Документ взят из кэша поисковой машины. Адрес оригинального документа : http://www.iisi.msu.ru/UserFiles/File/bayern2009/antimonov.doc Дата изменения: Mon Apr 2 16:24:09 2012 Дата индексирования: Mon Oct 1 20:37:17 2012 Кодировка: koi8-r

«Доверяй, но проверяй!»: аудит информационной безопасности как неотъемлемая
часть фронта борьбы с киберпреступностью

Антимонов С.Г., председатель совета директоров ЗАО «ДиалогНаука»

За последние 20 лет наблюдается процесс все более разнообразной и
глубокой консолидации сил компьютерного зла - вирусов, вредоносных
программ, спама, инсайдеров, хакеров и т.п. Чтобы достичь реального успеха
в борьбе с этими силами зла, нам не обойтись без международной кооперации,
основанной на междисциплинарном и комплексном подходе к построению надежных
систем информационной безопасности.

Междисциплинарный и комплексный подход


Междисциплинарный и комплексный подход основывается на согласованном
применении нормативно-правовых, организационно-методических, программно-
технических, обучающих и пропагандистских мер, перекрывающих в совокупности
все основные каналы зарождения, подготовки и реализации угроз компьютерного
зла.

При этом важно обратить внимание и на такие компоненты этого подхода
как:
. выявление и устранение тех уязвимостей (слабостей, недочетов), на основе
которых киберпреступники могут реализовать свои атаки или угрозы. Это
позволит исключить причины возможных «неприятностей» в будущем;
. своевременное обнаружение и блокирование уже начавшихся атак. Тут каждая
секунда на счету - чем раньше будут введены в действие «силы быстрого
реагирования», тем быстрее атака будет отражена;
. определение и ликвидация тех последствий, которые были вызваны
обнаруженными атаками или угрозами. Это позволит минимизировать ущербы,
которые образовались в результате реализации нападений.

Если рассмотреть, к примеру, этапы борьбы с вирусами, троянцами и
спамом, то в прошедшие годы был определенный «перекос» в сторону применения
именно программно-технических средств защиты. Да, их роль велика, но нельзя
полагаться только на эти средства. Необходимо более широко и активно
использовать нетехнические методы борьбы, в частности, юридические и
законодательные меры против создателей и распространителей зловредов, а для
защиты от вредоносного ПО активнее вести просветительскую и образовательную
работу с пользователями компьютеров.

Рассмотрим «жизненный цикл» вредоносного кода или спамовой кампании:

(1) заказ на создание вируса, червя, трояна, шпионского ПО или спам-
рассылки;

(2) создание и распространение киберпреступниками вредоносного ПО или спам-
атаки;

(3) транспортировка кода (спама) через сеть интернет-провайдеров или веб-
сайты;

(4) транспортировка вредоносного кода (спама) через корпоративную сеть;

(5) получение вредоносного кода (спам-письма) конечным пользователем ПК.

На каждом из этих этапов есть поле для работы на всех трех уровнях -
государств, бизнеса и граждан, чтобы противостоять данным проявлениям
компьютерного зла.

Хорошим примером того, как новые нетехнические средства «приструнили»
вирусописателей первой волны, является шаг компании Microsoft в ноябре 2003
года по созданию фонда борьбы с вирусописателями. Это был по-настоящему
революционный момент в борьбе с создателями и распространителями вирусов
(вызванный сильнейшими атаками вирусописателей на веб-сайты этой компании).
Microsoft создала этот фонд в размере 5 млн. долл. и сразу же отложила три
раза по 250 тыс. долл. (всего 750 тыс. долл.) как вознаграждение за
"наводку" на авторов вирусов Blaster-A, SoBig-F и MyDoom-B (эпидемии
которых произошли соответственно в августе 2003 г. и феврале 2004 г.).

Далее примеру Microsoft последовала компания SCO, которая также
выделила аналогичную сумму в размере 250 тыс. долл. в качестве
вознаграждения тому человеку, который укажет уже на автора вируса MyDoom-A.
Да, эти деньги от Microsoft и SCO так в итоге и остались нетронутыми, т.е.
не было достоверных данных об авторах этих вирусов.

Но! Эта акция, будучи широко и активно прорекламированной по всему
миру, уже через полгода принесла достаточно серьезные результаты - именно
через "наводку" своих соучеников по школе в мае 2004 г. был арестован 18-
летний немец Свен Яшан, разработчик наиболее злобных вирусов семейств
Sasser и Netsky. Компания Microsoft официально не объявляла награды именно
по этим вирусам, но тогда ходили слухи, что после окончания судебного
процесса над Яшаном "наводчики" получили вознаграждение.

В этой истории самое важное то, что наконец-то до ума школьников и их
родителей была доведена казалось бы такая простая и ясная мысль, что
создание вирусов это не детская шалость, а уголовное преступление, за
которое полагается суровое наказание.

Итак, старая и давно успешно применяемая технология борьбы с
традиционными террористами (так, в США в начале 2005 года было объявлено,
что награда за голову террориста ?1 бин Ладена увеличивается с 25 млн.
долл. до 50 млн. долл.) оказалась эффективной также и в новой сфере - в
деле борьбы с киберпреступниками.

На мой взгляд, конец эры «романтических» вирусописателей (среди
которых были в основном школьники старших классов и студенты младших курсов
вузов) как раз и стал следствием этой новой нетехнической анти-
террористической технологии от Microsoft.

Известно, что в ряду важнейших средств по построению надежных систем
защиты стоит аудит информационной безопасности, который происходит в разных
форматах:

- инструментальный анализ защищённости;

- оценка и анализ рисков информационной безопасности;

- тест на проникновение (penetration test);

- на соответствие требованиям федерального закона «О персональных данных»;

- на соответствие стандарту Банка России;

- на соответствие стандарту ISO 27001 (ISO17799);

- на наличие конфиденциальной информации в сети Интернет («конкурентная
разведка»);

- комплексный аудит ИБ (включает некоторые или все из выше перечисленных).

Далее будут рассмотрены следующие три вида аудита - «тест на
проникновение», «на соответствие закону о персональных данных» и
«конкурентная разведка», - которые в последнее время получили в нашей
стране известную популярность и распространение.

Тест на проникновение


Аудит информационной безопасности по формату «тест на проникновение»
(penetration test) по своей сути является имитацией действий реального
хакера, который пытается проникнуть в корпоративную сеть. Конечно, такого
рода действия могут выполняться только при наличии подписанного с
соответствующей компанией или организацией контракта, определяющего четкие
рамки и условия для такого рода работ.

Что касается информированности сторон, то тут есть такие крайние
варианты.

Со стороны взломщика корпоративная сеть может быть представлена в
худшем случае как «черный ящик» («black box»). Это означает, что о компании
или организации практически нет никакой информации. Минимум, что известно в
этом случае, так это название фирмы и адрес ее веб-сайта. В лучшем случае
взломщик получает практически всю требуемую ему информацию об объекте атаки
(это вариант «белый ящик» или «white box»). В реальной жизни, конечно,
могут быть и различные промежуточные варианты.

Со стороны сотрудников компании или организации сам взломщик может
выглядеть как «черная шляпа» («black hat»), когда о нем практически никто
ничего не знает. Только директор компании в этом случае знает об этом
контракте и его условиях, а обычные сотрудники, сотрудники службы
безопасности и ИТ-службы не знают об атаке. Только в таких «боевых»
условиях и можно провести настоящее реальное тестирование существующих
средств защиты и проверку «слабого звена» - сотрудников. Наконец, в
варианте «белая шляпа» («white hat») план действий взломщика в определенной
степени заранее уже известен защищающейся стороне и она, следовательно,
оказывает более сильное сопротивление применяемым атакам по проникновению в
корпоративную сеть.

Как правило, любой тест на проникновение включает в себя две
компоненты:

- чисто технологическую, когда находятся уязвимости в программно-
техническом обеспечении и именно через них (посредством эксплойтов) и
происходит внедрение;

- абсолютно нетехнические методы социальной инженерии, когда первоначальные
шаги атаки ориентированы на самое слабое звено в системе защиты, а именно
на обыкновенных людей, сотрудников компании или организации. Из практики
можно сказать, что вторая «социальная» компонента и является в большинстве
случаев наиболее эффективной.

В результирующем отчете после проведения аудита «тест на
проникновение» даются рекомендации по устранению выявленных уязвимостей, а
также формулируется план проведения дальнейших работ по укреплению систем
защиты:

- совершенствование организационно-правового обеспечения (разработка общей
и частных политик безопасности, должностных инструкций, регламентов,
регистрационных журналов, форм сбора отчетных материалов и других таких
документов);

- проектирование, разработка, внедрение и сопровождение соответствующих
систем защиты, устраняющих уязвимости, выявленные в процессе аудита
безопасности;

- обучение персонала заказчика (как рядовых пользователей, так и
специалистов по ИБ).

По мнению американских экспертов, чтобы поддерживать
«обороноспособность» защиты на высоком уровне, в компании или организации в
среднем раз в квартал должен проводится инструментальный анализ
защищённости и раз в год - тест на проникновение.

Аудит на соответствие требованиям ФЗ «О персональных данных»


Федеральный закон от 27 июля 2006 г. ? 152-ФЗ "О персональных данных"
без преувеличения является супер-акитуальным для России, так как
откликается на те проблемы, которые уже давно волнуют граждан нашей страны.
Вспомним ту «массу» различного рода баз данных, которые ранее продавались
на «горбушке», митинском и других рынках. Очевидно, что закон защищает
интересы граждан, бизнеса и государства.

Особую актуальность закон имеет именно в настоящее время, так как:

- «Информационные системы персональных данных, созданные до дня вступления
в силу настоящего Федерального закона, должны быть приведены в соответствие
с требованиями настоящего Федерального закона не позднее 1 января 2010
года» (пункт 3 статьи 25 «Заключительные положения») и

- «Лица, виновные в нарушении требований настоящего Федерального закона,
несут гражданскую, уголовную, административную, дисциплинарную и иную
предусмотренную законодательством Российской Федерации ответственность»
(статья 24 «Ответственность за нарушение требований настоящего Федерального
закона»).

Аудит на соответствие ФЗ "О персональных данных" включает такие этапы
как:

- определение перечня персональных данных (ПДн), подлежащих защите;

- определение перечня информационных систем, обрабатывающих ПДн;

- определение степени участия персонала в обработке ПДн, характера
взаимодействия персонала между собой;

- анализ внутренних нормативных документов; регламентирующих порядок
обработки и защиты ПДн;

- определение используемых средств защиты ПДн, оценка их соответствия
требованиям нормативных документов РФ.

В рамках аудита на соответствие закону «О персональных данных» обычно
проводятся «инструментальный анализ защищённости» и «тест на
проникновение».

Структура отчета по результатам проведения рассматриваемого аудита:

- границы проведения аудита безопасности;

- описание информационных систем ПДн заказчика;

- методы и средства проведения аудита;

- результаты классификации информационных систем ПДн;

- частная модель угроз безопасности ПДн;

- требования по защите ПДн;

- рекомендации по совершенствованию системы защиты ПДн;

- план мероприятий по созданию системы защиты ПДн.

Аудит на наличие конфиденциальной информации в сети Интернет

(«конкурентная разведка»)


Аудит наличия конфиденциальной информации в сети Интернет - это
независимый и документированный процесс поиска и анализа конфиденциальных
сведений, находящихся в Интернете, при помощи средств конкурентной
разведки. По существу конкурентная разведка отличается от промышленного
шпионажа тем, что в ней используются только открытые источники данных,
расположенные в сети Интернет.

Поиск информации осуществляется: на форумах, в блогах, электронных
СМИ, гостевых книгах, досках объявлений, в дневниках, конференциях и т.д.

По результатам аудита выдается отчёт, содержащий:

- указание области поиска (где осуществлялся поиск);

- какая конфиденциальная информация была найдена;

- где именно была найдена такого рода информация;

- рекомендации по удалению найденной конфиденциальной информации в сети
Интернет.

Кто может быть заказчиком такого вида аудита? Заказчиком может
выступать конкретный гражданин, компания, организация, город, регион, или
даже государство.

Если взять «компанию», то конечно, в первую очередь ей было бы
«страшно» увидеть свою ценную коммерческую тайну в виде, доступному любому
через Интернет, в частности, также и ее конкурентам. Как такая информация
может попасть в Интернет в открытый доступ? Например, через кого-то из
уволенных ранее сотрудников, у кого есть какие-то старые «счеты» с бывшим
работодателем. Или, другой вариант, через какого-то нынешнего сотрудника
компании, у которого по каким-то причинам вдруг появилось желание
«насолить» своему работодателю. Наконец, это может сделать и какой-то
недоброжелатель извне, если к нему каким-то образом попали все эти
секретные данные.

Если рассмотреть ситуацию на уровне конкретного «человека», то, к
примеру, нашумевший в мае 2006 г. шпионский скандал в Израиле начался с
того, что один известный израильский писатель вдруг обнаружил в Интернете
отрывки из своей книги, которая была еще в стадии написания и главы из
которой никоим образом не должны были появляться в свободном доступе. Он
заподозрил в этих «кознях» своего бывшего зятя. И попал в « яблочко» -
оказалось, что его бывший родственник на пару с новой женой, создавали по
заказу сыскных агентств из Израиля троянские программы, которые не
обнаруживались антивирусами, для целей промышленного шпионажа за фирмами-
конкурентами. Так операторы связи Cellcom и Pele-Phone шпионили за
компанией Partner, израильским филиалом Orange. В результате была
арестована эта супружеская пара, а также 9 менеджеров разных фирм и 9
сотрудников из частных сыскных агентств.

Если говорить, к примеру, о каком-то «городе или регионе», то тут в
первую очередь речь идет об инвестиционной привлекательности региона. Нет
ли в Интернете какой-то негативной информации об этом регионе, которая
может отпугнуть инвесторов? Два года тому назад я выступал на российско-
белорусской конференции «Комплексная защита информации» в г. Новополоцке и
рассказывал про этот вид аудита «конкурентная разведка». После выступления
ко мне подошел один из участников конференции из Минска и сказал, что они
реально встречались именно с подобной ситуацией, когда кто-то (видимо,
конкурент) создавал специальные и фальшивые веб-сайты, порочащие доброе имя
конкретной компании. И именно с целью - отпугнуть потенциальных инвесторов.


Итак, цель такого вида аудита - обнаружить нежелательные данные в
Интернете и дать рекомендации по устранению (удалению) найденной
конфиденциальной информации из сети Интернет. Один из таких приемов - это
обращение в суд с иском к владельцу того Интернет-ресурса, где была
обнаружена информация, порочащая честь какого-то человека, или выдающая
ложную информацию о какой-то компании, организации, регионе, городе.

Заметим, что в процессе рассматриваемого аудита проводится также поиск
и анализ той конфиденциальной информации, которую сама компания плохо
«спрятала» и которая может быть совершенно свободно (при умении, конечно)
обнаружена в сети Интернет. Так, к примеру, иногда на веб-сайте удаляется
ссылка на какую-то страничку, но сама эта страница остается. И если
злоумышленник сможет «вычислить» ее URL-адрес, то он легко получит доступ к
этой конфиденциальной информации. Или, другой пример - если какой-то
ксерокс в компании подключен к Интернету, то в некоторых случаях все копии
тех документов, которые копировались на этом ксероксе, можно получить и
через Интернет.

Рассматриваемый вид аудита рекомендуется проводить на постоянной
основе. Для такого постоянного мониторинга сети Интернет используется
программный комплекс Avalanche, который является как бы
«специализированным» Интернет-поисковиком, настроенным под потребности
конкретного заказчика. Этот программный продукт создает и запускает
специальные программы-«роботы», которые на регулярной временной основе
«бороздят» указанные заранее участки в сети Интернет и собирают
соответствующую информацию по указанному в их задании профилю. В итоге
создается веб-сайт, где в консолидированном виде найденная информация
раскладывается по «умным» папкам.

Заключение


Истоки настоящего финансового мирового кризиса многие эксперты видят в
недостаточности контроля за действиями банков и других финансовых структур.
И, с другой стороны, совершенно очевидно, что обилие компьютерного зла в
современном мире также связано с излишними свободами в киберпространстве и
с недостаточным уровнем контроля, в частности, за тем, а кто именно заходит
на веб-сайт или посылает электронное письмо. Да и на уровне конкретной
организации или компании также зачастую мы наблюдаем недостаточный контроль
за тем, что именно разрешено или не разрешено делать сотрудникам на
компьютере, с электронной почтой или в Интернете.

Известно, что свобода - это великая сила, способная и «горы свернуть».
И что просто на одном доверии можно сделать много полезного. Но нельзя
злоупотреблять этими формулами и в обязательном порядке нужно применять
разумные меры контроля.

Аудит информационной безопасности - обязательный элемент надежной
системы защиты информации, а также - неотъемлемая часть фронта борьбы с
киберпреступностью.