Основы ИТ-безопасности

Мы определим как понятие безопасности, так и понятие ИТ-безопасности. Рассмотрим некоторые интересные теории и статистические данные, чтобы раскрыть современные тенденции в сфере безопасности, сделаем обзор принятых стандартов.

Эта лекция предназначена для широкого круга читателей:

• для людей, которые являются новичками в области ИТ-безопасности и хотят определить такую начальную точку, с которой стоит начинать изучение ИТ-безопасности и всего того, что с ней связано;
• для людей, которые уже имеют опыт общения с ИТ-безопасностью и просто хотят на скорую руку освежить свои знания;
• для людей, которые находятся где-то посередине между этими двумя вышеприведенными категориями, и, конечно, прежде всего для тех, кому будет интересно прочитать этот курс серии Redbooks от начала до конца.

Хотя эту лекцию можно и пропустить, а затем вернуться к ней позднее, мы очень рекомендуем читателю все-таки уделить несколько минут своего времени, чтобы освежить те основы ИТ-безопасности, которые представлены в ней.

1.1 Введение

Как известно, за последние годы деловой мир пережил стремительную эволюцию и эта эволюция повлияла на то, каким образом компании ведут свой бизнес. То, что мы нашли себя в этой новой эре, – результат ряда важнейших революций, произошедших за два последних десятилетия.

Первой революцией явилось изобретение в начале 1980-х гг. персонального компьютера – IBM Personal Computer, который оказался первым на рынке настоящим микрокомпьютером для бизнеса. Это позволило как компаниям, так и частным лицам наравне получить доступ к вычислительным ресурсам, что по тем временам было достаточно дорогим удовольствием. Связывание таких машин локальной сетью высвободило невиданный доселе поток информации и вывело в свет идею распределенных вычислений. Это привело к взрыву бизнес-решений, которые в значительной мере изменили сами основы функционирования самого бизнеса.

Второй революцией в середине 1990-х стал брак того, что тогда было 20-летней коллекцией разномастных сетей (то, что называлось Интернетом, изначально именовалось как ARPANet) с Web-браузером. В результате этого слияния получать информацию из Интернета наконец стало легко. Это же стало прародителем электронного бизнеса. При помощи Web-серверов и стандартного набора Web-технологий организации смогли теперь предлагать целое изобилие различных товаров и услуг через Интернет. Кроме того, те же самые организации нашли, что отныне они могут лучше общаться и обмениваться информацией со своими поставщиками. И даже более, аккуратно открывая свои внутренние сети Интернету, эти организации смогли дать возможность своим служащим иметь доступ к данным и электронной почте из их собственных домов или, что даже более важно, из любой точки земного шара, где бы этим служащим ни довелось оказаться, в другом городе или где-нибудь в пути.

1.1.1 Капитал знаний

В наш век электронного бизнеса информация стала важным товаром. Или правильнее называть ее капиталом знаний, что является формой капитала, от которого многие виды бизнеса зависят точно так же, как и от денежного капитала. В действительности жизнь и смерть любого бизнеса определяются той мерой контроля, которой он обладает над своим капиталом знаний. Если этот капитал украден, раскрыт, испорчен или уничтожен, компания может очень сильно пострадать, вплоть до прекращения своего существования.

Есть отдельные личности, едва ли не целью жизни которых стало получение неавторизированного доступа к компьютерным сетям, системам и информации, которую они собирают и затем распространяют. В более невинной форме подобные люди делают это исключительно ради спортивного интереса, чтобы иметь затем возможность похвастаться своим мастерством компьютерного искусства и ничего более (обычно их называют белыми хакерами). В худшем случае эти индивидуумы делают это со злым умыслом: либо чтобы получить финансовую выгоду, либо чтобы преднамеренно испортить или уничтожить то, что они нашли (таких обычно называют черными хакерами или еще иногда кракерами).

Вне зависимости от их склонностей все эти хакеры – настоящий ночной кошмар для ИТ-систем организаций любого размера. Даже "добропорядочные" хакеры могут создать такие условия, которые приведут к утечке информации, содержащейся в ИТ-системах организации, и к потенциальной возможности того, что эта информация будет уничтожена, испорчена или доступна менее щепетильным людям.

Хуже всего то, что белые и черные хакеры – отнюдь не единственная головная боль ИТ-менеджеров. Есть еще те же самые пользователи, которые прибегают к услугам ИТ-инфраструктуры. В большинстве случаев пользователи не являются злоумышленниками; они просто делают ошибки. Но даже невинные ошибки могут повлиять на капитал знаний организации, а действующие из лучших побуждений пользователи одурачены и вынуждены раскрыть важную информацию, которая обнажит капитал знаний враждебным силам.

1.1.2 Обзор ИКБ/ФБР компьютерной преступности и вопросов безопасности

Для того чтобы понять, насколько серьезно обстоят дела в этом вопросе, предлагаем вашему вниманию одну интересную цитату:

"Увеличивающаяся зависимость Соединенных Штатов от информационных технологий в управлении и функционировании наших критических национальных инфраструктур делает страну первоочередной целью кибертеррористов. Сейчас как никогда ранее правительству и частному сектору следует идти рука об руку в плане обмена информацией и изучения информационной безопасности настолько глубоко, чтобы наши критические национальные инфраструктуры были надежно защищены от кибертеррористов".

Эта цитата взята из обзора ИКБ/ФБР компьютерной преступности и вопросов безопасности, который доступен в электронном формате непосредственно на сайте Института компьютерной безопасности (ИКБ) по адресу:

http://www.gocsi.com/forms/fbi/pdf.html

ИКБ и ФБР

ИКБ (CSI, Computer Security Institute), основанный в 1974 г., – это базирующаяся в Сан-Франциско ассоциация профессионалов информационной безопасности. Она насчитывает тысячи членов по всему миру, предоставляет широкий выбор информационных и образовательных программ в помощь по защите информационных активов корпораций и правительственных организаций.

Федеральное бюро расследований, ФБР (FBI, Federal Bureau of Investigation) в ответ на все увеличивающееся количество случаев, в которых целью преступников становились важнейшие составляющие информационных и экономических структур, основало Национальный центр по защите инфраструктур (NIPC, National Infrastructure Protection Center), размещенный в штаб-квартире ФБР, и региональные подразделения по борьбе с компьютерными вторжениями (Regional Computer Intrusion Squads), расквартированные в отдельных офисах по всей территории Соединенных Штатов. NIPC, связующее звено между федеральными агентствами и частной индустрией, был создан как главный правительственный механизм для борьбы с кибератаками на национальные инфраструктуры и ответа на них. (К таким инфраструктурам относятся телекоммуникации, энергетика, транспорт, банковское дело и финансы, службы быстрого реагирования и правительственные операции). Предназначением региональных подразделений является расследование случаев нарушений Акта о компьютерных мошенничестве и злоупотреблении (Computer Fraud and Abuse Act, Title 8, Section 1030), включая случаи вторжения в общедоступные сети, серьезные вторжения в компьютерные сети, нарушения права на неприкосновенность частной жизни, промышленный шпионаж, пиратское программное обеспечение и другие преступления.

Статистика

В течение последних 7 лет ИКБ и подразделение ФБР по борьбе с компьютерными вторжениями в Сан-Франциско проработали вместе и основали ежегодник "Обзор компьютерной преступности и вопросов безопасности". Целью их усилий являлось как поднятие общего уровня осведомленности по вопросам безопасности, так и помощь в определении границ компьютерной преступности в Соединенных Штатах. Основываясь на данных опроса 503 профессионалов компьютерной безопасности американских корпораций, правительственных учреждений, финансовых институтов, медицинских заведений и университетов, выводы "Обзора компьютерной преступности и вопросов безопасности" за 2002 г. ("2002 Computer Crime and Security Survey") подтверждают, что угроза компьютерной преступности и других нарушений информационной безопасности не уменьшается и финансовый набат продолжает звучать.

Ниже приведены самые яркие моменты "Обзора компьютерной преступности и вопросов безопасности" за 2002 г.

• Девяносто процентов респондентов (по большей части большие корпорации и правительственные учреждения) в течение последних 12 месяцев обнаружили нарушения компьютерной безопасности.
• Восемьдесят процентов опрошенных в результате компьютерных взломов понесли финансовые потери.
• Сорок четыре процента могли поделиться (и поделились) количественной оценкой своих потерь. Убытки этих 223 респондентов составили $445,848,000.
• Как и в предыдущие годы, наиболее серьезные финансовые потери произошли в результате краж патентованной информации (26 респондентов сообщили о $170,827,000) и финансовых махинаций (25 респондентов заявили о $115,753,000).
• Уже пятый год подряд количество респондентов, называющих свое интернетсоединение наиболее атакуемым местом, больше (74%), чем количество респондентов, называющих самым атакуемым местом свои внутренние системы (33%).
• Тридцать четыре процента сообщили о попытках нарушения законодательства. (В 1996 г. только 16% подтвердили сообщения о взломах систем правопорядка.)

Перед респондентами открылся целый спектр атак и злоупотреблений. Вот лишь несколько примеров таких атак и злоупотреблений:

• 40% заметили проникновения в систему снаружи;
• 40% столкнулись с атаками типа "отказ обслуживания";
• 78% обнаружили, что их служащие злоупотребляют привилегированным доступом к Интернету (к примеру, для скачивания порнографии или пиратского программного обеспечения, для использования не по прямому назначению систем электронной почты);
• 85% нашли компьютерные вирусы.

На четвертый год "Обзор" задал несколько вопросов на тему электронной коммерции в Интернете. Вот некоторые результаты:

• Девяносто восемь процентов опрошенных имеют WWW-сайты.
• Пятьдесят два процента на своих сайтах занимаются электронной коммерцией.
• Тридцать восемь процентов в течение последних 12 месяцев пострадали от несанкционированного доступа или от неправильного использования их Web-сайтов. Двадцать один процент опрошенных сказали, что не знают, был ли у них несанкционированный доступ или неправильное использование.
• Двадцать пять процентов из тех, кто подтвердил факты атак, имели от двух до пяти инцидентов. Тридцать девять процентов – десять и больше инцидентов.
• Семьдесят процентов атакованных столкнулись с вандализмом (в 2000 г. только 64%).
• Пятьдесят пять процентов оказались подвержены "отказу от обслуживания" (по сравнению с 60% в 2000 г.).
• Двенадцать процентов сообщили о кражах информации о сделках.
• Шесть процентов рассказали о финансовых махинациях (всего 3% в 2000 г.).

Таким образом, "Обзор компьютерной преступности и вопросов безопасности" послужил проверкой действительности для промышленности и правительства. И теперь не только ИКБ предупреждает.