Виртуализация приложений — новый уровень реализации терминального доступа к корпоративным приложениям и данным

BCC вошла в пятерку лидеров в предоставлении ИТ-услуг (Рейтинг РА «Эксперт» — «Российские ИКТ, 2010»)

Центр обработки данных обеспечивает непрерывность бизнес-процессов и повышает коэффициент доступности

Круглый стол: «Сетевая безопасность. Актуальные проблемы и их решения» (IP-News)

Источник информации: http://ip-news.ru/?cat=autor_news&key=351

7 июня 2010 года информационно-аналитическое издание IP-News совместно с системным интегратором BCC провело круглый стол «Сетевая безопасность. Актуальные проблемы и их решения». Тема мероприятия была продиктована стабилизацией экономической ситуации и укрупнением бизнес-единиц, в результате чего вопросы безопасности корпоративных сетей стали крайне актуальными. Во время нового витка развития компании сеть становится уязвимой, поэтому в телеком-среде Петербурга и назрела необходимость поговорить о сетевых угрозах.

Главными экспертами круглого стола стали Роб Лэмб (Rob Lamb), вице-президент IBM Security Products, а также Олег Летаев, региональный представитель по системам информационной безопасности, IBM.

6600 угроз в год

Мероприятие началось с доклада Роба Лэмба о действиях исследовательской группы IBM в области безопасности. Ее специалисты периодически подготавливают доклады о ландшафте сетевых угроз и анализируют актуальные угрозы и уязвимости сетей. Исследовательская группа преследует две основные цели: обеспечивать ядро продуктов безопасности IBM и распространять информацию об угрозах и ландшафте безопасности среди своих коллег по всему миру.

Согласно выводам за 2009 год, трендом последних лет стало изменение источников угроз. Если раньше это были отдельные люди, которые проникали в сеть компании для вредоносных действий, то сейчас все чаще угрозы исходят от хорошо финансируемых групп, для которых проникновение в чужой бизнес стало их собственным делом.

«В прошлом году было обнаружено 6600 новых уязвимостей. Этот уровень не меняется 3-4 года», — рассказал г-н Лэмб. Примечательно, что 60% обнаруженных уязвимостей не имели на конец года патчей производителей.

Как известно, во всех компаниях имеется внутренний, корпоративный, веб-портал и внешний сайт. Средством доступа до них традиционно служат браузеры. Таким образом, веб-браузер является основным инструментом, «окном», взлома конфиденциальной информации и чаще всего подвергается атаке. При этом, веб-приложения, размещенные на сайте компании, — это еще один вектор атак, появившийся в последнем десятилетии. Сейчас до 65% атак направлены именно на них. Объяснение этому достаточно простое: проникая в сеть, злоумышленнику становится гораздо сложнее найти ценную информацию, а через веб-приложения он может получить доступ непосредственно к базам данных, которые имеют особую ценность.

Заметим, что сейчас достаточно популярным стало размещение различной информации в формате PDF. Соответственно, файлы Adobe Acrobat теперь также входят в зону интересов разработчиков зловредного ПО.

Кроме того, наибольшей опасности подвержены учетные записи привилегированных пользователей, то есть администраторов ОС и баз данных. «Сегодня контроль действий привилегированных пользователей — это обязательное требование со стороны различных стандартов и регулирующих органов», — сказал г-н Лэмб, имея в виду, что неправомерные действия в их отношении могут производиться как извне компании, так и самими недобросовестными привилегированными сотрудниками. Известен случай, когда сотрудник крупнейшего банка Америки, имея привилегированный доступ к изменениям конфигурации системы, присваивал себе с каждой проводимой трансакции некоторый процент.

Другая область, где сегодня наблюдается рост количества угроз, связанных с привилегированными пользователями, — это инсайдерские угрозы, когда сотрудники либо осознанно воруют у своей компании, либо по неосторожности позволяют это сделать другим.

Хакеры сегодня все чаще фокусируются на техниках обхода, типичный пример которых — спам. В электронных письмах, которые рассылаются сотрудникам атакуемой компании, содержится URL, при нажатии на который будет установлен вредоносный код. Это позволяет злоумышленнику не напрямую взламывать систему безопасности компании, а обманывать пользователей, чтобы позже проинсталлировать свой код в атакуемой системе.

Город чистого Интернета

Необходимость обеспечения корпоративной безопасности клиента сегодня не оспаривается ни одним провайдером телеком-услуг. Но когда-то операторам было выгодно, чтобы заказчики страдали от вирусов и спама. Игроки рынка хорошо помнят историю с туристической компанией Neva, которая, только подключившись к оптике, буквально за месяц получила счет на несколько тысяч долларов. Оказывается, офисные компьютеры были заражены вирусом, и через них постоянно рассылался спам. «Операторам были выгодны проблемы клиента, потому что так телеком-компании получали больший трафик. Тогда о безопасности клиента никто не думал», — вспоминает Софья Винниченко, руководитель сегмента развития бизнеса департамента системной интеграции компании ВСС.

Сегодня стало очевидно, что безопасность клиента является дополнительным бонусом для оператора, который позволяет повысить лояльность его пользователей. Поэтому сетевая безопасность постепенно становится элементом технической поддержки. Представители BCC уверены, что современные сетевые решения могли бы сделать Петербург «городом чистого Интернета».

Однако, сейчас даже в отношении сети одного провайдера телеком-услуг конкретного плана действий по ее «очистке» разработать не удается, во многом, из-за сложности согласования действий между операторами разных уровней. «Мы должны подойти к проблеме безопасности информации как к многоуровневой, — считает Роб Лэмб. — Несмотря на то, что объем трафика становится интересным показателем для телеком-операторов, действия хакеров могут негативно сказаться на финансовых составляющих работы ваших заказчиков и, как следствие, на репутации оператора».

Надо отметить, что такие распространенные проблемы, как спам и вирусы, требуют локальной защиты и не настолько сильно влияют на работу компаний. Наиболее актуальными и трудно решаемыми проблемами участники называют DDoS-атаки. Распознать на ранних стадиях DDoS-атаку непросто. Для этого специалисты IBM советуют использовать примитивное средство обнаружения уязвимостей и устанавливать различные продукты обеспечения безопасности во всех ключевых точках компании: на всех уровнях сети, на серверах и рабочих станциях. Соединив эти продукты с центральной консолью анализа событий, можно будет на ранних стадиях получать информацию о DDoS-атаках. Консоль мониторинга от IBM имеет функцию корреляции событий с различных точек сети. Этот прием распространен в западных телекоммуникационных компаниях — там подобные системы используют крупнейшие национальные операторы. Меньшим организациям IBM советует применять аутсортинговый подход и привлекать сторонних специалистов для обеспечения безопасности внутри компании.

Однако, операторы второго и третьего уровней находятся в заложниках ситуации. «Когда клиент сталкивается с DDoS-атакой, он просит его "закрыть", чтобы не платить за трафик. Но к нам трафик от магистрального оператора все равно поступает, значит, за него необходимо платить. Даже IBM не сможет предложить никакого решения этой проблемы», — возражает Александр Гусев, директор по развитию компании «Элтел». Участники круглого стола отметили, что борьба с такими опасностями может стать эффективнее только благодаря сотрудничеству с магистральными операторами. Однако, как выяснилось, крайне сложно однозначно ответить на вопрос, заинтересованы ли операторы уровня Tier1 в таком взаимодействии.

«Крупным компаниям неважно, откуда пришел трафик. Поэтому и возникает вопрос, можно ли наладить взаимодействие аналогичных систем у небольших операторов и их крупных партнеров, чтобы повысить качество приходящего трафика», — интересуется Михаил Телегин, коммерческий директор компании ОБИТ. «Для крупных операторов важно передавать сам трафик, при этом его качество их интересует в меньшей степени. Это интересует только конечного пользователя», — предположил его коллега из «Элтел».

Начальник отдела информационной безопасности ОАО «СЗТ» Александр Буянов заявил, что компания не только заинтересована во взаимодействии с операторами уровней Tier 2-3 для совместного противодействия сетевым угрозам, но и уже этим занимается. «У нас в Москве и Петербурге есть точки стыковки с большинством других операторов. Мы открыты для взаимодействия и готовы решать эти вопросы в оперативном порядке, потому что хотим, чтобы Интернет стал доверенной средой», — заявил г-н Буянов и рассказал, что компания использует систему сетевой безопасности, которая позволяет в режиме онлайн выявлять вредоносную активность как со стороны своих абонентов, так и по отношению к ним, о чем клиента оперативно информируют. Компания разработала систему, позволяющую в случае обнаружения вредоносного трафика оперативно направлять абонента на портал, где он может получить рекомендации о том, какие действия необходимо предпринять. Дополнительную консультацию абонент получает в службе техподдержки. Если проблема критическая, специалисты техподдержки передают звонок на более высокий уровень. «Также мы выявляем спам-рассылки и собственно вредоносную активность, даже если она была осознанно предпринята нашими абонентами», — добавил представитель СЗТ.

Согласно данным Роба Лэмбла, магистральные операторы в США и Европе устанавливают у себя системы, которые позволяют фиксировать вредоносный трафик и пытаются бороться с DDos-атаками. «Но вопрос не решается одним продуктом, для этого необходим целый набор мер», — сказал г-н Лэмб. В подтверждение его слов Филипп Торчинский, генеральный директор компании Halokwadrat, предположил, что продукты, установленные у операторов уровня Tier 1, не смогут зафиксировать и противостоять DDoS-атаке без информации от абонентов, потому что «сверху такие атаки не видны». Поэтому эксперты советуют операторам следить за действиями своих абонентов и за тем, какой трафик от них исходит, перекрывая его в случае обнаружения какой-либо вредоносной активности.

Теоретически обмен информацией между операторами разных уровней можно реализовать с помощью новой функции, разработанной компанией IBM, — функцией географической отказоустойчивости. Она предполагает обмен информацией между двумя разными устройствами: как только одно из них обнаруживает DDoS-атаку, то ставит на время хост в карантин и передает информацию на другое устройство. В остальном устройства не связаны между собой, поэтому каждое из них может обладать уникальными настройками.

Независимо от того, к каким техническим средствам в конечном итоге будут прибегать операторы для устранения этой угрозы, очевидна необходимость борьбы с бизнесом заказов DDoS-атак. «Ведь быть плохим в Интернете сегодня очень легко», — отметил Кирилл Михеев, руководитель направления развития бизнеса системной интеграции компании ВСС. Разрешите вас взломать

Большую дискуссию среди участников круглого стола вызвал вопрос проведения внутреннего аудита операторской сети. Представители IBM рассказали про услугу «Дружественный взлом», которая позволяет определить слабые места сети компании. Компания ВСС также предоставляет такого рода услуги, делая акцент на анализе ресурсоемкости сети и ее проблемных сегментов. Однако представители обеих компаний признают, что услуга проблемного, секьюрного, аудита продается сегодня плохо. Операторская сеть — это интимный момент работы компании, поэтому допускать к ней чужих людей соглашаются немногие. К тому же предприятиям бывает сложно признать свои ошибки и сознаться в том, что они организовали свою сеть недостаточно эффективно.

На сегодняшний день в России сетевой аудит проводят около пяти компаний. Однако со временем, считают специалисты, подобный анализ станет очень востребованным. «Пока что аудит, как правило, проводится только перед покупкой сети», — заметил Михаил Телегин.

На Западе практика проведения таких проверок распространена гораздо шире. Крупнейшие представители телеком-индустрии периодически проводят такие тесты. 90% компаний привлекают для этого сторонние организации, получая таким образом свежий взгляд на конфигурацию сети с точки зрения ее безопасности. Периодическое сканирование внутренних ресурсов сети и ее внешнего периметра становится частью их политики информационной безопасности. «Тест на взлом» является дополнением к такой политике.

Если в телеком-компаниях внутренний аудит проводится только перед продажей, то для финансовых организаций это мероприятие является привычным и проводится регулярно. «При этом банки могут подписать грамотный договор с провайдерами и всю ответственность за нечистый трафик переложить на них», — рассказала г-жа Винниченко, посоветовав аккуратно подходить к процессу составления договоров с банками. Эксперты согласились, что банковский сектор в силу специфики своей деятельности является основным заказчиком систем информационной безопасности.

Крупнейшими потребителями продукции информационной безопасности компании IBM на Западе являются также банки, после них следуют телеком-операторы и госсектор. В России к этим предприятиям прибавляются компании из нефтегазовой отрасли.

«Гарантия — это очень сильное слово»

Чтобы максимально обезопасить операторскую сеть от возможных ошибок аудиторов, компания ВСС стала подписывать соглашения с клиентами, согласно которым компания-подрядчик должна будет возместить ущерб оператору, если ее специалисты своими действиями «роняют» сеть клиента. «Страховая компания проводила аудит наших специалистов и связывалась с вендорами, прежде чем разработать такое соглашение», — пояснила Софья Винниченко. Необходимо добавить, что сегодня в нашей стране еще слабо распространена практика страхования сетей от перебоев в работе. Хотя за рубежом давно стало нормальной практикой, когда оператор предоставляет клиенту канал и тут же его страхует, в том числе, от DDoS-атак.

Таким образом, системные интеграторы сами обеспечивают своего рода страхование. Телеком-операторы, покупая у IBM аутсорсинговые услуги по обнаружению информационных атак, получают финансовую гарантию безопасности своих услуг, соответственно, конечный клиент получает возможность компенсации ущерба на случай, если атака все-таки пройдет. «Фактически в США некоторые телекоммуникационные компании так и делают, — подтвердил Роб Лэмб. — Услуга предоставляется самим оператором, и клиент может не догадываться, что безопасность, в конечном счете, обеспечивает IBM».

Гарантийные обязательства берут на себя и разработчики некоторых вирусов, постоянно обновляя свои продукты. Специалисты IBM пропагандируют превентивный подход к обнаружению угроз. «За 15 лет работы мы накопили хороший опыт прогнозирования возможных атак, и теперь мы можем поставить защиту даже до того, как эта атака появится», — заверил собравшихся г-н Лэмб. Так произошло и с одной из последних атак с помощью файлов Adobe. Она началась 4 июня, но события безопасности, которые ее блокировали, были разработаны еще в 2008-2009 годах.

Готов ли клиент?

Очевидно, что провайдеры готовы защищать свою сеть, а вот клиенты — еще нет. Пока клиент экономит на самом канале, эта услуга не будет востребована, считают эксперты. Однако учет звонков в техподдержку компании СЗТ показывает, что проблемы с вредоносным трафиком делают востребованным у конечного пользователя услуги в стиле «Чистая линия».

Пользователя не будет интересовать, где кроется причина неполадки в работе сети: были ли они спровоцированы хакерскими атаками или сотрудники компании принесли их вместе с зараженными флеш-картами. Клиентам необходим «чистый Интернет». И здесь, уверены эксперты, для провайдеров открывается широкий спектр возможных дополнительных услуг. «Операторы смогут предоставлять такие услуги, поэтому компании должны двигаться в этом направлении», — считает г-н Буянов. К тому же сегодняшнее законодательство имеет тенденцию к тому, чтобы обязать все телеком-компании предоставлять такой сервис.

Далеко не все пользователи способны сами устранить сетевую угрозу, даже получив подробные указания. Поэтому эксперты уверены, что необходимость обучения абонентов остается сегодня по-прежнему важной задачей. «Абонент должен быть просвещен, и это очень важная миссия», — уверен г-н Буянов. Его коллеги поддержали эту идею: ведь если операторы смогут лучше взаимодействовать с клиентами, борьба за чистый Интернет станет намного эффективнее.

Дарья Афонина