Информационная безопасность миф или реальность кратко

Обновлено: 04.07.2024

1.4. Сетевая информационная безопасность: мифы и реальность

Всемогущество хакеров

Глубокое непонимание большинством обывателей проблем, связанных с информационной безопасностью в вычислительных системах, с течением времени сформировало определенный миф о всемогуществе хакеров и повсеместной беззащитности компьютерных систем. Да, отчасти этот миф является реальностью. Действительно, современные вычислительные системы и сети общего назначения имеют серьезнейшие проблемы с безопасностью. Но, подчеркнем, именно вычислительные системы общего назначения. Там же, где требуется обработка критической информации и обеспечение высшего уровня защиты и секретности (например, в военной области, в атомной энергетике и т. п.), используются специализированные защищенные ВС, которые (и это чрезвычайно важно!) в основном изолированы от сетей общего назначения (от сети Internet, например). Поэтому необходимо развеять первый миф, который очень популярен в художественной литературе, кино, а также в средствах массовой информации: кракер не может проникнуть извне в вычислительную систему стратегического назначения (например, в ВС атомной станции или пункта управления стратегическими вооружениями). Однако, речь идет о невозможности получения несанкционированного удаленного доступа именно "извне" . В том случае, если кракер из состава персонала защищенной ВС вознамерится нанести ущерб данной системе, то сложно абстрактно судить о том, насколько успешны будут его попытки.

В качестве примера напомним случай на Игналинской АЭС, когда местный системный программист внедрил в вычислительную систему программную закладку ("троянского коня" ), которая чуть не привела к аварии станции. Однако, как утверждает статистика, нарушения безопасности ВС собственным персоналом составляют около 90 процентов от общего числа нарушений. Подводя итог, мы не утверждаем, что критические вычислительные системы неуязвимы, практически невозможно лишь реализовать на них успешную удаленную атаку.

Прочитав этот пункт, недоверчивый читатель может заметить, что он лично встречал заметки о том, как "кракеры проникли в компьютер Пентагона или
НАСА" . Все дело в том, что, как и любая другая уважающая себя организация, будь то ЦРУ, АНБ или НАСА, они имеют свои WWW- или ftp-сервера, находящиеся в открытой сети и доступные всем. И кракеры в этом случае проникали именно в них (а ни в коем случае не в секретные или закрытые), используя, может быть, один из механизмов, описанных в этой книге.

Безопасны ли ваши деньги?

Другим и, пожалуй, наиболее устойчивым мифом является миф о всеобщей беззащитности банковских вычислительных систем. Да, действительно, в отличие от ВС стратегического назначения, банки из-за конкурентной борьбы между собой вынуждены для обеспечения удобства и быстродействия работы с клиентами предоставлять им возможность удаленного доступа из сетей общего пользования к своим банковским вычислительным системам. Однако, во-первых, для связи в этом случае используются защищенные криптопротоколы и всевозможные системы сетевой защиты (Firewall, например), и, во-вто-рых, предоставление клиенту возможности удаленного доступа отнюдь не означает, что клиент может получить доступ непосредственно к внутренней банковской сети. По мнению специалистов, зарубежные банковские ВС (про отечественные мы не говорим, пока еще не достигнут соответствующий уровень автоматизации расчетов) являются наиболее защищенными после ВС стратегического назначения.

Однако, в последние годы некоторым журналистам (в том числе и отечественным) в погоне за сенсацией удалось (и не без успеха, особенно на основе реально имевшего место дела Левина) придумать миф о всеобщей беззащитности банковских систем. Последним примером была статья в еженедельнике с многомиллионным тиражом "Аргументы и Факты" , в февральском номере 1997 года которого господином А. Какоткиным было напечатано замечательное творение под названием "Компьютерные взломщики" . Общий вывод из этой статьи, перефразируя слова журналиста, можно сделать следующий: "Каждому хакеру по бронежилету и запасному процессору" . Не нужно быть крупным специалистом по компьютерной безопасности, чтобы, прочитав эту статью, сделать вывод, что она является абсолютной чушью
от начала и до конца (особенно смешно читать "под-робности" взлома банковской сети). Возможно, впрочем, что недостаточно просвещенного в этой области журналиста некие люди с непонятными целями просто ввели в заблуждение (или, что неудивительно, он чего-то просто не понял).

Более интересным, на наш взгляд, вопросом является то, насколько надежно на самом деле защищены банковские сети, особенно в том случае, если к ним предусмотрен удаленный доступ из сети Internet. К сожалению, на этот вопрос мы не можем дать точного ответа, пока специализированные системы безопасности банковских ВС (естественно, под такими системами не имеются в виду операционные системы типа Novell NetWare, Windows NT или 95, UNIX, которые хоть и часто применяются в банковской среде, но специализированными уж никак не являются) не будут сертифицированы. Единственное, что можно гарантировать, это то, что с вероятностью около 99.9% подобные системы будут подвергаться угрозе отказа в обслуживании, которая рассмотрена далее.

Firewall как панацея от всех угроз

И последний миф - это миф о системах Firewall как о "единственном надежном средстве обеспечения безопасности" сегмента IP-сети. Да, сама суть Firewall-ме-тодики является абсолютно непогрешимой и логичной. Основной ее постулат состоит в создании выделенного бастиона (bastion host), на который возлагается задача обеспечения контроля и безопасности в защищаемом сегменте сети и через который осуществляется связь данного сегмента с внешним миром. Но это все действует пока в теории. На практике же на сегодняшний день все известные нам системы Firewall неспособны к отражению большинства из описанных удаленных атак (как на протоколы и инфраструктуру сети, так и на телекоммуникационные службы)!

Это, конечно, отнюдь не означает, что отразить данные удаленные атаки принципиально невозможно. По-видимому, все дело в том, что большинство разработчиков систем Firewall, как это часто случается с разработчиками систем защиты ВС, никогда не были хакерами и смотрели на проблему защиты IP-сетей не с точки зрения взломщика, а с точки зрения пользователя.

Не секрет, что с ростом информационных технологий растет и спрос на саму информацию, которая является ценным ресурсом для многих. Банковские счета, логины, пароли, контактные данные — получить доступ ко всему эту для опытных хакеров и специалистов не составит труда. Как же обезопасить свое пребывание в Интернете и возможно ли это?

Стать абсолютно незамеченным в Интернет-пространстве практически невозможно. Риск стать мишенью мошенников есть всегда. Однако можно провести некоторые операции, которые смогут заметно увеличить вашу анонимность среди других пользователей Всемирной сети.

Первое: VPN и Tor.
С ростом блокировок различных ресурсов в Интернете у людей возникла потребность вернуть себе доступ к "запрещенной" информации. Тут-то и стал популярный VPN — технология, которая позволяет обеспечить от одного до
нескольких соединений поверх другой сети (в нашем случае — Интернет). Говоря простым языком: ваш провайдер в стране X ограничил доступ к какому-то ресурсу; дабы обойти данный запрет, вы используете VPN-соединение, позволяющее вам нетолько без всяких запретов и ограничений просматривать любой интересующий вас источник, но и оставаться "поверх" всеми привычного нами Интернета. Если вам хочется еще большей анонимности, то на помощь вам приходит Tor — специальное обеспечение, позволяющее устанавливать анонимное соединение с помощью независимых прокси-серверов. Ваша анонимность в сети сводится практически к нулю, прослушка и слежка вряд ли смогут вас побеспокоить. Tor, к тому же, открывает путь не только к труднодоступной информации, но также и к так называемому "Глубинному Интернету", о котором вы можете почитать отдельно.

Второе: SOCKS'ы и настойка Интернет-соединения.
SOCKS — система, позволяющая передавать клиентские пакеты к серверу через прокси-соединение. Получается, что вся информация, которую вы пересылаете другому пользователю, остаётся незамеченной для других; таким образом, вы можете свести к нулю всякую попытку слежки за данными, которые вы храните, либо пересылаете другим.
С Интернет-соединением дела обстоят чуточку сложнее. Сама польза от данного действия, собственно, довольно посредственна, если сравнивать его с предыдущими примерами, хотя грамотная и чёткая настройка соединения позволит вам более обширно контролировать Интернет-трафик.

Третье: психологические факторы.
Всегда нас с детства учили не открывать двери незнакомым людям и не общаться с незнакомцами. Здесь примерно всё то же самое. Старайтесь сами как можно больше скрыть информации о себе. Используйте псевдонимы, которые не позволят другим получить какие-то сведения о вас. Старайтесь не выставлять свои фото напоказ, так как они могут быть очень ценным ресурсом для мошенников. Не говорю уже о регистрации на сторонних и сомнительных сайтах — это прямая угроза вашей конфиденциальности. Даже в переписках на форуме, обсуждении какой-либо темы, комментировании старайтесь изменить свою манеру письма, которую вы обычно применяете при общении со знакомыми людьми. Никогда не говорите о своих хобби и увлечениях публично — даже не говорите, какие сигареты курите (если курите, конечно).

Стать жертвой хакеров и мошенников в наше время довольно легко. Незнание порождает то, что многие люди попадают в ловушки, которые стоят нам утраченных данных, безопасности, конфиденциальности и даже денег. Желаю вам не стать жертвой подобных афер и помните: доверяй, да проверяй.

Довольно важная тема, т.к. часто “устоявшиеся мнения” сильно мешают построению эффективной защиты сети.

1. Информационная безопасность - это только про ИТ

Когда речь заходит об информационной безопасности (далее ИБ), то большинство начинает вспоминать про антивирусы, межсетевые экраны, IPS и т.д. Принято считать, что безопасность — это исключительно технический вопрос, который решается с помощью специализированного оборудования или программного обеспечения. Т.е. информационные технологии (далее ИТ) в чистом виде. Это большое заблуждение. Вы будете удивлены, но ИТ инструменты составляют менее 80% от общего концепта информационной безопасности компании.

Простой пример. Вашему сотруднику звонит злоумышленник и представляется администратором сети. Он сообщает, что для устранения неполадок ему требуется учетная запись пользователя и его пароль. Сотрудник с радостью сообщает ему все необходимое. Через 10 минут вы обнаруживаете что по сети распространяется шифровальщик. Это ИТ проблема? Скорее всего это проблема в неосведомленности персонала.

Информационные технологии безусловно занимают важную роль в обеспечении информационной безопасности, но далеко не самую главную. ИБ - это целый комплекс мер из различных сфер деятельности компаний.

2. Техническую часть ИБ можно “повесить” на ИТ-отдел

3. Информационная безопасность - это дорого

Это, пожалуй, самый главный и самый страшный миф. По его вине многие специалисты опускают руки и отказываются от мыслей об ИБ в своих компаниях. Большинство оправдывается фразой: “Это дорого, моя организация не выделит столько средств”. При этом они забывают даже про бесплатные технические и административные меры.

Практически любое сетевое оборудование и все операционные системы имеют встроенные механизмы защиты. Частично я уже описывал эту проблему в моей предыдущей книге “Практическая безопасность сетей”. Там я делал акцент на настройках безопасности в сетевом оборудовании. Очень рекомендую эту книгу для тех, кто не знает с чего начать построение ИБ в своей компании. Пример “бесплатных” технических мер:

• Сегментация сети;
• Формирование списков доступа (не используя правило accept ip any any);
• Использование SSH вместо Telnet;
• Логирование всех событий;
• Мониторинг по SNMP;
• Обновление прошивок, операционных систем;
• Периодическое резервное копирование конфигураций и важных файлов;
• И многое другое.

И я еще не упомянул про OpenSource средства, которые при вашем желании могут существенно повысить уровень ИБ.

Тоже самое касается административных мер:

• Парольная политика, которая заставляет пользователей менять пароль раз в три месяца;
• Информирование пользователей о возможном фишинге;
• Периодический аудит ИБ;
• Документирование сети;
• И т.д.

4. 100% защищенность

Запомните, никто и ничто не может вам гарантировать 100% защиты. Если вам кто-то обещает стопроцентную защиту, то знайте, он или некомпетентен, или просто врет. Как показывает практика, даже изолированные от публичной сети системы, также подвержены атакам (вспомните Stuxnet). Риск есть всегда. Вкладывая средства в защиту, вы можете лишь уменьшить этот риск до допустимых значений. Средства защиты не должны стоить больше, чем возможные потери в результате атаки. Если хотите понять ликвидность ваших текущих или будущих средств защиты, то придется начать с оценки рисков.

5. Небольшим компаниям нечего бояться

6. ИБ как результат

Удивительно, но до сих пор есть специалисты, которые рассматривают ИБ как конечный результат. Купил дорогие средства защиты, настроил “хоть как-то” и забыл, с мыслью “я защищен”. В следующий раз про ИБ вспоминают только после очередной успешной атаки, когда обнаруживают, что зашифрована вся коммерческая документация или со счетов компании выведены все средства.

Первое, что должен усвоить любой начинающий “безопасник” - “Информационная безопасность - это процесс, а не результат”. Это постоянная “борьба”, а не разовая акция. Мы еще не раз затронем этот тезис. Именно с выстраивания процессов начинается защита вашей компании. И, обратите внимание, что это бесплатно (отсылка к мифу №3)! Нет процессов - нет безопасности. Плохие процессы - плохая безопасность.

7. За безопасность всегда отвечает кто-то один

Принято считать, что в любой компании есть один человек, который ответственен за ИБ в компании. Как правило, так считают и обычные пользователи и (что еще хуже) руководители компании. Это ошибка. Здесь я воспользуюсь выдержкой из знаменитой книги CISSP (Shon Harris), глава “Уровни ответственности”. Как вы думаете, сколько ролей выделяется в процессе ИБ (по науке)? Вот перечень людей/ролей, которые несут непосредственную ответственность:

1. Генеральный директор (CEO – Chief Executive Officer)
2. Финансовый директор (CFO – Chief Financial Officer)
3. Директор по ИТ (CIO – Chief Information Officer)
4. Директор по защите конфиденциальной информации (CPO – Chief Privacy Officer)
5. Директор по безопасности (CSO – Chief Security Officer)
6. Владелец данных (информации) (data owner)
7. Ответственный за хранение данных (информации) (data custodian)
8. Владелец системы (system owner)
9. Администратора безопасности (security administrator)
10. Аналитик по безопасности (security analyst)
11. Владелец приложений (application owner)
12. Супервизор (supervisor)
13. Аналитик управления изменениями (change control analyst)
14. Аналитик данных (data analyst)
15. Владелец процесса (process owner)
16. Поставщик решения (solution provider)
17. Пользователь (user)
18. Менеджер по технологиям (product line manager)
19. Аудитор (auditor)

Понятно, что это совсем уж идеальный мир. В реальной жизни один человек может совмещать несколько ролей. Но все же! У нас так любят вешать весь процесс на Системного администратора, который и курсы по ИБ возможно никогда не проходил. И сваливают всю ответственность на одного человека. Но к чему это? Если вы тот самый Системный администратор, то вы вправе требовать ответственности как от пользователей, так и от руководства (конечно если вы донесете до пользователей нужные инструкции и обоснуете руководству необходимость дополнительных ресурсов). Если вы руководитель, то должны понимать, что один и даже два человека не смогут обеспечить весь цикл необходимых работ.

8. ИБ - это исключительно расходы

А это самый неприятный миф, из-за которого руководство не любит выделять средства на безопасность. Да, ИБ стоит денег, но, чтобы понимать, что они тратятся не впустую, надо вспомнить главную задачу - снизить риск потери, пропажи или утечки информации. Простой пример. В компании у бухгалтера стоит ПК с программой 1с. Попробуйте посчитать убытки, если вся база будет зашифрована и работа компании “встанет” на несколько дней. Туда же включите стоимость восстановления (если это вообще возможно). Пусть это будет стоить 1 млн рублей. Допустим вы купили внешний жесткий диск за 2000 рублей и раз в неделю делаете резервное копирование. Что такое в данном случае эти 2 тысячи рублей? Это только расходы? Или же мы сэкономили 998 тысяч рублей исключив возможность потери важных данных?

При правильном подходе “расходы” на ИБ превращаются в очень хорошие “инвестиции”. Однако, нужно уметь донести эту информацию до руководства.

Один хакер может причинить столько же вреда, сколько 10 000 солдат! Боитесь что ANONYMOUS опустошат ваши счета ? Хакеры объявили Кибервойну России! Узнай первым , как выжить в цифровом кошмаре!

Проблема защиты информации становится все более актуальной год от года. Многочисленные в последнее время скандалы с утечкой (хищениями) персональных, коммерческих и прочих важных данных заставляют специалистов пересмотреть принципы организации защиты информации. Однако среди специалистов нет единства. К тому же, эксперты компаний, специализирующихся на компьютерной безопасности, и системные администраторы на местах, как правило, по-разному подходят к одним и тем же вопросам. В результате проблемы решаются плохо, зато рождаются многочисленные мифы о компьютерной безопасности.

А вот ПО с открытым кодом непрерывно анализируется множеством независимых разработчиков и пользователей, так что системному администратору, чтобы быть в курсе всех новостей и опасностей, достаточно регулярно посещать соответствующие форумы.

Антон Платов

Сетевые решения. Статья была опубликована в номере 05 за 2007 год в рубрике save ass…

Здравствуйте, дорогие друзья!
В сегодняшней небольшой заметке мы поговорим о компьютерной безопасности. Компьютерная безопасность, что это — мифы или реальность?
Компания G Data Software провела исследование в 11 странах, посвященное мифам об информационной безопасности. Оно продемонстрировало, что в России пользователи знают меньше всего о вирусах и способах их распространения.

Компьютерная безопасность — мифы и реальность?

В апреле-мае 2011 года G Data провела опрос среди 15 556 интернет-пользователей в возрасте от 18 до 65 лет в 11 странах. В Российском опросе приняли участие 1 085 респондентов. Участники отвечали на вопросы на тему онлайн-угроз в Интернете, поведения во время интернет-серфинга, использования решений безопасности, а также понимания собственной безопасности в Интернете.

Компьютерная безопасность — признак заражения ПК.

Почти все участники опроса имеют общее представление о том, что угрозы поджидают пользователей в сети Интернет. Но зачастую их суждения основаны на мифах. Например, 97,88 % процентов россиян уверены в том, что они заметят, если их компьютер будет заражен. По мнению опрошенных, такое заражение проявляется в виде подозрительных всплывающих окон, при ощутимом замедлении работы компьютера или в полном ее прекращении.

Это всего лишь миф, так как преступники заинтересованы в краже информации и денег, а значит, пользователь не должен знать о заражении как можно дольше. В прошлом вредоносные программы создавались разработчиками для того, чтобы доказать свои технические способности, сейчас они предпочитают скрываться от жертв и антивирусов.

Как правило, вся персональная информация (данные кредитной карточки, банковские данные, данные доступа к онлайн-магазинам и электронной почте) незаметно воруются при первом заражении. За этим обычно следует подключение компьютера к ботсетям для того, чтобы использовать их в качестве распространителей спама или DDoS-атак на форумах.

Откуда берутся вирусы?

Во время опроса респондентам было предложено несколько суждение о наиболее распространенных способах проникновения вирусов в компьютер жертвы. Им были предложены суждения, с которыми они могли согласиться или не согласиться.

49,49% опрошенных полагают, что главный источники вирусов – файлообменники, 42% думают, что вирус передается при загрузке зараженного веб-сайта, 38,8% россиян считают, что вирусы передаются по электронной почте (самый низкий показатель среди всех опрошенных стран). Еще 30,05% считают главной угрозой компьютерной безопасности USB-накопители (самый высокий показатель по миру).

Большинство вредоносных программ распространяется через вредоносные веб-сайты, хотя в обратном уверены 48,48 % опрошенных россиян. А 11,89% уверены, что если не открывать зараженные файлы, то нельзя заразить свой ПК. И это шокирует!

Бесплатное и платное антивирусное ПО

Миф о том, что бесплатное и платное ПО одинаково защищают компьютер от вирусов, поддерживают 83,78% россиян. Хотя 56% на вопрос о разнице между бесплатным и платным защитном ПО выразили сомнение относительно того, что качество обоих видов защитного ПО сравнимо.
15% не имели никакого понятия, насколько бесплатные продукты безопасности проигрывают платным в отношении эффективности.

Это было известно только 17% участников опроса.

Опасные сайты: порно или конная езда?

60,18% россиян уверены, что вероятность встретить вредоносное ПО на порно сайтах выше, чем на любительских страничках посвященных, например, конному спорту. Это самый высокий показатель среди 11 опрошенных стран. В Нидерландах, например, он не превышает 25,8%.

Действительно, порнография имеет сомнительную репутацию, и это объясняет настороженность пользователей при посещении подобных сайтов. Но на практике это еще один миф.

На порно сайтах крутится много денег, а поэтому владельцы сайтов заинтересованы в безопасном серфинге своих посетителей, которые с большой вероятностью вернутся на тот же сайт в случае отсутствия проблем с платежами. Так работают профессионалы. В то же время владелец сайта, посвященного его хобби, вряд ли является профессиональным веб-дизайнером, и поэтому вряд ли регулярно обновляет необходимое программное обеспечение и патчи для того, чтобы закрыть уязвимые места безопасности.

На этом пока все! Надеюсь, что вы нашли в этой заметке что-то полезное и интересное для себя. Если у вас имеются какие-то мысли или соображения по этому поводу, то, пожалуйста, высказывайте их в своих комментариях. До встречи в следующих заметках! Удачи! 😎

Читайте также:

  
• Акции условия выпуска виды правила выплаты дивидендов кратко
  
• Методика дерево решений в начальной школе
  
• Правила записи десятичной периодической дроби в виде обыкновенной дроби кратко
  
• Прямая и обратная геодезические задачи кратко
  
• Аналитический отчет учителя коррекционной школы