Адреса для приобретения различных утилит
eSecurityonline
Hackersclub
NewOrder
SANS tools
Security Focus
Technotronic
Адреса наиболее популярных и важных англоязычных сайтов по защите информации
(по: Макклуре С., Скембрей Д., Куртц Д. Секреты хакеров. Проблемы и решения сетевой защиты. Пер. с англ. -- М.: ЛОРИ. 2001. 436 с.)
Анализ совершаемых преступлений в области компьютерной обработки информации
Анализ уголовных дел и иной доступной информации показал, что механизм совершения компьютерных преступлений состоит в следующем:
преступники или их сообщники имеют отношение к разработке программных средств, эксплуатации компьютерной техники или администрированию персональных компьютеров и вычислительных систем, злоумышленники используют перечисленные возможности для модификации важных записей и уничтожения следов своей деятельности; несанкционированный доступ осуществляется в течение короткого времени (до одной минуты) с трудно отслеживаемого терминала, имеющего связь с вычислительной сетью организации; внедряется заранее разработанная программа или производится некоторая модификация существующего ПО с целью создания специальных счетов физических и юридических лиц, а также рассылки фальшивых платежных поручений по заданным адресам; параллельно осуществляется контроль бухгалтерского ПО для предотвращения утечки информации о факте совершения преступления: контрольные и оборотные ведомости по балансовым счетам, ведомость остатков в разрезе кодов валют за день перерасчета; получение со счетов наличными осуществляется в заранее разработанном порядке, без оставления следов.
Осуществлению преступных действий в областях автоматизации производства и бухгалтерского учета способствует, прежде всего, слабая готовность персонала, обслуживающего технические средства обработки информации, отсутствие необходимых средств контроля и информационной защиты, отсутствие или неполная проработка концепции информационной безопасности организации, а также неадекватная реализация предписаний политики: неумение реализовать систему разделения доступа, обновления паролей и ключевых слов, а также неспособность или неподготовленность осуществить администрирование и настройку использующихся сетевых сервисов.
Базы данных о найденных уязвимостях и атаках
| Аббревиатура/URL | Расшифровка |
| CERT/CC | Computer Emergency Response Team |
| CERT Russia | |
| CIAC | Computer Incident Advisory Capability |
| FIRST | Forum of Incident Response and Security Teams |
| X-FORCE | ISS X-force Threat and Vulnerability Database |
| MITRE CVE | ISS X-force Threat and Vulnerability Database |
| All.Net | The All.Net Security Database |
| AdvICE | компания Network Security Wizards |
| Security Bugware | |
| Insecure.org | |
| NASIRC | NASA Automated Systems Incident Response Capability |
| COAST | Computer Operations Audit and Security Technology |
| FedCIRC | Federal Computer Incident Response Capability |
| ASSIST | Automated Systems Security Incident Support Team |
| ICAT | Internet Categorization of Attacks Toolkit |
| IDLE | Intrusion Data Library Enterprise |
ОС:
Novell
Microsoft
Россия:
hackzone.ru
void.ru
Что представляют собой современные банковские системы
К нынешним автоматизированным банковским системам (АБС) предъявляются очень строгие требования как со стороны банков-пользователей, так и со стороны государственных и контролирующих органов. Производители АБС должны динамически подстраивать свою продукцию под изменяющиеся нормативы и отчетные требования, предъявляемые к ведению банковского бизнеса.
Практически все бизнес-процессы финансового учреждения связаны с обработкой или пересылкой некоторой информации. Сейчас вряд ли найдется банк, не автоматизировавший процесс работы с бизнес-информацией. Постоянно растет число банков, использующих Интернет и удаленный доступ к своим системам.
Только комплексная информационная банковская система, интегрирующая различные сферы деятельности банка, способна полностью автоматизировать и объединить в единое целое бизнес-процессы финансового учреждения. Работа с клиентами, начисление процентов, предоставление всевозможных банковских услуг должны быть увязаны с внутрихозяйственной деятельностью банка, с бухгалтерией. Комплексная система, поддерживающая централизованную обработку, мультивалютность и автоматизацию основных финансовых операций, позволяет эффективно проводить управление, контроль, получение отчетов о текущей деятельности всех филиалов банка.
Прежде всего АБС является инструментом управления бизнесом. Среди функций, присущих современным комплексным АБС, можно выделить следующие:
операционный день; операции на фондовом рынке, работа банка с ценными бумагами; внутрихозяйственная деятельность; розничные банковские услуги; дистанционное банковское обслуживание; электронные банковские услуги; расчетный центр и платежная система (карточные продукты); интеграция бэк-офиса банка с его внешними операциями; управление деятельностью банка, реализация бизнес-логики, контроль, учет, в том числе налоговый, и отчетность; управление рисками и стратегическое планирование; программы лояльности клиентов, маркетинговая, рекламная и PR-службы.
Приведенные основные функции АБС реализуются посредством следующих технологий:
системы управления базами данных (распределенных); хранилища данных, OLAP- и OLTP-технологии обработки данных (системы оперативной аналитической обработки и системы оперативной обработки транзакций); системы поиска, извлечения и подготовки достоверных данных; распределенная вычислительная система, организация коллективной работы пользователей, создание реального информационного пространства банка, включая филиалы, клиентов и партнеров; безопасное подключение информационной системы банка к внешним вычислительным сетям (Интернет); организация безопасной, достоверной передачи данных по общедоступным каналам связи (криптография: шифрование и электронная цифровая подпись (ЭЦП), организационные меры), электронный документооборот; техническое, программное, математическое и другое обеспечение;
информационная аналитика и системы поддержки принятия решений (decision support systems, DSS); защита хранимой и обрабатываемой информации, всей АБС в целом;
системы удаленной работы с фондовыми рынками и программы предсказания поведения курсов; CRM-системы управления отношениями с клиентами; программы реализации фронт-офиса взаимодействия с клиентами; системы поддержки внутренней организации, менеджмента и исполнительной деятельности персонала; разграничение доступа к информации разного уровня секретности;
антивирусная защита; интернет-магазины и интернет-карточки; центры обработки вызовов (call-центры) и IP-телефония; поддержка различных каналов доступа: Интернет, телефон, мобильная сеть, SMS, WAP и др.; поддержка множественных стандартов учета, включая управленческий учет; поддержка и исследования в области планомерного информационного развития АБС.
Среди первоочередных эксплутационных требований, предъявляемых АБС, в первую очередь хотелось бы выделить надежность и безопасность. Сбой программного обеспечения (ПО) или злоумышленное вторжение в территориально-распределенную банковскую информационную систему могут иметь очень печальные последствия, характеризуемые количественно (величиной ущерба) или качественно (падением имиджа, срывом переговоров и т. п.).
Многочисленные попытки взломов и успешные нападения на банковские вычислительные структуры и порталы остро ставят проблему обеспечения информационной безопасности.
Среди компонентов, образующих АБС, выделим следующие, реализуемые путем использования общедоступных сетей:
банк -- клиент; Интернет -- клиент; офис -- удаленный менеджер; головной офис -- региональные офисы/отделения; интернет-трейдинг.
Доступ к сервисам, которые предоставляет данное программное обеспечение, осуществляется через открытые сети, использование которых таит в себе многочисленные информационные угрозы.
Наиболее распространенные из них:
несанкционированный доступ к ресурсам и данным системы: подбор пароля, взлом систем защиты и администрирования, маскарад (действия от чужого имени); перехват и подмена трафика (подделка платежных поручений, атака типа "человек посередине"); IP-спуфинг (подмена сетевых адресов); отказ в обслуживании; атака на уровне приложений; сканирование сетей или сетевая разведка; использование отношений доверия в сети.
Причины, приводящие к появлению подобных уязвимостей:
отсутствие гарантии конфиденциальности и целостности передаваемых данных; недостаточный уровень проверки участников соединения; недостаточная реализация или некорректная разработка политики безопасности; отсутствие или недостаточный уровень защиты от несанкционированного доступа (антивирусы, контроль доступа, системы обнаружения атак); существующие уязвимости используемых операционных систем (ОС), ПО, СУБД, веб-систем и сетевых протоколов; непрофессиональное и слабое администрирование систем; проблемы при построении межсетевых фильтров; сбои в работе компонентов системы или их низкая производительность; уязвимости при управлении ключами.
Наиболее часто информационное пространство банковской системы используется для передачи сообщений, связанных с движением финансов.
Основные виды атак на финансовые сообщения и финансовые транзакции:
раскрытие содержимого; представление документа от имени другого участника; несанкционированная модификация; повтор переданной информации.
Для предотвращения этих злоупотреблений используются следующие средства защиты:
шифрование содержимого документа; контроль авторства документа; контроль целостности документа; нумерация документов; ведение сессий на уровне защиты информации; динамическая аутентификация; обеспечение сохранности секретных ключей; надежная процедура проверки клиента при регистрации в прикладной системе; использование электронного сертификата клиента; создание защищенного соединения клиента с сервером.
В общедоступных сетях распространены нападения хакеров. Это высококвалифицированные специалисты, которые направленным воздействием могут выводить из строя на длительное время серверы АБС (DoS-атака) или проникать в их системы безопасности. Практически все упомянутые угрозы способен реализовать хакер-одиночка или объединенная группа. Хакер может выступать как в роли внешнего источника угрозы, так и в роли внутреннего (сотрудник организации).
Доступ в систему
Readsmb от L0phtcrack
Legion
вывод доступных разделяемых ресурсов в графическом виде
NetBIOS Auditing Tool (NAT)
(by Andrew Tridgell) обнаруживает и пытается войти в разделяемые ресурсы, применяя задаваемые пользователем списки имен и паролей
Nwpcrack
SMBGrind от NAJ
Включена в состав CyberCop Scanner от NAI (www.nai.com)
SMBScanner
Сканирует заданный диапазон ip на наличие расшаренных ресурсов. Имеет возможность подборки пароля
Sniffit
SNMPsniff
THC login/telnet
Группы исследования защиты
Cult of the Dead Cow
Dark Secrets of the Underground
L0pht Heavy Industries
Nomad Mobile Research Center (NMRC)
Technotronic
The Legacy
IDS-системы обнаружения атак
AID Adaptive Intrusion Detection system
(Brandenburg University of Technology, Германия) клиент--серверная архитектура, предназначена для обнаружения подозрительной активности в локальных сетях
AUBAD Automated User Behavior Anomaly Detection system
(Австралия) обнаружение атак с использованием нейросетей
GASSATA Genetic Algorithm for Simplified Security Audit Trail Analisys
(Ренский университет, Франция) анализ событий, получаемых из журнала регистрации ОС AIX, используется генетический алгоритм
EMERALD
(SRI) Event Monitoring Enabling Responses to Anomalous Live Disturbances ориентирована на работу в крупных, распределенных сетях Defence Wall широкий набор утилит для борьбы с вторжениями
Nessus
одно из лучших средств проверки безопасности сети
NetSTAT
(Университет Калифорнии) система обнаружения атак в реальном режиме времени, использующая контроль состояний переходов
NIDES
(SRI) использует статистический подход, определяющий отклонения от профиля нормального поведения пользователя.
NNID Neural Network Intrusion Detector
(ISS) нейросетевой детектор атак, объединение нейросетевых технологий с системой обнаружения атак RealSecure Network Sensor
Online Scanner и Desktop Scanner
(ISS) защита пользователей, подключающихся к интернет-банку
NFR Network Flight Recorder
содержит интерпретируемый язык N-Code, ориентирован на компании малого и среднего размеров
Centrax (CyberSafe)
ETrust IDS (Computer Associates)
широкий спектр средств обнаружения атак
NetForensics.com
ориентирована на средства защиты, предоставляемые фирмой Cisco
Dragon (Enterasys Network)
набор продуктов безопасности
Примечание.
SRI -- Stanford Research Institute
ISS -- Internet Security Systems
Известные хакеры
Internet Morris Worm `98
Kevin Mitnick's Site
SANS hack
Shimomura perspective of Mitnick hack
Каналы IRC
#enforcers
#hackphreak
#x-treme
#coders
#nevaeh
#hackschool
#hackers
#dc-stuff
Классификация нарушителей безопасности
При разделении нарушителей безопасности по классам можно исходить из его принадлежности определенным категориям лиц, мотивов действий и преследуемых целей, характера методов достижения поставленных целей, квалификации, технической оснащенности и знаний об атакуемой информационной системе.
Прежде всего разделим нарушителей на внутренних и внешних. По данным многих источников и статистических исследований, отношение внутренних инцидентов к внешним оценивается примерно в 75%. Мы бы рассматривали в данном случае классическую пропорцию 80 к 20, так как факты многочисленных нарушений часто скрываются организациями или для поддержания имиджа приписываются внешним источникам.
Потенциально к внутренним нарушителям относятся сотрудники самого банка или сотрудники организаций из сферы ИТ, предоставляющие банку телекоммуникационные и иные информационные услуги.
Среди внутренних нарушителей в первую очередь можно выделить:
непосредственных пользователей и операторов информационной системы, в том числе руководителей различных уровней; администраторов вычислительных сетей и информационной безопасности; прикладных и системных программистов; сотрудников службы безопасности; технический персонал по обслуживанию зданий и вычислительной техники, от уборщицы до ремонтной бригады; вспомогательный персонал и временных работников.
Среди причин, побуждающих сотрудников к неправомерным действиям, можно указать следующие:
безответственность; ошибки пользователей и администраторов; демонстрация своего превосходства (самоутверждение); "борьба с системой"; корыстные интересы пользователей системы; недостатки используемых информационных технологий.
Для предотвращения нарушений необходимо проводить специальную подготовку персонала, поддерживать здоровый рабочий климат в коллективе, проводить тщательный отбор нанимаемых сотрудников, своевременно обнаруживать злоумышленников.
Группу внешних нарушителей могут составлять:
клиенты; приглашенные посетители; представители конкурирующих организаций; сотрудники органов ведомственного надзора и управления; нарушители пропускного режима; наблюдатели за пределами охраняемой территории.
По рекомендации экспертов в области информационной безопасности, особое внимание следует обращать на вновь принимаемых сотрудников в следующих профессиях: администраторы, программисты, специалисты в области компьютерной техники и защиты информации. Известны случаи внедрения сотрудников, работающих на конкурентов, поступления на работу хакера-одиночки или представителя хакерской группы. Чрезвычайную опасность представляют специалисты подобного уровня при вхождении в сговор с руководством подразделений и службы безопасности банка, а также с организованными преступными группами. В данном случае возможный ущерб и тяжесть последствий многократно увеличиваются.
Руководство банка, должно четко себе представлять, от каких видов нарушений необходимо защититься в первую очередь.
Типы нарушителей могут сильно отличаться, варьироваться по составу, возможностям и преследуемым целям. От одиночного нарушителя, действующего удаленно и скрытно, до хорошо вооруженной и оснащенной силовой группы, действующей молниеносно и напролом. Нельзя не учитывать возможности сговора между нарушителями, относящимися к различным типам, а также подкупа и реализации других методов воздействия.
Далее классификацию можно проводить по следующим параметрам.
Используемые методы и средства:
сбор информации и данных; пассивные средства перехвата; использование средств, входящих в информационную систему или систему ее защиты, и их недостатков; активное отслеживание модификаций существующих средств обработки информации, подключение новых средств, использование специализированных утилит, внедрение программных закладок и "черных ходов" в систему, подключение к каналам передачи данных.
Уровень знаний нарушителя об организации информационной структуры:
типовые знания о методах построения вычислительных систем, сетевых протоколов, использование стандартного набора программ; высокий уровень знаний сетевых технологий, опыт работы со специализированными программными продуктами и утилитами; высокие знания в области программирования, системного проектирования и эксплуатации вычислительных систем; обладание сведениями о средствах и механизмах защиты атакуемой системы; нарушитель являлся разработчиком или принимал участие в реализации системы обеспечения информационной безопасности.
Время информационного воздействия:
в момент обработки информации; в момент передачи данных; в процессе хранения данных (учитывая рабочее и нерабочее состояния системы).
По месту осуществления воздействия:
удаленно с использованием перехвата информации, передающейся по каналам передачи данных, или без ее использования; доступ на охраняемую территорию; непосредственный физический контакт с вычислительной техникой, при этом можно выделить:
доступ к терминальным операторским станциям, доступ к важным сервисам предприятия (сервера), доступ к системам администрирования, контроля и управления информационной системой, доступ к программам управления системы обеспечения информационной безопасности. Создание модели нарушителя или определения значений параметров нарушителя в большой мере субъективно. Модель необходимо строить с учетом технологий обработки информации и особенностей предметной области.
Рассмотрим более подробно возможные схемы действий злоумышленника, использующего удаленное проникновение в информационную систему банка.
Начнем с самого простого варианта.
Это хакер-одиночка, обладающий стандартным персональным компьютером на базе Pentium4, с модемным (реже выделенным) выходом в Интернет. Данный тип злоумышленников очень сильно ограничен в финансовом плане. Он необязательно обладает глубокими знаниями в области компьютерных технологий, чаще всего использует готовые компьютерные программы, доступные из Интернета, для реализации угроз через давно известные уязвимости. Вряд ли такой тип нарушителя обладает достаточными знаниями о построении информационной системы банка. Его действия больше носят экспериментальный характер, он не стремится получить доступ к определенной информации или модифицировать ее с целью извлечения выгоды. Ему просто интересно провести некоторые действия с информационной системой банка, недоступными и неиспользуемыми простыми пользователями Интернета. Характер действия -- скрытый, в меру своих способностей. Чаще всего останавливается после проведения первого успешного воздействия.
Для борьбы с подобными "исследователями" администраторам безопасности необходимо четко выполнять правила, предписанные политикой безопасности организации. Устанавливать самые последние версии используемых программных продуктов и ОС, а также выпускаемые к ним патчи и расширения. Отслеживать публичные списки обнаруживаемых уязвимостей в аппаратных и программных продуктах известных производителей и совершать рекомендуемые действия для предотвращения реализации угроз с использованием обнаруженных уязвимостей.
Следующий по опасности тип злоумышленника -- это объединенная хакерская группа. Исследуемый тип злоумышленников достаточно скован в своих финансовых возможностях. Она еще не обладает вычислительными мощностями уровня крупного предприятия и подобным пропускным каналом в Интернет. Но обладание суммарными знаниями в области компьютерных технологий представляют большую опасность. Такие злоумышленники используют всевозможные приемы для организации сканирования информационных систем с целью выявления новых уязвимостей, применяются также методы реализации угроз через уже известные уязвимости. Они в состоянии написать программы, которые используют обнаруженные уязвимости: сетевые черви, вирусы, трояны и другие вредоносные программные средства. Для выполнения своих планов они могут встраивать вредоносные программы в вычислительные системы своих жертв. При использовании таких программ они могут получить доступ к большим компьютерным мощностям вычислительных сетей крупных научных или военных ведомств, а также к каналу с высокой пропускной способностью, который соединяет пораженную сеть (сети) с Интернетом.
Описанные действия позволяют им производить мощные атаки на информационные системы в сети Интернет. Чаще всего они действуют целенаправленно и могут предпринимать определенные усилия для получения представления о принципах функционирования системы защиты банка. Спектр их действий -- от подделки суммы на счете (модификация данных) до получения или уничтожения критичных данных по заказу.
Планируя свои действия, группа предпринимает все возможные усилия для сокрытия факта несанкционированного доступа. Хакерская группа не останавливается до момента достижения поставленной цели или столкновения с непреодолимыми препятствиями для проведения дальнейшего вторжения.
Для противостояния действиям подобных групп необходимо использовать последние достижения в области обеспечения информационной безопасности объекта.
Следующий тип -- предприятие-конкурент.
Данная модель включает в себя: собственные мощные вычислительные сети и каналы передачи данных с высокой пропускной способностью для выхода в Интернет; большие финансовые возможности; высокие знания компьютерных специалистов как самой компании, так и нанимаемых "под заказ". Возможны попытки подкупа сотрудников службы безопасности или иные действия из области социальной инженерии. Конкуренты могут предпринять серьезные усилия для получения сведений функционирования системы информационной защиты, в том числе внедрить своего представителя в службу безопасности. Среди целей могут быть: блокирование функционирования информационной системы конкурента, нанесение подрыва в имидже, деструктивные действия, направленные на причинение непоправимого ущерба конкуренту, вплоть до его разорения и банкротства. Для этого используются самые изощренные методы проникновения в информационные системы и воздействия на потоки данных в ней. Действия конкурентов могут носить как скрытый, так и открытый, демонстративный характер. При осуществлении своих намерений конкурирующая сторона бьется до победного конца.
Служба безопасности должна быть начеку и сама вести наблюдение за компаниями, со стороны которых возможно проявление недобросовестной конкуренции. Может применяться сбор информации, другие разведывательные действия, подкуп и перевербовка сотрудников.
Самым серьезным соперником для службы безопасности банка являются коррумпированные представители различных структур ведомственного уровня, а также спецслужбы различных государств.
Они обладают практически неограниченными вычислительными и финансовыми возможностями, самостоятельно регулируют и контролируют трафик в сети Интернет. На их службе состоят самые высокопрофессиональные компьютерные специалисты. В некоторых странах известны примеры, когда вместо тюремного заключения или после него известного хакера берут в службу национальной безопасности. Эти специалисты участвуют в разработке стандартов по безопасности информации, сетевых протоколов и досконально знают возможности и недостатки всех компьютерных технологий. В процессе сертификации вычислительной системы представители ведомственных органов могут получать достаточно полную информацию о ее построении. Цели, преследуемые такой группой, весьма разнообразны и их невозможно предугадать заранее. Подобные преступные элементы могут не утруждать себя сокрытием своих действий и, как уже говорилось, практически ничто неспособно их остановить. Они могут пользоваться поддержкой как законодательных, так и иных правовых актов, а также опекой органов исполнительной и судебной власти.
Опасность может исходить и от спецслужб или разведывательных служб других государств, имеющих личные интересы в данном секторе экономики или оказывающих воздействие на различные направления деятельности государства.
Что можно сказать о борьбе с этой группой... Требуется организация защиты информации на очень высоком уровне, что подразумевает существенные издержки. Кроме этого, требуется создавать собственные службы безопасности, оснащенные и обученные лучше ведомственных, но такой поворот событий чреват вступлением в открытое противостояние с этими органами.
В табл. 1 сгруппирована сравнительная характеристика рассмотренных моделей типового злоумышленника.
Например, А. В. Лукацкий (см.: Лукацкий А. В. Обнаружение атак. -- СПб.: БХВ-Петербург, 2001) приводит следующую классификацию нарушителей (разделение делается по целям, преследуемым злоумышленником):
хакеры -- собственное удовлетворение, без материальной выгоды;
шпионы -- получение информации, которая может быть использована для каких-либо политических целей; террористы -- с целью шантажа; промышленные шпионы -- кража промышленных секретов, материальная выгода конкурентов; профессиональные преступники -- получение личной финансовой выгоды.
Среди целей, преследуемых нарушителями, отмечаются:
любопытство; вандализм; месть; финансовая выгода; конкурентная выгода; сбор информации; военная или политическая выгода.
Для защиты вычислительных сетей от злоумышленного воздействия необходимо использовать программные и программно-аппаратные комплексы и системы обеспечения информационной безопасности. Для организации защиты от внешней потенциально враждебной информационной системы используются межсетевые экраны, системы построения виртуальных частных сетей (VPN), защищенные каналы передачи данных (протоколы SSL, SOCKS, IPsec), криптографические средства (ГОСТ, AES, RSA и др.), протоколы распределения ключей и сертификаты (Х.509, SKIP, ISAKMP, PKCS, PEM и др.), системы аутентификации пользователей (PAP, S/Key, CHAP) и удаленного доступа (TACACS и RADIUS). Более подробная информация имеется в: Вакка Дж. Секреты безопасности в Internet. -- Киев: "Диалектика", 1997. -- 505 с., и Зима В. М., Молдовян А. А., Молдовян Н. А. Безопасность глобальных сетевых технологий. -- СПб.: БХВ-Петербург, 2000. -- 320 с., а также в других книгах по рассматриваемой тематике.
Наиболее распространенные и доступные программы для реализации атак и защиты от них, а также базы данных и списки уязвимостей приведены . Одна и та же программа в руках администратора защиты выступает в роли средства обеспечения информационной безопасности системы, а в руках злоумышленника становится грозным оружием для осуществления атаки или сканирования сети при проведении подготовки к атаке. По этой причине один и тот же продукт может присутствовать одновременно в двух списках.
Итак, правильное построение модели нарушителя позволяет проектировать и реализовывать систему обеспечения защиты информации в вычислительных системах банка адекватно имеющимся угрозам.
Об авторах:
Мельников Юрий Николаевич -- докт. техн. наук, профессор кафедры ВМСС МЭИ.
Теренин Алексей Алексеевич -- аспирант кафедры ВМСС МЭИ.
Конференции
2000 IEEE Symposium on Security and Privacy
BlackHat
Calendar of security and privacy related events
Computer Security Institute (CSI)
DefCon
Hackers On Planet Earth (HOPE) 2000 (H2K)
IACR Calendar of Events in Cryptology
The Internet Conference Calendar
The Internet Security Conference (TISC)
MIS Training Institute Conferences
National Information Systems Security Conference
NetSec (Network Security)
RSA Conference
SANS (System Administration, Networking, and Security)
ShadowCon
SummerCon
Usenix Security Symposium
Контактная информация производителей
Apache Site
BSDI Patches Site
Cisco Advisory Site
Debian Site
Digital mail
FreeBSD Site
HP Site
IBM Site
Linux (общие вопросы)
Microsoft Site
NetBSD Site
Netscape Site
OpenBSD Site
RedHat Site
SCO Site
Sendmail Site
SGI Site
Slackware
Sun Site
WorkGroup Solutions Site
Краткая характеристика хакеров
Хакеры буквально творят произвол во всемирной Сети. Они воруют номера кредитных карточек. Получают доступ к закрытым базам и оперируют со счетами пользователей. Используют информационные и сетевые ресурсы для изощренных атак. Чаще всего доступ к Интернету они также получают за счет кого-то. Они занимаются рассылкой спама и внедрением вредоносных программ на различные компьютеры в сети. Они собирают и взламывают пароли от чужих машин и систем, чтобы получить к ним полный доступ: завладеть секретной информацией, скопировать ее, удалить или модифицировать. Хакеры перехватывают и перенаправляют сетевой трафик. Устраивают настоящую войну с крупными сайтами в сети Интернет. И чаще всего не ради наживы, а ради развлечения или самоутверждения.
В результате хакерских атак может причиняться крупный ущерб, чаще всего они носят организованный характер и нередко среди соучастников могут быть представители собственного персонала. Кроме того, информационным атакам и вторжениям присуща высокая степень латентности (малый процент -- меньше 10% выявления преступлений).
Хакеры могут встраивать троянские программы, которые превращают пораженную машину в "компьютер-зомби", который совершает различные действия по указке хакера, выходя из-под контроля. Такие пораженные системы могут использоваться для дальнейшего развития атак на машины в сети и их заражения.
Действия хакеров могут нанести существенный ущерб имиджу компании, если сайт банка или его информационная система не будут должным образом работать по причине действий хакеров, если на сайте будет размещена посторонняя информация (тем более экстремистские лозунги или порнография).
В настоящее время хакеры объединяются в группировки, современное развитие коммуникационных технологий позволяет им моментально обмениваться информацией об обнаруживаемых уязвимостях, распространять программную продукцию, позволяющую взламывать корпоративные сети и веб-серверы. Интернет позволяет хакерам успешно объединяться в виртуальном пространстве, при этом оставаясь недосягаемыми в физическом.
Наиболее опасными и сильными хакерами могут стать представители военных ведомств и спецслужб различных государств. Эти ведомства обладают мощными компьютерами и высокопроизводительными пропускными каналами связи. Следует учесть, что в ведомствах могут работать недобросовестные сотрудники, которые заинтересованы в подрыве репутации или нанесении ущерба добросовестным банкам.
Существенную угрозу несут в себе вредоносные программы -- вирусы и трояны. Распространяясь по всемирной Сети, они, используя небезопасные настройки коммуникативных программ, в том числе защищенных протоколов, могут поражать банковские вычислительные системы.
В свободном доступе находится множество программ и утилит, автоматизирующих поиск и использование уязвимостей атакуемой системы.
Интернет позволяет передавать конфиденциальную информацию практически в любую точку мира, но передаваемые данные необходимо защищать как в плане конфиденциальности, так и в плане обеспечения подлинности, иначе они могут быть искажены или перехвачены. Интернет-систему необходимо защищать от подлога, несанкционированного изменения, разрушения, блокирования работы и т. д.
Комплекс технических средств защиты интернет-сервисов:
брандмауэр (межсетевой экран) -- программная и/или аппаратная реализация; системы обнаружения атак на сетевом уровне; антивирусные средства; защищенные ОС, обеспечивающие уровень В2 по классификации защиты компьютерных систем и дополнительные средства контроля целостности программ и данных; защита на уровне приложений: протоколы безопасности, шифрования, ЭЦП, цифровые сертификаты, системы контроля целостности; защита средствами системы управления БД; защита передаваемых по сети компонентов программного обеспечения; мониторинг безопасности и выявление попыток вторжения, адаптивная защита сетей, активный аудит действий пользователей; обманные системы; корректное управление политикой безопасности.
При проведении электронного документооборота должны выполняться:
аутентификация документа при его создании; защита документа при его передаче; аутентификация документа при обработке, хранении и исполнении;
защита документа при доступе к нему из внешней среды.
Для обеспечения высокого уровня информационной безопасности вычислительных систем рекомендуется проводить следующие процедуры при организации работы собственного персонала:
фиксировать в трудовых и гражданско-правовых договорах обязанности персонала по соблюдению конфиденциальности, в том числе лиц, работающих по совместительству; распределять основные функции между сотрудниками так, чтобы ни одна операция не могла быть выполнена одним человеком от начала до конца; обеспечивать строгий режим пропуска и порядка в служебных помещениях, устанавливать жесткий порядок пользования средствами связи и передачи информации; регулярно проводить оценку всей имеющейся информации и выделять из нее конфиденциальную в целях ее защиты; иметь нормативные правовые документы по вопросам защиты информации; постоянно повышать квалификацию сотрудников, знакомить их с новейшими методами обеспечения информационной безопасности; создать базу данных для фиксирования попыток несанкционированного доступа к конфиденциальной информации; проводить служебные расследования в каждом случае нарушения политики безопасности.
Методы информационной войны
Institute for the Advanced Study of Information Warfare
NMRC's information warfare links
Winn Schwartau's InfoWar
Методы усиления защиты
Domain Name Server (DNS)
NMRC's suggestions for NT
NT Web security issues
SANS steps for hardening NT
Sendmail
Somarsoft's Windows NT security issues
Межсетевые экраны
| Продукт | Производитель | Достоинства | Недостатки |
| FireWall 1 | Check Point Software Technologies | Возможность создания конфигураций с несколькими брандмауэрами, простое управление. Гибкая | Низкая производительность. Недостаточно мощные средства генерации отчетов |
| Gauntlet | Trusted Information Systems | Широчайший спектр посредников приложений. Хорошие возможности посредников фильтрации пакетов. Хорошие средства генерации итоговых отчетов. Внутренняя проверка ценности | Упрощенная фильтрация пакетов. Сложное конфигурирование и управление с помощью незаконченного GUI. Слабая поддержка операционной системы BSDI |
| Black Hole | Milkyway Networks | Гибкий доступ к внутренними внешним службам. Хорошие средства регистрации событий и генерации отчетов. Удобный GUI | Слабая поддержка операционной системы BSDI |
| Eagle | Raptor Systems | Удобный GUI. Прозрачная передача исходящих IP-пакетов. Выдача предупреждений при обнаружении нападений. Внутренняя проверка целостности | Недостаточная гибкость в обеспечении доступа к сети извне. Наличие ошибок в посредниках приложений. Слабые средства генерации отчетов |
| FireWall/Plus | Network-1 Software and Technology | Широкий спектр поддерживаемых протоколов, включая не-IP. Может быть невидим для внешнего мира. Интеллектуальная фильтрация пакетов | Средства генерации отчетов явно недостаточны и имеют ошибки, невозможна запись на локальный диск. Аварийное завершение работы GUI при высокой нагрузке |
| AltaVista FireWall | AltaVista Internet | Простое конфигурирование с помощью GUI. Генерация аварийных сигналов и предупреждений о нападениях в реальном времени. Широчайшая поддержка платформ. Высокая производительность. Хорошие средства регистрации и генерации отчетов | Ограниченные возможности конфигурирования. Ограниченная поддержка типов аутентификации |
| Centri | Global Internet | Работает и как посредник приложений, и как фильтр пакетов. Фильтрация содержимого HTTP и URL. Интегрированный GUI. Прозрачная передача исходящих IP-пакетов | Слабые средства генерации отчетов. Упрощенная фильтрация пакетов. Зависание GUI и Windows NT |
| PORTUS | Livermore Software Laboratories International | Возможность удаленного администрирования. Поддержка двойной системы имен и доменов. Средства регистрации событий. Высокая производительность. Поддержка нескольких видов аутентификации | Сложное конфигурирование. Негибкая политика защиты |
Новости и редакционные статьи
Hacker News Network
Security Watch -- раздел по защите в журнале Info World Стюарта Макклюра и Джоела Скембрея
ZDTV Cybercrime
Обманные системы
DTK the Deception Toolkit
В режиме реального времени
CyberCop Sting
(Network Associates)
WebStalker Pro
(TIS) обнаружение атак на уровне прикладного ПО
CyberCop Scanner& Monitor
(Network Associates)
Системы уровня ОС
System Scanner
(ISS) система анализа защищенности на уровне ОС и ПО (локально)
Intruder Alert
обнаружение атак на уровне ОС
COPS: Computerized Oracle and Password System
(by Dan Farmer) уровень ОС
GoBack 3 Deluxe
защищает компьютер от падений системы, последствий вирусных атак, некорректных инсталляций, позволяя легко вернуться к той конфигурации, в которой компьютер надежно работал
Enterprise Security Manager
(Symantec)
Server Sensor
LIDS
обнаруживает факт установки анализатора протоколов и попытки изменения правил МЭ (межсетевого экрана)
HostCentry
(Psionic) контроль деятельности пользователей в режиме реального времени
OpenWall
встраиваемый компонент в ядро Linux
Tripwire
система анализа журналов регистрации
SecretNet
система защиты информации от НСД
Обнаружение сканирования портов
Check Promiscuous Mode (cpm)
Обнаружение действия сыщиков в сети университета Карнеги-Меллона для Unix
AntiSniff
Обнаружение действия сыщиков в сети только для Windows
UNIX:
Scanlogd от SolarDesigner Psionic Portsentry
Alert.sh (by Lance Spitzner)
NT:
BlackIce от Networkice
Genius 2.0 от Independent Software
способен обнаруживать IP-адрес и имя DNS атакующего
Основные подходы к построению модели злоумышленника
Чаще всего строится неформальная модель злоумышленника (нарушителя), отражающая причины и мотивы действий, его возможности, априорные знания, преследуемые цели, их приоритетность для нарушителя, основные пути достижения поставленных целей -- способы реализации исходящих от него угроз, место и характер действия, возможная тактика и т. п. Для достижения поставленных целей нарушитель должен приложить определенные усилия и затратить некоторые ресурсы.
Чаще всего теоретически применяется теория игр, когда для создания защитной системы используется матрица угроз/средств защит и матрица вероятностей наступления угроз. У злоумышленника существует своя собственная матрица нападений (ценностей), в общем случае эта матрица может не совпадать с матрицей защищающейся стороны. Пользователь системы также может стать нарушителем безопасности.
Определив основные причины нарушений, представляется возможным оказать влияние на эти причины, или необходимым образом скорректировать требования к системе защиты от данного типа угроз. Вопросы безопасности вычислительных систем большей частью есть вопросы человеческих отношений и человеческого поведения. При анализе нарушений защиты необходимо уделять внимание субъекту (личности) нарушителя. Устранение причин или мотивов, побудивших к нарушению, в дальнейшем может помочь избежать повторения подобного случая.
Модель может быть не одна, целесообразно построить несколько отличающихся моделей разных типов противников информационной безопасности банка.
Для построения модели нарушителя используется информация от служб безопасности и аналитических групп о существующих средствах доступа к информации и ее обработки, о возможных способах перехвата данных на стадии передачи, обработки и хранении, об обстановке в коллективе и на объекте защиты, сведения о конкурентах и ситуации на рынке, об имевших место свершившихся случаях хищения информации и т. п.
Кроме этого, оцениваются реальные оперативные технические возможности злоумышленника для воздействия на систему защиты или на защищаемый объект. Под техническими возможностями подразумевается перечень различных технических средств, которыми может располагать злоумышленник в процессе совершения действий, направленных против системы информационной защиты.
Отказ в обслуживании
Land and Latierra
Netcat
(by Hobbit) универсальный сканер сетевых портов с большим набором различных операций
Portfuck
Smurf& Fraggle
Synk4
Teardrop, newtear, bonk, syndrop
Подбор паролей
John the Ripper
Win&Unix системы, словарный поиск
L0phtCrack
подбор паролей, система Windows
LC3
новая версия повсеместно любимого L0phtcrack
NTcrack 5.0
"Ломалка NT-паролей"
Password Recovery
(Elcom) достаточно большое количество утилит, которые взламывают пароли к архивам ARJ, RAR, ZIP и документам Microsoft Office различных версий
Правительственные учреждения
Central Intelligence Agency
Defense Information Systems Agency (DISA)
Department of Energy
Federal Bureau of Investigation (FBI)
Lawrence Livermore National Labs
National Institute of Standards and Technology (NIST)
National Security Agency
President's Commission on Critical Infrastructure Protection
Программы, предназначенные для реализации атак
Наиболее популярные современные утилиты для проведения сетевых атак. В список попали как инструменты защиты, так и хакерские программы, а также сайты, содержащие средства и информацию по этой теме. Не отмечены утилиты, входящие в стандартный комплект операционных систем (их можно найти в Windows NT Resource Kit или в SupplementII).
Программы удаленного управления компьютерной системой
Remote Administrator
Citrix ICA
PcAnywhere
ReachOut
Remotely Anywhere
Remotely Possible/ControllT
Timbuktu
VNC
Рассылочные списки и рассылка новостей
AUSCERT
Bugtraq
CERT
COAST Watch
Firewall Wizards
IPSec
Microsoft
Netware Hack
NT Security
NTBugtraq
SANS Digest
Usenix login
Рекогносцировка
ARIN database
Dogpile Search Engine
Filez database
InterNIC
Lycos FTP Searching
Network Solutions (domain names)
Sam Spade
SEC database
WebSitez database
Сайты по общим вопросам защиты
Active Matrix's Hideaway
Alpine World links
Computer and Network Security Reference Index
Computer Security Information
eSecurityonline
Fyodor's Playhouse
Gene Spafford's site
Genocide 2600
Hackers.com
Hackers-supply
Internet Privacy Coalition
Macintosh Security
NT Security.net
Opensec
Securezone.com
Securityfocus.com
Securityportal.com
Securitywatch.com
Spyking's security tools
WWW Security References
Сетевые перехватчики (сыщики)
Sniffer
Анализатор сетевых протоколов. Прослушивание сетевого трафика.
Автоматический поиск интересующей информации в пакетах, передающихся в сети
DSniff
мощная утилита для перехвата паролей и другой информации, передаваемой в сети
Ethereal
обычный "сниффер" для UNIX-систем с отличным, надо сказать, графическим интерфейсом
FireWalk
(Mike Schiffman) в режиме сканирования портов выявляет открытые порты за брандмауэром
Hping
(Salvatore Sanfilippo) сканирование сквозь брандмауэры. Анализ ответов TCP
Linsniff
(Mike Edulla) Сыщик паролей Linux
Sniffit
(Brecht Claerhout) простой сыщик пакетов для Linux, SunOS, Solaris, FreeBSD, Irix
Solsniff
(Michael R. Widner) сыщик, модифицированный под Sun Solaris 2.x
Tcdump
(группа авторов) классический анализатор пакетов, реализован для различных платформ
TCP Logger
(Михаил Калинский) Предназначен для исследований протоколов, работающих на основе протокола TCP (http, pop3, smtp и т. д.), а также для исследований серверов, сервисов, скриптов и т. д. Для Windows
Шифрование
Bruce Schneier's paper on cryptography
Center for Democracy and Technology
Crypto and Security courses
Distributed.net
Greg Miller's resources
RSA Lab's Cryptography FAQ
Системы уровня СУБД
Database Scanner
(ISS) система анализа защищенности на уровне СУБД (MS SQL Server, Sybase, Oracle)
SFProtect
SQL Secure Policy
Сканеры служб Windows
Epdump
(Microsoft) показывает службы, связанные с IP и номерами портов
Getmac
из NTRK, выводит mac-адреса сетевых адаптеров удаленных компьютеров Netdom из NTRK, информация о подключенных доменах NT
netviewx
(by Jesper Luaritsen) мощное средство получения списка узлов домена и работающих в нем служб
Pandora
полностью автоматический сканер расшаренных ресурсов, осуществляющий самостоятельное копирование файлов. Может работать в скрытом режиме, а также самостоятельно добавлять себя в автозапуск
Xsharez
сканирует порты на расшаренные ресурсы и подключает их. В данной версии возможна совместная работа с подборщикам паролей, если таковые требуются при попытке подключить сетевой диск
EssentialNetTools сканер на наличие расшаренных ресурсов. Однако включает в себя также еще несколько возможностей, не существующих в SMBscanner или Xsharez
sechole
из NTRK добавляет текущего пользователя в группу администраторов
rcmd & rcmdsvc
из NTRK удаленный запуск приложений
NetManager
(Дмитрий Кривов) аналог BackOrifice для Windows, но на русском языке и с простым интерфейсом
Сканеры уязвимостей
http://securitylab.ru/tools/?ID=22391
Для получения подробной информации о существующих вредоносных программах читатели могут использовать Интернет-ресурс (AVP) -- обширную энциклопедию существующих вирусов и троянских коней. Информацию о средствах борьбы с вирусоподобными программами можно найти, например, в классификаторе-поисковике Yandex. Каталог/Компьютеры и связь/Безопасность/Вирусы и антивирусы)
Сканирование
BindView
Cgi-founder - предназначена для облегчения поиска известных CGI-уязвимостей. Файл cgi-exp.dat содержит 53 exploit'а, можно добавлять свои. В архиве есть инструкция на русском языке
Cheops - утилита с графическим интерфейсом, универсальный мощный инструмент картографирования сети
Chknull
CyberCop Scanner от NAI - система анализа защищенности, может быть использована для сканирования сети
Firewalk от Mike Schiffman
Fping
Fremont
HackerShield от BindView
Hping
InspectorScan от Shavlik
Internet Scanner от ISS - обнаруживает более 900 различных уязвимостей
InterNetView - программа сканирования сети. Работает под Windows 95/98/NT
ipEye - stealth-сканер, конкурент Nmap
Kane Security Analyst
Lan Auditor
Network Mapper (nmap) от Fyodor
NTInfoScan - удаленное идентифицирование ОС и открытых портов
Pinger
PortPro и Portscan - самые быстрые сканеры дляWindows NT
QueSO
RuNmap
The Russian Network Mapper
Saint - программа-"убийца" средств защиты сети, основанная на небезызвестном сканере SATAN
SATAN (Security Administrator Tool for Analyzing Networks) - сканирование сетевых портов. Поиск уязвимостей в сети, которые могут быть использованы для реализации атак
ShadowSecurityScanner
Solarwinds
Strobe (by Julian Assange) - один из самых быстрых и надежных сканеров
TCP/IP
Tkined (утилита из пакета Scotty) сетевой редактор, позволяющий исследовать сети IP
Udp scan (by Dan Farmer& Wietse Venema in 1995) производная от SATAN, наиболее надежный UDP-сканер, правда, легко обнаруживаемый
WebTrends Security Analyzer от WebTrends
Whisker - сканирование веб-серверов, выявление уязвимых CGI-сценариев
WS_Ping ProPack
Словари
The Legacy's wordlists
Walnut Creek CDROM
Службы шлюзов
Finger gateway
Mail VRFY gateway
Ping gateway
Traceroute gateway
WHOIS gateways
Средства осуществления распределенных атак в основном типа "отказ в обслуживании"
http://www.cert.org/reports/dsit_workshop.pdf
http://www.cert.org/advisories/CA-99-17-denial-of-service-tools.html
tml
http://packetstorm.security.com/distributed/
http://staff.washington.edu/dittrich/misc/ddos/
Опасные утилиты в UNIX:
finger, rwho, rusers, rpcinfo, rpcbind
Утилиты в Windows NT:
net view -- позволяет получить список доступных в сети доменов
nltest из NTRK (NT Resource Kit) -- перечень контроллеров домена NT
Средства построения VNP (Virtual Private Network, виртуальные частные сети)
Особенностью сетевых решений, объединенных торговой маркой ViPNet, является то, что, с одной стороны, это -- высокоэффективные средства создания и управления VPN (поддержка мобильных и удаленных пользователей в корпоративной VPN; объединение нескольких локальных сетей в одну глобальную).
С другой стороны, это -- интегрированные с ними средства защиты сети в целом, ее сегментов и каждого клиента сети в отдельности (защита TCP/IP-трафика, создаваемого любыми приложениями и программами; защита рабочих станций, серверов WWW, баз данных и приложений; защищенные автопроцессинг и транзакции для финансовых и банковских приложений, платежных систем - firewall.ru).
Средства рекогносцировки
ARIN database
Cyberarmy
Dogpile (метапоисковая система)
DomTools (axfr)
FerretSoft
Sam Spade
Securities and Exchange Commission (SEC)
USENET Searching
Visual Route
WHOIS database
WS_Ping ProPack
Средства вторжения и создания "черных ходов"
Back Orifice
черный ход и управление системами Windows
Elitewrap
Getadmin программа для получения несанкционированного доступа к компьютеру, на котором она запущена (локальное проникновение)
Hunt
Imp
Invisible Keystroke Logger
Jcmd
John the Ripper
Win& Unix системы, словарный поиск
NetBus
программа, позволяющая организовать удаленное управление компьютером через сеть
Netcat
NTFSDOS
NTuser
Pandora от NMRC
Pwdump2
Revelation oт Snadboy
Sechole
SNMPsniff
Unhide
Virtual Network Computing (VNC)
(AT&T Laboratories) удаленное управление с графическим интерфейсом
Средства защиты
Black Ice от Network Ice
CyberCop Monitor от Network Associates
Hidden Object Locator
Ippl
ITA oт AXENT
Kane Security Monitor
Netguard
Network Flight Recorder
Protolog
Psionic Porlsentry из проекта Abacus
RealSecure jn Internet Security Systems (ISS)
Scanlogd
Secured oт Memco
Secure Shell (SSH)
Session Wall-3 от Abir net/Platinum
Technology
Уязвимые места и их использование
A.O.H.P.
Chaostic exploits
Infilsec Systems Security vulnerability database
Rootshell
Security Bugware
Security Focus
Shadow Penguin Security
System Security exploits
X-Force vulnerability database
Уровень сети
NetProwler
(Symantec) анализ на механизме сигнатур атак (ASD Attack Signature Definition)
Cisco Secure IDS
и другие программные и аппаратные продукты от Cisco
PortSentry (Psionic) анализ сетевых пакетов
Internet Scanner
(ISS) тестирование любых систем, основанных на стеке протоколов TCP/IP
NetRecon
(Symantec) дистанционный поиск уязвимостей на различных узлах корпоративной сети
Bro
(Lawrence Livermore National Laboratory) захват и фильтрация данных
Net Monitor
удобная маленькая программа, которая позволяет отслеживать все соединения, очень помогает как при диагностике сетей, так и при настройке брандмауэра
NukeNabbeer
мониторинг портов и перехват атак Nuke и прочих подобных атак, логирует время и IP-адрес нападавшего
NoBO
мониторинг порта 31337, прерывает попытки атаки ВО
NetBuster
мониторинг портов и персечение атаки NetBus'а
Jammer
помимо идентификации атаки и атакующего отправляет письмо администратору сети, из которой проводится атака
Snort
не имеет графического интерфейса, высококвалифицированному специалисту предоставляет широкий набор функций
Shadow
(Naval Surface Warfare Center) сетевой сенсор
RealSecure
(ISS) сочетает в себе все возможности вышеперечисленных программ
BlackIce
системы оперативного обнаружения и реагирования на атаки для TCP/IP-сетей
SAFEsuite Decisions
система поддержки принятия решений в области информационной безопасности. Сбор, анализ и корреляция данных от различных средств защиты, установленных в организации. Прогнозирование изменения уровня защищенности
Xspider
Очень хороший сканер безопасности. Незаменим как для админов, так и для тех, кто желает взломать какой-нибудь сервер. Выдает подозрительные на уязвимость скрипты, дыры, а также ссылку на сайт с подробным описанием найденной уязвимости и т. д.
ShadowSecurityScanner
сканер безопасности, работает чуть быстрее Xspider'a. Содержит в себе огромное количество функций. Создает удобные отчеты в формате HTML
CLEARSWIFT:
MAILsweeper for SMTP
средство контроля внешней электронной почты, получаемой и передаваемой по протоколу SMTP
MIMEsweeper for Domino
средство контроля внутренней электронной почты, получаемой, передаваемой и обрабатываемой (в том числе и хранимой) с помощью Lotus Domino
MAILsweeper for Exchange
средство контроля внутренней электронной почты, получаемой, передаваемой и обрабатываемой (в том числе и хранимой) с помощью MS Exchange
WEBsweeper
средство контроля и разграничения доступа к Вебу, включая защиту от утечки конфиденциальных материалов через бесплатные интернет-сервисы (например, mail.ru, чаты и доски объявлений)
PORNsweeper
средство контроля передаваемых в электронной почте порнографических картинок (дополнение к MAILsweeper)
SECRETsweeper средство контроля передаваемых в электронной почте зашифрованных сообщений, нарушающих политику безопасности компании (дополнение к MAILsweeper)
CodeRed Scanner
Сканер сетей класса B проверяющий веб-серверы MS IIS 4.0, 5.0, 6.0 (NT, 2000, XP) на наличие уязвимости
Window Washer Clean
Универсальное средство очистки системных кэшей, временных файлов, истории просмотра/запуска файлов и т.д.
Courtney от CIAC
Утилиты боевого прозвона
PhoneSweep от Sandstorm
(Sandstorm Enterprises) Windows, обладает графическим интерфейсом
THC-Scan
(van Vauser THC) предоставляет более широкие возможности (DOS)
ToneLoc
(Minor Threat& Mucho Maas) ОС: DOS, перебор номеров телефонов в поиске модемов
Утилиты создания перечня
Bindery
Bindin
Epdump
Finger
Legion
NDSsnoop
NetBIOS Auditing Tool (NAT)
Netcat от Hobbit
Netviewx
Nslist
On-Site Admin
просмотр серверов Novell, ветвей каталога
Snlist
Somarsoft (dumpacl, dumpreg и т. д.)
user2sid и sid2user
Userdump
Userinfo
Возможности нападения на информационные
ЮрийМельников, Алексей Теренин
Статья была опубликована в журнале "Банковские технологии" и на сайте Cryptography.Ru
От обеспечения безопасности информационной вычислительной системы (ИВС) банка сегодня во многом зависит бесперебойное, устойчивое и надежное функционирование бизнес-процессов в банке в целом; в частности репутация финансового учреждения, доля на рынке, снижение издержек.
Системы защиты предназначены для обеспечения безопасности информации, обрабатываемой в ИВС. Ко всем данным, с которыми работает информационная банковская система, в обязательном порядке предъявляется требование сохранности, аутентичности и целостности. Обеспечение этих требований является первостепенным в задачах обеспечения информационной безопасности. При современной острой конкурентной борьбе многие финансовые данные должны быть доступными только определенному кругу уполномоченных лиц. С другой стороны, банковская система должна оставаться прозрачной для государственных надзорных и налоговых органов.
Проблему информационной безопасности необходимо решать комплексно.
Захват root и заметание следов
Cygwin Win32 cp и touch
Wipe
Zap
Законодательство
Legal Information Institute
United States Code
Защита в Интернете и безопасность приложений
ActiveX -- Conceptual Failure of Security
CERT's metacharacter removal recommendations
CGI Security
Designing Security Software от Peter Galvin
Java Security Hotlist Categories
Java Security: FAQ
Java versus ActiveX
Malicious ActiveX
Michael Van Biesbrouck's CGI security tutorial
Netscape's SSL 3.0 specification
Netscape's SSL Tech Briefs
Simson Garfinkel Tech article on the ActiveX threat
SSL FAQ
Sun's Applet Security: FAQ
W3C Security FAQ
Значение модели нарушителя при построении системы информационной безопасности
Система защиты информации в банке должна быть адекватной уровню важности, секретности и критичности защищаемой информации. Ее стоимость не должна превосходить возможный ущерб от нарушения безопасности охраняемой информации. Но в то же время преодоление системы защиты должно быть экономически нецелесообразно по сравнению с возможной выгодой от получения доступа, уничтожения, модификации или блокировки защищаемой информации.
Необходимо оценить ущерб, который может иметь место в случае утечки информации или при любом другом нарушении системы безопасности, а также вероятность нанесения подобного ущерба. Для определения адекватности стоимости системы защиты следует сопоставить размеры ущерба и вероятность его нанесения с размерами затрат на обеспечение защиты. К сожалению, реальную стоимость информации оценить довольно сложно, поэтому часто применяются качественные экспертные оценки, информационные ресурсы классифицируют как критичные для ведения бизнеса, особой важности, и т.д.
Служба безопасности банка должна если не знать своих врагов в лицо, то построить модель типичного злоумышленника. Необходимо оценить, от кого защищаться в первую очередь. Опираясь на построенную модель злоумышленника, уже можно строить адекватную систему информационной защиты. Таким образом, правильно разработанная модель нарушителя является гарантией построения адекватной защиты.
BCI - Институт непрерывности бизнес-процессов
Справиться с составлением плана BCP может любой образованный человек (особенно, если за его плечами учеба в институте). И, тем не менее, есть более простые способы. Например, обратиться в Институт непрерывности бизнес-процессов (The Business Continuity Institute - BCI). BCI - это международная некоммерческая организация профессионалов в области обеспечения непрерывности бизнеса. Цель BCI - продвижение высших профессиональных стандартов и коммерческой этики в области поддержки планирования непрерывности бизнеса и предоставления услуг в данном направлении. BCI открыт для членства в своих рядах и проводит сертификацию специалистов в области обеспечения непрерывности бизнеса. Есть у компании и представительство в России (www.bcp.ru).
BCI определяет следующие 10 стандартов направлений:
Организация и управление проектом Оценка рисков и контроль Анализ влияния на бизнес Разработка стратегий непрерывности Реакция на чрезвычайные ситуации Разработка и внедрение планов непрерывности бизнеса Программы обучения и повышения осведомленности Поддержка и тестирование планов непрерывности бизнеса Связи с общественностью и управление кризисом Взаимодействие с регулирующими органами
По всем этим разделам специалисты института готовы оказать консультации, помочь в составлении плана и его реализации. Один из существенных плюсов - это возможность реализации шаблонов, опыт, накопленный специалистами института. К тому же они опираются на иностранный опыт обеспечения непрерывности бизнеса, который намного обширнее российского. Здесь же можно провести сертификацию вашего уже готового плана BCP. Законодательных и правовых актов на счет непрерывности бизнес-процессов в нашей стране не существует. В основном законы направлены на обеспечение безопасности жизнедеятельности трудящихся, а не на непрерывность бизнес-процессов. И все же некоторые законодательные акты так или иначе имеют отношение к BCP и являются его частью.
Думаю, вопрос, насколько необходима непрерывность бизнес-процессов? - можно отнести к риторическим. Конечно, это необходимо. Но хороший план непрерывности бизнес-процессов - на 70% все-таки перестраховка. Каждый случай индивидуален, и насколько необходим такой план, должно решать руководство компании. К тому же руководство должно принимать активное участие в составлении плана и быть заинтересовано в его реализации. Это та самая революция, которая должна начинаться сверху. План BCP необходим - вопрос лишь в его подробности.
BCP: SOS для вашего бизнеса
IT Manager #12/2003
Что есть в офисах компаний на случай непредвиденной или экстремальной ситуации - отказа компьютерной сети, пожара, наводнения и тому подобного? Максимум - план эвакуации, накануне визита пожарного инспектора спешно нарисованный на коленке, и телефоны службы спасения в голове у секретаря. Хорошо, если имеется страховка, которая позволит возродить бизнес из пепелища. Но обычно нет и этого. И происшествие, вроде отключения электричества, становится праздником и выходным для рядовых сотрудников, а что-то более серьезное заканчивается банкротством или кризисной ситуацией в компании. Думать об этом грустно, но подсластить пилюлю поможет загадочная аббревиатура BCP (business continuity plan) - дословно план непрерывности бизнеса, или более привычное сочетание "непрерывность бизнес-процессов".
Всерьез о BCP заговорили после террористических актов 11 сентября 2001 года в США. "Близнецы", символ Нью-Йорка, один из центров деловой активности мира рухнул в считанные минуты. Вам известно хоть одно громкое дело о банкротстве финансовой корпорации в связи с нападением на небоскребы? Небольшие компании столкнулись с определенными проблемами, но большинство корпораций довольно скоро восстановили свою функциональность и продолжили работу. И даже незначительное падение курса акций американских высокотехнологичных компаний в большей степени было вызвано негативными прогнозами, чем результатом разрушений в башнях-близнецах. А теперь представьте, что в один прекрасный день ваш офис оказался в руинах. Гибель всей документации (разве у вас были электронные копии где-то еще?), всего оборудования и офисной техники (у вас есть страховка?). Что запишем под жирной чертой после слова "Итого"? Банкротство?
Чего мы боимся и кто защищается?
В 2002 году за океаном было проведено исследование в области информационной безопасности. Вопрос стоял простой: с какими неприятностями вам приходилось сталкиваться? Почти четверть респондентов имели неприятности с компьютерными вирусами. Подчеркнем, что к неприятностям мы относим действие, которое повлекло за собой ущерб, а не обыкновенный факт своевременного обнаружения и лечения вируса. Еще 20% были атакованы хакерами. Примерно 17% столкнулись с несанкционированным доступом третьих лиц в их компьютерные сети. И еще 10% выявили утечку информации, передаваемую через сеть Интернет. В исследовании финансового ущерба лидируют все те же компьютерные вирусы. В среднем они приносили убыток в $160 тыс. для компании-респондента. И здесь доля пострадавших (брались уже все компании, вне зависимости от профиля) составила 61%! Так же более 38% пострадали от хищений компьютерного оборудования. Редкая компания не понесла потери в той или иной степени. Но лишь 58% из них задумались о принесенном ущербе, а следовательно, и о предотвращении остановки бизнеса.
Теоретические основы и методология составления планов BCP
Итак, все вышенаписанное поставило вас перед вопросом: насколько вероятно, что неприятный инцидент случится именно с вашей компанией? Конечно, одно дело снимать офис у подножия действующего вулкана, а совсем другое - в центре мегаполиса. В пустыне не бывает наводнений, а в Петербурге вряд ли когда-нибудь произойдет землетрясение. И все же, если собрать воедино все степени вероятности угрозы, получится, что какая-либо неприятность вполне может произойти. И тут впору оценить возможные последствия инцидента.
Первый вопрос, на который нужно ответить, - цели вашего бизнеса, для чего он нужен и что важно защищать. Согласитесь, покупка паровой кофеварки и вязанки дров на случай отключения электричества - вещь совершенно не обязательная. Определив жизненно важные органы, можно определить вероятные угрозы их функционированию. Далее составляется план предотвращения негативного влияния на важные узлы вашего бизнеса. На основе этого составляется сам план.
Но это лишь первый этап. После разработки плана необходимо добиться минимизации требований. Ведь несколько угроз могут быть решены одним комплексом мер, а некоторые угрозы действительно настолько невероятны, что их можно исключить. Затем нужно претворить план в жизнь и обеспечить его поддержку. Приобрести ИБП, резервировать важную информацию и тому подобное.
Потом следует приступить к тестированию плана. Пожар, конечно, устраивать не стоит, хотя слава Герострата, предусмотревшего все, и заманчива. А вот обыкновенные учения еще никому не вредили. Кстати, замечено, что одной из важных мелочей при катаклизмах является служба отдела персонала. Вывод из строя их базы данных не позволяет даже связаться с работниками компании. Разумеется, для неукоснительного соблюдения плана BCP персонал должен быть обучен и морально готов выполнять свои обязанности. Поверьте, если каждый будет точно знать свою роль, героев, выносящих сейфы с деньгами из обрушающегося здания, просто не потребуется.
План должен быть известен сотрудникам, и они должны понимать, что его четкая реализация приведет к успеху.
Даже эта моральная поддержка позволит избежать паники в экстремальной ситуации.
Как бы абстрактно ни звучали эти слова, точная методика разработки плана BCP существует. Речь идет о методике ISO 17799 - международном стандарте по управлению информационной безопасностью (Code of practice for information security management). Самая частая угроза рождает множество шаблонов и мер безопасности. Вот поэтапная реализация ISO 17799:
Аспекты управления непрерывностью бизнеса
Процесс управления непрерывностью бизнеса
Непрерывность бизнеса и анализ влияния
Разработка и внедрение планов непрерывности
Компоненты планирования непрерывности бизнеса
Тестирование, поддержка и переоценка планов непрерывности бизнеса
Тестирование планов
Поддержка и переоценка планов
Информационная безопасность и интересы бизнеса
А. Березин, ОАО "ЭЛВИС-ПЛЮС"
E-mail:
Обсуждение проблемы обеспечения информационной безопасности (ИБ) бизнеса становится все более и более популярной темой в различных "околокомпьютерных" СМИ. Как правило авторы статей изощряются в описании различных решений, анализируют преимущества и недостатки известных продуктов и технологий, описывают новые подходы и методики и т.д. При этом как-то само-собой разумеющимся и потому остающимся за кадром является тезис о том, что данная проблема актуальна и ею безусловно необходимо заниматься. В тени остается вопрос о том, каковы же собственно интересы Бизнеса в решении этой проблемы? Ведь стандартного тезиса о том, что критичная для Бизнеса информация должна быть доступной, целостной и конфиденциальной явно недостаточно, учитывая, что информация - понятие достаточно эфемерное; угрозы безопасности такой информации носят сугубо вероятностный характер (а как известно, пока гром не грянет, мужик не перекрестится, т.е. в данном случае руководство денег не даст), а технические и организационные решения по безопасности стоят очень конкретные, и немалые кстати, деньги!
Видимо, объяснение указанному явлению кроется в том, что обсуждается данная проблема в основном на уровне технических специалистов или специалистов, имеющих явные "технические корни". А как раз на данном уровне проблема осознана, наверное, уже в максимальной степени. Ведь кто, как не системный администратор может знать, что можно сделать с его сетью, если в нее проникнет недружественная личность с вандалистскими наклонностями? Или разрушающий программный код? Или если выйдет из строя какой-то базовый элемент корпоративной информационной системы (КИС)? Технический специалист также хорошо знает, что можно сделать с потоком данных, если его перехватить. И т.д. и т.п. Но с уровня бизнес-управления компанией этих угроз "не видно", поэтому осознание проблемы обеспечения безопасности информации КИС весьма и весьма туманное. Зато вполне осознанны другие категории: зачем тратить деньги на систему, полезность которой для бизнеса далеко не очевидна? Более того, часто можно услышать такой вопрос: А зачем нам вообще нужна информационная безопасность? На этом же нельзя заработать! Или, говоря языком бизнеса, зачем нам создавать еще один затратный центр? Их у нас и так слишком много! И с этими аргументами достаточно трудно спорить.
Особенно, если не иметь контраргументов, понятных Бизнесу. К сожалению, часто российские CIO (или директора по автоматизации; или начальника департамента информационных технологий) таких контраргументов и не имеют, хотя внутренне совершено уверены в необходимости решения данной задачи. В чем же причина?
Начнем с того, что опишем портрет типичного российского CIO. В большинстве случаев это люди с хорошим техническим образованием, большим опытом работы в отделах АСУ, прекрасно разбирающиеся в ИТ, обладающие прекрасной эрудицией в широкой предметной области, которые за годы работы в организации выросли от рядового инженера до CIO. Другими словами, это люди с теми же самыми "техническими корнями", для которых проблема ИБ очень и очень понятна. И решение проблемы они, как правило, видят тоже исключительно на техническом уровне в виде создание технической системы ИБ с набором стандартных элементов: антивирусы, межсетевые экраны, VPN, сервера доступа и др. Но язык Техники не понятен Бизнесу, равно как и язык Бизнеса далек от языка Техники. А потому для обоснования перед руководством необходимости потратить деньги на безопасность оперировать чисто техническими понятиями совершенно бесперспективно. Вас все равно не поймут! И выхода из такой ситуации для CIO всего два: либо научить технике директора, либо самому освоить язык бизнеса и на нем попробовать убедить руководство в своей безусловной правоте. Как это не странно, первый путь очень даже популярен, хотя в данном контексте хорошо видна его абсурдность.
Итак, что же нужно сделать CIO, чтобы убедить руководство в необходимости воспринимать информационную безопасность как один из корпоративных бизнес-процессов? Или, другими словами, как представить ИБ с точки зрения бизнеса?
Начнем, так сказать, "от печки", т.е. попробуем определить бизнес-задачу ИБ. Одним из основных двигателей рынка автоматизации бизнеса является стремление самого бизнеса стать более эффективным за счет использования современных ИТ.
Такое стремление понятно: не так уж много осталось реальных механизмов повышения конкурентоспособности, и все они в основном уже исчерпаны, а ИТ предлагают поистине неограниченные возможности. В том, что в автоматизации бизнеса заложен огромный потенциал для его динамического развития не сомневается сегодня, наверное, уже никто. Для этого достаточно сравнить эффективность и оперативность работы, например, корпоративной электронной почты с толпой бегающих по коридорам секретарш, качество и сроки разработки сложных технических систем с помощью CAD/CAM/CAE-систем и с помощью традиционного кульмана и др. Можно сказать, что бизнес-задача КИС, как и любой другой технической системы, состоит в том, чтобы упростить, ускорить или сделать более удобными ранее рутинные, и потому медленные и изобилующие ошибками бизнес-процессы. Или, если говорить более строго, любая действующая в интересах бизнеса техническая система в принципе должна предоставлять бизнесу какой-то тип сервиса. Такой сервис может быть самым разнообразным: доменная печь "оказывает услуги" по выплавке стали, транспортный цех - по транспортировке грузов, заводская столовая - по питанию сотрудников и т.д. Также и КИС, будучи сугубо технической системой, оказывает бизнесу свой тип сервиса - в данном случае сервис ИНФОРМАЦИОННЫЙ. И этот сервис заключается в конечном итоге в предоставлении Бизнесу необходимой ему ДЛЯ ПРИНЯТИЯ РЕШЕНИЙ Информации нужного качества, в нужное время и в нужном месте! Т.е. в конечном итоге Информации ДЛЯ УПРАВЛЕНИЯ самим бизнесом!
По сути Информация постепенно становится одним из ключевых элементов бизнеса! Ведь что такое Информация с точки зрения Бизнеса? По сути - это не что иное как некий набор формализованных (в смысле структурированных, разложенных по полочкам и имеющих средства для поиска и представления) знаний Бизнеса О САМОМ СЕБЕ! Причем в данном случае под Информацией можно понимать не только какие-то статичные информационные ресурсы, например, бухгалтерский баланс за прошедший год или текущие настройки какого-то оборудования, но и динамические информационные процессы обработки знаний в виде запрограммированной бизнес-логики работы компании в среде таких популярных приложений как электронный документооборот, ERP, CRM, службы каталогов и др.
Времена Генри Форда, когда управляющий компанией сам привинчивал гайки на конвейере, давно ушли в лету. Сегодня высшее руководство любой компании по существу имеет дело ТОЛЬКО с информацией, на основе которой оно и принимает решения. Понятно, что эту самую информацию готовят множество нижестоящих слоев достаточной сложной пирамиды, которая называется современным предприятием. И что нижние слои этой пирамиды вообще могут не иметь понятия о том, что они производят не только какую-то продукцию или услугу, но и Информацию для руководства. По нашему мнению, глубинный смысл автоматизации бизнеса и заключается как раз в том, чтобы ускорить и упорядочить информационные потоки между слоями этой пирамиды и представить на самый верх только самую необходимую, достоверную и структурированную в удобной для принятия решения форме Информацию!
Заметим, Информацию ДОСТОВЕРНУЮ! Отсюда можно заключить, что ключевой бизнес-задачей корпоративной системы ИБ является обеспечение гарантий достоверности информации, или, говоря другими словами, гарантий ДОВЕРИТЕЛЬНОСТИ информационного сервиса КИС!
А теперь попробуем провести следующий виртуальный эксперимент. Давайте сначала спросим Бизнес: Готов ли он потратить, скажем, сто тысяч долларов на закупку, например, пяти межсетевых экранов и ста лицензий на антивирусное ПО? А потом зададим тот же самый вопрос по-другому: А готов ли Бизнес потратить сто тысяч долларов на защиту информации о самом себе и на защиту сервиса, на котором основано управление компанией? Скорей всего ответ в первом случае прогнозируем: либо традиционное для России "денег нет", либо по-одесски вопросом на вопрос: А зачем? Во втором случае вариации ответов пошире: В какие сроки управимся? А где ты раньше был? И даже: Почему так мало? Разве мой бизнес столько стоит?
Но будет и вопрос, который любой нормальный Бизнес просто обязан будет задать: А почему именно сто тысяч? А не пятьдесят, или, скажем, не четыреста семьдесят две? И в таком случае наш уважаемый CIO должен быть готов дать понятый Бизнесу ответ, аргументированный необходимыми экономическими выкладками.
Т.е. по сути представить обоснование стоимости системы ИБ для Бизнеса.
Такой анализ, безусловно, возможно провести. Внимательный российский CIO наверное уже заметил, что в последнее время в печати все чаще и чаще начинают возникать новые для ИБ темы: анализ угроз ИБ, анализ информационных рисков, оценка совокупной стоимости владения системой безопасности, оценка возврата инвестиций от такой системы и т.д. Все это в виде метрики безопасности представляет собой некий экономический инструментарий, преломленный в область ИБ, который и позволяет ответить на вопрос: А почему сто тысяч? И еще это яркий показатель того, что наиболее "продвинутые" CIO уже пытаются на него ответить.
Автор не ставит своей целью даже кратко описать этот инструментарий, поскольку, во-первых, рамки журнальной статьи не позволяют обсудить эту тему достаточно серьезно, а во-вторых, заинтересованному CIO сегодня несложно найти специализированную информацию на эту тему. В том числе и на русском языке. Кроме того, уже многие российские ИТ-компании успешно предлагают консалтинговые услуги по оценке метрики безопасности. Однако, хочется обратить внимание CIO на несколько очень важных моментов, которые необходимо иметь в виду при знакомстве с данным инструментарием или при проведении переговоров с консалтинговыми компаниями. Но для этого нам придется несколько отвлечься от намеченной темы.
Попробуем найти достаточно близкую аналогию с системами ИБ в области нашей повседневной жизни. Возьмем, например, "старый добрый" сейф. И представим типичную для большинства компаний ситуацию: главному бухгалтеру необходимо хранить у себя в кабинете крупные суммы наличных денег или каких-то других ценностей. В ворах и грабителях у нас, к сожалению, дефицита нет, поэтому главбух разумно желает эти ценности как-то защитить и автоматически приходит к идее поставить в кабинете сейф. Знакомо? Еще как! Далее гдавбух идет с директору и просит его выделить деньги на покупку сейфа. Трудно представить себе ситуацию, когда директор вдруг скажет, что на это денег нет.
Скорей всего это просто не придет ему в голову, ибо деньги должны лежать в сейфе - это аксиома! Поэтому директор деньги выделит. Вопрос: сколько? Опять же трудно представить себе ситуацию, когда директор попросит главбуха подготовить экономическое обоснование оптимальной стоимости сейфа, провести оценку возврата инвестиций от покупки сейфа и т.д. Но мы предположим, что все-таки попросит. И главбух в глубокой задумчивости начнет размышлять: 1) по законам арифметики потенциальный ущерб от отсутствия сейфа в конторе равен той сумме, которую могут выкрасть потенциальные воры минус стоимость самого сейфа; 2) если стоимость сейфа еще можно как-то оценить, то как оценить ту сумму, которая потенциально будет лежать в кабинете бухгалтера В ТОТ САМЫЙ ДЕНЬ? А когда наступит ЭТОТ ДЕНЬ? А как объективно оценить, сколько раз случиться ограбление? А может ли случиться такое, что ограбления не случиться и при отсутствие сейфа? И т.д. и т.п. Поэтому, скорей всего, найти правильно обоснование оптимальной стоимости сейфа ему вряд ли удастся и на покупку сейфа, КАК ОБЫЧНО, будет выделено столько денег, сколько покажется разумным на тот момент.
Наконец, сейф куплен, установлен и эксплуатируется. Но, к сожалению, наш главбух оказывается рассеянной личностью и он вводит в код замка сейфа дату своего рождения; или ключ от сейф кладет под газетку на его крышку; или иногда просто забывает его закрывать. И однажды сейф успешно опустошают.
Из такого "лирического" отступления можно сделать три важных для нас наблюдения, которые вкупе условно можно назвать "законами сейфа":
в случае наличия в компании каких-либо ощутимых материальных ценностей, их хранение в сейфе воспринимается как безусловный фактор, не требующий обоснования; реальное экономическое обоснование оптимальной стоимости сейфа невозможно в принципе, поскольку в принципе невозможно оценить стоимость того, что этот сейф защищает; даже установка Суперсейфа не дает гарантий того, что ваши ценности окажутся в целости и сохранности.
Может оказаться нерадивый главбух. Или очень "радивый" медвежатник.
Теперь вернемся к ИБ и попробуем провести аналогию с описанным случаем. Итак деньги - это информация, главбух - CIO, бухгалтерия - аналог информационной системы, сейф - система ИБ, воры - хакеры. Не правда-ли - очень похоже? А поскольку аналогия настолько полная, может быть для ИБ справедливы те же выводы, что и к сейфу. Попробуйте сделать их сами!
А теперь настало время вернуться к нашему CIO, который по-прежнему думает о том, как же ему обосновать перед руководством стоимость системы ИБ в сто тысяч долларов. Поначалу он понадеялся было на метрику безопасности, но наши расуждения о сейфе совсем сбили его с толку! И что же теперь делать? Ведь должен же быть выход! И такой выход есть! И даже два!
Первый, назовем его наукообразным, подход, заключается в том, чтобы освоить, а затем и применить на практике необходимый инструментарий получения метрики безопасности, а для этого ОБЯЗАТЕЛЬНО привлечь руководство компании (как ее собственника) к оценке СТОИМОСТИ защищаемой информации. В таком случае от результатов такой оценки будет во многом зависеть деятельность CIO в области ИБ. Если информация не стоит ничего и руководство это ПОДТВЕРДИЛО (!), проблемой ИБ можно вообще не заниматься. Если информация стоит конкретных денег, понятны рамки бюджета системы ИБ. Хотя у автора есть серьезные сомнения, что руководство большинства компаний сможет назвать конкретную сумму, в которую оно оценивает свою бизнес-информацию, данный подход как минимум дает возможность вовлечь руководство компанией в осознание проблем ИБ и заставить его задуматься о реальной стоимости бизнес-информации. Это дорогого стоит, не правда ли!
Второй подход, назовем его примитивным, состоит в следующем: можно вообще ничего не оценивать, если найти тот самый инвариант разумной стоимости сейфа, т.е. системы ИБ. Ведь существуют же такие инварианты в других отраслях, где значимые для бизнеса события носят вероятностный характер. Например, автострахование.
Любой владелец автомобиля может годами не страховать своего "железного коня" и реально сэкономить на этом кучу денег. Но однажды въехать в 600-ый и потерять все. А можно, конечно, и не въехать и, соответственно, не потерять. На что многие и надеются. Однако во всех цивилизованных странах мира уже на уровне социальной этики принято страховать свои автомобили и жить спокойно. И существует некоторая общая оценка разумной стоимости этой услуги на рынке автострахования - 5-15% от рыночной стоимости авто в зависимости от локальных условий его эксплуатации (культура вождения, интенсивность движения, состояние дорог и т.д.).
Полная аналогия с ИБ. Можно вообще не заниматься ИБ и не исключен вариант, что такой риск себя вполне оправдает. А можно вложить в ИБ кучу денег, и все равно останется в системе ма-а-а-ленькая дырочка, через которую информация будет успешно "утекать". Поэтому цивилизованный мир также нашел некий оптимум, при котором можно чувствовать себя относиться уверенно - стоимость системы ИБ должна составлять 10-20% от стоимости КИС в зависимости от уровня конфиденциальности информации. Это и есть та самая оценка (best practice), с которой CIO может уверенно оперировать. И на вопрос руководства: А почему сто? бодро отвечать: А потому-что на сегодняшний день стоимость нашей КИС составила один миллион долларов!
Второй подход, очевидно, не лишен недостатков. Однозначно не удаться вовлечь руководство в глубокое осознание проблем ИБ. Но зато можно смело прогнозировать объем бюджета на ИБ и хорошо сэкономить на консультантах.
Но и в том и в другом случае грамотному CIO не стоит забывать о третьем "законе сейфа" - даже самая дорогая и безупречно экономически обоснованная система ИБ себя не оправдает, если ее элементы непрофессионально установлены или настроены. Другими словами, если не гарантировано качество системы ИБ. Но это уже отдельная тема, может быть для последующих статей.
