А. Белоус - Кибероружие и кибербезопасность. О сложных вещах простыми словами

Одним из направлений защитных технологий данного класса является аутентификация, которая позволяет сопоставить вводимые пользователем пароль и имя с информацией, хранящейся в базе системы защиты. При совпадении вводимых и эталонных данных разрешается доступ к соответствующим ресурсам. Надо отметить, что, кроме пароля, аутентификационной информацией могут служить и другие уникальные элементы, которыми обладает пользователь. Все эти элементы могут быть разделены на категории, соответствующие трем принципам: «я знаю что-то» (классические парольные схемы), «я имею что-то» (в качестве уникального элемента может выступать таблетка Touch Memory, смарт-карта, брелок eToken, бесконтактная proximity-карта или карточка одноразовых паролей SecurlD) и «я обладаю чем-то» (уникальным элементом служит отпечаток пальца, геометрия руки, почерк, голос или сетчатка глаза).

Даже несмотря на наличие на периметре корпоративной сети межсетевых экранов и антивирусов, некоторые атаки все равно проникают сквозь защитные преграды. Такие атаки получили название гибридных, и к ним можно отнести все последние нашумевшие эпидемии — Code Red, Nimda, SQL Slammer, Blaster, MyDoom и др. Для защиты от них предназначена технология обнаружения атак. Однако история этой технологии началась гораздо раньше — в 1980 году, когда Джеймс Андерсон предложил использовать для обнаружения несанкционированных действий журналы регистрации событий. Еще десять лет понадобилось, чтобы перейти от анализа журналов регистрации к анализу сетевого трафика, где велись поиски признаков атак.

Со временем ситуация несколько изменилась: нужно было не только обнаруживать атаки, но и блокировать их до того момента, как они достигнут своей цели. Таким образом, системы обнаружения атак сделали закономерный шаг вперед и, объединив в себе знакомые по межсетевым экранам технологии, стали пропускать весь сетевой трафик (для защиты сегмента сети) или системные вызовы (для защиты отдельного узла), что позволило достичь 100 % блокирования обнаруженных атак.

Дальше история повторилась: появились персональные системы, защищающие рабочие станции и мобильные компьютеры, а потом произошло закономерное слияние персональных межсетевых экранов, систем обнаружения атак и антивирусов, и это стало почти идеальным решением для защиты компьютера.

Всем известно, что пожар легче предупредить, чем потушить. Аналогичная ситуация и в информационной безопасности: чем бороться с атаками, гораздо лучше устранить уязвимости, используемые атаками. Иными словами, надо обнаружить все уязвимости и устранить их до того, как их обнаружат злоумышленники. Этой цели служат сканеры безопасности (их также называют системами анализа защищенности), работающие как на уровне сети, так и на уровне отдельного узла. Первым сканером, ищущим «дыры» в операционной системе UNIX, стал COPS, разработанный Юджином Спаффордом в 1991 году, а первым сетевым сканером — Internet Scanner, созданный Кристофером Клаусом в 1993-м.

В настоящее время происходит постепенная интеграция систем обнаружения атак и сканеров безопасности, что позволяет практически полностью исключить из процесса обнаружения и блокирования атак человека, сосредоточив его внимание на более важной деятельности. Интеграция заключается в следующем: сканер, обнаруживший дыру, дает команду сенсору обнаружения атак на отслеживание соответствующей атаки, и наоборот: сенсор, обнаруживший атаку, дает команду на сканирование атакуемого узла.

Лидерами рынка систем обнаружения атак и сканеров безопасности являются компании Internet Security Systems, Cisco Systems и Symantec. Среди российских разработчиков тоже есть свои герои, решившие бросить вызов своим более именитым зарубежным коллегам. Такой компанией является, например, Positive Technologies, выпустившая первый российский сканер безопасности — XSpider.

Итак, от вирусов, червей, троянских коней и атак мы нашли средства защиты. А что делать со спамом, утечкой конфиденциальной информации, загрузкой нелицензионного ПО, бесцельными прогулками сотрудников по Интернету, чтением анекдотов, онлайн-играми? Все вышеописанные технологии защиты могут помочь в решении этих проблем лишь частично. Впрочем, это и не их задача. На первый план здесь выходят другие решения — средства мониторинга электронной почты и веб-трафика, контролирующие всю входящую и исходящую электронную корреспонденцию, а также разрешающие доступ к различным сайтам и загрузку с них (и на них) файлов (в том числе видео- и аудиофайлов).

Это активно развивающееся направление в области информационной безопасности представлено множеством широко известных производителей — SurfControl, Clearswift, Cobion, TrendMicro, «Инфосистемы Джет», «Ашманов и партнеры» и др.

В корпоративных сетях нашли применение и некоторые другие защитные технологии — хотя и очень перспективные, но пока что мало распространенные. К таким технологиям можно отнести PKI, системы корреляции событий безопасности и системы единого управления разнородными средствами защиты. Данные технологии востребованы только в случаях эффективного применения и межсетевых экранов, и антивирусов, и систем разграничения доступа.

Современные технологические вызовы предъявляют повышенные требования к информационной безопасности и обуславливают необходимость формирования соответствующей государственной политики в области перспектив развития радиоэлектронной отрасли как технической базы современных «защищенных» вычислительных и информационно-телекоммуникационных систем в интересах базовых потребителей — Министерств и Ведомств Российской Федерации, а также многочисленных потребностей гражданского сектора экономики. Необходимо сформировать оптимальные условия для удовлетворения потребностей государства в обеспечении «доверенной» продукцией специального, общетехнического и гражданского назначения при оптимальном использовании имеющихся в наличии дефицитных ресурсов общества.

Только на основе комплексного анализа существующих рисков, реальных возможностей, ключевых индикаторов и особенностей развития отечественного радиоэлектронного комплекса, как базовой составляющей всего российского оборонно-промышленного комплекса (ОПК), возможно разработать действительно сбалансированные решения, обеспечивающие достижение качественно нового уровня защищенной разработки и производства новейших отечественных информационно-телекоммуникационных систем, вычислительных сетей и комплексов, усиления технологической независимости этой отрасли.