Некоторые ошибочные идеи информационной безопасности

Информационная безопасность регулярно совершенствуется – мы наблюдаем неиссякаемый поток инноваций в данной сфере. Тема безопасности вызывает общественный интерес и беспокойство, ее активно обсуждают политики, идет процесс законотворчества в области защиты персональных данных, коммерческой и государственной тайны. С каждой новой идеей проблемы, казалось бы, должны решаться, а производительность и эффективность информационных систем возрастать. Но почему с регулярным усовершенствованием технологий и постоянными инвестициями в безопасность проблема защиты информации существует и остается "горячей темой"?

В статье рассмотрены некоторые ошибочные идеи информационной безопасности. Ошибочность исходит из предположения, что прогресс несет в себе лишь положительные перспективы. В одном случае это благонамеренные попытки достичь абсолютной безопасности, на первый взгляд не имеющие отрицательных сторон, в другом – просто поверхностные решения проблем без понимания фундаментальных причин их возникновения. Данная статья рассматривает моменты, на которые необходимо обратить внимание, чтобы избежать промахов и лишней траты сил.

Идея «разрешить по умолчанию»

Ошибочность этой идеи кроется в различных формах; сам принцип невероятно трудно искоренить. Почему? На первый взгляд принцип администрирования систем информационной безопасности, основанный на «разрешениях по умолчанию» прост и привлекателен.

Наиболее узнаваемые формы данной идеи проявляются в правилах брандмауэра. Еще при зарождении систем информационной безопасности было решено, что при подключении к Интернету сетевыми администраторами будет ограничен входящий Telnet, Rlogin и FTP трафик. Все остальное оставалось разрешено, отсюда и название «разрешение по умолчанию». Такой подход положил началу бесконечной гонки между специалистами по безопасности и хакерами. В основном новые уязвимости обнаруживаются в службах и приложениях, которые не были сразу заблокированы по причине смутной необходимости, либо надежд администратора, что их не обнаружат и не взломают. С появлением сетевых червей принцип «разрешено по умолчанию» должен был исчезнуть навсегда, но этого не произошло. Большинство современных сетей по-прежнему построены на идее открытого ядра, отсутствии сегментации и запрета только определенных протоколов и служб.

Подобный принцип разрешения лежит и в отношении исполняемых файлов и приложений в системах. Как правило, по умолчанию к выполнению разрешено все, что запускает пользователь, если исполнению не препятствует что-то, вроде антивируса или блокировщика шпионских программ. Разрешив исполнение только определенных файлов, можно оградить систему от вредоносного, нежелательного или игрового программного обеспечения. К сожалению, операционные системы пока еще не обучены противостоять известным атакам, старому вирусу или части программ-шпионов, не запрашивая действий пользователя.

Определить, что используется подход «разрешено по умолчанию» просто – в этом случае потенциальные угрозы неизвестны, информационные риски не определены, а службы безопасности вовлечены в игру на опережение хакерских атак. Противоположный подход «запрещено по умолчанию» определяет только службы, процессы или приложения, разрешенные к выполнению, и повышает уровень безопасности организации.

Идея «подсчитать угрозы»

На заре компьютерной безопасности существовало относительно небольшое число известных угроз, многие из которых были связаны с принципом «разрешено по умолчанию». Когда существуют только 15 всем известных способов взломать сеть, их можно хорошо изучить и определить способы нейтрализации. Так в области безопасности появилось понятие «число угроз» – список всех потенциальных опасностей,  о которых что-либо известно.

Однако, с расширением организаций, росли и размеры корпоративных сетей, появлялись сети, которые насчитывали не одну тысячу компьютеров, функционирующих под управлением различных операционных систем. И с каждым днем появлялись десятки и сотни новых экземпляров вирусов, червей, троянов и другого вида вредоносного программного обеспечения. В какой-то момент времени количество угроз достигло такого значения, что считать их стало сложно и нецелесообразно. Сейчас на первое место выступают задачи по управлению разнообразными защитными механизмами и борьбе с угрозами за счет комплексного подхода к информационной безопасности.

Явным признаком того, что в информационной инфраструктуре присутствует принцип перечисления угроз, является то, что безопасность системы основана только на решениях, требующих обновления сигнатур на регулярной основе.

Идея «публикация уязвимостей»

Сама идея создания инфраструктуры по управлению уязвимостями нашла широкий оклик в среде информационной безопасности. Управление уязвимостями, как и обеспечение информационной безопасности, является непрерывным процессом. Создание системы управления уязвимостями позволяет управлять информационными рисками и иметь информацию обо всех активах организации.

Одним из необходимых действий по управлению уязвимостями является применение критических обновлений для устранения «дыр» в программном обеспечении. Когда приложение становится доступным из-за пределов корпоративной сети, оно может подвергнуться хакерским атакам при отсутствии обновлений и наличии известных уязвимостей. В такое приложение внедряется вредоносный код, который затем распространяется по всей корпоративной сети.

Недостаток идеи подробной публикаций уязвимостей заключается в том, что хотя описание уязвимости становится известным и общедоступным, многие организации по различным причинам все равно откладывают внедрение системы управления обновлениями и оставляют свои приложения потенциальными целями для хакерских атак. В это время злоумышленники могут воспользоваться опубликованной информацией и, не прилагая особых усилий, нанести вред корпоративной сети.

Заключение

В статье мы рассмотрели некоторые ошибочные тенденции, следование которым оказывает влияние на уровень информационной безопасности. Применение политик разрешения по умолчанию, попытка посчитать потенциальные угрозы и отсутствие системы управления уязвимостями могут привести к катастрофическим последствиям для информационной инфраструктуры организации. Обеспечение информационной безопасности является постоянным и трудоемким процессом. Регулярно появляются как новые способы взлома информационных систем, так и методы и средства их защиты. Однако без аналитического подхода, без оценки рисков и без четкого понимания решаемых задач средства защиты информации остаются просто системами, реализующими определенную технологию.