Угроза по требованию?

Софт превращается в интернет-сервис, а это порождает вопросы по поводу безопасности

Пол Робертс, Деннис Фишер

В связи со стремлением предприятий применять дешевый в обслуживании “софт по требованию” некоторые эксперты в области безопасности и клиенты выражают беспокойство, что слабая защищенность может нарушать работу приложений по требованию, а это заставит отказаться от их использования.

Пока озабоченность по поводу безопасности открыто не выражается. Лишь немногие крупные производители ПО, представившие свои продукты на последней конференции RSA, будут выпускать инструменты для защиты приложений по требованию. Тем не менее эксперты в области безопасности отмечают, что технологические подразделения должны жестко поставить вопрос перед своими сервис-провайдерами и убедиться, что предлагаемые ими услуги имеют самую высокую степень защиты.

Количество предлагаемого по требованию ПО продолжает расти. Недавно SAP выпустила пакет управления отношениями с клиентом (Customer Relationship Management, CRM), загружаемый по требованию. В ноябре Билл Гейтс вместе с главным технологом Microsoft Рейем Ози анонсировали два новых интернет-сервиса: Windows Live и Office Live.

Эти два “чудища” пополнят список ПО, продаваемого в качестве сервисов. Пионерами в данной области были компании Salesforce.com, PeopleSoft (ныне часть Oracle), Hyperion Solutions и Digital Insight. В последнее время эту идею отстаивает применительно к ПО для конечных пользователей технологический фаворит Google, выпустивший программу Google Base.

“Это прекрасная модель бизнеса, дающая несколько существенных преимуществ. Но с ней связаны некоторые вопросы в области безопасности, и их вы должны поставить перед сервис-провайдером, прежде чем переносить свои данные на чужой сервер, - сказал Джон Пескаторе, аналитик из Gartner. - Безопасность должна быть главным критерием при принятии решения о передаче функций информационного подразделения и бизнес-функций сторонней компании. Если вы пренебрегаете обеспечением безопасности, вы рискуете навлечь на себя санкции контролирующих органов и лишиться своего бизнеса”.

Означает это следующее. До того как предприятия смогут воспользоваться преимуществами ПО по требованию, провайдеры должны убедить ИТ-менеджеров и руководителей информационных подразделений, что предлагаемые ими услуги обладают такими качествами, как надежность и, что, возможно, даже более важно, безопасность. Во многих случаях хранение чужой информации на своих компьютерах и управление данными клиентов порождает целые волны массового хищения сведений вроде тех, что обрушились в прошлом году на компании ChoicePoint и LexisNexis. А модель “ПО по требованию” сопряжена с рядом собственных, только ей присущих проблем в области безопасности, включая угрозы типа атак “воспроизведение” (replay) и “человек посередине” (man-in-the-middle).

Сторонники использования ПО в качестве сервисов утверждают, что это может не только не снизить, но даже повысить уровень безопасности для многих компаний, которые уже еле поспевают за ростом интернет-угроз. С расширением рынка программного обеспечения по требованию технология создания надежных продуктов, предназначенных для использования через Интернет, обеспечения их безопасного развертывания и защиты пользователей, должна стать главной сферой инвестиций в ближайшие годы.

Для Care Rehab and Orthopaedic Products, производителя медицинского оборудования, соображения безопасности играли важную роль при выборе Salesforce.com - провайдера ПО CRM по требованию, сказал Эд Баррет, вице-президент компании, насчитывающей 200 сотрудников.

Фирма, производящая устройства для физиотерапии, предназначенные для клиник и пациентов, с марта использует предоставляемое Salesforce.com ПО для мониторинга действий своих продавцов и контроля запасов продукции. Care Rehab проверила, как Salesforce.com соблюдает требования безопасности, прежде чем согласиться на применение ее ПО. В ходе проверки сотрудники Salesforce.com среди прочего должны были продемонстрировать представителям Care Rehab, как они обезопасили данные, хранящиеся на их серверах. Care Rehab изучила также документы, в которых описываются практические меры по обеспечению безопасности в Salesforce.com.

Каков был вывод?

“Уровень безопасности был выше, чем у нас, - сказал Барретт. - Если ваша компания называется Salesforce.com, у вас должны быть лучшие специалисты по безопасности и самый большой запас прочности. А нам необходимы лучшие продавцы. Я уверен, что мы не являемся лучшими в мире специалистами по безопасности”.

Такой образ мышления все чаще встречается у клиентов, присматривающихся к модели ПО по требованию, сказал Майкл Тополовач, генеральный директор компании Arena Solutions, провайдера предоставляемого по требованию ПО управления жизненным циклом продукта (Product Lifecycle Management, PLM). Arena имеет около 200 клиентов и 15 тыс. пользователей, работающих в области высоких технологий, производства медицинского оборудования и потребительской электроники. “Безопасность была главной заботой потенциальных клиентов. Но теперь мы пришли к такой ситуации, когда потенциальные клиенты начинают использовать ПО по требованию по той причине, что оно является безопасным”, - заявил Тополовач.

Но действительно ли ПО по требованию более надежно?

Большинство компаний уже в значительной мере подвержено опасностям и атакам, грозящим со стороны Интернета. Но у них может не быть опыта или ресурсов, чтобы адекватно справляться с этими угрозами, считает Тополовач. “Это все равно что держать деньги под матрасом вместо того, чтобы хранить их в банке. Клиенты уже обращаются к данным через сети. Они уже подключены к Интернету”, - сказал Тополовач.

Растет количество предприятий, которые ищут способы предоставления разъездным сотрудникам, партнерам по бизнесу и поставщикам возможностей для работы с критически важными приложениями. В таких условиях компании вроде Salesforce.com и Arena имеют больше возможностей для обеспечения безопасности, чем традиционные поставщики ПО.

“Мы не создаем проблем в области безопасности, мы обеспечиваем их решение”, - утверждает Тополовач.

Учитывая сказанное выше, быстрый взлет компаний вроде Salesforce.com породил лихорадочное стремление принять участие в бизнесе ПО по требованию. А это, по мнению Тополовача, может привести к появлению неквалифицированных развертываний ПО.

“Появились компании, которые берут инструмент клиент - сервер, размещают его позади брандмауэра и используют в сети хостинг-провайдера, утверждая, что он предоставляется по требованию”, - говорит Тополовач.

Если предприятиям нужно ПО по требованию, им следует поискать софт, изначально написанный для предоставления по требованию, отметил он.

Компаниям следует также ознакомиться с внутренней политикой фирмы-производителя в области безопасности, считают эксперты. Если у сервис-провайдера еще нет четко сформулированной политики в области безопасности, значит, можно допустить, что этим вопросам не уделялось должного внимания при создании приложения.

“Политика безопасности вендоров должна быть упреждающей. При предоставлении ПО в качестве сервиса защита данных должна осуществляться сразу при обращении к ним, хотя это звучит несколько утопично, - говорит Рик Уэлш, вице-президент подразделения разработки ПО компании RSA Security. - Это не всегда возможно. Вы можете шифровать наиболее секретные сведения, содержащиеся в базе данных, затем зашифровать все данные на устройствах хранения. Вопрос в том, что вендорам необходимо сделать данные однородными. Это трудно обеспечить уникальным для каждого клиента способом. Без политики в области безопасности трудно прийти к согласию по поводу того, что именно необходимо шифровать”.

Крепить оборону

Уэлш сказал, что различные случаи кражи данных, получившие широкую известность в прошлом году, в качестве побочного эффекта способствовали осознанию предприятиями необходимости защищать свои данные, а не только сети. Поскольку теперь партнеры, клиенты и другие лица регулярно входят в сети многих компаний, сетевая безопасность становится просто недостаточной для предотвращения потери конфиденциальных данных, особенно когда ИТ-подразделения не имеют полного контроля над приложениями.

Действительно, по мнению экспертов, традиционные средства защиты сетей, такие, как системы предотвращения вторжений (Intrusion Detection System, IDS) и брандмауэры, могут оказаться недостаточно эффективным решением для отражения угроз нового поколения, нацеленных на веб-приложения.

Для Майка Говарда, старшего менеджера программы безопасности в Microsoft, атаки с использованием кода на языке SQL являются кошмаром, заставляющим его вскакивать по ночам. Во время нападений такого типа атакующие манипулируют строками, которые динамически генерируются веб-приложениями, чтобы посылать в основную рабочую базу данных вредоносные SQL-команды.

“Мы наблюдаем рост количества атак с применением кода SQL, и это нас очень беспокоит. Вы можете установить брандмауэр, но люди все равно смогут делать что захотят”, - сказал Говард.

Такие технологии, как JavaScript, XML и AJAX (Asynchronous JavaScript and XML), помимо прочего привели к появлению новых путей вторжения и нанесения ущерба, заметил Калеб Сима, один из основателей и главный технолог фирмы SPI Dynamics.

В январе компания Forum Systems предупредила клиентов, что поддерживающие AJAX приложения преобразуют веб-браузеры в порталы веб-сервисов, делая пользователей уязвимыми для данных, которые потенциально могут оказаться искаженными и вызывать нарушение работы браузера, замедление функционирования серверов или приводить к широкомасштабным авариям, занимая значительную часть полосы пропускания сети.

Червь XSS (Cross-Site Scripting), который в октябре вызвал нарушение работы популярного сайта для общения через Интернет MySpace.com, может оказаться предвестником того, что будет происходить, когда компании перейдут к использованию веб-сервисов, считает Сима.

“Червь” был создан пользователем MySpace по имени Сэми посредством комбинирования кода JavaScript и AJAX. Он использовал слабую защиту веб-браузера, чтобы незаметно вставлять небольшие фрагменты вредоносного кода в профили тех пользователей MySpace, которые просматривали страницу, созданную организатором атаки. Этот код Сэми добавлял в список друзей жертвы и заражал их профили в MySpace. В течение суток червь XSS связал Сэми с более чем миллионом новых “друзей” и заставил My-Space.com прервать обслуживание для удаления заразы.

В мире, где услуги на базе веб-технологий, вроде предоставляемых Sales-force.com, используются для открытия доступа к важнейшим приложениям по каналам связи компаний, взлом одного звена в цепочке веб-сервисов может быстро распространиться, как в случае с MySpace, и затронуть другие входящие в цепочку организации, говорит Сима.

“Компании должны задаться вопросом: "Если работа моего партнера будет прервана или если он станет жертвой взлома, как это отразится на моем сайте?"”, - считает Сима.

Заботы разработчиков

Эксперты по безопасности считают, что сегодня ответственность за многие уязвимости ПО несут небрежные разработчики и что перенос приложений в Интернет - в особенности тех, которые изначально предназначались для работы на отдельно стоящих ПК, - возможно, опережает изучение сопряженных с этим рисков в области безопасности.

“Эпоха интернет-ПО уже наступила. Производителям ПО необходимо свыкнуться с этим и писать программы для использования именно таким способом, - считает Гери Мак-Гроу, главный технолог компании Cigital и известный эксперт в области создания надежного ПО. - Каждый должен писать код таким образом, как будто он будет выложен в Интернете. Разработчикам необходимо это понять.

Мы сообщаем разработчикам о 80% проблем, обнаруживаемых нами при изучении кода программ, и при этом добавляем: “Вы не должны так делать”. Им надлежит избавиться от своего рода природного оптимизма. Большинство из них считает, что проблема надежности ПО сводится к написанию специальных программ, призванных обеспечивать безопасность”, - рассказывает Мак-Гроу.

Новые продукты Microsoft, которые можно использовать по мере необходимости, такие, как Windows Live и Office Live, будут подвергнуты такой же проверке на безопасность, какую проходит традиционное клиентское и серверное ПО компании. Кроме этого Microsoft планирует внести изменения в свою программу безопасного цикла разработки (Security Development Lifecycle), учитывающие проблемы безопасности, которые возникают при использовании ПО через Интернет, сообщил Говард.

Но повышение квалификации разработчиков представляет собой только частичное решение проблемы. Фирмам, предоставляющим софт по требованию, надо, кроме того, обеспечить безопасность сетей провайдеров приложений. Применительно к таким компаниям, как Microsoft, это означает необходимость оценивать провайдеров хостинговых услуг и даже изготовителей устройств, чьи продукты могут использоваться при предоставлении сервисов типа Windows Live, заявил Питер Боден, директор по управлению рисками безопасности Microsoft.

"По требованию" означает существенное изменение полномочий, - считает Самир Капуриа, главный специалист по стратегии безопасности из Symantec. - Предприятиям приходится полагаться на сторонние фирмы в вопросах управления полномочиями и привилегиями, которые прежде находились в ведении их собственных специалистов по безопасности”.

Первая линия обороны - это вы

Несмотря на поворот к разработке более надежного ПО, клиенты, получающие доступ к программам по мере необходимости, по-прежнему должны выполнять требования законодательства, касающиеся обращения с данными, даже если информацию контролируют не они, говорит Капуриа.

Microsoft еще не решила, где должны храниться данные, используемые ее службами Windows Live и Office Live. В конечном счете ответ на этот вопрос может зависеть от ценности данных, считает Говард.

В настоящее время компания изучает провайдеров хостинговых услуг, которые будут наделены правом предоставлять доступ к службам Windows Live и Office Live. Эти провайдеры должны будут соблюдать принятые в Microsoft стандарты сетевой и физической безопасности. Они охватывают все - от дверных замков и камер видеонаблюдения до должным образом обученного административного персонала и хорошо налаженного планирования обеспечения непрерывности бизнеса, сообщил Говард.

Microsoft планирует также использовать команды хакеров “в белых шляпах” для проверки возможностей взлома инфраструктуры хостинговых компаний, прежде чем разрешить им предоставлять доступ к Windows Live и Office Live, сказал Говард.

Клиентские машины также являются источником значительного риска, дополнительно усложняя задачу обеспечения безопасности ПО по требованию, считают эксперты.

“Меня по-настоящему беспокоят возможные атаки на клиентские ПК, - говорит Говард. - Независимо от применяемой операционной системы, если вы загружаете программный код на клиентские ПК, “плохие парни” могут этим воспользоваться”.

Даже взлом без использования глубоких технических знаний вроде перемещения в Интернете по пятам за другим пользователем (shoulder surfing) представляет угрозу для компаний, которые хранят большие объемы конфиденциальных данных на серверах, управляемых сотрудниками таких фирм, как Salesforce.com или PeopleSoft, считает Клиф Белл, руководитель информационной службы из Phoenix Technologies.

Phoenix разработала и в настоящее время проводит тестирование продукта, который будет использовать API веб-сервисов с возможностью однократной авторизации и позволит компаниям, применяющим защищенную версию BIOS ее производства, создавать надежные сертификаты для безопасного подключения к Salesforce.com. Эта программа потребует, чтобы клиенты, желающие получать доступ к ПО по мере необходимости, при обращении к Salesforce.com работали с проверенными ноутбуками и вводили реальные идентификаторы и пароли, сказал Белл.

В конечном счете главная проблема для таких компаний, как Microsoft, которые видят свое будущее в предоставлении доступа к ПО по требованию, может оказаться в том, чтобы заставить пользователей понять эту модель и привыкнуть к ней.

А в настоящее время положение с безопасностью сетей и приложений на большинстве предприятий таково, что трудно себе представить нечто худшее, чем использование ПО по требованию, считают эксперты.

“Возможно, вы перенесете все содержание вашего ПК на серверы Google и будете лишь ежемесячно вносить плату за работу с ним, - говорит Сима. - Все, из-за чего специалисты по безопасности поднимают шум и крик, это то, что ваши данные находятся только в одном месте... Но разве это намного хуже сегодняшнего положения? Конечно же нет!”.

В подготовке статьи участвовал Райан Нарейн.