Top.Mail.Ru
архив

Моя сеть – моя крепость

26.07.200400:00

Алексей Ильинский, директор по IT «Росинтер Ресторантс» (корпорация «Ростик Групп»):

– Истерика по поводу атак сильно преувеличена. Большинство «эпидемий» (за исключением целенаправленных DDoS атак) объясняется безалаберностью сетевых администраторов, которые слишком доверяют заявлениям вендоров о надежности ПО.

Есть определенные правила, которых необходимо придерживаться: создать DMZ (демилитаризованная зона – часть компьютерной сети, находящаяся между локальной сетью и Интернетом), применять принцип «запрещено все, что не разрешено», проводить регулярный аудит и мониторинг сообщений о «дырах» в ПО и оборудовании. Эти меры как минимум прикроют сеть от большинства внешних атак. Но подобные атаки – наименее страшны. Самые опасные те, которые направлены не на оборудование и программы, а на людей – сотрудников вашей компании. Вирусы – прежде молчаливые и незаметные, с развитием технических средств обнаружения, становятся все более «социальными». Они уже не «стесняются» предложить распаковать приложенные в письме файлы и запустить их. Вирусы пересылают себя с вашего компьютера на другие. Люди, а не системы защиты открывают эти файлы, не задумываясь о последствиях, которые могут быть очень серьезными.

Все гены будущих разрушителей уже готовы, и завтра мы увидим совершенные организмы, которые неотличимы от почтовых сообщений. Скорее всего, это будут «персональные» вирусы, написанные специально для вас с единственной целью разрушить именно вашу информационную систему или добыть именно те файлы, которые интересны конкурентам. Тогда концепции защиты изменятся кардинально, поскольку не будет различий между внутренними и внешними системами. Панацея лежит в социальном решении проблемы. Люди – слабое звено в любой технической системе защиты. Основной способ отгородиться от атак любого рода – работа с людьми. Она включает постоянный тренинг, дисциплинарные методы, ограничение электронных коммуникаций и так далее. Можно купить систему защиты стоимостью $1 млн, но неаккуратные действия одного клерка способны разрушить всю компанию.

 

Дмитрий Божко, начальник отдела информатизации Госгортехнадзора России:

– Компьютерная сеть Госгортехнадзора России подвергается атакам хакеров практически постоянно. Основные усилия взломщиков направлены на проникновение в нашу сеть через электронную почту. Ежедневно служба информационной безопасности Госгортехнадзора России фиксирует от 300 до 500 вредоносных писем. В своей основной массе они содержат вирусы. Но нередко мы видим и целенаправленные попытки проникновения во внутреннюю сеть Госгортехнадзора через «исполняемые вложения» в электронных сообщениях.

Внутренних ресурсов, доступных извне, кроме электронной почты, в сети Госгортехнадзора нет. Поэтому атак на WEB-, FTP-серверы и т.п. не зарегистрировано. Но извне постоянно предпринимаются попытки сканирования портов на наличие различных сервисов.

Для противодействия атакам мы используем межсетевой экран на границе с Интернетом. Кроме того, на почтовом сервере, на всех серверах и рабочих станциях установлены антивирусные системы. Для отбраковки электронных сообщений с потенциально опасными вложениями мы применяем фильтры на почтовом шлюзе. Также специалисты Госгортехнадзора ведут постоянный контроль за «логами» всех установленных средств защиты.

В дальнейшем мы планируем заменить межсетевой экран на более совершенный экран «ИВК Кольчуга» с расширенными функциональными возможностями. Это продукт отечественной разработки. Также мы рассчитываем пополнить наш арсенал защитных мер, установив систему обнаружения атак.

 

Владимир Голубев, директор IT-департамента информагентства «Прайм-ТАСС»:

– Нашу сеть периодически внимательно изучают извне на предмет уязвимости и брешей. Время от времени администраторы фиксируют попытки проникновения внутрь сети. Однако мощной атаки хакеров, которая привела бы к краху системы (потере информации и другим катаклизмам), я за время своей работы в агентстве с 1996 года не припомню. Понимаю, что расслабляться не стоит. Был случай, когда мы оставили в незащищенном сегменте сети тестовый компьютер, и буквально за ночь он превратился в площадку для перекачки фильмов. Утром администратор отловил всплеск трафика и быстро прикрыл такое безобразие. Это означает, что сеть постоянно сканируется, и если администратор ошибется, то будет много неприятностей.

Думаю, что не буду оригинальным, если скажу, что главная гарантия безопасности сети – это не супердорогой Firewall или навороченное сетевое оборудование, а высокая квалификация системных инженеров. При этом неважно, какая у вас операционная система – Windows, Linux или другая: ее сохранность в любом случае зависит от правильной настройки софта и соблюдения политики безопасности. Необходимо закрывать все неиспользуемые порты, запрещать все неиспользуемые протоколы, ни в коем случае не запускать лишние сервисы. Необходимо внимательно отслеживать все сообщения сетевой прессы о вновь обнаруженных «дырах» в софте и «модных» вирусах, чтобы своевременно ставить все необходимые «заплатки».

Гораздо больше, чем попытки прямых атак, досаждают вирусы. Например, за три недели глобальной эпидемии вируса sobig фильтр на входе в наш почтовый сервер отбил около 80 000 инфицированных посланий! Однако, несмотря на все фильтры, почта с вирусами иногда все же прорывается в локальную сеть. На этот случай у нас предусмотрены специальные вирусные ловушки, которые быстро позволяют определить проникновение вредоносных программ.

 

Виктор Живов, IT-директор компании «Аптека 36,6»:

– В исследовании ФБР за 2003 год отмечается, что наиболее вероятными нарушителями являются (в порядке убывания) хакеры, недовольные сотрудники и конкуренты. Причем такое соотношение сохраняется последние четыре года. Мы считаем, что чаще всего возникает внешняя угроза, а наибольший ущерб может нанести внутренняя. Поэтому для рационального распределения ресурсов управления рисками внедряем, основываясь на международных стандартах информационной безопасности, специализированные процедуры риск-менеджмента. Пока, конечно, говорить о качественном прогнозировании преждевременно. Работать на опережение мы сможем только после того, как завершится общая стандартизация и накопится достаточная статистика. Пока же делать правильные прогнозы нам помогают аналитические материалы таких компаний, как Gartner, IDC, META Group, Forrester Research и др.

Ежедневно наши корпоративные средства защиты регистрируют от нескольких тысяч до полутора миллионов различных событий, связанных с информационной безопасностью внешнего периметра. Из них после соответствующего анализа подробно исследуются только наиболее критичные, а подавляющее большинство является результатом действий новичков. Набор средств, которые мы используем, типовой: межсетевые экраны, антивирусное ПО, средства обнаружения вторжений, защищенные виртуальные сети, инструменты контроля доступа.

Согласно упомянутому выше исследованию в компаниях чаще, чем в прошлые годы, стали использовать средства биометрии, PKI (Public Key Infrastructure – инфраструктура открытых ключей) и шифрованные файловые системы. Кроме того, для корпоративных исследований мы активно применяем средства имитации различных ресурсов, известных как приманка (honeypot).

 

Александр Любинский, директор по маркетингу и продажам компании «Аладдин»:

– Сегодня самая раскрученная тематика – это вирусы. Но если говорить о потерях, то, по данным Gartner Group, убытки от атак вирусов и хакеров составляют менее 10% в общем перечне потерь от кражи или порчи информации. В то же время ущерб, связанный с ошибками персонала, а также с действиями обиженных и нечестных сотрудников, составляет более 70%. Ответ на вопрос, чем надо заниматься в первую очередь – бороться с хакерами, вирусами или той самой проблемой, которая связана с человеческим фактором, – очевиден.

Решение проблемы начинается с обеспечения организованного доступа к корпоративной сети. В этом случае рекомендуется использовать так называемую усиленную аутентификацию, когда пользователю необходимо предъявить материальный носитель, содержащий персональные параметры доступа, и доказать через ввод PIN-кода, что на входе находится именно он. Эта задача решается с помощью аппаратного средства eToken, выполненного в форме смарт-карты или USB-ключа, в который встроены криптопроцессор и энергонезависимый блок памяти, где хранятся параметры доступа и персональные настройки пользователя. По сравнению с доступом по паролю, который можно украсть, угадать или подсмотреть, данный подход с использованием технологий смарт-карт позволяет существенно поднять уровень информационной безопасности.

При этом у администратора по безопасности появляется возможность вести персонифицированный учет всех действий пользователей, а у сотрудников пропадает желание совершать противоправные поступки, поскольку исключается возможность работы под чужим именем.

Еще по теме