|
весь DaoMail
вход / регистрация
Гость
ваша подписка (0
реклама
|
Эксперты спорят: как обеспечить ИТ-безопасность бизнеса
web-архив: по темам » Hi-Tech » периферийные устройства и аксессуары » акустика » микрофоны » это письмо
www.cnews.ru
2012-10-05 16:18:01
Статья
Безопасность Мероприятия
версия для КПК
27.09.12, Чт, 17:51, Мск
Проблема обеспечения безопасности продолжает оставаться актуальной. Современный мир диктует иные условия и предоставляет новые возможности для киберзлоумышленников. О том, как противостоять им, насколько реально сейчас создать действительно эффективную защиту и что умеют современные решения, говорили участники конференции "Безопасность бизнеса. Технологии 2012", организованной РБК.
Бесполезно ловить инсайдера в офисе, если он может из дома выложить в социальную сеть все то, что считается коммерческой тайной. Не менее опасны и внешние попытки доступа к приватным данным. В этой связи в выстраивании безопасности бизнеса все большую актуальность приобретает комплексный подход.
"В обеспечении безопасности в целом, и в криптографии в частности, главное – это доверие. Если клиент доверяет производителю, то и продукт будет востребован во всем мире", - задал тон конференции Анатолий Клепов, президент компании "Анкорт".
У доверия есть две стороны. Безопасность стоит денег, это весьма недешевое удовольствие. И, главное, ни одна система не может гарантировать абсолютной защиты. Но с другой стороны, у защищаемых активов тоже всегда своя есть цена. И для всех она разная.
В вооруженных силах и спецподразделениях цена компрометации данных - жизнь. Начиная с громкого инцидента 1914 года, закончившегося гибелью армии генерала Самсонова, с потери значительного числа шифр-блокнотов в 1941 на западном фронте СССР, с проблем в Афганистане - вплоть до событий наших дней, описанных в книге генерала Трошева "Моя война". Там он пишет, что "мы платили в Чечне кровью потому, что у нас не было обычных шифраторов…"
В государственном или финансовом секторах потери не меньше. Так, например, по данным г-на Клепова, только в 1992 из Центрального Банка РФ усилиями хакеров было похищена сумма, эквивалентная 200 млрд долларов. Как утверждают эксперты, не будь этой потери, курс рубля к доллару не превысил бы 5 рублей, а экономику страны не ждали бы годы столь серьезных потрясений. Примечательно, что после упоминаемых афер с авизо только компанией "Анкорт" для нужд ЦБ было подготовлено более 6 тыс. шифровальщиков, что больше чем за всю Великую Отечественную войну.
Страдают промышленные предприятия – достаточно вспомнить нашумевшую историю с атакой на иранские обогатительные установки, связанные с ядерной программой этой страны.
Отдельно Анатолий Клепов остановился на таком аспекте современных информационных войн, как сбор компрометирующих и персональных данных государственных служащих с использованием целого спектра технических средств.
Одной из основных целей кибершпионов всегда были системы связи и сети передачи данных. С развитием мобильной связи изменился и вектор атак. Соответственно, приоритеты производителей средств защиты также стали иными.
Ренат Юсупов, старший вице-президент Kraftway
Вопросы обеспечения информационной безопасности критически важных автоматизированных систем, хранилищ данных и объектов инфраструктуры на сегодняшний день являются приоритетными при формировании любой государственной программы модернизации. В условиях, когда кибернетические угрозы стали реальностью, формирование концепций безопасности ведётся исходя из принципа комплексности, обеспечивающего формирование доверенный среды функционирования систем. При этом доверенными могут быть только системы, состоящие из доверенных компонентов и процессов, которые контролируются на каждом шаге, а не в отдельных точках. Только такие системы могут обеспечить превентивную защиту от угроз, которая существенно более эффективна модели поиска и ликвидации уязвимостей и последствий после атак на объекты. Модель доверенных систем стала стандартом де-факто в наиболее развитых «цифровых» экономиках и реализуется крупнейшими мировыми производителями «железа» и программного обеспечения (Microsoft, Intel и др.). В России, структуры регламентирующие деятельность в сфере защиты информации также осознают опасность новых угроз, что отражается в подготовке.
Читать далее
Поэтому в технической части своих докладов Анатолий Клепов и Александр Панин, технический директор группы компаний "Маском", очень подробно и обстоятельно описали особенности этого сегмента ИБ.
Представитель "Анкорт" сравнил безопасность мобильных телефонов с "хрустальным дворцом", который можно разбить одним ударом квалифицированного хакера. Действенной мерой защиты в компании видят создание устройств ИБ, которые находятся вне операционной системы смартфонов.
Одно из таких устройств - Stealthphone - было представлено на конференции. Это - стойкий шифратор голоса и данных с криптографическими функциями, реализованными на аппаратном уровне. Он подключается к любому современному мобильному телефону, планшетному ПК по Bluetooth или USB.
Криптографическая синхронизация между двумя Stealthphone происходит автоматически после набора номера вызываемого абонента. Разговор в защищенном виде осуществляется абонентами через Stealthphone, который используется как обычная телефонная трубка. SMS/MMS/E-mail набираются на мобильном телефоне (планшетнике или ПК) как обычно. Затем информация шифруется программным способом и отсылается на Stealthphone автоматически, где шифруется аппаратно. Только после этого сообщение уходит абоненту.
Александр Панин в своем докладе тоже презентовал перспективную разработку "Маском", предназначенную для использования в сотовых сетях стандарта GSM. Решение обеспечивает защиту от утечки речевой информации за счет несанкционированной удаленной активации штатного микрофона мобильного телефона. Тем не менее, в целом г-н Панин больше говорил о защите от промышленного шпионажа и конкурентной разведки.
Из удобного средства связи телефон очень быстро и незаметно для хозяина и службы безопасности может стать элементом несанкционированного дистанционного съема акустической, а в некоторых случаях и видеоинформации. Кроме сотовых трубок, в арсенале инсайдера имеется целый набор технических средств сбора и передачи информации, использующих GSM-каналы, например, миниатюрные микрофоны.
Вся эта "экзотика" в огромных количествах открыто предлагается на специализированных сайтах в интернете. Ее функционал и возможности зависят исключительно от скорости мобильных каналов и толщины кошелька злоумышленника. "В расширенной комплектации" на сетях 4G предлагается возможность передачи высокоскоростных потоков данных в реальном режиме времени от нескольких источников. Например, видео со стереозвуком с заседания совета директоров…
Как с этим бороться? Эксперты "Маском" предложили два варианта технических средств подавления сотовой связи – интеллектуальный энергетический. Некоторые ограничения связаны с несовершенством существующего законодательства в этой сфере. Но ничего не мешает уменьшать риски, минимизируя человеческий фактор за счет организационных мероприятий.
Эту тему продолжил Лев Матвеев, генеральный директор SearchInform. В фокусе его внимания оказалась контентная фильтрация. Актуальность проблемы обусловлена все возрастающими требованиями ряда федеральных законов (например, "О персональных данных", "О защите детей от информации, причиняющей вред здоровью и развитию"), отраслевых стандартов и т.д.
Не мал и экономический ущерб. Так, аналитический центр компании Zecurion представил результаты ежегодного исследования об утечках конфиденциальной информации. Всего в 2011 году было зарегистрировано 819 инцидентов, а суммарный ущерб оценивается более чем в 20 млрд долл., из которых более 1 млрд долл. пришлось на российские компании.
Особенностью практического подхода SearchInform является постулат о том, что ИБ не должна мешать бизнесу. А успех достигается исключительно комплексными мерами, а не только запретительными. Например, при построении системы DLP у одного из крупных заказчиков были закуплены ноутбуки для всех пользователей информационной системы предприятия.
Ими было разрешено пользоваться вне офиса и дома, были открыты большинство протоколов и ресурсов, обычно закрытые службой безопасности. Естественно, что был установлен специальный скрытый программный агент, записывающий в закрытую область памяти логи.
В итоге после анализа этих логов руководство получило полную картину того, как происходят коммуникации сотрудников в рабочее и свободное время.
В свою очередь, Лев Матвеев, известный как критик ФЗ-152 "О персональных данных", в развернувшейся дискуссии о законности использования некоторых средств ИБ в очередной раз усомнился в целесообразности многих его положений. Наличие у него как оппонентов, так и сторонников в зале, предвещает жаркие дебаты по этому поводу на следующих форумах.
Ренат Юсупов, старший вице-президент Kraftway, представлял на форуме тех, кто ведет борьбу с угрозами "глубже" всех. В компании Kraftway – производителе ПК и серверов, популярных в силовых структурах РФ – не понаслышке знают об "умельцах", способных обойти любую традиционную защиту.
Суть ноу-хау злоумышленников заключается в эксплуатации уязвимостей при инициализации процессора и BIOS еще задолго до того, как запустится операционная система и следом за ней - традиционное защитное ПО. В итоге оно просто не видит закладку, так как вирус находится вне зоны его досягаемости.
Не называя поименно примеры успешных атак на компьютеры и системы связи в РФ, г-н Юсупов признал, что таковые имели место быть, а вал хакерских атак в этой сравнительно молодой зоне ответственности ИБ продолжает нарастать. По его данным, в среднем за квартал появляется 150 тыс. новых экземпляров подобного программного кода.
Эффективное средство защиты здесь только одно – создавать оболочку безопасности BIOS и строить доверенную систему загрузки, которая интегрирует в себе разные средства безопасности.
При этом Ренат Юсупов не имел в виду далекое будущее. Уже сейчас Kraftway в партнерстве с ведущими отечественными ИБ-вендорами перешел от слов к делу. Одно из внешних его проявлений – альянс с Fujitsu и начало производства в России на базе платформ Fujitsu решений, защищенных в соответствии с нормативной базой РФ по информационной безопасности.
"Как бы кропотливо и тщательно вы ни готовили выборку, вам всегда могут сказать, что она неправильна и неприменима к данной проблеме", - такой эпиграф к своему докладу выбрал Павел Головлев. Будучи начальником управления безопасности Информационных технологий "СМП Банка", он перенес дискуссию в практическую плоскость. А именно – каков должен быть оптимальный бюджет на ИБ в отечественных банках.
Если взять на вооружение выкладки ИБ-теоретиков и перемножить с помощью нехитрой формулы элементы рисков, а потом получившуюся цифру принести руководству банка, то гарантированно можно услышать фразу "Не верю!" Все дело в сложности ИТ-инфраструктуры банка, динамике изменений ее самой и спектра окружающих ее угроз. А еще - в требованиях нормативных актов.
С фактами и цифрами на руках г-н Головлев попытался доказать альтернативную методологию расчета ИБ-бюджетов. Опирался при этом он на "Инструкцию Банка России №110-И", п.4.1 и 4.2 положения Банка России от 31 мая 2012г. №380-П "О порядке осуществления наблюдения в национальной платежной системе".
Используя цифры от ведущих аналитических агентств и требования нормативных актов, он вывел, что сумма в 10% от уровня покрытия операционного риска оптимальна и с точки зрения безопасников, и с точки зрения экономистов банка, оптимизирующих величины резервы банков.
Артему Павлову, руководителю агентства экономической и кадровой безопасности D.I., нашлось, что ответить г-ну Головлеву. Действительно, будучи людьми технического склада, представители служб безопасности иногда упускают из виду малозатратные, но не менее эффективные средства.
Все дело в том, что ИБ – это лишь часть общего контура персональной, экономической и государственной безопасности. Она - их подсистема, причем самая дорогостоящая, часто на первый взгляд – затратная. В погоней за ней компании позабыли о людях и современных методах работы с ними.
Г-н Павлов призвал присутствующих не вязнуть в ортодоксальности, а также не забывать о разумном комбинировании всех методов защиты. Задача – опережать преступников, а для этого необходимо систематическое обобщение опыта работы профессионалов, формирование воедино лучших практик в отраслевые стандарты.
Последующие выступления Владимира Щербины, директора научно-исследовательского центра ВАНКБ, и Михаила Дубинина, президента Ассоциации "Национальный союз организаций в области обеспечения пожарной безопасности", стали поводом для диспута.
Владимир Щербина начал оптимистично. Он сообщил, что в Германии начата работа с привлечением Германской комиссии электротехники, электроники и информационных технологий (DKE) Германского института по стандартизации (DIN) и VDI по подготовке национальных немецких стандартов и проектов европейских стандартов CENELEC на основе положений серии российских стандартов серии ГОСТ Р 53195.
Тем не менее, по словам Дубинина, на фоне плачевной статистики, касающейся профилактики и борьбы с пожарами, два профильных надзорных органа долгие годы не могут решить дилемму двойного регулирования в области обеспечения пожарной безопасности. А это в свою очередь тянет целых шлейф проблем в смежных секторах.
В финальной части форума Константин Сергеев, руководитель исполнительного комитета Союза руководителей служб безопасности Урала, остановился на новых трендах в подходах к безопасности компании. а примере провокации сотрудника охраны в одном из гипермаркетов Екатеринбурга г-н Сергеев наглядно показал, что повышение требований к профессиональной подготовке специалистов по безопасности становится сейчас архиважной задачей.
В их арсенале должны появиться инструменты раннего выявления информационных угроз для репутации компании и нивелирования их негативного воздействия. И только тесная интеграция всех контуров безопасности бизнеса может дать реальный результат.
Вадим Ференец / CNews
Презентации участников конференции
Анатолий Клепов, президент компании Анкорт
Александр Панин, технический директор Группы компаний “МАСКОМ”
Владимир Дудченко, генеральный директор SoftBCom
Лев Матвеев, генеральный директор SearchInform
Павел Головлев, начальник управления безопасности Информационных технологий, СМП Банк
Дмитрий Костров, Директор по проектам МТС
Владимир Щербина, директор научно-исследовательского центра Всемирной академии наук комплексной безопасности (ВАНКБ)
Михаил Дубинин, президент Ассоциации "Национальный союз организаций в области обеспечения пожарной безопасности"
Александр Тудос, шеф-редактор журнала «Охрана труда и социального страхования»
Константин Сергеев, руководитель исполнительного комитета Союза руководителей служб безопасности Урала
Дмитрий Жирков, председатель правления общественной организации «Безопасное Отечество», главный редактор журнала «Частный охранник»
Артем Павлов, руководитель Агентства экономической и кадровой безопасности "D.I."
Скачать все презентации (архив)
Вопросы обеспечения информационной безопасности критически важных автоматизированных систем, хранилищ данных и объектов инфраструктуры на сегодняшний день являются приоритетными при формировании любой государственной программы модернизации. В условиях, когда кибернетические угрозы стали реальностью, формирование концепций безопасности ведётся исходя из принципа комплексности, обеспечивающего формирование доверенный среды функционирования систем. При этом доверенными могут быть только системы, состоящие из доверенных компонентов и процессов, которые контролируются на каждом шаге, а не в отдельных точках. Только такие системы могут обеспечить превентивную защиту от угроз, которая существенно более эффективна модели поиска и ликвидации уязвимостей и последствий после атак на объекты. Модель доверенных систем стала стандартом де-факто в наиболее развитых «цифровых» экономиках и реализуется крупнейшими мировыми производителями «железа» и программного обеспечения (Microsoft, Intel и др.). В России, структуры регламентирующие деятельность в сфере защиты информации также осознают опасность новых угроз, что отражается в подготовке.
Обработка конфиденциальной информации, в том числе имеющей гриф секретности, в автоматизированных системах всегда связана с вопросами разделения доступа к обрабатываемым данным, контролем используемых для обработки средств, защитой от модификации программных компонентов, идентификацией и аутентификацией пользователей автоматизированных систем.
Современная архитектура персональных компьютеров и серверов, базирующихся на х86 процессорах, не позволяет выполнять данные задачи на аппаратном уровне с контролем загружаемой операционной системы, разграничением доступа к аппаратным ресурсам компьютера, идентификацией и аутентификацией пользователя до загрузки операционной системы. Это обусловлено архитектурными особенностями х86 систем, связанными с поэтапной инициализацией системы: процессор – материнская плата – операционная система. Доверенной можно назвать только такую систему, в которой контролируется каждый этап работы, каждая функция внутри этапа, а также процесс передачи управления между этапами. Подавляющее большинство средств защиты запускаются только на этапе работы операционной системы, что не позволяет избавить систему от вредоносных программ, стартующих на более ранних фазах и, в частности, в процессе работы BIOS – первого программного кода, исполняемого процессором.
Системный BIOS является потенциально привлекательной целью для атак. Вредоносный код, работающий на уровне BIOS, может получить огромные преимущества по контролю над компьютерной системой. Он может использоваться для компрометации любых компонентов, которые загружаются позднее в процессе загрузки, включая код SMM (обработчики прерываний системы), загрузчик, гипервизор, операционную систему. BIOS хранится в энергонезависимой памяти, которая сохраняется и после цикла включения/выключения. Вредоносный код, записанный в BIOS, может использоваться для повторного заражения компьютеров даже после установки новых операционных систем или замены жёстких дисков. Поскольку системный BIOS выполняется на компьютере очень рано в процессе загрузки с очень высоким уровнем привилегий, то вредоносный код, работающий на уровне BIOS, бывает очень сложно детектировать. Так как BIOS загружается первым, то антивирусные продукты не имеют возможности гарантированно проверить BIOS. Самые опасные вредоносные программы, обнаруженные в последнее время, тем или иным способом связаны с BIOS. Наиболее продвинутые вирусы, называемые ещё кибероружием: Duqu, Stuxnet, Flame, Gauss, Rakshasa, тем или иным способом связаны с процессами, исполняемыми в фазе BIOS. С другой стороны, если на рынке уже существует достаточно большое количество доверенных сборок операционных систем, то доверенные сборки BIOS возможно производить, только компаниям, самостоятельно разрабатывающим и производящим материнские платы. При этом, используя материнские платы зарубежных вендоров, производители ПК и серверов вынуждены использовать недоверенный микрокод BIOS, который по своему объёму и сложности сопоставим с микрокодом операционной системы.
Таким образом, для обеспечения уровня безопасности, соответствующего современным угрозам необходимо создавать вычислительные системы, в которых средства защиты и контроля информации начинают работать уже на уровне BIOS. Причём средства защиты должны быть тесно интегрированы со средствами противодействия несанкционированным изменениям кода BIOS, защиты областей хранения журнала событий безопасности, загрузочных областей, средствами виртуализации подсистемы ввода/вывода, контроля целостности программной среды, централизованного дистанционного группового контроля и управления модулями безопасности.
Наиболее доступным способом создания вычислительных систем избавленных от описанных выше уязвимостей является использование компьютеров, содержащих доверенный BIOS, тесно интегрируемый со встроенными и внешними (по отношению к BIOS) средствами защиты информации. В настоящий момент работы по интеграции средств защиты с BIOS ведутся с более чем 10 российскими компаниями.
Для реализации концепции защищённых (доверенных) ПК и серверов компания Kraftway, начиная с 2008 года, занимается разработкой и производством собственных материнских плат, созданием аппаратно-программных средств защиты интегрированных базовый функционал «железа», а также разработкой конечных клиентских и серверных устройств.
На сегодняшний день компанией Kraftway разработаны и серийно выпускаются уже 5 моделей материнских плат, в которых используются три локализованные версии BIOS (Phoenix-AWARD, UEFI Insyde и UEFI AMI Kraftway) с интегрированными модулями безопасности.
Разработанные компанией Kraftway материнские платы KWG43, KWN10/KWN10D, KWQ67 и KWH77 обладают широкой функциональностью и поддерживают многоядерные процессоры Intel® вплоть до самого последнего поколения Ivy Bridge. Клиентские вычислительные устройства и терминальные станции со встроенными в BIOS средствами защиты информации, созданные на базе материнских плат Kraftway, успешно используются в федеральных программах по информатизации медицины, электронном правительстве, силовых ведомствах и других государственных организациях, в системах обработки персональных данных и для доступа к секретной информации.
Задачи, которые решают эти ПК позволяют решить множество проблем, связанных с утечкой данных, промышленным шпионажем, разграничением и контролем доступа к информации, а также с кибернетическими угрозами, которые невозможно блокировать на уровне операционных систем. Интеграция средств защиты информации на уровне BIOS обеспечивает противодействие практически всем известным моделям угроз и моделям нарушителя, обеспечивая заданный уровень безопасности системы даже в условиях появления новых угроз.
Источник
|
web-архив: по темам » Hi-Tech » периферийные устройства и аксессуары » акустика » микрофоны » это письмо
|