениям. Однако компании, пользующиеся «облачными» услугами, не всегда знают, кто еще имеет доступ к их виртуальной среде, а это может стать причиной возникновения большого количества уязвимостей.

Тенденция № 3: Использование пользовательских и мобильных устройств

Многие технологии, изначально предназначенные для потребительского рынка, используются теперь и на предприятиях.

Предназначенные для частных лиц устройства, в том числе смартфоны (например, iPhone, Blackberry или Android), и услуги, в частности сервисы обмена мгновенными сообщениями, социальные сети и IP-телефония (Facebook, Gmail, Twitter, YouSendIt, MSN Messenger или Skype), находят новое применение на рабочих местах.

Интеграция всех этих предназначенных для частных лиц устройств, приложений и технологий в корпоративные системы сопряжена с особыми проблемами безопасности. В частности, необходимо обеспечить безопасность всех передаваемых на мобильные устройства корпоративных данных и в то же время гарантировать работникам возможность доступа к сети в любое время и из любого места.

Мобильные компьютерные системы уже стали частью ежедневной работы большинства компаний. Количество мобильных устройств, используемых на предприятиях, в последние годы возрастало в геометрической прогрессии и в некоторых областях применения достигло уровня 100%.

Руководство компаний, со своей стороны, не прекращает попыток установить контроль над всеми устройствами, подключаемыми работниками к корпоративной сети.

Тем не менее в 2011 году можно ожидать существенного увеличения инцидентов, связанных с применением мобильных устройств, в связи с чем предприятиям следует срочно заняться решением вопросов обеспечения безопасности.

Тенденция № 4: Усложнение угроз

С каждым годом угрозы, связанные с работой в Интернете, становятся все сложнее. На смену простым вирусам и червям все чаще приходят полиморфные, смешанные и комплексные атаки, во время которых используется сразу несколько технологий взлома. Кроме того, во многих случаях атаки осуществляются автоматическими «роботами», которые сканируют Интернет в поисках возможных уязвимых мест, а это значит, что целью атаки может стать кто угодно.

IT-безопасность: что нас ждет в 2011-м? - рис.1

В результате этого атаки стало труднее обнаружить. Например, троян Zeus, созданный для кражи банковской информации посредством перехвата сообщений клавиатуры, оказался одной из наиболее трудно обнаружимых вредоносных программ 2010 года, нацеленных на финансовые системы (обнаружен только в 23% случаев), и признан самой опасной из них.

Сегодня на его долю приходится 44% всех случаев заражения финансовых систем.

Среди вредоносных программ другого типа одной из наиболее сложных компьютерных угроз за всю историю был признан червь Stuxnet, поразивший установки по обогащению ядерного топлива в Иране.

Для распространения этот червь использовал сразу четыре уязвимости.

Атаки через Интернет сегодня все чаще угрожают не только отдельным пользователям, но и организациям. В основном они осуществляются киберпреступниками из разных стран мира, объединенными в сети и заинтересованными в краже интеллектуальной собственности, а также в получении быстрой прибыли.

В 2010 году в результате киберпреступлений предприятия понесли ущерб на сумму более двух миллиардов долларов США. В 2011 году можно ожидать дальнейшего роста этих показателей, в связи с чем следует оптимизировать системы сетевой защиты, применять для этого комплексные проактивные технологии предотвращения вторжений (например, Intrusion Prevention, IPS).

Тенденция № 5: Консолидация ИТ и сложность систем безопасности

Постепенно все большее количество предприятий различного уровня сталкивается с проблемой сложности управления системами безопасности. Согласно опросу, проведенному журналом InformationWeek среди лиц, принимающих решения в области безопасности (2010 год), сегодня это одна из самых значительных проблем сетевой и информационной безопасности.

Действительно, сегодняшние системы безопасности становятся все сложнее.

Предприятия вынуждены постоянно повышать уровень защиты, бороться с новыми типами угроз. В результате добавления новых уровней защиты внедрение различных продуктов, предназначенных для решения узкоспециальных проблем безопасности, часто приводит к тому, что в пределах одной и той же организации используется до 15 различных систем и платформ от различных поставщиков. Такие решения не только чрезвычайно трудны в управлении, но они могут быть и малоэффективны в работе, а их содержание может быть связано с большими финансовыми и эксплуатационными затратами.

Администраторы вынуждены работать с большим количеством общих и узкоспециальных продуктов, обеспечивающих защиту сети: IPS, брандмауэр, VPN, антивирусное ПО, средства борьбы со спамом, средства контроля доступа к сети (NAC), системы предотвращения потери данных (DLP), защиты от фильтрации URL и многие другие. При этом организации должны не только внедрить все эти технологии на уровне сети, но и управлять их работой на пользовательских устройствах – смартфонах, ноутбуках и других.

Необходимо учитывать, что и сам сетевой трафик становится все более сложным. В сети работает все больше приложений, которые используются как для личных нужд, так и для бизнеса. Все эти приложения могут быть как сторонними, в том числе «облачными», так и внутренними. Немаловажно также учитывать необходимость обеспечения совместимости с требованиями различных стандартов, что дополнительно повышает сложность систем безопасности и еще больше осложняет работу администратора.

Тенденция № 6: Защита данных и утечка информации

От пользовательских баз данных, данных держателей платежных карт, бизнес-планов и данных о финансовых операциях до корпоративной электронной почты – количество данных, используемых компаниями в электронном виде, непрерывно растет. И если организация не желает, чтобы ее важнейшие производственные и бизнес-секреты были похищены и стали достоянием всего мира, ее первоочередной задачей должна стать защита всего этого объема уязвимых данных.

Согласно исследованиям, проведенным институтом Ponemon (2010 год), средний ущерб от утечек информации в организациях возрастает с каждым годом и только в 2009 году достиг астрономической суммы в 6,75 миллиона долларов США. Интересно, что в большинстве компаний, пострадавших от утечки данных, не выполнялись требования по совместимости со стандартом PCI DSS.

Основными путями утечки информации на предприятиях являются: USB-устройства и ноутбуки, корпоративная почта, общедоступные почтовые серверы в Интернете, беспроводные сети, CD- и DVD-диски. Фактически каждое пятое письмо, отправляемое из корпоративной сети, содержит информацию, которая связана с юридическими или финансовыми рисками, либо нарушает требования стандартов безопасности. К счастью, существующие меры защиты, в том числе системы аппаратного шифрования и системы предотвращения утечек данных, позволяют организациям снизить эти риски. Тем не менее случай с WikiLeaks напомнил всем компаниям о необходимости применения многоуровневых и комплексных подходов к защите информации.

Исследования различных агентств показывают, что подавляющее большинство случаев утечки информации происходит не по злому умыслу, не из-за того, что кто-то специально внедрил инсайдера, а просто по той причине, что пользователь случайно отправляет информацию не тому получателю (например, выбрав и корпоративный адрес, и внешний, либо отправил не тот файл). Или, если в организации запрещено копирование конфиденциальных файлов на USB-носители, пользователь, который желает поработать в выходные дома, может отправить документы по почте на личный почтовый ящик, либо выложить их на файлообменник. Что, естественно, приводит к моментальной утечке данных. Таким образом, основные усилия необходимо прикладывать не для борьбы с инсайдерами (например, внедрение стеганографии), которые порой используют методы, устойчивые к перехвату, а с ошибками и халатностью обычных пользователей.

Помимо технических средств контроля особую важность приобретают организационные меры по регулярному ознакомлению пользователей с корпоративной политикой безопасности. Также следует отдавать предпочтение техническим средствам, позволяющим не только блокировать отправку пользователем определенной информации, но и объясняющим, какие именно правила нарушаются. В то же время существуют исключения из правил, не всегда возможно четко формализовать, правомерно ли отправлять по открытым каналам конкретный документ. И в таких сомнительных случаях полезно предусмотреть возможность отправки пользователем подобного документа только после явного описания им причины, по которой ему необходимо это сделать.

Тенденция № 7: Web 2.0 и социальные сети

Сегодня Web 2.0 становится комплексным рабочим инструментом, приобретает законное место. Средний пользователь тратит не менее четверти рабочего времени на поиск в Интернете, совместное использование данных в сети, загрузку файлов, общение, публикацию новостей и просмотр видеороликов. Facebook, наиболее популярная социальная сеть, стала третьей по величине платформой для размещения приложений, и на ее долю приходится около 7% всего корпоративного сетевого трафика.

Предприятия должны быть готовы противостоять рискам, связанным с интенсивным использованием социальных сетей и приложений Web 2.0. По данным журнала The Economist, 45% из 100 наиболее популярных интернет-сайтов поддерживают пользовательский контент, а 60% из них заражены вредоносным программным обеспечением. Кроме того, многие интернет-приложения имеют уязвимости, которые не выявляются и не устраняются разработчиками. Поэтому в 2011 году критически важной задачей для предприятий будет укрепление корпоративной политики безопасности. Такой уровень контроля над используемыми приложениями позволит организациям обеспечить более качественную и эффективную защиту без запретов в отношении работников.

IT-безопасность: что нас ждет в 2011-м? - рис.2

Поскольку в среде Web 2.0 эффективность традиционных средств, в том числе межсетевых экранов, фильтрующих IPи URL- адреса, ограничена, организации должны применять новые технологии защиты, способные отличать друг от друга тысячи работающих в Интернете приложений, в том числе использующих одни и те же протоколы и порты. Это позволит повысить осведомленность о применяемых приложениях и платформах, улучшит контроль их использования.

Современные компании понимают важность формирования политик безопасности и зачастую доводят ее до пользователей, предоставляя на подпись соответствующий документ при приеме на работу, но, к сожалению, достаточно редко в виде дополнительных тренингов. Как следствие – пользователи публикуют информацию о проектах, над которыми работает компания, о заключенных контрактах, о планах в Twitter, блогах, социальных сетях и т.д. Все это говорит о том, что необходимо проводить более тщательную работу с пользователями. Отличным помощником в данном вопросе являются технические средства, которые позволят периодически (раз в неделю или месяц) дополнительно показывать пользователям всплывающие окна, напоминающие о том, что можно пользоваться социальными сетями (например, Facebook) лишь в ограниченном объеме. Или демонстрировать сообщение о том, что ни в коем случае нельзя публиковать информацию, относящуюся к корпоративной деятельности. Подобные меры значительно повышают уровень безопасности предприятия.

Тенденция № 8: Управление, риски и соответствие регулирующим требованиям: «узкое место» для организаций

Сегодня организации стремятся соблюдать не только государственное законодательство, но и различные местные нормативы, директивы ЕС, а также другие требованию по конфиденциальности данных и предотвращению их утечек. Например, открытые акционерные общества обязаны выполнять требования SOX (закон Сарбейнса-Оксли). Медицинские организации должны соблюдать требования HIPAA (закон «О перемещаемости и подотчетности страхования здоровья»), HITECH («Медицинские информационные технологии для экономики и здравоохранения») и PCI DSS. Финансовые организации обязаны соблюдать требования GLBA (закон Грамма-Лича-Блилея) и BASEL II. И это только наиболее распространенные и типовые требования.

IT-безопасность: что нас ждет в 2011-м? - рис.3

Такие законы и стандарты призваны защищать пользователей, работников, партнеров и инвесторов от мошенников и воров. Однако для организаций эта защита оборачивается огромной нагрузкой на работников ИТ-служб и на бюджет, выделенный для обеспечения безопасности. Например, организации, работающие в странах, где приняты законы, противодействующие утечкам информации, обычно затрачивают на защиту данных больше средств, чем аналогичные организации в странах, где такие законы отсутствуют.

Что касается российских законов, то их соблюдение играет важную роль в деятельности компаний, например, Федеральный закон № 152 «О персональных данных» и различные дополнительные требования регуляторов, в том числе о сертификации межсетевого экрана по третьему классу ФСТЭК и многие другие.

Наблюдается тенденция, в рамках которой организациям все чаще требуется использование отечественных алгоритмов шифрования. Радует тот факт, что все большее количество зарубежных вендоров предлагают соответствующие решения в своем портфолио.

Если в России будет реализован проект по проведению внутренних транзакций по картам международных платежных систем между банками (не через сети Visa и MasterCard, а исключительно внутри страны), то это потребует создания новой значительной инфраструктуры, над которой необходимо будет работать с учетом современных требований к безопасности и лучшего мирового опыта.

И, безусловно, на обеспечение безопасности придется обращать очень существенное внимание.

Согласно исследованию журнала Information Week (2010 год), наиболее важным фактором, определяющим развитие современных программ безопасности, является соответствие отраслевым и законодательным нормам.

В связи с массовой виртуализацией центров обработки данных и IT-сред уровень сложности систем безопасности будет продолжать расти.

Тенденция № 9: Снижение расходов

Несмотря на восстановление экономики, организации все еще испытывают действие факторов, требующих снижать затраты на инфраструктуру и эксплуатационные расходы. Бюджеты, выделяемые на нужды IT-служб, остаются ограниченными, и руководство продолжает изыскивать возможности для их сокращения, в том числе за счет текущих эксплуатационных расходов. Для IT-администраторов это сводится к простому правилу: «делай больше, но меньшими средствами».

Поэтому в 2011 году организациям важно стремиться к максимально допустимому увеличению своих бюджетов на безопасность, оптимизации имеющихся ресурсов и повышению эффективности работы имеющихся систем и инфраструктуры.

Учитывая стремление к максимальной рентабельности инвестиций (ROI), можно ожидать, что в 2011 году предприятия будут отдавать предпочтение технологиям, которые «необходимо», а не «желательно» иметь, и, что наиболее важно, решениям, способным к развитию по мере роста предприятия или появления новых угроз. Учитывая повышенную финансовую нагрузку на предприятия, предпочтение будет по-прежнему отдаваться экономичным технологиям, в том числе виртуализации и «облачным» вычислениям.

Тенденция № 10: «Зеленые» ИТ

Последняя, но не последняя по важности.

Одной из десяти самых важных тенденций в 2011 году останется экологическая чистота IT. В условиях постоянного роста цен на энергоносители, а также повышения осведомленности пользователей об опасностях, которым подвергается окружающая среда, организации должны будут уделить особое внимание переходу на экологически чистые технологии. Такая тенденция будет особенно выгодна для дальновидных ведущих IT-компаний, которые найдут возможность объединить экологические ожидания и финансовые возможности.

«Зеленые» IT еще не являются достаточно актуальными в России, но те же самые потребности, скажем, в сокращении энергопотребления, имеются, зачастую просто диктуются другими факторами. Например, в центре Москвы очень трудно получить дополнительные мощности. Кроме того, необходимость в ограничении энергопотребления уменьшает потребности в кондиционировании, снижает выброс фреона, что также положительно сказывается на защите окружающей среды.

Выводы

Учитывать все эти тенденции и соблюдать все предъявляемые требования – сложная задача для предприятий. Контрольный список IT-администратора в 2011 году будет очень велик. В него войдут:

а) выполнение требований в отношении управления, рисков и соответствия ITинфраструктуры различным законам и стандартам;

б) предотвращение утечек уязвимых данных;

в) обеспечение безопасности и управление работой приложений Web 2.0;

г) защита всех фиксированных и мобильных рабочих станций;

д) защита от атак и угроз;

е) защита виртуальных и «облачных» систем;

ж) сокращение расходов на IT.

Предприятиям, стремящимся решить все эти задачи обеспечения безопасности, необходимо использовать иной подход, отличный от внедрения большого количества различных программных продуктов, каждый из которых решает только одну из проблем; подход, позволяющий создать гибкую и расширяемую инфраструктуру, которая обеспечит всестороннюю защиту и будет развиваться по мере роста потребностей предприятия.

Рубрика:
{}
Теги:
#

PLUSworld в соцсетях:
telegram
vk
dzen
youtube