EWEEK LABS: ТЕХНИЧЕСКИЙ АНАЛИЗ
Прошлогодние террористические атаки навсегда изменили ход дебатов о безопасности ИТ и техническом противодействии потенциальной угрозе терроризма. Сегодня никто не берется исключать даже самые невероятные теракты, а заявления о том, что хотя бы изредка террористы могут достичь своей цели, уже не рассматриваются как признание собственной некомпетентности.
После 11 сентября некоторые технологии оказались чрезмерно демонизированными. Скажем, очень быстро поднялась волна плохо продуманных предложений по ограничению шифрования. К счастью, сегодня об этом уже не говорят даже самые слабо информированные законодатели и самые твердолобые блюстители порядка.
Быстрых технических решений нет
Как было отмечено в февральском заявлении IEEE, “преступный мир, возможно, и будет с помощью шифрования защищать свои каналы связи, однако такое применение криптографии отнюдь не очевидно+ Органам же правопорядка запрет на использование доверительного стойкого шифрования мало что даст”.
От систем криптозащиты будет во многом зависеть широкое распространение Web-сервисов. Без шифрования немыслимы также системы распределенного хранения и обработки информации - оно необходимо для защиты данных и интеллектуальной собственности компаний в реальном времени.
Выход один: корпорациям следует разрабатывать такие внутренние правила (при этом отслеживая отраслевые стандарты и законы в этой области), которые бы создали баланс между желаемой степенью и долговечностью криптозащиты, с одной стороны, и дополнительной нагрузкой и стоимостью ресурсоемких алгоритмов шифрования - с другой.
Помогает только совместное использование продуктов и услуг безопасности,
дополненное средствами управления рисками и здравым смыслом
Все прочие технологии, вселявшие надежду на быстрое решение проблемы, быстро сходили со сцены. Примером тому могут служить системы опознания лица. В лабораторных условиях они показали себя отлично, но когда дело дошло до опытной эксплуатации в реальном мире, все изменилось. Весной этого года тестирование подобной системы проводилось в аэропорту Палм-Бич (шт. Флорида), а летом - в Бостоне (шт. Массачусетс). Ни в одном из этих случаев создателям так и не удалось снизить до приемлемого уровня число ложных тревог, тогда как “подозрительные лица” (их изображали сотрудники аэропортов) зачастую беспрепятственно проходили контроль.
Не оправдали себя и другие технологии, доставляющие большие неудобства пассажирам, включая проверку сетчатки глаз и отпечатков пальцев, о которых так много говорили еще совсем недавно. Как оказалось, не составляет труда сделать так, чтобы вместо отпечатка пальца очередного проверяемого сканер использовал предыдущий, который воспринимается как результат нового сканирования. Такой прием до примитивности прост, но эффективен.
Сканеры радужной оболочки обмануть труднее, добропорядочных пользователей они подозревают гораздо реже, да и цена на них опустилась примерно до того же 100-долларового с небольшим уровня, что и у сканеров пальцев. Однако широкое применение таких устройств тормозится рядом административных проблем. При тестировании в eWeek Labs системы Authenticam фирмы Panasonic Biometric Group, например, мы отметили, что прилагаемое к ней ПО предназначено скорее для контроля над доступом к отдельной рабочей станции, чем для обеспечения безопасности крупной сети.
Повышение ценовой планки, не говоря уже о потенциальном дискомфорте из-за вездесущей биометрии, которая стала притчей во языцех после публикации “Доклада меньшинства”, - путь весьма сомнительный. Корпорациям лучше сосредоточиться на совершенствовании своих систем идентификации. Для этого нужно провести интеграцию электронной и голосовой почты, систем управления документооборотом и совместного использования файлов в рамках единой четко отработанной схемы распределения привилегий. Такой подход может оказаться куда более эффективным, чем выделение ресурсов на развертывание невероятно сложного и при этом непроверенного оборудования, каким бы потрясающим оно ни казалось.
Закон об американском патриотизме
Большие надежды по-прежнему возлагаются на поиск следов террористов. Правда, ищут не отпечатки их башмаков, а ниточки в киберпространстве - заказы на билеты, бронирование номеров в гостиницах, различные финансовые транзакции.
Закон об американском патриотизме, принятый в октябре прошлого года, носит страшно неуклюжее название: “Объединение и усиление Америки путем предоставления средств, необходимых для пресечения и предупреждения терроризма” (лукаво сокращенное до USAPA - USA Patriot Act).
Новый законодательный акт состоит в основном из изменений и дополнений к другим законам. Бремя его выполнения ложится на поставщиков Интернет-услуг, финансовые организации и других потенциальных ответчиков, которые должны хорошо осознать кумулятивный эффект своих новых обязанностей.
USAPA затрагивает также интересы отдельных граждан и корпораций. И тем и другим стоит запомнить, что право доступа к их записям, электронным средствам связи (включая голосовую почту) и прочим информационным ресурсам - особенно если обработкой или хранением занимаются сторонние организации - теперь принадлежит не только им.
Компаниям и соисполнителям нужно подготовить детальный обзор своих прав и обязанностей, главным образом по контрактам на обслуживание и обеспечение конфиденциальности, которые могут потерять юридическую силу по решению суда.
В центре внимания - идентификация
За истекший после 11 сентября год корпоративным архитекторам ИТ приходилось заниматься массой срочных дел и в более привычных областях - сетевыми ОС, брандмауэрами, виртуальными частными сетями, системами обнаружения атак и антивирусной защитой. При этом наметился ряд тенденций, о которых мы хотим рассказать.
Защита сетевого периметра как жизнеспособная стратегия канула в Лету. Беспроводные и подвижные портативные устройства сделали невозможным даже само определение границ сети, а Web-сервисы значительно усложнили определение логического местоположения.
В результате основу сетевой защиты теперь составляет идентификация и определение привилегий зарегистрированных пользователей с помощью таких средств, как Integrity фирмы Zone Labs. Эта система, как мы выяснили в ходе проведенного нынешней весной тестирования, эффективно контролирует Интернет-доступ к клиентским устройствам. Обходится она в $80 на каждого пользователя с возможностью оптовых скидок, а работает на уровне приложений.
Что касается вирусных атак, то злейшим врагом сети может стать ее безграничное расширение. В таких случаях на помощь приходят системы наподобие McAfee Security VirusScan ASaP фирмы Network Associates, использующие одноранговые технологии.
Ключевые производители ИТ, похоже, обратили наконец внимание на низкий уровень безопасности своей продукции и начали двигаться в сторону более защищенных стандартных конфигураций. В Windows .Net Server Release Candidate 1 корпорации Microsoft, например, которая прошла проверку в eWeek Labs месяц назад, инсталлятор обнаружил, что мы забыли запустить мастер настройки Internet Information Services, и автоматически отключил этот компонент.
Правда, наша радость длилась недолго: после перезапуска сервер не выдал никаких предупреждений о потенциальной уязвимости, хотя в системе сохранились многие стандартные настройки прежней версии Windows 2000. К чести разработчиков нужно сказать, что при установке .Net Server на пустую машину мы получили множество сообщений о других нарушениях требований безопасности. Одно из них, в частности, помешало нам оставить администратора без пароля.
Ошибки в администрировании ОС не были бы столь привлекательны для хакеров, если бы не колоссальные права, предоставляемые суперпользователям. Мы по-прежнему остаемся ярыми защитниками архитектуры доверительных систем, используемой в таких продуктах, как PitBull фирмы Argus Systems Group. Только этот продукт сумел успешно пройти международный тест Openhack, не поддавшись ни на одну попытку взлома. Правда, в прошлом году хакерам удавалось проникать в ядро ОС, под управлением которой он работал, особенно в версии Solaris 7 x86.
Вывод ясен: любая технология обеспечения безопасности, каковы бы ни были достоинства ее архитектуры, требует постоянной бдительности. Ее, в частности, помогают поддерживать современные системы обнаружения атак наподобие Intrusion Detection and Protection фирмы OneSecure. Это устройство ценой $16 495 отнюдь не полагается на известные сигнатуры атак, а использует различные эвристические методы, позволяющие распознавать и принципиально новые попытки взлома. Моделируя стандартный трафик и применяя изощренные алгоритмы анализа возможных атак, аппаратно-программный комплекс Intrusion Detection and Protection способен выявлять новые угрозы при минимальной потере времени из-за ложных тревог. А мы уверены: именно такую цель ставит перед собой каждый администратор ИТ после 11 сентября прошлого года.
С техническим редактором Питером Коффи можно связаться по адресу: peter_coffee@ziffdavis.com.
