На страже безопасностиВозвращаясь к 10 непреложным законам безопасности, часть 3

Йеспер М. Йоханссон (Jesper M. Johansson)

Вы, вероятно, знакомы с «10 непреложными законами безопасности». Это очерк о безопасности, который, будучи опубликован примерно восемь лет назад, остается немаловажным и популярным по сей день. С другой стороны, многое изменилось за прошедшие восемь лет, так что я взялся проверить эти законы и выяснить, сохраняют ли они силу. В предыдущих выпусках рубрики «На страже безопасности» я говорил о первых семи из этих законов.

Пока что эти законы держатся весьма неплохо, несмотря на впечатляющие усовершенствования в безопасности и возможностях связи, которые мы наблюдали за последние годы. Хотя некоторые из этих законов могут иметь несколько иную интерпретацию сегодня и хотя для одного или двух из них могут существовать некоторые способы частичного обхода, они все еще остаются законами. Они по-прежнему очень полезны в определении формы стратегии безопасности информации, к тому же в обычной законодательной системе мы ожидаем, что законы будут развиваться вместе с обществом.

В этом месяце я поговорю о трех последних законах и завершу статью некоторыми мыслями о том, как могла измениться среда, создав пустоты, более не заполняемые законами. Ну а если читатели, случаем не знакомы с первоначальным очерком, то его можно найти на веб-узле TechNet.

Восьмой закон. Устаревшая программа поиска вирусов лишь немногим лучше отсутствия программы поиска вирусов.

Из всех законов этот в наибольшей мере показывает признаки возраста. Не то чтобы сейчас больше не было вирусов – совсем наоборот. Поставщики антивирусного программного обеспечения заявляют, что они регистрируют несколько сотен тысяч вирусов в год. А в статье «Глобальный отчет Symantec по угрозам безопасности Интернета», опубликованном в апреле 2008 г., компания Symantec заявила, что обнаруживает теперь свыше одного миллиона различных угроз.

Старость восьмого закона очевидна в том, что он говорит об программе поиска вирусов. Тогда, в конце 90-х, проблемы практически исчерпывались вирусами. Однако дни, когда худшей из возможных угроз был макровирус для Microsoft Word, давно прошли. Сейчас мы боремся с вирусами, червями, программами-шпионами, программами показа рекламы, клавиатурными шпионами, веб-узлами с ловлей на живца, спамом и программами-роботами. И это еще не все — необходимо также беречься от фальшивого ПО по борьбе с вредоносными программами.

Вирусы — это довольно старомодная технология по сравнению со всеми прочими вредоносными вещами, с которыми приходиться иметь дело сегодня. Имеет ли тогда значение, устарела ли антивирусная программа или нет, если все, что есть в системе — это средство обнаружения вирусов? Очевидно, что практически все программы такого рода, доступные сейчас, обнаруживают не только вирусы, но акцент закона на программе для поиска вирусов и является свидетельством его старости. Чтобы быть хотя бы минимально полезным, решение по борьбе с вредоносными программами должно обнаруживать гораздо больше, чем просто вирусы.

Как отмечено в последнем выпуске моей серии из трех статьей «Вирусы и кредитные карты», это породило систему выставления флажков, в которой различные поставщики программного обеспечения безопасности состязаются, отталкиваясь от числа пунктов, против которых они могут «выставить флажок». В число пунктов, против которых выставляются флажки, входят различные виды вредоносных программ, от которых они предлагают защиту.

Большинство ПО для борьбы с вредоносными программами доступно лишь в виде наборов, выполняющих гораздо больше функций, чем просто ПО для борьбы с вредоносными программами и включающих в себя также консоли для управления всеми компонентами. На рис. 1 показана консоль, предоставляемая Microsoft Windows Live OneCare, которая включает функции антивируса, антишпионской программы и программы резервного копирования; отслеживает встроенный фильтр фишинга Internet Explorer; и включает отдельный брандмауэр, не основанный на встроенном в Windows (избыточность, обычная для комплектов безопасности). Современные антивирусные программа на деле обычно противостоят всем видам вредоносного ПО и обычно включают дополнительные компоненты.

Рис. 1. Консоль Live OneCare довольно типична для современных наборов безопасности (щелкните изображение, чтобы увеличить его)

Это обусловлено тем, что сейчас существует больше вредоносных программ, чем когда бы то ни было, и преступники, пишущие вредоносные программы, все лучше маскируют их под обычные. Современные вредоносные программы — это обычно гибриды троянских программ и других видов вредоносных программ.

Среднему пользователю очень сложно отличить вредоносную программу от нормальной. И значительная часть вредоносных программ выдается со вполне благонамеренных веб-узлов либо веб-узлов, когда-то бывших таковыми, часто в виде рекламы. Некоторые даже творят свои темные дела автоматически, без какой-либо помощи со стороны пользователя, помимо посещения веб-узла.

ПО для борьбы с вредоносными программами может помочь в обнаружении части таких фокусов. Лучшим подходом к сдерживанию этой преступной волны является сочетание использования подобного ПО и осторожности при работе. Хотя кое-кто может сказать, что достаточно и одной осторожности, это зависит от наличия должной осмотрительности и здравого смысла — качеств, которые, увы, прискорбно редки.

Или вот еще один возможный случай: использование компьютеров детьми. У них не просто нет опыта в этом деле: многие родители не обладают достаточным знанием компьютерной безопасности, чтобы внушить ее важность своим детям. Более того, постоянно следить за детьми, когда они используют компьютер, практически нереально.

В таких ситуациях ПО для борьбы с вредоносными программами предоставляет хотя бы частичную подстраховку— оно заставляет преступников продолжать улучшать свои приемы. И хотя это может создать порочный круг, в котором вредоносные программы становятся лучше и лучше, вполне очевидно, что это также сдерживает весьма значительную их часть.

Защитное ПО может как минимум избавлять среду от наиболее примитивных вредоносных программ, позволяя специалистам по безопасности сосредоточить внимание на более замысловатых атаках. Если оно полностью удалено из среды, то нас, вероятно, затопят даже самые простые вредоносные программы. Проблема станет на много порядков серьезнее, чем сейчас.

Но ничто из этого не отвечает на рассматриваемый вопрос, а именно: «Сохраняет ли силу восьмой закон?» Очевидно, что это зависит от интерпретации. С точки зрения пуриста, закон утверждает, что устаревший антивирус лишь немногим лучше его полного отсутствия. Однако, учитывая, как быстро мутируют вредоносные программы, можно легко сказать, что устаревшее антивирусное ПО полностью бесполезно. Это может быть легким преувеличением, но назвать его полностью необоснованным нельзя.

Гораздо более реалистичным подходом к восьмому закону будет его интерпретация заново с точки зрения современности. Я бы перефразировал его так: «Использование ПО для борьбы с вредоносными программами обязательно, и оно должно быть современным». Если взглянуть на восьмой закон более прагматически, то он определенно сохраняет силу. В конце концов, даже наиболее упорные противники ПО для борьбы с вредоносными программами не могут успешно аргументировать его полное удаление из среды безопасности.

Лично я предпочитаю достаточно вольную интерпретацию законов и сказал бы, что восьмой закон все еще имеет силу. Однако я добавил бы также, что, учитывая все более быстрые изменения вредоносных программ, своевременное обновление ПО для борьбы с ними абсолютно необходимо.

Девятый закон. Абсолютная анонимность непрактична как в реальной жизни, так и в сети.

Когда я думаю об этом законе, мне сложно удержаться от шуток насчет того, как наши правительства и крупные корпорации заботятся о том, чтобы свести нашу анонимность к минимуму. Правительство Соединенных Штатов и сеть магазинов TJX Companies совместными усилиями добились того, что личные данные примерно половины населения США попали в руки преступного мира. Хотя мне и хотелось бы помечтать о том, что такая вещь, как анонимность, существует, в реальной жизни это далеко не так (для тех, кто не испытывает желания полностью отключиться от сети, избавиться от своего банковского счета, переехать на необитаемый остров и полностью лечь на дно).

Огромный объем информации о нас либо выдается нами намеренно, либо может быть получен из одного лишь взаимодействия с нами. Сетевые сообщества совместными усилиями добились того, что большинство взрослых, использующих Интернет, и многие дети предоставляют публике массу личных данных. Значительная их часть может и не быть информацией, к которой мы хотели бы давать доступ окружающим. Какая-то часть может повредить нашей или чьей-то еще репутации. (Помните, что возможный наниматель может увидеть фотографию, бросающую тень на ваше поведение).

Ну и, конечно, некоторую информацию можно прямо использовать во вред. Личные сведения, такие как телефонные номера, адреса, счета и тому подобное, следует считать конфиденциальными. В одном из случаев пользователь придумал очень удобный способ отслеживания всех узлов Интернета, которые он применил для работы с электронными банковскими системами, управления кредитными картами и так далее. Он создал специальную домашнюю страницу со всеми необходимыми ссылками. Чтобы все нужные элементы информации было проще запомнить, он также отсканировал все свои важные документы, включая чек с отпечатанным на нем номером своего банковского счета, свою кредитную карту (обе стороны), водительские права, паспорт и даже карту социального страхования.

Все было бы хорошо, размести он свою веб-страницу в безопасном месте. Увы, его личная страница, размещенная его поставщиком услуг Интернета, не была конфиденциальной. Ее URL-адрес отображался в строке источника ссылки на каждой странице, которую он щелкал со своего веб-узла. Пройдя по этому URL-адресу обратно, можно было получить личную информацию ценой в многие тысячи долларов на черном рынке. Это исключительный случай, но он выделяет важность тщательного управления личной информацией, доступной в сети.

Хотя веб-узлы сетевых сообществ обычно предлагают замысловатые параметры конфиденциальности, часто они не включаются по умолчанию. На рис. 2 показано управление конфиденциальностью для Facebook, хотя и не с параметрами по умолчанию. Таким образом, хотя полной анонимности ожидать нельзя, осторожность позволяет достигнуть определенного уровня анонимности.

Рис. 2 Параметры конфиденциальности в Facebook могут быть ограничены, если изменить настройки по умолчанию (щелкните изображение, чтобы увеличить его)

Конфиденциальность в сети, как и в реальной жизни, во многом зависит от того, как ею управлять. Если правительственное учреждение или корпорация неосторожно обращается с вашими личными данными, то поделать с этим ничего нельзя, но можно попытаться смягчить последствия этого. Кроме того, можно избежать передачи избытка информации, когда это не строго необходимо.

Одним очень полезным методом контроля личной информации является установка предупреждения о мошенничестве в основных бюро оценки кредитоспособности. Увы, благодаря настойчивому и успешном лоббированию этими бюро им разрешено делать получение таких предупреждений весьма обременительным. Они стоят от 6 до 12 долларов США за каждое бюро, на период в три месяца и обычно должны обновляться вручную. Лучшим вариантом является использование услуг других компаний, таких как Debix (debix.com), позволяющих установить предупреждения о мошенничестве.

Если получать кредит не требуется, то можно организовать замораживание кредита, предотвращая чтение отчета о кредитоспособности кем бы то ни было. Но бюро оценки кредитоспособности постарались, чтобы замораживание кредита было незаконным в большинстве штатов, а во многих других штатах оно разрешено только тем, чьи личные данные уже были украдены. Замораживание кредита также стоит намного больше денег и часто должно производиться сертифицированным письмом. (Снять его, что интересно, обычно можно простым телефонным звонком.)

Другой способ контролировать личные данные — ограничить круг тех, кто получает их. Не передавайте их организациям, которым они не нужны. Ограничьтесь организациями, которым доверяете, и не поддерживайте те, которые пренебрегали защитой ваших данных ранее. Для получения базовой информации нет нужды создавать учетную запись и предоставлять учетные данные. Если доступ к руководству по продукту требует регистрации на веб-узле, либо не используйте продукт, либо используйте для регистрации ложные данные. Если для этого нужен адрес электронной почты, используйте бесплатную службу веб-почты для создания временной фальшивой учетной записи.

Все это на деле служит доказательством того, что девятый закон определенно работает. Способность сохранять свою конфиденциальность в сети и в реальном мире не улучшилась за последние годы; на деле она серьезно ухудшилась. С момента публикации первоначальных законов почти все подключилось к сети, и Интернет теперь используется как средство проведения огромного числа бизнес-операций, использующих данные о клиентах.

Таким образом, отслеживать свои личные данные теперь важнее, чем когда бы то ни было. Я бы, пожалуй, внес в девятый закон лишь одно изменение, переписав его как: «Абсолютная анонимность в сети невозможна, но вы можете контролировать, насколько близки вы к ней.»

Десятый закон. Технологии — не панацея.

Десятый закон всеобъемлющ. Он означает, что нет никакой большой синей кнопки «защитить меня сейчас»… или, по крайней мере, она не работает. Одни лишь технологии не могут смягчить наши проблемы безопасности. Это серьезный вопрос, поскольку значительная часть отрасли безопасности всеми силами пытается убедить покупателей, что технологии на деле являются панацеей. Постоянно повторяется, что достаточно лишь приобрести последнюю версию нужного набора безопасности, и можно будет перестать волноваться насчет всего прочего.

Скотт Калп имел в виду не это, когда писал десятый закон, но, как и все великие законы, он рос и совершенствовался со временем. Первоначальная идея была в указании на несовершенство технологий и на то, что даже не будь его, взломщики подошли бы с другой стороны. Во время написания закона технические средства безопасности мало чем могли похвастаться. Корпорация Майкрософт была в осаде, и десятый закон был в некотором роде способом объяснения ею неудач безопасности.

Однако во многих отношениях десятый закон также оказался пророческим. Объяснение включает утверждение, что если повысить затратность и сложность атак против технологий безопасности, то злоумышленники ответят на это переносом внимания с технологий на пользователя.

Именно это и произошло. Технологию сложно взломать, людей нет. Так что преступники атакуют их с помощью различных приемов «социальной инженерии» и фишинга. Для мира, где отсутствие безопасности имеет денежное выражение, это естественный ход вещей.

Десятый закон не только сохраняет силу, он опередил свое время — настолько опередил, что, хотя он и верен сегодня, его объяснение кажется несколько устаревшим. Возможно, он просто имел иной оттенок значения во время написания. Сейчас он сохраняет силу, но его значение изменилось, и его интерпретация должна стать шире. Нам следует бросить взгляд за пределы технологий и работать над той частью безопасности, которая касается людей и процессов. Для достижения успеха нам нужно понять, как сделать защищенными эти части среды.

Что дальше?

Законы оказались весьма устойчивыми. Все они сохраняют силу уже восемь лет. Некоторые, особенно десятый закон, даже кажутся окрепшими с течением времени и могли бы с тем же успехом быть написаны вчера. Последний закон, будучи со всех практических точек зрения всеобъемлющим, оказался пророческим. Похоже, что он предвидел новую ветвь безопасности — гибкую безопасность, которая крайне важна для здоровой среды.

Технология — действительно не панацея. Лишь знание этого факта позволило вообще сформулировать законы. Только принимая во внимание факт несовершенства технологии, можно полностью оценить все прочие законы. В самом деле, если взглянуть на законы с первого по девятый, то все они сводятся к гибкой безопасности и процессу. Все они, по сути, говорят о неверных настройках, отсутствующих исправлениях, уязвимостях, создаваемых людьми, или иных формах неадекватного обращения с системой и защищаемыми ею данные.

Когда я только взялся за написание этой серии статей, я твердо намеревался добавить несколько собственных законов. Но в ходе анализа законов я пришел к выводу, что этого не требуется. Десятый закон подводит итог всем прочим и охватывает все что я мог бы добавить. Вместо добавления я бы просто переформулировал десятый закон как: «Технологии — не панацея, и избавление от подобных иллюзий крайне важно для безопасности».

Помните, что эти законы были написаны во время, когда среда ИТ переходила от мировоззрения «проблемы 2000» к миру специалистов по аудиту. Безопасность сейчас завладела всеми умами.

Почему это так? В основном благодаря взрывному росту преступных предприятий. Преступники, многие из которых открыто действуют в странах без юридической системы, заинтересованной в нашей защите, осознали, что они могут обратить слабую электронную безопасность в деньги. Это коснулось наркоторговли, мафии в странах бывшего Восточного блока, террористических групп и так далее.

Компьютерной преступностью теперь движут три фактора: алчность, идеология и национализм. Чтобы отразить эти новые атаки, нам необходимо работать на фундаменте непреложных законов. Нам также нужно принимать трудные компромиссы, но я отложу рассказ об этом для будущей статьи.

Йеспер М. Йоханссон является старшим архитектором безопасности для хорошо известных клиентов Fortune 200 и пишущим редактором журнала TechNet Magazine. Он имеет докторскую степень по информационным системам управления, обладает более чем 20-летним опытом в области безопасности и званием наиболее ценного специалиста (MVP) Майкрософт по безопасности предприятий. Его последняя книга — Windows Server 2008 Security Resource Kit.