Эволюция подходов к обеспечению информационной безопасности доклад

Обновлено: 02.07.2024

  • Для учеников 1-11 классов и дошкольников
  • Бесплатные сертификаты учителям и участникам

Тема: Эволюция подходов к обеспечению информационной безопасности. Основные понятия и определения

Учитывая влияние на трансформацию идей информационной безопасности, в развитии средств информационных коммуникаций можно выделить несколько этапов:

I этап — до 1816 года — характеризуется использованием естественно возникавших средств информационных коммуникаций. В этот период основная задача информационной безопасности заключалась в защите сведений о событиях, фактах, имуществе, местонахождении и других данных, имеющих для человека лично или сообщества, к которому он принадлежал, жизненное значение.

III этап — начиная с 1935 года — связан с появлением радиолокационных и гидроакустических средств. Основным способом обеспечения информационной безопасности в этот период было сочетание организационных и технических мер, направленных на повышение защищённости радиолокационных средств от воздействия на их приёмные устройства активными маскирующими и пассивными имитирующими радиоэлектронными помехами.

IV этап — начиная с 1946 года — связан с изобретением и внедрением в практическую деятельность электронно-вычислительных машин (компьютеров). Задачи информационной безопасности решались, в основном, методами и способами ограничения физического доступа к оборудованию средств добывания, переработки и передачи информации.

V этап — начиная с 1965 года — обусловлен созданием и развитием локальных информационно-коммуникационных сетей. Задачи информационной безопасности также решались, в основном, методами и способами физической защиты средств добывания, переработки и передачи информации, объединённых в локальную сеть путём администрирования и управления доступом к сетевым ресурсам.

VI этап — начиная с 1973 года — связан с использованием сверхмобильных коммуникационных устройств с широким спектром задач. Угрозы информационной безопасности стали гораздо серьёзнее. Для обеспечения информационной безопасности в компьютерных системах с беспроводными сетями передачи данных потребовалась разработка новых критериев безопасности. Образовались сообщества людей — хакеров, ставящих своей целью нанесение ущерба информационной безопасности отдельных пользователей, организаций и целых стран. Информационный ресурс стал важнейшим ресурсом государства, а обеспечение его безопасности — важнейшей и обязательной составляющей национальной безопасности. Формируется информационное право — новая отрасль международной правовой системы.

VII этап — начиная с 1985 года — связан с созданием и развитием глобальных информационно-коммуникационных сетей с использованием космических средств обеспечения. Можно предположить, что очередной этап развития информационной безопасности, очевидно, будет связан с широким использованием сверхмобильных коммуникационных устройств с широким спектром задач и глобальным охватом в пространстве и времени, обеспечиваемым космическими информационно-коммуникационными системами. Для решения задач информационной безопасности на этом этапе необходимо создание макросистемы информационной безопасности человечества под эгидой ведущих международных форумов.


Технологическая революция, связанная с широким применением информационных технологий для решения задач практически всех областей деятельности, продолжается уже более 15 лет. На этом временном отрезке поучительно посмотреть, как изменились подходы к информационной безопасности, чтобы понять, что нас ожидает в ближайшей перспективе.

Основная движущая сила информационной безопасности

В начале, когда информационные технологии касались прежде всего корпоративных коммуникаций и информирования, вопросы информационной безопасности были предметом деятельности узкого круга специалистов и решались, как правило, применением более или менее обоснованного набора средств защиты. Основной движущей силой для информационной безопасности являлись системные администраторы, а решения, которые они применяли, были оптимизированы прежде всего для них. Вот тогда-то и возникла точка зрения, что "безопасность всегда связана с определенными неудобствами для всех, кто не связан с ее организацией".


Сегодня зависимость деятельности любой организации от IТ достаточно велика, причем чем больше организация, тем теснее ее основные процессы деятельности сращиваются с IТ. При этом, с одной стороны, IТ-риски становятся критичными, с другой – их минимизация представляет собой сложную задачу. Проблема усугубляется еще и тем, что, по сути дела, большие информационные системы, как правило, собраны из нескольких систем, каждая из которых исторически создавалась в разных условиях и по различным требованиям. Кроме того, часть систем может иметь иного собственника и проводить собственную политику. Чтобы в таких условиях обеспечить требуемый доказательный уровень рисков или уровень защищенности, практически единственным способом является привязка рисков и мер противодействия им не к системам и ресурсам, а к процессам деятельности.

Оценка эффективности информационной безопасности

Действительно, именно знание процессов деятельности, их формализация позволяют понять риски, оценить их критичность, определить, насколько предлагаемые меры, с одной стороны, эффективны, с другой – обоснованны (в том числе финансово).

Такой подход существенно меняет роль и место информационной безопасности. Она становится одним из инструментов формирования и оптимизации основных процессов деятельности организации.

Сегодня такой подход с точки зрения реализации базируется, с одной стороны, на наборе международных стандартов семейства ISO27000, с другой – на сквозных механизмах обеспечения безопасности, таких как управление инцидентами, управление идентификацией, управление непрерывностью функционирования. В этом же ряду стоят такие механизмы, как предотвращение утечек информации (DLP), борьба с мошенничеством (Fraud-management) и т.д.


Роль традиционных средств защиты в этой ситуации становится обеспечивающей и, по сути дела, гарантирующей работу сквозных механизмов, связанных с процессами деятельности.

Необходимо также отметить, что вопросы безопасности в сегодняшнем понимании ставятся существенно шире, захватывая смежные области, такие как управление операционными рисками, обеспечение непрерывности деятельности, управление информационными услугами.

Таким образом, информационная безопасность претерпела в процессе развития коренные изменения. И нелегкая задача соответствовать этим изменениям является серьезным вызовом для всех, кто связан с обеспечением информационной безопасности, – для руководства организаций, служб безопасности и IТ-служб, бизнес-подразделений и регуляторов – словом, для всех и каждого.


Руководитель отдела анализа приложений Positive Technologies Дмитрий Скляров делится своим взглядом на историю развития отрасли информационной безопасности на протяжении последних 20 лет.

Если взглянуть на программу любой современной конференции по информационной безопасности, можно увидеть, какие важные темы занимают исследователей. Если проанализировать список этих важных тем, технологий и направлений, то окажется, что еще двадцать лет назад подавляющего большинства из них просто не существовало.

Вот, например, некоторые темы с конференции OFFZONE 2018:

Вернемся на 20 лет назад. В 1998 году закончилась так называемая Первая браузерная война, в ходе которой конкурировали два крупнейших на тот момент браузера Internet Explorer и Netscape Navigator. В итоге Microsoft победила в этой войне, а главный конкурент ушел с рынка. Тогда подобных программ было мало, многие из них были платными, как, например, Opera: это считалось нормальным. При этом наиболее популярные сегодня браузеры Safari, Mozilla и Chrome были придуманы гораздо позже, а мысль о том, что браузер может быть платным, в наши дни никому не придет в голову.

Проникновение интернета 20 лет назад было в разы ниже, чем сегодня, поэтому и спрос на многие связанные с вебом сервисы сформировался гораздо позже завершения браузерной войны.

Другая ситуация сложилась в сфере криптографии. Она начала развиваться много десятилетий назад, к девяностым годам существовал целый ряд проверенных временем стандартов шифрования (DES, RSA) и цифровой подписи, а на протяжении последующих лет появилось много новых продуктов, алгоритмов и стандартов, в том числе развивавшийся в свободном формате OpenSSL; в России был рассекречен стандарт ГОСТ 28147-89.

Почти все связанные с криптографией технологии, которыми мы пользуемся сегодня, существовали уже в девяностые. Единственное широко обсуждаемое событие в этой области с тех пор — обнаружение бэкдора в поддерживаемом АНБ США алгоритме Dual_EC_DRBG от 2004 года.

Источники знаний

В 2001 году вышла книга корпорации Microsoft по безопасной разработке кода — Writing Secure Code. Именно тогда гигант софтверной индустрии осознал тот факт, что безопасность программного обеспечения очень важна: это был очень серьезный момент в развитии информационной безопасности. После этого корпорации начали задумываться об обеспечении безопасности, раньше же этим вопросам не уделялось достаточно внимания: код пишется, продукт продается, считалось, что этого достаточно. С тех пор Microsoft вкладывает значительные ресурсы в безопасность, и несмотря на существование уязвимостей в продуктах компании, в целом их защита на хорошем уровне.

В США индустрия информационной безопасности развивалась довольно активно с 70-х годов. В итоге в девяностые годы в этой стране уже существовало несколько крупных конференций по теме ИБ. Одна из них была организована компанией RSA, появился Black Hat, в те же годы прошли и первые соревнования хакеров в формате CTF.

С тех пор количество достойных отечественных мероприятий значительно расширилось: есть Positive Hack Days, ZeroNights, OFFZONE.

Личный опыт: первые шаги в ИБ

Как мы уже выяснили, на момент завершения моего обучения веба в современном понимании не существовало. Поэтому меня ничто не отвлекало от реверс-инжиниринга. Одно из важных направлений обратной разработки — восстановление логики работы кода. Я знал о том, что существует множество продуктов, которые защищают от пиратского копирования, а также решения для шифрования данных — при их исследовании также использовался реверс-инжиниринг. Была еще разработка антивирусов, но это направление почему-то меня не привлекало никогда, как и работа в военной или правительственной организации.

В сферу ИБ я окончательно погрузился после прихода на работу в компанию Elcomsoft. Это также вышло случайно: знакомый попросил помочь ему с восстановлением утерянного доступа к базе данных MS Access, что я и сделал, создав автоматизированный инструмент восстановления паролей. Этот инструмент я попробовал продать в Elcomsoft, но взамен получил предложение о работе и провел в этой компании 12 лет. На работе в основном я занимался как раз вопросами восстановления доступа, восстановления данных и компьютерной криминалистики.

В ходе первых лет моей карьеры в мире криптографии и парольной защиты произошло несколько прорывов — например, в 2003 году появилась концепция радужных таблиц, а в 2008 году началось использование графических ускорителей для восстановления паролей.

Ситуация в индустрии: борьба черных и белых шляп

Если обратиться к истокам интернета и информационной безопасности и почитать истории хакеров тех времен, то станет ясно, что главным стимулом для людей тогда было их любопытство, желание узнать что-то новое. Не всегда они при этом использовали законные способы — достаточно почитать о жизни Кевина Митника.

Как следствие, сегодня существует несколько направлений для развития внутри ИБ. Можно стать исследователем, соревноваться в CTF, зарабатывать на поиске уязвимостей, помогать бизнесу с киберзащитой.

Развитие программ bug bounty

Серьезным импульсом для развития рынка информационной безопасности уже в 2000-х годах стало распространение bug bounty. В рамках этих программ разработчики сложных систем вознаграждают исследователей за обнаруженные в их продуктах уязвимости.

Основная идея здесь в том, что выгодно это в первую очередь разработчикам и их пользователям, потому что ущерб от успешной кибератаки может в десятки и сотни раз превышать возможные выплаты исследователям. Специалисты же по ИБ могут заниматься любимым делом — поиском уязвимостей — и при этом оставаться полностью в рамках закона и еще получать вознаграждение. В итоге компании получают лояльных исследователей, которые следуют практике ответственного разглашения и помогают делать программные продукты безопаснее.

Подходы к разглашению информации

За последние двадцать лет возникло несколько подходов к тому, как именно должно выглядеть разглашение результатов исследований в области информационной безопасности. Существуют компании, вроде Zerodium, которые скупают уязвимости нулевого дня и рабочие эксплойты для популярного софта — например, 0-day в iOS стоит около 1 млн долл. США. Однако более правильный для уважающего себя исследователя способ действий после обнаружения уязвимости — обратиться сначала к производителю софта. Не всегда производители готовы признавать свои ошибки и сотрудничать с исследователями, но многие компании оберегают репутацию, стараются оперативно устранять уязвимости и благодарят исследователей.

В случае если вендор недостаточно активен, распространенная практика заключается в том, чтобы дать ему время на выпуск патчей, а уже затем публиковать информацию об уязвимости. При этом исследователь должен в первую очередь думать об интересах пользователей: если есть вероятность, что разработчики вообще никогда не исправят ошибку, ее публикация даст атакующим инструмент для постоянных атак.

Эволюция законодательства

Как было сказано выше, на заре интернета основным мотивом хакеров была тяга к знаниям и банальное любопытство. Чтобы удовлетворить его, исследователи часто делали сомнительные с точки зрения властей вещи, но в те годы еще было крайне мало законов, регулирующих сферу информационных технологий.

Однако четко прописать в законах все нюансы взаимодействий довольно трудно, в результате чего возникают разночтения в трактовках. Это также затрудняет деятельность исследователей информационной безопасности: часто непонятно, где заканчивается добросовестная с точки зрения закона исследовательская деятельность и начинается преступление.

В дальнейшем законы дорабатывались, но не всегда это облегчало жизнь исследователям. Так, в 2006 году появились статьи гражданского кодекса, касающиеся защиты авторских прав и технических средств защиты. Попытка обхода таких средств защиты даже в ходе исследований может быть признана нарушением закона.

Все это создает риски для исследователей, поэтому перед проведением тех или иных экспериментов лучше консультироваться у юристов.

ИБ-цикл развития технологий

В современном мире технологии развиваются по определенным циклам. После возникновения какой-то хорошей идеи она коммерциализируется, появляется законченный продукт, который позволяет зарабатывать деньги. Если этот продукт оказывается успешным, он привлекает внимание киберпреступников, которые начинают искать способы самостоятельного заработка на нем или его пользователях. Бизнес вынужден реагировать на эти угрозы и заниматься защитой. Начинается противостояние атакующих и безопасников.

Чтобы украсть компьютер, нужно проникнуть в комнату, где он хранится. Похитить телефон можно просто на улице. Однако многие люди до сих пор не понимают масштаба рисков безопасности, которые несет развитие технологий.

Похожая ситуация с удалением данных с SSD (то есть флеш-дисков). Стандарты удаления данных с магнитных накопителей существуют много лет. С флеш-памятью ситуация иная. К примеру, такие диски поддерживают операцию TRIM: она сообщает контроллеру SSD, что удаленные данные больше не нужно хранить, и они становятся недоступными для чтения. Однако эта команда работает на уровне операционной системы, и если спуститься ниже на уровень физических микросхем памяти, то получить доступ к данным будет возможно с помощью простого программатора.

Еще один пример — модемы 3G и 4G. Раньше модемы были подчиненными устройствами, они полностью контролировались компьютером. Современные модемы сами стали компьютерами, они содержат собственную ОС, внутри них идут самостоятельные вычислительные процессы. Если взломщик модифицирует прошивку модема, то сможет перехватывать и контролировать любые передаваемые данные, и пользователь никогда об этом не догадается. Для обнаружения такой атаки нужно иметь возможность анализировать 3G/4G-трафик, а такие возможности есть только у спецслужб и мобильных операторов. Так что и такие удобные модемы оказываются недоверенными устройствами.

Выводы по итогам 20 лет в ИБ

Я связан со сферой информационной безопасности уже двадцать лет, и за это время мои интересы внутри нее менялись параллельно с развитием отрасли. Сегодня информационные технологии находятся на таком уровне развития, что знать все в рамках даже отдельной небольшой ниши, такой как реверс-инжиниринг, просто невозможно. Поэтому создание по-настоящему эффективных инструментов защиты сегодня возможно только для команд, объединяющих опытных экспертов с разноплановым набором знаний и компетенций.

Другой важный вывод: в настоящий момент задача информационной безопасности сводится не к тому, чтобы сделать любые атаки невозможными, а к управлению рисками. Противостояние специалистов по защите и нападению сводится к тому, чтобы сделать нападение слишком дорогим и снизить возможные финансовые потери в случае успешной атаки.

И третий, более глобальный вывод: информационная безопасность нужна только до тех пор, пока в ней есть потребность у бизнеса. Даже проведение сложных тестов на проникновение, для которых нужны специалисты экстра-класса, — по сути своей вспомогательная функция процесса продажи продуктов для информационной безопасности.

Безопасность — это верхушка айсберга. Мы защищаем информационные системы, которые созданы только потому, что это нужно бизнесу, созданы для решения его задач. Но этот факт компенсируется важностью сферы ИБ. Если случится проблема безопасности, то это может нарушить функционирование информационных систем, а это непосредственно повлияет на бизнес. Так что от безопасников зависит очень много.

Итого

Сегодня в сфере информационных технологий далеко не все безоблачно, существуют и серьезные проблемы. Вот три основных, на мой взгляд:

Автор: Дмитрий Скляров, руководитель отдела анализа приложений Positive Technologies

Вы можете изучить и скачать доклад-презентацию на тему Эволюция подходов к обеспечению информационной безопасности. Презентация на заданную тему содержит 20 слайдов. Для просмотра воспользуйтесь проигрывателем, если материал оказался полезным для Вас - поделитесь им с друзьями с помощью социальных кнопок и добавьте наш сайт презентаций в закладки!

500
500
500
500
500
500
500
500
500
500
500
500
500
500
500
500
500
500
500
500

Концептуально – эмпирический подход заключается в том, что Концептуально – эмпирический подход заключается в том, что на основе опыта защиты информации, полученного на этапе эмпирического подхода, удалось подойти к унификации, используемого для решения задач защиты, методико – инструментального базиса.

Системная реализация всей совокупности положений унифицированной комплексной защиты информации сдерживается рядом серьезных причин: Системная реализация всей совокупности положений унифицированной комплексной защиты информации сдерживается рядом серьезных причин:

Значительное развитие в рассматриваемом периоде получили средства защиты информации. Значительное развитие в рассматриваемом периоде получили средства защиты информации. При этом, как увеличивался арсенал различных средств, так и расширялись их функциональные возможности. Наиболее удачные разработки получили сертификаты качества и были приняты в качестве стандартов. Наибольшее развитие получили технические, программно-аппаратные и криптографические средства защиты информации.

Отличительной особенностью теоретико-концептуального подхода к защите информации является то, что Отличительной особенностью теоретико-концептуального подхода к защите информации является то, что на основе достижений концептуально-эмпирического подхода разрабатываются основы целостной теории защиты. Т.о. подводится научно-методологическая база под теорию защиты информации. При этом теория защиты, как и любая другая теория, определяется как совокупность основных идей в данной области знания.

Объективной основой формирования теории защиты явилась унифицированная концепция защиты информации, которая была сформулирована в предшествующий период и вобрала в себя весь накопленный к этому времени опыт защиты. Объективной основой формирования теории защиты явилась унифицированная концепция защиты информации, которая была сформулирована в предшествующий период и вобрала в себя весь накопленный к этому времени опыт защиты.

На основе этого опыта были сформулированы следующие принципиальные выводы: На основе этого опыта были сформулированы следующие принципиальные выводы:

Читайте также: