Мифы о специальности
Мифы об информационной безопасности
Существует ряд распространённых мифов об информационной безопасности, которые циркулируют среди тех, кто не является специалистами в этом деле.
Общие мифы
- «Усиление защиты лишний раз укажет любящим приключения хакерам направление приложения их сил».
Действительно, не стоит на каждом углу кричать об используемых в вашей сети средствах защиты и настройках защитных механизмов. Но и не ставить преграды для хакеров тоже было бы неразумным – отсутствие защиты сделает хакерам доступ в вашу сеть полностью беспрепятственным. - «Закрывать существующие лазейки в защите слишком дорого и трудно».
Как показывает опыт и статистика, стоимость восстановления информации и IT-ресурсов после атак намного превосходит стоимость даже самых дорогих средств защиты. - «У нас никогда не было проблем с безопасностью!»
Если их не было, ещё не значит, что их и не будет. И хотя отечественные компании привыкли жить согласно русской поговорке «пока гром не грянет, мужик не перекрестится», мы советуем следовать всё же другому призыву, который многим приходится регулярно слышать в автобусе во время поездки на работу: «Пожар лучше предупредить, чем ликвидировать». Лучше потратить некоторую сумму на построение системы защиты, чем тратить потом в сотни раз больше на ликвидацию ущерба от успешной атаки хакеров. - «Наша информация не нужна никому, кроме нас».
Это очень распространённое заблуждение, которое встречается на каждом шагу. Но хакеры действуют не только ради наживы, но и по другим причинам, в числе которых любопытство, шутка, политические или идеологические мотивы и т.д. Ещё одна возможная цель вторжения в вашу сеть – организация распределенной атаки «отказ в обслуживании» (Distributed Denial of Service). В таких атаках участвуют несколько тысяч узлов Интернета, с которых одновременно идёт нападение на выбранную жертву. Эти узлы принадлежат, как правило, ничего не подозревающим пользователям и организациям, которые «всего лишь» пренебрегли рекомендациями специалистов по защите информации и оставили свои компьютерные системы открытыми для подобных действий. И хотя многочисленные участники атаки «отказ в обслуживании» не имели злого умысла и были просто «зомбированы», это не снимает с них ответственности. На сей счёт в российском Уголовном кодексе имеется статья № 274 , которая определяет наказание за неправильную эксплуатацию средств вычислительной техники. - «Мы открыты к сотрудничеству, и применение средств защиты влечёт за собой исчезновение доверия, которое наша компания стремится расширять».
Да, вы правы, но открытость должна быть разумной. Современные средства защиты информации позволят нам найти компромисс между защищенностью вашей сети и открытостью её для клиентов и партнёров. Помните, что став жертвой хакеров из-за своей открытости, вы можете отпугнуть существующих и потенциальных клиентов. - «Чем меньше известна система защиты, тем лучше она защищена».
К сожалению, это крайне ошибочное мнение высказывают даже представители российских компаний, предлагающих свои решения по защите информации.
Мифы о хакерах
- «Хакеры – это высококвалифицированные люди и их усилий не хватит на всех».
С одной стороны это утверждение верно, а вот с другой… Если вспомнить, что сейчас хакерами называют всех, кто может запустить на своего соседа WinNuke, то это утверждение уже не кажется столь бесспорным. Существует обширная категория пользователей, которые называют себя хакерами, но по сути таковыми не являются. Для них даже придуман специальный термин «script kiddies», что означает любителей, использующих готовые средства реализации атак, которые можно скачать в Интернете и использовать, не понимая сути их действия. Получив какую-либо программу для взлома, такие люди сразу задают в ней адрес своего друга, насолившего им соседа или просто случайного компьютера, а затем приводят её в действие. Если видимого результата нет, то они переходят к следующему адресу и т.д. Вреда такие «специалисты» могут нанести ничуть не меньше, чем действительно квалифицированные хакеры.
Какая Вам разница, украдут у Вас список кредитных карт ваших клиентов или выведут из строя Web-сервер путем простейшей атаки «отказ в обслуживании»? - «Хакеры – всемогущи!»
Ещё один распространенный миф о хакерах -их всемогущество. Хакеры – такие же люди, как и мы с вами, только их энергия направлена на вторжение в чужие информационные системы. Вы, несомненно, сможете обнаружить абсолютное большинство атак, реализуемых злоумышленниками с таким же, как у вас, или с более низким уровнем знаний. Но, как только в дело вступит квалифицированный «хакер-эксперт», то считайте, что вам не повезло. Вероятность обнаружения злоумышленника зависит от его квалификации и квалификации персонала, отвечающего за обеспечение информационной безопасности. Если квалификация персонала выше, то в абсолютном большинстве случаев он имеет все предпосылки для обнаружения злоумышленников. Если квалификация персонала ниже, то обнаружить злоумышленника очень трудно или зачастую просто невозможно. В том случае, если квалификация администратора безопасности адекватна квалификации злоумышленника, то всё зависит от того, кто первым сделает ошибку. Отсюда вытекает необходимость соответствующего обучения специалистов, занимающихся вопросами информационной безопасности. - «Основная опасность исходит снаружи, из Интернета».
Этот миф активно культивировался и культивируется средствами массовой информации, особенно телевидением. Однако попробуйте себе на минутку представить, что вы попали в трущобы Пекина и вам необходимо добраться до ближайшего аэропорта. Без знания языка и географии города достичь поставленной цели ой как нелегко. Так же и внешний злоумышленник, попавший в вашу сеть, будет, как слепой котёнок тыркаться во все углы, выискивая, чем поживиться. Если внимательно расследовать все случаи проникновения хакеров в корпоративные сети, то это были либо случаи подмены главной страницы (deface) Web-сервера, либо не обошлось без вмешательства сотрудников взломанной организации. Только этот симбиоз позволяет хакеру быстро найти самые ценные и важные ресурсы корпоративной сети и украсть их. - «Хакеры всегда на шаг впереди средств защиты и поэтому защищаться бессмысленно».
Это не совсем корректное утверждение. Специалисты по защите информации также исследуют различное программно-аппаратное обеспечение с целью обнаружения и «затыкания» дыр до того, как они станут известны. В качестве примера можно назвать преемника известного списка рассылки Bugtraq – сервер SecurityFokus (www.securityfocus.com), на котором ежедневно публикуются сообщения о новых уязвимостях и способах их устранения, найденных экспертами во всем мире, группу X-Force (http://xforce.iss.net), а также CERT/CC (http://www.cert.org). Кроме того, многие производители средств защиты (Microsoft, Sun, Hewlett Packard и т.д.) своевременно поставляют новые заплаты к выпускаемым ими программным решениям. Существуют и специализированные компании, например, Internet Security Systems (http://www.iss.net), которые разрабытывают средства поиска дыр в программном обеспечении. Своевременное применение всего арсенала защитных средств и механизмов позволяет, если не защититься полностью от всех возможных угроз, то существенно усложнить жизнь хакеров и сделать цену проникновения в вашу сеть такой же высокой, как и стоимость самой информации, к которой стремится хакер. - «Нас взломали на прошлой неделе, и теперь хакеры не вернутся!»
Не обольщайтесь. Не вернутся эти, так придут другие. Ведь хакерских групп и хакеров-одиночек достаточно много, и весьма вероятно, что кто-то из них может по случайности или намеренно выйти именно на вашу компанию и взломать вашу сеть или заменить главную страницу вашего сайта. Такие случаи не так уж и редки, особенно если ваша организация достаточна известна. Есть примеры того, когда сеть компании взламывали повторно, оставляя сообщение о том, что «умные администраторы учатся на чужих ошибках, а глупые – на своих». - «Хакеры не будут нас ломать, потому что мы не занимаемся бизнесом, а представляем государственную (или исследовательскую) организацию».
Деньги – не единственная причина, по которой хакеры могут выбрать вас в качестве своей жертвы. Более того, жажда наживы стоит у хакеров не на первом месте. Очень часто они взламывают сети компаний из любопытства или ради известности, либо просто выбирают целью что-то, имеющее звучное имя. Кроме того, смысл взлома может состоять в создании плацдарма для дальнейших атак на другие компании. Наличие таких промежуточных площадок позволяет скрыть реальный адрес хакера и делает его обнаружение практически невозможным. - «Зачем защищаться, если хакеры всё равно смогут нас взломать?»
Если хакер поставил перед собой цель взломать вас, то рано или поздно он добьется своего (разумеется, при наличии соответствующих ресурсов и квалификации). Однако, уверены ли вы, что хакер захочет тратить немалые средства на достижение этой цели? Назначение защитных средств состоит в том, чтобы сделать усилия хакера бесполезными или настолько затратными, что он потеряет всякий интерес к вашей сети. Если цель хакеров – кража информации с последующей её распродажей, то они вряд ли потратят на проникновение в вашу сеть больше средств, чем смогут получить в результате продажи украденных данных.