Неделя безопасности: на вопросы отвечает Владимир Мамыкин
Уважаемые читатели! Неделя безопасности, проведенная в нашем блоге, завершилась, и сегодня мы публикуем ответы Владимира Мамыкина на те ваши вопросы, на которые мы не успели ответить в постах.
На этом мы, естественно, не закрываем тему информационной безопасности и будем продолжать освещать ее в будущем. Если у вас остались вопросы по ИБ, на которые вы не можете найти ответ, вы можете задать его в блоге Владимира Мамыкина http://blogs.technet.com/mamykin/
Спасибо за ваше участие!
Директор: Хотелось бы услышать что-то и про финансовую безопасность в Сети.
Много слышал о хищении денег с помощью Интернет-банкинга. Как небольшая компания, может обезопасить себя? Есть ли какие рекомендации и программные средства?
Для корректного ответа на этот вопрос нужно уточнить: вы как небольшая компания просто пользуетесь банкингом либо вы сами предоставляете финансовые услуги и будете выстраивать вашу инфраструктуру так, чтобы защититься от атак.
Для обычных пользователей банковских служб все правила защиты одинаковы. Самая большая проблема на этом фронте — фишинг. Его суть в том, что, приходя на сайт известного банка, вы попадаете на поддельную страницу. Есть несколько способов ее подделать, например, скопировать весь внешний вид страницы. От этого у солидных банков есть защита — они не только проверяют и шифруют соединение с клиентом, но и удостоверяют подлинность своих серверов с помощью цифровых сертификатов.
Мошенники также могут попытаться заманит вас на поддельный сайт, сделав в адресе незаметное изменение, например, заменив одну букву на похожую. Еще одна возможность похитить ваши реквизиты доступа – подсадить в ваш ПК скрытый вирус, который при входе на сайт вашего банка, в котором вы пользуетесь интернет-банкингом, фиксирует и отправляет атакующему последовательность нажатых вами клавиш, так называемый "keylogger". Либо подменить на подлинном сайте только форму авторизации с помощью ActiveX, отсылающего ваши данные на сторонний сайт.
Предотвратить такие атаки достаточно просто. В современных браузерах есть средства антифишинга, которые проверяют, является ли сайт доверенным и не позволяют отправлять информацию на сторонние сайты.
Если же вы сами предоставляете финансовые услуги, то вам необходимо следовать простым правилам, подходящим для любой организации: поставить хороший межсетевой экран, антивирусное средство и т.д. Кроме этого, для финансовых организаций особенно важно, чтобы серверы приложений не находились в DMZ зоне. Все жизненно важные приложения должны оставаться за пределами этой зоны. Желательно также использовать серверы очередей, как это делают ведущие банки мира, чтобы предотвратить атаки "насквозь".
Mike: Владимир, расскажите, пожалуйста, какие есть решения для безопасности мобильных телефонов?
Тема безопасности мобильных устройств сегодня более чем актуальна. Основная проблема заключается в том, что пользователи недостаточно осведомлены о том, что такое защита данных и от чего защищаться. Если в компьютерном мире люди привыкли использовать хотя бы антивирус, то технический уровень пользователей мобильных устройств (а их в разы больше) часто не позволяет эффективно распространять культуру безопасности в этой сфере. Ведь мобильными устройствами пользуются, в том числе, дети и пожилые люди.
С ростом популярности смартфонов количество мобильных угроз возрастает экспоненциально вместе с возможностями существующих платформ. Сразу договоримся: есть безопасность корпоративного и домашнего мобильного устройства. С точки зрения домашнего пользователя необходимо иметь хотя бы антивирус, что не всегда реализуемо. К сожалению, производители антивирусных средств пока не слишком озабочены завоеванием этого широкого и перспективного рынка. Но появление вирусов на всех платформах говорит о том, что мы в начале этой "битвы за мобильные", и надо к ней готовится.
Чтобы обеспечить безопасность корпоративных пользователей, мобильное устройство должно отвечать нескольким требованиям. Во-первых, необходима возможность ограничивать установку ПО на телефон. Во-вторых, требуется интеграция с политиками безопасности домена, чтобы для каждого пользователя из каталога (например Active Directory) все доменные политики могли быть удаленно «накатаны» в телефон. В-третьих, нужна удаленная установка ПО и обновлений, получение различных отчетов. Наконец, в-четвертых, необходима возможность удаленно стирать всю информацию на телефоне, если он утерян, и т.п.
Самое удивительное – некоторые из этих функций реализованы почти во всех платформах, но все перечисленные мной требования обеспечивают лишь немногие. Проверьте у производителей, кто все эти функции поддерживает. Вы будете и удивлены, и нет J
Moby: а зачем MS занимается разработкой решений по безопасности? ведь есть огромное количество производителей с именем - Каспертский, Симантек и др. лично я с большим удивлением узнал, что MS делает анитивирус.
От решения по информационной безопасности требуется не только качество, но и высокая степень интеграции с теми устройствами и приложениями, с которыми вы работаете. Особенно это важно для компаний, то есть корпоративных, а не частных пользователей. Производители решений ИБ часто не имеют возможности на должном уровне интегрировать свои технологии с другими продуктами. Здесь возможны два варианта.
Первый: производители инфраструктурного ПО интегрируют продукты в свои системы, приобретая их на правах роялти (это можно часто видеть на примере антивирусных систем, встроенных в межсетевые экраны).
Второй: производитель видит, что у него есть возможность сделать продукты ИБ, например, базового уровня. Могу привести пример: в свое время в Windows XP SP2 появился базовый межсетевой экран, избавивший множество людей от необходимости покупать межсетевой экран отдельно. Таким образом мы снабдили тапочками людей, гуляющих босиком в лесу с колючими шишками. Это сильно сказалось на всей экосистеме интернета, которая стала значительно более безопасной. Многие до этого даже не знали, что такое межсетевой экран и для чего он нужен и в общем-то продолжают не знать. То же самое с антивирусами – у нас есть первоклассное средство, которое мы поставляем бесплатно, чтобы улучшить экосистему Интернета. Конечно, есть и платное решение для корпоративной защиты, которое сделано на том же самом антивирусном движке, но уже с теми возможностями, которые необходимы для обеспечения защиты инфраструктуры предприятий.
Надо сказать, что Microsoft уже давно делает не только антивирусы, но и межсетевые экраны, системы контроля доступа, фильтрации спама и другие средства защиты.
Viking: в продолжении вопроса Бетси. Микрософт регулярно выпускает всякие бюлетени безопасности, которые закрывают дырки. не так давно было сообщение о рекордном закрытии. а почему нельзя сразу делать софт, который не будет иметь столько дыр? посмотрите на Apple.
Необходимо подчеркнуть, что любой софт имеет уязвимости. Даже если их нет на момент выпуска, то они появляются с развитием методов атак. Например, скорость процессоров сегодня позволяет простым лобовым перебором (bruteforce attack)достаточно быстро найти ключ шифрования для DES, который 20 лет назад, когда DES был национальным алгоритмом шифрования США, был бы невзламываемым. Это пример того, что даже простое развитие технологий приводит к ухудшению защиты. Если же к развитию атаки добавляется острый ум, то атака может использовать возможности системы, которые ранее не представлялись опасными для атаки, и, соответственно, не защищались.
Конечно, есть ПО, которое многие считают неуязвимым, например, тот же Apple, который некоторое время назад имел сравнительно малую долю рынка и использовался в основном для обучения и графических работ. То есть «вскрыв» ПО Apple, преступники получали доступ к дизайнерским разработкам или учебным материалам, то есть информации, которая не представляет никакого интереса с точки зрения ее коммерческой ценности. С тех пор как Apple перешла на платформу Intel, количество атак на нее выросло. Оно до сих пор не так значительно, так как у компании нет серверных решений, используемых, например, банками и другими организациями. Тем не менее, даже при сегодняшнем небольшом интересе хакеров к этой платформе, она уже достигла "лидерства" по числу уязвимостей.
Другой "лидер" по числу уязвимостей - продукты на базе открытого кода. Серверы и рабочие станции с программным обеспечением на базе открытого кода используются в финансовых и т. д. коммерческих организациях. Следовательно, интерес к ним намного выше, и количество найденных "дыр" в них также велико. Еще одна причина кроется в том, что для предотвращения уязвимостей, необходимо правильно организовать разработку и тестирование, что в условиях распределенной модели разработки, которая характерна для открытого ПО, достаточно сложно. Microsoft сталкивается с этим при покупке компаний. Зачастую при ближайшем знакомстве с кодом приложений, которые были разработаны в покупаемой компании, выясняется, что прежде чем выпустить продукт под нашим брендом, требуется переписать весь код в соответствии с нашими требованиями по безопасности. Например, несколько лет назад мы приобрели компанию Sybari с лидирующим на мировом рынке продуктом, который собирались включить в свою линейку. Однако выход этого продукта пришлось задержать на год в связи с тем, что весь код продукта пришлось переписать в соответствии с нашими внутренними требованиями безопасности к коду.
Михаил Воронов: Владимир, спасибо за "неделю"!
Недавно в блоге был пост про облачный сервис к SmartScreen, фильтрующий загрузки приложений, если у них нет заслуженной «репутации». В связи с этим у меня возник такой вопрос: а будут ли облака еще как-нибудь использованы для защиты? Какие вы со своей точки зрения предложили бы варианты?
Спасибо!
Ситуация с облаками несколько противоположна. В силу того, что это новая технология, безопасность которой интересует множество клиентов, в том числе и государственных, большая часть работы по обеспечению безопасности облаков идет в направлении использования уже зарекомендовавших себя правил, существующих для обычных приложений. Да, возникают вопросы, необычные для корпоративных сетей, например, вопросы изоляции приложений в виртуальных средах, особенно если эти приложения запущены различными владельцами, но эти проблемы решаемы. Я бы не стал говорить, что облака предоставят новые средства безопасности. Наоборот, можно утверждать, что они смогут использовать весь спектр существующих мер безопасности, разработанных для обычных, не облачных применений.
Николай: Владимир, спасибо за участие! Мне давно никто толком не может ответить на сравнительно простой вопрос. Один знакомый ИТ специалист (причем, сильный специалист) утверждает, что не пользуется никаким антивирусом, использует только firewall. Возможно ли, даже будучи продвинутым администратором чувствовать себя в безопасности без программной защиты? или это абсолютно неправильно? Заранее благодарен за ответ.
Спасибо DmitryVS за то, что он почти ответил на ваш вопрос. Я бы добавил от себя только следующее: не всякий межсетевой экран имеет встроенное антивирусное средство и не всякий антивирус годен для защиты от всех видов угроз. Некоторые, например, не обрабатывают почтовый SMTP трафик, если вы используете почтовый клиент. Если вы работаете с почтой через веб-интерфейс, используя браузер - не бойтесь, это не про вас J Современные антивирусы HTTP трафик понимают и в реальном времени фильтруют. С этой точки зрения антивирус - необходимая вещь, но вам нужно быть внимательным к тому, от чего он не может вас защитить, чтобы по возможности избегать небезопасной работы.
Илья: Владимир, здравствуйте! Разрешите задать пользовательский вопрос: я пробовал много различных антивирусных систем. Большая часть имеет раздельные модули для сканирования различных угроз (надстройка браузера, e-mail, сканер оперативной памяти, и т.п.). Меня всегда интересовало насколько такая структура оправдана? И второй вопрос к той же теме – только что узнал о существовании антивируса Microsoft (краснею), его движок также интегрируется со всеми продуктами (браузер, outlook, итп.)? Имеет в этом случае значение какой браузер или почтовый клиент используется?
Для разных видов защиты нужны различные модули, так как все надстройки имеют разную структуру и протоколы, с которыми они работают (как я говорил в предыдущем ответе). Это как в медицине: А почему не придумали лекарство от всех болезней? J Болезни же нацелены на разные органы, и лечить их необходимо индивидуально. По поводу второй части вопроса скажу, что при использовании Microsoft Security Essentials не имеет значения, какой вы используете браузер, можете пользоваться любым. Тему почтового клиента я также затронул в предыдущем ответе. Вы должны убедиться, что ваш антивирус понимает SMTP трафик. Мы, например, не встроили в наш бесплатный антивирус проверку почтового клиента, поступив корректно по отношению к тем производителям, которые продают свои решения с такой проверкой. SMTP трафик мы фильтруем на почтовом сервере. Вы будете точно защищены, если не будете использовать почтовый клиент, а будете заходить на почту через браузер.
Оук: Вопросы остались: неужели информационная безопасность майкрософт занимается не только технологической безопасностью, но и социотехникой?
Обеспечение информационной безопасности на 70 состоит из организационных мер и только на 30% из технических. Мы хорошо умеем делать технические решения, но понимаем, что без массовых знаний об остальных 70% эти усилия малоэффективны. Поэтому мы объясняем, что такое социотехника, как правильно организовывать рабочие места, процессы и многое другое. Просвещение — это отдельное направление нашей деятельности, несущее знания об информационной безопасности обществу, чтобы повысить защиту от киберугроз.
Pavel Shvedov: фишинг - интересная тема, скажите, Владимир, а появляются какие-либо более изощренные методы атак, или "индустрия" пока остановилась на совершенствовании существующих?
В одном из первых ответов я продемонстрировал, чем занимается фишинг и как с ним бороться, поэтому отвечу кратко. В таком понятии, как "атака", сложно разделить методы на принципиально новые и просто усовершенствованные. Совершенствование атак ведется по всем возможным направлениям, которые только могут быть. Если кому-то в злоумышленную голову приходит новая идея, она, возможно, будет реализована, по крайней мере, к этому будут приложены все усилия. Если же становится возможно усовершенствовать старые методы с помощью нового подхода, такая угроза становится более опасной.
Есть хороший пример. Многие давно привыкли к бесчисленным предложениям отправить СМС с оплатой за какой-нибудь небольшой бонус. В последнее время этот метод усовершенствовался, и киберпреступники начали активно «играть» на эмоциях жертвы. Представьте себе законопослушного человека, который по неосторожности набрел на вирус, блокирующий доступ к управлению компьютером и выводящий на экран сообщение, в котором говорится, что работа ПК будет продолжена только после отправки СМС на такой-то номер. При этом сообщение сопровождает картинкой абсолютно аморального, провокационного или компрометирующего характера. Естественно, у любого человека рука сама потянется к мобильнику от страха быть подвергнутым публичной клевете. Это прорыв в социотехнике.
Такие ситуации наглядно показывают, как сегодня развиваются атаки, но кто предупрежден, тот вооружен J Необходимо трезво оценить свое положение, понять, что никакие переводы никого никогда не спасали от вирусов, и, в конце концов, позвонить разбирающимся в вопросе специалистам.
Оук: Про корпоративную безопасность хотелось бы услышать больше. Наверняка, спецы по информационной безопасности часто сталкиваются с охотниками за информацией, информационными шпионами и прочими представителями новой профессии прмышленного шпионажа. Вам приходилось? Как от них защититься?
Надо сказать, что 100%-ной защиты в принципе не существует. Вы можете только понизить риски той или иной угрозы. Сложнее всего защищаться от внутренних угроз, исходящих от сотрудников компании. Одним из лучших способов борьбы с этой угрозой является хороший.. отдел кадров! Его работа заключается в найме лояльных к компании работников, проведении мероприятий, повышающих удовлетворенность штата своей работой, поощрении карьерных амбиций и многом другом, чтобы не было обиженных сотрудников, недовольных своей зарплатой, работой или начальством. Ведь не зря говорят, что информационная безопасность – это менеджмент, а человек - самое слабое звено.
Мне лично не приходилось сталкиваться с кражей информации изнутри. А внешнюю безопасность всегда можно поддерживать, имея хорошие знания. Могу сказать, что наш сайт подвергается более чем 100 000 атакам в день. Это самый атакуемый неправительственный корпоративный ресурс в мире. При этом ни одна атака, будь то простая DDoS атака или атака с различными векторами, не увенчалась успехом. Это говорит о том, что при правильной организации защиты, просвещенных сотрудниках и корректных политиках конфиденциальности и безопасности, вы можете чувствовать себя в безопасности.
В завершение нашего разговора мы приведем общее число найденных уязвимостей в известных продуктах по состоянию на 1 декабря 2010 (с сайта secunia.com)
Серверные операционные системы:
Sun Solaris 10 970
Red Hat Enterprise Linux Server v.5 1313
FreeBSD 6.x 86
Microsoft Windows Server 2008 194
Клиентские операционные системы:
Apple Mac OS X – 1408
Red Hat Enterprise Linux Client v.5 1426
Ubuntu Linux 8.04 (апрель 2008) 1119
Windows XP 394
Windows 7 69
Системы управления базами данных:
Oracle Database 11.x 271
IBM DB2 9.x 94
MySQL 5.x 66
Microsoft SQL Server 2005 18
Microsoft SQL Server 2008 0
Браузеры:
Mozilla Firefox 3.5.x 122
Opera 9.x 56
Google Chrome 5.x 56
Microsoft Internet Explorer 8.x 67
Межсетевыеэкраны:
Cisco ASA 7.x 69
Microsoft ISA Server 2006 7
MicrosoftForefrontTMG 2
Меня иногда спрашивают, как найти эти данные на сайте secunia. Отвечаю: идете на http://secunia.com, выбираете производителя (например, Apple), выбираете продукт (например, Macintosh OS X), попадаете на нужную страницу (в нашем случае это http://secunia.com/advisories/product/96/). В правой колонке с надписью «Affected by» смотрите число уязвимостей («Vulnerabilities»). Не путать с «Advisories» - это не уязвимости, а «комплекты уязвимостей», в них могут быть от одной до сотен уязвимостей. Я об этом писал в постах одно-двухлетней давности.
До новых встреч!