Анатомия атаки (М. Кадер, "Риск-менеджмент", N 1-2, январь-февраль 2008 г.)

Анатомия атаки

Минувшим летом южные регионы России на продолжительное время остались без доступа к интернету в результате хакерской атаки на крупнейшего местного провайдера - Южную телекоммуникационную компанию. Это лишь один из многочисленных примеров нарастающей зависимости общества от информационных систем.

Ключевой элемент в борьбе с рисками в IT-инфраструктуре - это корпоративная культура информационной безопасности, которая позволяет значительно снизить уровень угроз. К сожалению, судя по тому, что можно наблюдать в крупнейших российских компаниях, процесс формирования корпоративной культуры в России находится на зачаточном уровне: сотрудники не обладают достаточной информацией, чтобы оценить риски, связанные с поведением на рабочем месте. Например, во многих компаниях сотрудники пользуются флэш-накопителями, совершенно не задумываясь о том, что это противоречит корпоративным правилам. Просто потому, что их не поставили в известность о существовании таких правил. Сегодня отечественные компании в основном пытаются защититься от внутренних утечек информации, в связи с этим наблюдается всплеск интереса к решениям DLP (Data leakage prevention). Заметно, что на данный рынок активно сместились и делают акцент в своих разработках многие IT-вендоры. Однако в не меньшей степени безопасности сетей угрожают распределенные атаки типа "отказ в обслуживании" или DDoS-атака (Distributed Denial of Service), которые можно проиллюстрировать следующим примером. Представьте себе обстановку на трассах, ведущих из Москвы, летом в пятницу вечером: дороги переполнены, машины стоят, никто никуда не едет. Применительно к IT это означает, что жизненно важный для компании сервер (например, обслуживающий клиентов электронного банкинга или интернет-магазин) неожиданно перестает откликаться на запросы пользователей.

Зомби.com

В России активно развивается широкополосный интернет. К сети ежедневно подключаются миллионы неквалифицированных пользователей - это почва для распространения эпидемии "червей". По нашим оценкам, в московских домовых сетях скорость заражения новичка равняется одной-двум минутам. Рядовые пользователи ПК обычно не устанавливают дополнительных средств защиты, а возможностей встроенных в Windows межсетевых экранов недостаточно для того, чтобы предотвратить внедрение в компьютер сетевого "червя" - программы, содержащей вредоносный код. В результате "черви" проникают в сотни тысяч компьютеров и ожидают команды на исполнение кода от злоумышленников. Группы таких компьютеров, в фоновом режиме выполняющих программы-"черви", получили в среде IT-специалистов название "зомби". По нашим подсчетам, одна из крупнейших "армий зомби" насчитывала полгода назад примерно 990 тысяч компьютеров. Как только злоумышленник дает команду, "черви" с зараженных компьютеров начинают рассылать паразитные пакеты данных в адрес целевых серверов, чтобы забить у них каналы связи либо исчерпать ресурсы производительности и тем самым парализовать работу. Кроме того, "армия зомби" может использоваться для рассылки почтового спама. В результате именно такого типа атаки летом 2004 года без интернета остался весь юг России.

Можно сказать, что сегодня заказать атаку типа "отказ в обслуживании" на небольшой сервер любому по карману. Этот криминальный бизнес существует уже несколько лет. Нападение на корпоративных пользователей интернета стоят дороже, поскольку злоумышленникам приходится преодолевать серьезные препятствия. Тем не менее и такая атака вполне осуществима. Ее цена будет хоть и высокой, но вполне доступной для заказчика с серьезными намерениями. На Западе, где сети передачи данных более развиты, пик атак пришелся на период с 2000 по 2002 год. В России об этом много писали, однако до конца 2006 года массовые атаки на российские интернет-ресурсы не осуществлялись. Но в декабре позапрошлого года началась "эпидемия", сейчас атаки регистрируются ежедневно, а российские операторы связи и их клиенты оказались к этому не готовы. Статья 273 УК РФ предусматривает ответственность за создание, использование и распространение вредоносных программ для ЭВМ в виде лишения свободы на срок до трех лет, однако Южной телекоммуникационной компанией в ответ на ее обращение по упомянутому нами случаю в соответствующее подразделение МВД России сообщили, что источник атаки находится за пределами РФ, поэтому осуществить оперативно-розыскные действия невозможно. В связи с такими ситуациями по всему миру созданы Центры реагирования на компьютерные инциденты (CERT, CSIRT, и т.п.), представляющие собой сообщества людей и организаций, которые скоординированно участвуют в подавлении подобных атак. Обычно такие организации финансируются государством, разработчиками программного и аппаратного обеспечения и операторами связи. Центры способны оперативно реагировать на сетевые атаки: определить ключевой маршрут пакетов и с помощью провайдера выявить инициатора атаки. В России также запланировано создание подобного центра, но эта инициатива ждет решения о государственной поддержке. Поэтому в настоящее время оперативное реагирование осуществляется на уровне взаимодействия российских провайдеров с зарубежными. При этом ряд отечественных операторов связи либо вообще еще не задумывается о такого рода вещах, либо не в состоянии наладить взаимодействие с зарубежными провайдерами.

До и после

Многие компании создают относительно безопасные сетевые среды, отслеживают мировые тенденции в области средств безопасности и соответствующим образом модернизируют архитектуру сетей. К сожалению, большинство российских фирм живет по принципу "пока гром не грянет, мужик не перекрестится": бюджет на развитие средств безопасности IT-подразделения получают лишь после того, как возникнет серьезная проблема.

Построению безопасных сетей мешает и внутрикорпоративная неразбериха. Во многих фирмах департаменты безопасности, телекоммуникаций и сервисных приложений действуют несогласованно. Например, автоматизированную банковскую систему, состоящую из сервера и клиентского программного обеспечения, обслуживают специалисты департамента коммуникаций, которые даже не задаются вопросом, как предотвратить нежелательные внешние воздействия на систему, поскольку считают, что их задача сводится к физическому обеспечению связи. А впоследствии приходят сотрудники службы безопасности и сообщают, что система построена неправильно. К сожалению, многие российские компании зачастую не задумываются о том, что перед запуском нового приложения необходимо проанализировать риски или провести IT-аудит, а департамент безопасности должен предложить набор мер по снижению уровня риска, после чего с участием остальных департаментов необходимо обсудить меры и технические решения по нейтрализации или снижению выявленных рисков. Надо признать, что часто такие мероприятия проводятся в режиме аврала. В результате вместо эффективных средств защиты создается сетевое нагромождение. Одним из основных руководящих документов в области сетевой безопасности является Федеральный закон от 27.12.2002 N 184-ФЗ "О техническом регулировании". Кроме того, существуют ГОСТы, а также множество нормативных актов, которыми можно пользоваться при планировании концепции и регламентов сетевой безопасности. Ряд крупных российских компаний уже начал внедрение отраслевых стандартов, возможность которых прописана в вышеуказанном законе. Первопроходцем здесь выступает Центробанк, который ввел такой стандарт для коммерческих банков. Речь идет о СТО БР ИББС-1.2-2007 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации", введенном в действие 1 мая 2007 года. В том же направлении движется и "Газпром".

М. Кадер,

инженер-консультант компании Cisco

"Риск-менеджмент", N 1-2, январь-февраль 2008 г.