Този сайт използва бисквитки (cookies). Ако желаете можете да научите повече тук. Разбрах
IDG  •  PC World  •  Computerworld  •  CIO  •  CFO  •  Networkworld  •  Дискусии  •  Кариерна зона  •  Събития
COMPUTERWORLD | Тематично приложение
бр. 29, 2009

17 сеп
2009
 
 

Метаморфозата на заплахите

1142 прочитания
Дали бизнесът успява да съхранява своите данни така, че да са сигурни? Отговорът на този въпрос, естествено, не е нито еднозначен, нито е един и същ в два различни момента.

Като за начало можем да разделим „своите данни" на два вида - вътрешни данни на компанията и данни на нейните клиенти. И едните, и другите са еднакво ценни и важни. Пробивите, за които често чуваме по новините, касаят предимно втория вид - данни на клиенти. Четем и слушаме за здравни компании, от които са откраднати данни за осигуровки на пациенти, или пък за хотелски вериги, където са компрометирани номера на кредитни карти на посетители, и т.н. Това, разбира се, не значи, че първият вид данни остават непокътнати. Може би по-скоро чуваме за тях рядко, защото регулациите в много държави налагат на компаниите да оповестяват случаите на пробиви в базите данни с информация за клиенти (но не и за пробиви във вътрешнофирмените данни). Защо това разделение има значение? Ще стане дума малко по-долу.

Целта е прихваната: $$$
През последните няколко години кибер-атаките радикално промениха своята природа. Това се отрази и на начина, по който те се случват във виртуалното пространство. Сега основният мотив на „хакерите" е не да се прославят, а да се доберат до материална облага - пари. Обект на нападенията е всичко, което може да доведе до хорските сметки и спестявания. Това променя и подхода на кибер-бандитите.
„Ще се позова на една извадка от Gartner за тенденцията на атаките през последните 2-3 години, където се описват т.нар. тихи атаки, - казва Янко Спасов, управител на Компютел. - Това са атаки към конкретна компания или дейта-център и с конкретна цел - кражба на данни. Наречени са тихи, защото не предизвикват епидемии или отказ от услуги на системите и в повечето случаи екипите по сигурността не „разбират", че нещо се е случило".
Организацията на тези атаки обикновено е добре изпипана. В тяхната реализация участват много и добре организирани хора и нерядко - доста добри специалисти. Изобщо кибер-престъпленията са голяма работа в днешно време. Налице е цяла „подземна" икономика на стойност милиони долари, която се занимава само с кражбата и продажбата на чувствителни клиентски данни: номера на кредитни карти, банкови сметки, ПИН кодове за ATM устройства. Кибер-злодеите крадат този вид информация „на едро" и я препродават на други виртуално действащи бандити, които пък използват данните за „широк кръг услуги" - измами и кражби. Накратко, днешните онлайн злодеи са добре мотивирани, кадърни и умели, дълбоко убедени в това, което правят, и добре въоръжени с всякаква техника. Те са готови да се възползват от всяка слабост в сигурността, която могат да открият, и са много на брой.

Ролята на „cloud"-а
Паралелно с промяната в мотивите на кибер-злодеите се мени и средата, в която те (могат да) реализират походите си. „Облачните" услуги придобиха особена популярност в наши дни, - анализира Велимира Радулова, търговски мениджър в Headtechnology, - но повечето експерти са все още скептични по отношение на сигурността. Като цяло „облакът" се явява глобализация по отношение на услугите, но от своя страна това води и до глобализация на заплахите. За съжаление Интернет има славата на не особено безопасно място и тъй като в случая в ролята на „облака" имаме точно глобалната мрежа, това предполага и особени мерки по отношение на сигурността."
С тенденцията да се изграждат огромни дейта-центрове, в които на стотици сървъри се разполагат стотици терабайти данни, примамливата хапка за кибер-злодеите става още по-апетитна. Подобна едра плячка е от особен интерес. Тази промяна сервира нови предизвикателства пред операторите на големи центрове за данни, а също и доставчиците на системи за сигурност, които се стараят да отговорят на новите потребности.
„Може да се каже, че винаги ще съществува една „надпревара" между постоянно еволюиращите интернет заплахи и усъвършенстването на моделите за сигурност, внедрявани в съвременните ИТ защити, - обяснява Янко Спасов. -Разбира се, в случая може да става въпрос и за промяна дори на самата цел на атаката - както споменах по-горе, целта измества доскорошната си посока от заразяване на възможно повече локации в Интернет мрежата, към заразяване на точно подбрани единици. Това, съответно, ще изисква все по-високи показатели на детекция и продуктивност от предлаганите на световния пазар решения за ИТ сигурност."
Промяната на пейзажа не свършва дотук.

Да сгрешиш е човешко
В своето издание от 2008 г. „Тенденции в информационната сигурност" CompTIA дава оценката, че около 30 процента от сериозните пробиви в данни са резултат от човешки грешки. Други 30% са резултат от това, че някой хакер се е възползвал от човешка грешка. Около 40% от пробивите са били резултат от това, че някой хакер активно е преодолявал слабости в самата технология. Тези цифри са доста по-различни от информацията отпреди 5 години. В изданието на същия доклад от 2003 г. оценката беше, че едва 8% от сериозните пробиви в данни не са включвали някаква форма на човешка грешка.
Според друго изследване на Identity Theft Resource Center, 35,2% от регистрираните пробиви в масиви с лични данни и евентуални кражби на самоличността са резултат от човешка грешка. Това включва „изтърваване" на данни на неподходящо място в процеса на работа и случайно излагане на данните на показ. Цифрите не включват вътрешните кражби на данни и други форми на човешко участие в пробива. „За съжаление тези тенденции продължават да тровят живота на компании и правителства, въпреки всичките старания за образоване на потребителите по въпросите на сигурността при работа с данни и въпреки всичките закони и регулации, заключават в ITRC.
Накратко, хората се стараят да осигуряват превенцията на чувствителните данни, но все още никак не са добри в това. Все още ситуацията е такава, че повечето сериозни пробиви са предизвикани от грешка на хората, а не от грешка на самите технологии.

Доставчиците търсят нови подходи
Цялостните промени в пейзажа на заплахите за центровете за данни подтикват доставчиците на системи за сигурност да търсят нови и нови подходи. Проактивната защита беше една от стъпките в тази посока, която днес ни изглежда толкова отдавнашна и традиционна, сякаш е функционалност „по подразбиране".
„На практика динамичното развитие на ИТ безспорно оптимизира бизнес процесите и дори начина ни на живот, но от друга страна води до увеличаване на рисковете и изправя доставчиците на системи за сигурност пред нови и все по-големи предизвикателства," признава Радулова.
Така например от няколко години Panda Security развива технологията за т. нар. „колективна интелигентност". Това представлява система, която си служи със силата и капацитета от информация, събрани директно от общността на потребителите, за да бъде актуализирана антивирусната база данни на компанията. Тази технология има за задача да осигури висок процент на откриваемост на заплахите в „облака".
Не винаги обаче модерните технологии са единственото решение. Понякога „класиката" е най-добра. „На първо място... е защитата на информацията по време на трафика й през мрежата. Тука имаме наложени от времето стандарти, като например криптирането, - обяснява Радулова. - Този метод за защита на чувствителна информация е създаден векове преди изобретяването на първия компютър и точно това го прави безспорна част от защитата не само на един център за данни, но и тази на всеки уважаващ себе си потребител. Разбира се, решенията за двата случая са коренно различни. Докато един потребител може просто да си криптира пощата, то огромните масиви от информация, с които оперира един център за данни изискват специални грижи."
Както се вижда, еволюцията на технологиите за сигурност е факт, но в ръцете на самите компании е решението как и какви средства и подходи да приложат.

Промяна в архитектурата
днес архитектурите за сигурност са съсредоточени в това да държат хакерите надалеч от чувствителните данни. За целта хакерите трябва да бъдат държани надалеч от мрежата, където се съхраняват данните. Защитни стени, прокси сървъри, както и всякакви подобни технологии „на прага" на мрежата са ангажирани да се справят с тази задача. Според някои анализатори обаче това рано или късно ще е недостатъчно. Може да се окаже, че ще е по-добре да се избере друг подход, предлага Лутер Мартин, главен архитект по сигурността в компанията Voltage Security, в блога си. „Вместо да пазим мрежата, защо да не пазим самите данни, - пита той. - Ако се избере подход, при който вниманието е фокусирано върху данните, а не върху мрежата, ще е логично всички данни да са криптирани, а на определени приложения ще се дава оторизация да декриптират данните. Така ако кибер-злодеите успеят да пробият мрежата, няма да могат да си вземат от нея нещо, което да могат да продадат. А когато не могат да го продадат, няма и да имат причина да го крадат", разсъждава Мартин.

Аутсорсинг на сигурността?
„Аутсорсингът е услуга, която все повече се налага, не само по отношение на сигурността. И това е логично, тъй като икономически е по-изгодно да възложиш решаването на даден проблем на професионалисти, вместо да инвестираш в хора и оборудване за собствена сметка, - обяснява Велимира Радулова. - Тук обаче възниква проблемът доколко може да се има доверие на един доставчик на такъв вид услуги. Рискът от загуба на информация може да доведе дори и до фалит на компанията възложител, да не говорим за финансовите и законови последствия."
„Все повече фирми и големи корпорации се насочват към аутсорсинг на подобен род специализирани услуги и това се наблюдава като тенденция през последните години, - потвърждава и Янко Спасов. -Компаниите залагат на квалифицирани и с опит в областта на сигурността партньори, вместо да назначават и обучават допълнителен персонал за това. Още повече в условията на финансова криза подобен подход за аутсорсинг гарантира намаление на разходите и повишаване качеството на услугата."
Човек се вцепенява пред въпроса дали и как да аутсорсва дейностите по сигурността, пише в блога си Брус Шнайер, международно признат специалист по сигурност и автор на някои авторитетни публикации в областта, сред които „Приложна криптография" и др. Причините са ясни: обещаваните ползи и удобства са страшно привлекателни, а потенциалните рискове... е, историите за компании, които са изпаднали от пазара благодарение на аутсорсинг на сигурността, са показателни.
Най-добрият начин да изберем доставчик на услугите по сигурността, съветва Шнайер, е да подходим към защитата като към избора на лекар: с разучаване, разпитване, събиране на препоръки и разумна доза доверие.


Къде е пределът?
Съвременните кибер-злодеи жънат немалко успехи и не е нереалистично да се сметне, че някой ден жертвите им просто ще свършат - няма да има толкова много „неразорана" потребителска информация. Според Privacy Rights Clearinghouse, в САЩ 252 милиона лични записа са били изложени на пробив в сигурността на данните от януари 2005 г. досега. А населението на САЩ е 303 милиона. Накъде отиваме?
Ако се стигне до припокриване на броя на жителите и броя на компрометираните записи, то стойността на данните един ден ще спадне - открадната информация ще се обезцени в очите на виртуалните крадци. Кибер-мошениците ще търсят нови източници на приходи. Тогава чувствителните вътрешно-фирмени данни ще станат обект на особен интерес. И тогава същите тези човешки грешки, поради които днес е трудно да се опазят чувствителните лични данни, ще направят трудно и опазването на чувствителната вътрешна информация.
Всичко това навежда на мисълта, че намаляването на човешките грешки е една от основните задачи пред корпорациите. Според специалисти, липсата на бизнес-култура у хората е в дъното на този проблем и той няма да бъде преодолян, докато у хората не бъде създадена такава култура. „Пробивите в данни и кражбите на данни се дължат на много ниска бизнес-култура - липсващата нова е-Култура, и пробивите ще продължават - а те продължават - да се увеличават", пише Джон Франкс, CIO на щатската „Auto-Office Access". Според него, всички различни системи за сигурност са важни, но никоя система не може да предпази от безотговорно отношение, невежество и съзнателно желание за нараняване. Затова е необходима стабилна и устойчива култура и познание - ефикасна призма, през която всички ще виждат всяко действие - свое и на хората наоколо - от гледната точка на сигурността, преди да се предприеме самото действие.

каре
Шефовете подценяват рисковете за сигурността

В сравнение с други висши мениджъри главните изпълнителни директори изглежда подценяват рисковете за ИТ сигурността, пред които ръководените от тях организации са изправени, според проучване между мениджъри от т. нар. C-ниво, проведено от Ponemon Institute.
Изследването на Ponemon измежду 213 главни изпълнителни директори (CEO), главни ИТ директори (CIO), главни оперативни директори (COO) и други старши мениджъри разкрива, че е налице пропаст в разбирането за проблемите на информационната сигурност между CEO и другите висши мениджъри. Така например 48% от CEO-тата вярват, че много рядко разни хакери се опитват да достъпват корпоративните данни. В същото време 53% от мениджърите на C-нивото се опасяват, данните в компанията им са обект на атака всеки ден, ако не и всеки час.
Проучването е показало още, че топ-шефовете по-малко са в течение на специфични инциденти, свързани със сигурността, които са възникнали в техните компании, в сравнение с останалите директори. Освен това топ-ръководителите са по-уверени, че пробивите в сигурността могат лесно да се избегнат.
Проучването е установило, че CEO-тата и другите топ-мениджъри са на доста различни позиции, когато се опре до въпроса кой е отговорен за опазването на корпоративните данни. Макар че 8 от всеки 10 респонденти са посочили, че има един-единствен човек в организацията, който да е отговорен за сигурността на данните в нея, то има доста различия във виждането кой точно е този човек. Над половината от изпълнителните директори са убедени, че ИТ директорите са отговорни за опазването на данните в организацията. Само 24% от останалите висши мениджъри са на същото мнение.
85% от всички участници в проучването вярват, че някой друг би трябвало да бъде подведен под отговорност в случай на пробив. Макар че хората разбират, че пробивите в данните са проблем, много малко от тях смятат, че ако в компанията им се случи такова нещо, те самите ще носят някаква отговорност, обяснява Лари Понемон, основател на Ponemon Institute.

НАЙ-НОВИ НАЙ-ЧЕТЕНИ ПРЕПОРЪЧАНИ
Фирмите представят

Слайдшоу
ИНТЕРВЮ
Само за 6 месеца инициативата Vue Vixens е обучила над 400 жениСамо за 6 месеца инициативата Vue Vixens е обучила над 400 жени

Интервю с Джен Лупър, старши developer advocate в Progress и основател на Vue Vixens, лектор на конференцията DevReach 2018

ПРИЛОЖЕНИЯ
АНКЕТА

Какво мислите за FireFox OS?

Информация за Вас