На страже безопасностиПринципы квантовой безопасности

Йеспер М. Йоханссон (Jesper M. Johansson)

Появление в обсуждении чего-либо неожиданного, но ценного может доставить массу удовольствия. С некоторых пор я использую для объяснения концепций безопасности принцип неопределенности Гейзенбега. (Те, кому довелось услышать мою историю про единорога, знают, что я люблю использовать фундаментальные теории из других дисциплин, чтобы доказывать свои положения.) Как это ни странно,

фундаментальные концепции из других областей науки порой накладывают отпечаток на сферу информационной безопасности.

Принцип неопределенности Гейзенберга, происходящий из квантовой физики, основан на соотношении, показанном на рис. 1. Сам принцип утверждает, что положение (p) и импульс (x) элементарных частиц соотносятся таким образом, что при повышении точности измерения позиции понижается точность измерения импульса. Нижней границей произведения точностей измерения двух факторов является результат умножения постоянной Планка на небольшую фиксированную величину. Выражаясь более общим языком, этот принцип утверждает, что нельзя абсолютно точно измерить несколько определенных величин для одной и той же частицы одновременно.

Figure 1 Heisenberg Uncertainty Principle

Figure 1** Heisenberg Uncertainty Principle **

Это напрямую относится к предсказанию областей неопределенности, которые, по сути, позволяют предсказать, насколько неопределенным является состояние ряда величин для частицы. Хотя предсказать области еще нельзя (пока), важен тот факт, что невозможно точно предсказать, как две переменных в одной компьютерной сети повлияют на безопасность этой сети.

Также возникает необходимость компромисса. Хотя в области защиты информации и не действует постоянная Планка, но добиться всего и сразу нельзя и тут. Наиболее очевидный из компромиссов – между безопасностью и удобством использования либо полезностью. Если на секунду забыть о доступности (и, честно говоря, я думаю, что сотрудники, работающие над безопасностью, не должны отвечать еще и за доступность, если речь не идет об атаках типа «отказ в обслуживании»), то простейшим способом обезопасить устройство является его отключение. Тут уж в него не влезешь. Полезность, однако, бодро стремится к нулю.

Подобным образом, хотя это и обойдется существенно дороже, утечки конфиденциальных данных можно гораздо надежнее предотвратить, применив недешевую программу предотвращения потери данных, чем рассылая раз в год сотрудникам электронные письма, предупреждающие, что приложения обмена мгновенными сообщениями не следует применять на работе. Но готова ли организация заплатить за средство предотвращения потери данных? Как можно заметить, квантовая физика ближе к безопасности, чем может показаться.

Кошка Шредингера

Родственная, но отличающаяся концепция квантовой физики объясняется в притче о кошке Шредингера. Известно, что Эрвин Шредингер, выдающийся физик двадцатого столетия, вел долгий спор с Альбертом Эйнштейном (как вы знаете, тоже выдающимся физиком того времени) о концепции суперпозиции. Шредингер считал абсурдными области квантовой механики, предусматривавшие суперпозицию (наложение друг на друга) двух различных состояний.

Чтобы обосновать свою мысль, Шредингер предложил мысленный эксперимент, в котором кошка запиралась в герметичный ящик. Другим предметом в ящике был контейнер с ядом, открытие которого контролировалось распадом некоего (воображаемого) радиоактивного атомного ядра. Если оно распадалось, яд высвобождался и кошка умирала.

Атомное ядро, управляясь, как и все объекты микромира, законами квантовой механики, существует в суперпозиции состояний. Определенно являющаяся объектом макромира кошка, поскольку ее состояния целиком зависит от состояния объекта атомного ядра, также существует в суперпозиции состояний. Только пронаблюдав за реальным состоянием кошки, мы наконец помещаем ее в определенное состояние «живости» или «мертвости».

Шредингер, само собой, придумал это как иллюстрацию абсурдности некоторых законов квантовой механики при применении к макромиру. Тем не менее, его пример часто считается породившим то, что на языке дилетантов именуется «эффектом наблюдателя». Эффект наблюдателя, когда он применяется не только к системам микромира в квантовой механике, представляет интерес для нас, специалистов по безопасности. Попросту говоря, акт наблюдения над чем-либо меняет это «что-то».

Эффект наблюдателя

Если немного подробнее, то представьте себе чашку с чаем. Чтобы узнать температуру чая, в чашку помещают термометр. Предположим, что чай нагрет до 80 градусов Цельсия, а температура самого термометра – 22 градуса (комнатная). В момент помещения термометра в чай он начинает поглощать тепло из чая, и чай отдает часть своего тепла на нагрев термометра. В скором времени температура чая и термометра станет одинаковой. Однако она не будет равна ни 80, ни 22 градусам, а будет равной какому-то среднему значению. Таким образом, измерение температуры чая изменило ее.

Эффект наблюдателя тоже имеет отношение к безопасности информации. При каждой попытке сделать что-либо для уменьшения проблемы с безопасностью происходит изменение средств обеспечения безопасности в силу изменения системы. За отсутствием лучшего термина, я назову это «эффектом текучести средств обеспечения безопасности» (SPFE).

Один из простейших примеров находится в случае зависимости учетных записей служб. В главе 8 книги Protect Your Windows Network («Защитите свою сеть Windows») (protectyourwindowsnetwork.com) я рассматриваю установку службы обнаружения вторжения (Intrusion Detection Service – IDS) на компьютерах для обнаружения атак. Однако IDS ведет журнал на центральной системе и требует высокопривилегированного доступа к наблюдаемым системам. Обычно это значит, что служба работает через высокопривилегированную учетную запись службы.

Если любая из этих систем оказывается взломанной, злоумышленник может получить доступ к данным учетной записи службы и получить доступ ко всем остальным системам, помимо отключения самой IDS. Это идеальный пример SPFE. Установка программы обеспечения безопасности создает новую потенциальную угрозу для нее.

В других примерах SPFE нет недостатка. Сделанное Стивом Райли (Steve Riley) описание причин, по которым 802.1x сталкивается с определенными проблемами в проводных сетях (microsoft.com/technet/community/columns/secmgmt/sm0805.mspx), дает еще один отличный пример. Очевидно, что использование брандмауэров на узлах весьма желательно во многих средах. Однако в сочетании с 802.1x это делает определенный тип атак возможным там, где ранее он возможен не был. Опять-таки, технология безопасности изменяет средства обеспечения безопасности в среде и делает возможной невозможную в противном случае атаку.

Это не значит, что упомянутые выше меры бесполезны по своей сути и что их следует избегать. Это значит, что необходимо рассматривать последствия своих действий для системы безопасности в целом. При управлении рисками следует оценивать реальное влияние действий и предотвращений на степень риска. При решении проблемы нельзя заканчивать все на простом применении контрмер. Безопасность – это процесс в самом буквальном смысле. Необходимо использовать стратегию глубокой защиты, не забывая при этом, как добавляемые средства защиты изменят средства обеспечения безопасности и как надо бороться с новыми угрозами, возникающими из-за этой стратегии.

Совершенствующаяся стратегия усиления защиты

Я работал над руководствами по усилению защиты в течении более чем 10 лет. Глядя на первые несколько руководств, над которыми работал, я теперь вижу, что они были просто списками параметров, которые стоило включать согласно моему мнению и мнению моих коллег. В то время общая стратегия безопасности была наивной – руководствуясь, по сути, стремлением включать все, что предназначалось для обеспечения безопасности. О том, что оно могло быть отключено по умолчанию по каким-либо весомым причинам, думали не слишком часто.

Со временем я понял, что для эффективного усиления защиты необходимо его тщательное обдумывание, а также оценка угроз, которым подвержена система. Это откровение привело к ситуациям, которые можно увидеть в руководстве по усилению защиты Windows 2000 (go.microsoft.com/fwlink/?LinkID=22380). Естественным развитием этого было разбиение руководства на части, посвященные различным уровням угрозы, что можно увидеть в руководстве по безопасности Windows Server 2003 (go.microsoft.com/fwlink/?linkid=14846).

Все это время меня беспокоил факт, что даже после установки и включения всего, что предусматривало руководство, проникновение в систему через взлом было все же возможно. Это обычно вызывалось пропущенными исправлениями, пропускавшей меня эксплуатационной практикой или небезопасным программным обеспечением от сторонних производителей.

Получается, что усиление защиты, описанное в этих руководствах, не особенно увеличивало средства обеспечения безопасности в целом. Оно свелось лишь к нескольким ключевым вещам. На деле, самая защищенная система из созданных мною (msdn2.microsoft.com/library/aa302370) использовала только четыре-пять изменений из этих руководств безопасности, причем ни одно из них на деле не остановило ни одной атаки. К несчастью, пользователи хотят просто получить большую синюю кнопку «Обеспечить безопасность», автоматически защищающую системы, но увы, на деле безопасность устроена несколько сложнее.

Как подходить к риску

Чтобы получить защищенную систему (в отличие от конечного состояния безопасной системы), необходим разумный подход к риску. Следует знать, с какими рисками сталкивается система, решить, которые из них следует уменьшить, и затем понять, как их уменьшить, чего редко можно добиться, переводя переключатели.

Обычно переключатели безопасности разрабатываются для конкретных ситуаций, и создаваемая ими настройка не обязательно идеальна для случая пользователя. Вместо этого они дают хорошее основание для начала и доступны в основном потому, что значительная часть рынка требует этих быстро усиливающих безопасность изменений. Большая их часть уже включена по умолчанию в современных программах, а те, что не включены, скорее всего имеют значительные побочные эффекты.

Более того, включение многих переключателей может создать неподдерживаемую и нестабильную систему, которая не способна выполнить свои задачи – только лишь ради ослабления еще не оцененных угроз. SPFE и квантовая физика советуют нам повторить анализ после наладки безопасности, но слишком многие организации забывают про это. На самом деле они забывают про анализ угроз вообще. Если начать с реального анализа угроз, то выяснится, что реальное значение имеют отнюдь не безликие ограничения на перечисление имен учетных записей и радикальные изменения списка управления доступом.

На деле реальное значение имеет определение того, должна ли система предоставлять определенную службу, если да, то кому, и последующее обеспечение этой политики. Значение имеет допуск к связи с системой только тех систем и пользователей, которым это совершенно необходимо. Значение имеет обеспечение работы всех приложений и пользователей с минимальным возможным уровнем полномочий. Короче говоря, значение имеет разумный подход к безопасности и выполнение сложного анализа, позволяющего каждой системе быть ответственной за собственную безопасность.

Именно по этой причине в составе современного подхода к безопасности есть такие средства, как изоляция серверов и доменов (microsoft.com/sdisolation), мастер настройки безопасности (SCW) в продуктах Windows Server® и средства диспетчера серверов для управления ролями в Windows Server 2008. Эти средства проводят пользователя через процесс формулировки ситуаций, которые необходимо поддерживать, и затем помогают ему запереть свои системы нужным образом. Конечно, эти средства не предлагают требуемой всеми панацеи, но они создают поддерживаемые настройки, реально выполняющие задачи, для которых покупалось программное обеспечение.

Применяйте безопасность там, где необходимо

Все это значит, что в обеспечении безопасности нельзя полагаться на другие сущности или простые изменения. Каждый ресурс должен быть способен защищать себя, поскольку такие концепции, как «периметр» или «внутренняя сеть», в наше время лишены смысла.

Подавляющее большинство сетей организаций следует рассматривать как, в лучшем случае, полувраждебную среду. Необходимо понимать это и предпринимать соответствующие действия, не полагаясь исключительно на запоздалые советы по усилению защиты. Для начала следует осознать свои потребности и искать совета от тех, кто также их осознает.

Недавно я наблюдал гостя на веб-трансляции, рекомендовавшего пользователям из сферы малого бизнеса посетить веб-узел Министерства национальной безопасности, чтобы загрузить руководство по усилению защиты для Internet Explorer®. С какой стати ожидать, что правительственное учреждение, в задачи которого входит защита вооруженных сил и органов охраны общественного порядка, предоставит разумное руководство по защите веб-обозревателя для малого бизнеса? Это идеальный пример неудовлетворительной логики, все еще господствующей в сфере компьютерной безопасности. Предполагается, что раз руководство выпущено правительственным учреждением, называемым трехбуквенной аббревиатурой, то оно должны обеспечить высокую безопасность.

Выбирать обычно предлагается из двух вариантов: можно иметь «высокую безопасность» или «низкую безопасность». Вернее было бы сказать, что выбирать приходится между «высокой безопасностью» и «подходящей безопасностью». Безопасность, как и одежда, имеет свой размер.

На самом деле, высокая безопасность не подходит всем – и обычно даже не большинству! Это не конечная цель, к которой следует стремиться. Это специализированная настройка для систем, защищенность которых является вопросом жизни и смерти. Если это соответствует профилю риска и модели угроз, используйте высокую безопасность.

Если это не соответствует профилю риска и модели угроз, используйте что-либо более подходящее. Скорее всего, большинство параметров, которые можно настроить, уже установлены соответственно уровню профиля среднего риска по умолчанию. Это состояние по умолчанию, используемое в большинстве нынешних продуктов Майкрософт, предоставляет разумный компромисс между безопасностью с одной стороны и удобством использования, полезностью и производительностью – с другой. Что же до усиления защиты, оно обычно делается за пользователя.

Теперь следует рассмотреть другие меры безопасности. Хорошим местом для старта будет центр безопасности TechNet (microsoft.com/technet/security) и, само собой, книги вроде Windows Server 2008 Security Resource Kit.

Все дело в управлении рисками

К этому моменту читатели уже вероятно поняли, куда я клоню: управление рисками. Принцип неопределенности Гейзенберга здесь был при том, что добиться сразу и всего нельзя. Эта часть принципа – не формула Циолковского.

Однако смысл истории с кошкой Шредингера слишком часто проходит мимо внимания людей. Важно не только проанализировать все стороны проблемы и выработать компромиссное решение, необходимо также проанализировать изменения, вносимые решениями. Основательная стратегия управления рисками оценивает влияние этих изменений на систему и то, были ли эти изменения применены как часть стратегии уменьшения рисков либо по любой другой причине.

Ожидаемый ущерб в годовом исчислении

Распространенным способом измерения риска и методом, преподаваемым на многих сертификационных курсах по безопасности, является уравнение ожидаемого ущерба в годовом исчислении (ALE), показанное на рис. 2. Стандартное уравнение ALE просто. Определяется вероятность происшествий и издержки, причиняемые каждым случаем, после чего два значения перемножаются. Это дает сумму, которую, вероятно, отнимут происшествия в сфере безопасности за год. Если стоимость риска достаточно высока, реализуется ее снижение.

Figure 2 ALE is the probability of a loss, multiplied by the cost of the loss per incident

Figure 2** ALE is the probability of a loss, multiplied by the cost of the loss per incident **(Щелкните изображение, чтобы увеличить его)

Проблема в том, что стандартное уравнение ALE не оценивает стоимость снижения. Оно не просто стоит денег само по себе, многие меры по уменьшению риска имеют побочные эффекты, также влекущие затраты.

Взгляните на одну из самых стандартных настроек безопасности: блокировку учетной записей. Многие организации применяют блокировку учетных записей якобы для того, чтобы не давать злоумышленникам угадывать пароли. Вероятность такого угадывания можно подсчитать математически. При наличии изобретательности можно также высчитать среднюю стоимость ущерба, причиняемого успешным угадыванием пароля злоумышленником. Основываясь на этих двух цифрах, многие организации заключили, что результаты уравнения ALE неприемлемы и, следовательно, необходима блокировка учетных записей.

Однако эта конкретная мера по уменьшению риска связана с затратами, которые порой не принимают во внимание. Прежде всего это стоимость ее собственного применения, хотя в этом случае она практически минимальна. Но чтобы быть верным, уравнение также должно включать стоимость побочных эффектов, вызываемых снижением риска.

В первую очередь это затраты, связанные с разблокировкой учетных записей пользователей службой поддержки. Если учетная запись блокируется лишь на короткий период времени, скажем 15 минут, утрата производительности в этот период все же сопряжена с издержками. Этот фактор подсчитывается как издержки от каждого происшествия, умноженные на вероятность этого происшествия в данный период времени. В данном случае издержки умножаются на ожидаемое число событий блокировки – число, которое могут предоставить журналы событий.

Также необходимо оценить фактор раздражения пользователей. Много отдельных примеров свидетельствуют о том, что пользователи, если им надо опасаться блокировки учетной записи, начинают использовать более простые пароли, потому что при их наборе сложнее ошибиться. В силу этого вероятность происшествия, которого мы хотели избежать, не падает до нуля после применения мер снижения риска.

Наконец, сами эти меры могут ввести новые уязвимости, которых ранее в системе не было. В случае блокировки учетных записей злоумышленник может использовать ее для отключения всех учетных записей в сети просто путем многократных попыток неверно угадать их пароли. Вероятность этого существует, и каждый случай добавляет свои издержки.

Принимая все это во внимание, ясно, что уравнение ожидаемого ущерба надо скорректировать. Во-первых, нужно изменить вероятность происшествия. Оно будет менее вероятным, чем ранее, но вероятность, как показано выше, не опустилась до нуля. Стоимость каждого происшествия также могла измениться. К этому результату надо добавить издержки на снижение риска. Они состоят из затрат на реализацию плюс суммы издержек всех побочных эффектов в годовом исчислении. Каждая из этих издержек является производной от вероятности побочного эффекта и затрат, вызываемых каждым из его проявлений. Если немного упростить представление уравнения, теперь получается более точное уравнение анализа риска, показанное на рис. 3.

Улучшенное уравнение на рис. 3 предлагает гораздо более точный способ анализа риска, связанного с определенной проблемой. Многие организации уже проанализировали свои риски этим способом. Но слишком многие все еще придерживаются упрощенных воззрений на риски, которые не указывают должным образом на необходимость анализа влияния мер по их снижению. Использование измененного уравнения ALE помещает эту необходимость на первый план.

Figure 3 Considering the additional costs of mitigation

Figure 3** Considering the additional costs of mitigation **(Щелкните изображение, чтобы увеличить его)

Что все это значит

Если вынести из этой статьи только одну мысль, это должна быть мысль о необходимости поставить под вопрос расхожее мнение, на котором основываются стратегии безопасности. Слишком многое из того, что делается в области безопасности информации основано на плоском и стереотипном видении мира. И многие из предположений уже устарели.

Атаки изменились. Злоумышленники стали профессионалами, работающими ради денег, чувства национального превосходства или идеологии. Нельзя позволить себе выкидывать время и деньги на настройки безопасности, которые ее не улучшают. Это также означает необходимость гораздо более изощренного подхода к управлению рисками.

Во-первых, важно понять, что любое изменение вносится за счет чего-то. Нереально знать все с полной определенностью.

Во-вторых, необходимо понимать, что система взаимозависима. Внесение изменений в безопасность системы изменяет саму систему, а это значит, что необходимо проанализировать ее снова.

В идеале это стоит сделать до реального применения изменений, поскольку слишком часто их влияние на систему столь огромно, что они приносят больше вреда, чем пользы. Использование лучших средств анализа, напоминающих о том, что изменения надо проанализировать, понижает вероятность того, что о них забудут.

Наконец, нельзя забывать о человеческом факторе. Сфера безопасности информации целиком посвящена тому, чтобы позволить организации и пользователям в ней работать настолько безопасно, настолько возможно.

В недавней презентации я указал, что пользователи не покупают компьютеры, только чтобы ставить на них антивирусные программы. Безопасность – основная цель отвечающего за нее сотрудника, но не компании. Организации, которые просто терпят безопасность, потому что это в их интересах, делают это в настоящий момент. Никогда не забывайте, что группа безопасности информации должна служить организации, а не наоборот. Если проигнорировать этот факт, то пользователи пойдут на все, чтобы выполнить свою работу, в том числе на обход мер безопасности, которых они не понимают или с которыми не согласны.

**Йеспер М. Йоханссон (Jesper M. Johansson)**является архитектором программного обеспечения, который работает над программами безопасности, и пишущим редактором журнала TechNet Magazine. Он имеет докторскую степень по информационным системам управления, обладает более чем 20-летним опытом в области безопасности и званием наиболее ценного специалиста (MVP) Майкрософт по безопасности предприятий. Его последняя книга – Windows Server 2008 Security Resource Kit («Набор ресурсов безопасности Windows Server 2008»).

© 2008 Корпорация Майкрософт и компания CMP Media, LLC. Все права защищены; полное или частичное воспроизведение без разрешения запрещено.