В тех сферах, где необходимы очень высокие надежность и информационная безопасность, взамен интернет-хостинг провайдеров приходят дата-центры. Это совершенно новое явление, основная функция – обработка и хранение большого количества важной и конфиденциальной информации, а также предоставление к ней доступа с помощью Интернета. Кроме того, одна из важнейших функций дата-центров – передача приложений в аренду. Таким образом вы видите, что защита и информационная безопасность для центров обработки данных выходят на первое место.
Общеизвестный факт, что Интернет таит в себе немало опасностей. Одна из самых грозных – хакерские атаки. По заявлениям СМИ они приносят миллиардные убытки. Однако лишать себя возможностей Интернета бизнесмены не спешат. И даже наоборот – число компаний, которые используют в своей работе Интернет, неумолимо растет. Это и понятно. Бизнес становится все более распределенным и глобальным, ему нужно единое пространство, чтобы работать с данными. На данный момент более-менее достойной альтернативы Интернету пока нет.
Так получается, что на сегодняшний день сеть Интернет является единственным и уникальным пространством открытым и доступным для всех, которое дает возможность спокойно работать с информацией – не только ее хранить, но и обрабатывать, передавать, имеет хорошую инфраструктуру. Большим плюсом Интернета является то, что он доступен практически везде.
Что могло бы стать альтернативой? Это сети X.25. Однако развитие их прекратилось из-за многих причин, на данный момент использование этих сетей ограничено. Если нужно, с помощью Интернета можно организовать связь с подобными иными сетями. В итоге это дает возможность пользоваться дополнительными функциями. Такими как прием и передача телексных, факсимильных, телетайпных сообщений, пересылка обычной почтой электронных сообщений, отправка с помощью электронной почты SMS на мобильные телефоны, использование услуг специализированных банковских сетей.
Нельзя отнять у интернета и то, что с помощью него идет внутрикорпоративная связь, и члены компании получают доступ к данным, зачастую критичным. В ситуации, когда необходимы удобство и оперативность доступа к информации из любого места на земле, выбор останавливается на Интернете. Государственным объектам в этом смысле повезло больше: дипломатические и военные ведомства могут пользоваться закрытыми, изолированными от остальных, сетями. Бизнесмены же не могут себе этого позволить по причине нецелесообразности и невыгодности.
Как следствие всего этого современные дата-центры получают все большее распространение. Они предполагают надежный хостинг и увеличение безопасности информации. Приведем в пример удаленную работу с использованием приложений по схеме Application Service Provision. При таком варианте благодаря комплексной системе защиты, которая состоит из системы аудита журнальных файлов, сканеров обнаружения вторжений, межсетевых экранов, а также системы обработки статистических данных трафика, обеспечивается высокая степень безопасности.
Что главное для любого вида безопасности, в том числе и безопасности информационной, о которой говорим мы? Основная задача – предвидение и предотвращение любых негативных воздействий, а при их неизбежности – максимальное снижение ущерба.
Исходя из этого, обеспечение информационной безопасности включает в себя выявление объектов, наиболее подверженных угрозе, а также определение возможных и реально существующих угроз и их источников, тщательная и детальная оценка рисков, определение средств и методов выявления враждебного воздействия, способов защиты от уже выявленных угроз, вариантов действия при инцидентах.
Давайте выясним, что в информационных системах может быть наиболее подвержено угрозе?
Конечно, в первую очередь и непосредственно это информация как таковая. С ней может быть произведено очень много ненужных нам действий. Прежде всего, информацию можно просто и банально украсть. Кроме того, ее можно уничтожить, заблокировать, изменить или с помощью нее скомпрометировать. Но не надо забывать, что сама по себе информация весьма пассивна. Чтобы произвести с ней какое-то действие, необходимо оказать воздействие непосредственно на систему или носитель, где информация «обитает». Чтобы этого не произошло (раскрытие информации и ее изменение), часто применяют методы криптозащиты, которые в последнее время получили серьезное развитие.
Также вполне вероятно угрозе могут быть подвержены элементы инфраструктуры и оборудование. Это активное сетевое оборудование, серверы, электропитание, кабельные системы и вспомогательные системы. Физическое воздействие – наиболее реальная угроза для подобных объектов. Оно может повлечь за собой как повреждение объекта либо утрату функциональности, так и появлению чужеродных объектов в системе, которые будут влиять на ее работу или производить съем необходимых данных. Есть и еще один риск – воровства объектов защиты. И ведет он к значительным материальным потерям. Так, в 2000 году кража лэптов привела к ущербу в 10 миллионов долларов. Это усредненная цифра. Чтобы максимально снизить этот риск, обычно используют физическую защиту, большинство из методов которой широко известны. В частности это ограниченный доступ персонала и пропускная система, защитный периметр, видео наблюдение, сигнализация, действующая служба безопасности и вооруженная охрана. Иногда еще говорят и о вирусах, которые выжигают оборудование. К всеобщему счастью, на данный момент это является ни чем иным, как сказкой. Однако не факт, что в будущем этот статус не перерастет в реальность.
Переходим к программному обеспечению. К нему относятся прикладные программы, операционные системы, а также сервисы. Классические атаки нацелены как раз на них, они же и являются наиболее уязвимыми звеньями. Подобные атаки могут иметь очень печальные последствия – от краха системы в принципе, полной или частичной утрате функциональности до действий нападающих внутри системы и их контроля над системой.
Для классических систем безопасности информации основной задачей как раз и является защита от возможных атак, которые используют уязвимость непосредственно программного обеспечения.
Не стоит забывать, что влияние и воздействие может быть оказано и напрямую на системного администратора – человека, который как раз и занимается функционированием системы. Причем воздействие может иметь как психологическую, так и физическую форму. Однако этот момент не входит в рамки нашей статьи – мы лишь кратко о нем упомянем. Если обсуждать безопасность серьезно, то администратор, занимающийся серьезной информационной системой, обязательно должен быть защищен. Служба безопасности должна уделять этому человеку особое внимание. Случайное либо целенаправленное воздействие на персонал может привести к появлению серьезных рисков. Необходимо заметить, что часто в таких случаях речь может идти о сумме, которая сопоставима с ценой всей системы.
Таким образом, мы изучили, какие объекты могут подвергаться угрозам, если речь идет об информационной безопасности.
Теперь настала пора обсудить, что именно или кто именно может эту информационную угрозу представлять. Кто он – субъект подобного рода воздействия? Какие средства применяются при этом?
Первый тип нападающих назовем «злоумышленник». Это человек, который сознательно производит действия, способные нанести реальный ущерб и имеет для этого вполне определенные мотивы. Они, кстати, могут быть совершенно различные – начиная от обиды на руководство до банального спортивного интереса. Однако чаще всего это мотив – исполнение служебных обязанностей работником организации, которой на руку подобные действия.
Второй тип это «администратор». Он имеет статус суперпользователя и непосредственно работает с системой. Это человек, лояльный к компании и нанесший ущерб непреднамеренно. Причины могут быть совершенно различными. Начиная от простого отсутствия необходимого уровня квалификации, до «человеческого фактора» – чрезмерная загрузка, усталость, невнимательность. Как пример можно привести команду известную как rm -rf / * в UNIX (без запроса подтверждения автоматически удаляются все файлы, даже включая вложенные директории). Она периодически запускается, не смотря на то, что уже стала темой множества анекдотов. А системе администратор имеет почти неограниченные полномочия и возможности. Даже в случае, если какие-либо данные имею защиту от изменения, уничтожение их предотвратить очень сложно.
Третий тип, о котором необходимо упомянуть – «вирусы». Здесь мы объединим все многочисленные «самовоспроизводящиеся» программы, которые были созданы человеком, но на самом деле они подчиняются заложенному в них определенному алгоритму и практически живут собственной жизнью. Сюда относятся и черви, и вирусы, и «троянские кони», которые распространяются с ними. Отметим, что со стороны создателя контроль за «вирусами» может быть утерян полностью (в пример приведем сетевого червя Морриса) или сохранен лишь частичного (здесь хорошим примером послужит Code Red). Определить при вирусной атаке автора программы и первоначальный очаг заражения в большинстве случаев нереально.
Это основные источники угроз. Однако, не стоит упускать из виду и так называемые «форс-мажоры» – под ними объединяем обстоятельства, имеющие непреодолимую силу и которые выходят за пределы предвидения и какого-либо контроля. Однако этот вопрос относится уже скорее к юриспруденции. Мы не спорим, что форс-мажорным обстоятельства как то стихийные действия и различные катастрофы, действия властей и правительства, террористические акты и так далее, естественно, представляют прямую угрозу для информации (как и для специалистов по безопасности данных), но это уже немного другой вид опасности.
Для наглядности приведем рейтинг угроз, который составил и обнародовал Институт Компьютерной безопасности. Согласно этим данным, по числу зафиксированных случаев первое место занимают именно вирусные атаки. Второе место досталось хищению ЛЭПов. Почетное третье место за действиями внутри сети инсайдеров. И лишь четвертое место, причем с очень большим отрывом занимают проникновения извне в сеть. Вот такие данные.
О финансовом ущербе говорить столь же достоверно не приходится. Потому что с одной стороны, об ущербе, нанесенном атаками, заявляют далеко не все, так как логично боятся, что у компании будет подмочена репутация из-за этого. Но с другой стороны, на сетевых червей и хакеров можно списать очень многое, что в реальности к ним не относится. Разброс имеющихся цифр весьма велик. Если говорить об удаленных атаках, то озвученная сумма причиненного ущерба на каждую хакерскую атаку колеблется от минимальных 100 долларов до максимальных 10 миллионов. А относительно вирусных атак сумма ущерба составляет от тех же минимальных 100 долларов до максимальных 20 миллионов, при этом средний показатель – около 200 долларов.
Но есть и отдельные случаи, когда приходится говорить о реально больших финансовых потерях. К ним относятся хищение информации и финансовое мошенничество. Почти 4,5 тысячи долларов, а при совокупном ущербе ни больше, ни меньше – 100 тысяч долларов, – именно так оценивается средняя величина при мошенничестве. Подтверждается эта информация и данными и банкротством нескольких фирм, которые занимались именно интернет-торговлей.
То, что на дата-центр или хостинг-провайдера будет направлена атака, имеет очень большую вероятность. Конечно, это имеет свои причины, главная из которых – большое количество размещаемых ресурсов. Что касается дата-центров, здесь существенное значение имеет и критичность и цена размещаемой информации. При этом варианте нельзя не учитывать возможность специально подготовленной атаки, которая была направлена на получение над ресурсом контроля или уничтожения либо получения информации.
При «классическом» хостинге (имеем виду под этим названием компании, которые специализируются на виртуальном веб-хостинге) малую вероятность имеет профессиональная атака, однако неизбежно большое число «brute force» (лобовых) атак, конечно, атак, при которых используются хорошо известные всем слабые места. Также большую вероятность имеют атаки на почтовые серверы для того, чтобы безнаказанно и значительном объеме передавать спам (информацию, которая не является запрошенной и имеет рекламный характер). Относительно сложных атак, подготовленных профессионалами, для их подготовки необходимы серьезные усилия, а зачастую и привлечение инсайдеров к работе, стоимость акции получится значительно дороже, чем результат, даже если атака завершится успешно.
У разных систем и организаций политика безопасности может быть различна. Ведь каждый объект в нашей реальной жизни (торговы йцентр, банк, жилой дом или государственная организация) по-разному выстраивает свою систему безопасности. Также и дата-центры, корпоративные информационные системы и хостинг-провайдеры исходят из своих предпочтений и возможностей при решении этого вопроса.
Развитие сети и развитие в этих сетях бизнеса привело к рождению нового явления – ЦОД (Центры Обработки Данных) или, как их чаще называют – дата-центры. В Интернет приходят крупные компании, для которых большую роль играет высокий уровень предоставления услуг и обеспечение безопасности. Хостинговые компании, которые сейчас существуют, в большинстве своем ориентированы в работе на иной сегмент рынка и обладают собственной спецификой. В основной массе они не готовы да и не имеют особого желания решать подобные задачи. Вспомним нашу аналогию и сравним в этом смысле жилой дом и банк.
Хостинговые компании возникали раньше, чем дата-центры. Тогда было иное время и иная экономическая ситуация, как у нас, так и за рубежом. Основная задача подобных компаний заключается в предоставлении профессиональных и относительно недорогих услуг по поддержке и размещению веб-сайтов, а также почтовых систем. Среди их клиентов совершенно разные личности и организации – маленькие компании, частные лица, представители шоу-бизнеса и так далее. Что касается крупных фирм, а также организаций, связанных с серьезным бизнесом, управлением или властью, они предпочитают не иметь дела с хостинговыми компаниями как раз из-за негарантированности высокого уровня предоставления услуг и малой защищенности.
У «классического хостера» структура системы информации во многом зависит от поставленной задачи: минимилизация себестоимости. Именно вследствие этого используются небрендовые серверы Free-BSD или Linux, базы данных Postgress, MySQL, веб-серверы Apache, а скрипты на PHP и Perl. Плю здесь неоспоримый и существенный – отсутствие финансовых затрат. Но минус не менее существенен – нет нормальной технической поддержки.
Заметьте, что зачастую хостинг-провайдеры не обладают своим сетевым оборудованием и своими каналами связи, они пользуются непосредственно инфраструктурой провайдера. Такой вариант ликвидирует саму возможность держать под контролем, что влечет за собой ограничение уровня безопасности. Но, конечно, в значительной степени снижает стоимость услуги.
В среднем стоимость размещаемой информации и вероятные угрозы соизмеримы с заявленным уровнем защиты хостера. Как правило, Политика безопасности не разрабатывается, администраторы проводят в системе все изменения. Небольшие штаты и отсутствие со стороны вендоров поддержки значительно снижает уровень защиты и возможности, но зато способствует тому, что системные администраторы всегда находятся в хорошей форме.
Однако, напоминаем, что каждому объекту нужен свой уровень защиты. Поэтому, если этот фактор не является особо значимым – не стоит уделять ему повышенное внимание.
Непосредственно дата-центры начали появляться относительно недавно. В прямом смысле их нельзя считать хостинговыми компаниями. Они ориентированы на профессиональное предоставление комплексных услуг, отличающихся сложностью, которые необходимы заказчику(обычно корпоративному). Отметим, что одной из главных особенностей дата-центров – это их надежная защищенность – во всех смыслах: относительно технических средств, территории и мер безопасности.
Дата-центры имеют свою специфику в обеспечении безопасности информации. Прежде всего, это сочетание жестких требований обеспечению информационной безопасности и обеспечение для клиентов «прозрачного» доступа. Есть и другая особенность дата-центров: ими используются приложения и платформы различных видов, что имеет вполне конкретную цель – такой метод не дает возможность сконцентрироваться полностью на безопасности какой-либо одной линии продуктов или одной платформы. Также большое значение имеет и то, что к конкретной категории информации клиентов не имеет доступ никто, даже непосредственно администраторы системы.
Необходимо отметить здесь, что режим ASP для многих коммерческих продуктов появился относительно недавно. Исходя из этого понятно, что подобные продукты в принципе не могут иметь значительной истории использования в разделенном удаленном доступе. Конечно, по этой же причине они не могут похвастаться тщательным и подтвержденным историей тестированием на уязвимости. Обращаем ваше внимание, что еще и поэтому обязательно нужна долгая и серьезная процедура конфигурирования и тестирования непосредственно перед запуском ASP-продукта. Чтобы настройки брандмауэров определить, обязательно нужны анализ трафика, а также определение статистических свойств трафика в различных режимах и диапазона открытых портов.
Как же осуществляется защита? Наверняка, вам как потенциальным (или реальным) клиентам это чрезвычайно интересно. Предлагаем вам ознакомиться с несколькими из составляющих элементов защиты, а также рассмотреть возможные реализации их и действительную необходимость применения в конкретных ситуациях.
Итак, «нулевой» (есть и такой) рубеж обороны представляет собой имитационную защиту, если проще и понятнее – сокрытие структуры сети. Уязвимости, сервера и сетевые сегменты эмулирует специальное программное обеспечение. А источники угроз дают возможность выявить непрекращающийся тотальный контроль за несуществующей сетью и атаками на нее. К тому же такая имитационная защита потенциальных агрессоров вводит в заблуждение и доставляет им массу трудностей при определении настоящей структуры системы и, как следствие, планирование нападений.
Переходим к IDS, детектору вторжений – он является первым рубежом защиты. Основа: появление сигнатур популярных и выявленных типов атак отслеживает система, ведя анализ и изучение входящего трафика. Система адаптивной защиты также устанавливается в ряде случаев, в ней происходит замена на сетевом экране списков доступа при выявлении определенных сигнатур. И благодаря этому происходит моментальное блокирование атаки. Добавим, что в подобном случае разумно количество сигнатур, подлежащих проверке, ограничивать (это свойственно, к примеру, Cisco IDS — NetRanger). Это дает возможность уменьшитьвозможность ложных тревог и увеличить быстроту действия. То, что количество выявленных нападений уменьшается, имеет компенсацию в виде действия дополнительных систем поиска вторжений в контурах защиты (обычно применяется детектор SNORT).
Конечно, невозможно обойтись без проблем. Ряд их связан и с применением IDS. Прежде всего, это заведомо ложные срабатывания. Конечно, данная проблема имеет способы решения, однако всегда надо учитывать в принципе вероятность этого.
По причине высокой стоимости компании, которые занимаются виртуальным веб-хостингом в классическом виде, почти не используют аппаратные IDS. Детекторы, которые считаются программными «легкими» также применяются очень и очень редко, причина этому – им необходимы большие системные ресурсы. Путем анализа и отслеживания журнальных файлов выявляется основное количество атак. А разбор пакетов (анализ трафика) делается вручную, применяется утилит типа tcpdump.
При этом применение программных и аппаратных IDS в дата-центрах является неизбежным.
Дифференциация зон безопасности, которые закрыты сетевыми экранами, относится ко второму уровню защиты. К нему же относится и разделение трафика при помощи применения виртуальных сетей VLAN.
Стандартным решением здесь является трехуровневая структура: «внутренняя зона», «демилитаризованная зона» и внешняя зона». О межсетевых экранах уже сказано многое – это классика, про которую известно все досконально. А вот виртуальные сети (VLAN) используются в классическом хостинге не в пример реже. Как правило, в упоре на хостинг виртуального характера и из-за другой структуры сети. Непосредственно цель обособленности трафика клиента в UNIX-системах хостинга достигается с помощью программных средств.
Если мы имеем сеть сложной структуры, то настройка сетевых экранов станет нетривиальной задачей. В данном случае, в принципе, используются все возможные методы.
Кроме того, из методов защиты антивирусную защиту можно выделить. В этом случае есть идеальный вариант: антивирусный централизованный мониторинг, отметим, что очень широк выбор программного обеспечения, оно полностью зависит от финансовых возможностей и вкуса. Некоторые раздумывает над антивирусным контролем почты, который включает в себя удаление зараженных сообщений автоматически – это очень сомнительный вариант. Большинство предпочитают, чтобы почта приходила в неизменном виде. Потому что вносит сильное напряжение, а зачастую очень мешает, если антивирусник без запросов автоматически поглощает сообщение, которое содержало сигнатуры вирусов либо сообщения, где говорится о вероятности атаки вирусов и подозрительный файл прикреплен. Но с другой стороны, то, что большинство пользователей имеют едва заметный «гигиенический» уровень, и наличие регулярных вирусных атак говорят «за» вирусный контроль над электронными почтовыми ящиками. У пользователя хотя бы должен иметься выбор, и разные типы реагирования нужны для различных категорий пользователей.
Независимо от того, к какому уровню и классу принадлежит компания, обязательной составляющей системы безопасности является анализ журнальных файлов. Подробно останавливаться на этом мы не будем.
Также большому вниманию и бурному обсуждению подвергается и еще одна обязательная составляющая системы безопасности информации – идентификация пользователей и контроль доступа. Мы сейчас остановимся конкретно на контроле доступа касаемо операторов и администраторов, которые имеют какие-либо административные полномочия в системе. Относительно этого направления острой и вечной проблемой имеет место быть генерация и постоянная смена паролей данными лицами, т.е. суперпользователями. Уделяя внимание безопасности, менять их нужно реально очень часто. К сожалению, этого либо не происходит, либо в итоге пароли root записаны везде, где только можно, в том числе, на доступных для всех поверхностях. Относительно удачный выход в данной ситуации – применение для контроля доступа и идентификации современных средств. Используется действительно на данный момент несколько методов, если конкретнее – за основу берутся смарт-карты (например, Schlumberger и подобные им), за основу принимаются бесконтактные элементы питания (так называемые «таблетки»), а кроме того – системы биометрического контроля. Именно последние считаются гораздо более предпочтительными. Причина на поверхности: часть тела теряют гораздо реже, чем брелок или иной элемент. Поэтому определенная гарантия, что в систему проникнет уполномоченный пользователь, а не счастливый обладатель ключа, который ему достался случайно или обманным путем
Наиболее популярны среди систем биометрического контроля сканеры отпечатка пальцев (Identix, Compaq Fingerprint, «Hamster«). Обычно они недорогие и по своему бюджету редко превышают цифру в 100 долларов. Что касается сканеров радужки глаза – пока они еще недостаточно надежны, чтобы использовать их спокойно и при этом гораздо дороже первых.
Конечно, мы не будем перечислять здесь все существующие технические методы обеспечения безопасности, т.к. в этом нет смысла.
Однако необходимо отметить, что исключительно технических методов, какую бы мощность они не имели, для поддержания даже самого начального безопасного уровня все равно недостаточно.
Имейте ввиду, что если администратор не профессионал, то это очень опасно. Его некорректные действия способны нанести гораздо более серьезный ущерб, чем любая вирусная атака. Все старания, приложенные к обеспечению безопасности, способна ликвидировать лишь одна-единственная ошибка, сделанная пользователем, который администрирует свои приложения самостоятельно. Обратите внимание, что пароли «test», «54321»и «sdfgh» встречаются удивительно часто, это же относится и к логину «demo».
Также для центров обработки данных характерны разработанная система документации, жесткая регламентация и разработанная политика безопасности информации.
Конечно, есть определенные минусы в жесткой регламентации работы системных администраторов и всего остального персонала. Так, самый явный из них, сильное снижение оперативности действий в случае, когда нужно действовать нестандартно. Однако при этом вам гарантировано, что все необходимые и предписанные действия будут исполнены. К тому же, в этом случае если специалист, обладающий административными полномочиями, будет уволен, это не снизит уровень безопасности и не повлияет на нормальную работу системы. Также свести к минимуму ущерб, который может нанести обладающий административными полномочиями персонал, поможет присутствие системы собственной безопасности.
Не менее значимым моментом является корпоративная этика и политика. Обычно в дата-центрах очень большое количество людей работает. Зависят от них и вопросы, касающиеся непосредственно безопасности. Если удастся добиться, что технический персонал и администраторы более преданы организации и малая вероятность, что они станут инсайдерами, помогающими конкурентам, – это уже очень значительный вклад в безопасность системы.
Здесь чрезвычайно важно реагирование на происходящие инциденты. Дата-центры должны обеспечить своих клиентов максимальной защитой, и если угрозы будут реализованы, принять адекватные и необходимые меры.
В большинстве случает определить настоящий источник угрозы возможно, хотя, конечно, подчас это бывает очень трудно. Административным реагированием пренебрегать нельзя. Прежде всего, есть общепринятые правила и такое понятие как сетевой этикет, их придерживаются практически все провайдеры. В случае, если им предоставить доказательные материалы, которые наглядно подтверждают, что из их сети была произведена атака, обычно реакция следует адекватная и жесткая. Однако лишь в том случае, когда доказательства, предоставленные им, действительно веские. К тому же, во многих развитых государствах действуют организации, которые как раз и занимаются борьбой с сетевыми преступлениями. Обычно они реагируют, когда их резидентам нанесен ущерб или само преступление произошло на их территории. Однако учитывая то, что политика тотального контроля за сетью Интернет значительно ужесточилась из-за угрозы терроризма, можно быть уверенным, что если произойдут реально серьезные события, нужное расследование обязательно будет проведено.
Но при любом раскладе у дата-центра служба безопасности информации может на инциденты административно реагировать. Шанс на нужную реакцию имеет очень большую вероятность, если есть знание законодательства, структуры национальных и международных органов общей и сетевой безопасности, а также определенная настойчивость. Нельзя забывать, что безопасность представляет собой аналитические изыскания по многочисленным критериям, сбор информации и определение нужной, синтез, а не только навыки и технические средства.
Для примера мы приведем статистику детектора вторжений (IDS), который контролирует проект DATA FORT, точнее, одну из его сетей. Более 50 тысяч сигнатур атак было зафиксировано в течение четырех октябрьских дней. «Черви» Nimda произвели основную массу из них, а точнее – около 40 тысяч из обнаруженных сигнатур. Необходимо отметить, что большинство из них шли из одного и того же источника, а конкретнее – сети ISP-провайдера (немецкого). После того, как администраторы сети были уведомлены, атака прекратилась. Благодаря тому, что «червь» Nimda использует всем известные уязвимости, а администраторы DATA FORT закрыли их сразу после обнаружения, вирусная атака ущерба никакого не нанесла.
Кроме того, было зафиксировано две попытки воспользоваться старыми уязвимости в FTP из иных попыток проникновения и еще на почтовые системы три атаки (здесь тоже были использованы прекрасно всем известные уязвимости). Конечно, они не принесли результата. В данных случаях не были приняты административные меры, так как попытки носили уж очень любительский характер.
Также были зафиксированы определения версии DNS – 149 попыток (источники в разных сетях), кроме того, сканирования портов – 40 попыток (источники аналогично разные). По большому счету явно противозаконного ничего в подобном сканировании нет. Это просто банальные попытки, они не имели цели обнаружить в сети слабое место. Однако источники сканирования, которые были зафиксированы, занесены как потенциально угрожающие в базу данных.
Правильно идентифицированы и обнаружены были все смоделированные атаки: атаки на уязвимости IIS, «лобовые атаки», а также сканирование сети.
Если заглянуть в будущее, какие угрозы могут появиться в данной области?
Прежде всего нельзя упускать из внимания тот факт, что «вирусоподобные» программы писать становится значительно проще, к тому же, они делаются значительно мобильнее и способны работать практически на любой платформе. Большинство новых «троянских коней» и, конечно, «червей» не обладают разрушительной функцией, они в первую очередь предназначены получить над пораженным узлом контроль. Нередко как раз для создания «боевых сетей» и устроения массовых распределенных атак.
Все более и более частыми и гораздо более опасными становятся распределенные массовые атаки. Например, атаки «отказ в обслуживании» DDoS являются весьма серьезной новой угрозой. Это нападение реализуют троянские программы (т.н. «зомби»), которые работают на пораженных компьютерах, и регулируются мастер-программами, которые также на «взломанных» компьютерах функционируют. «Центр управления», настоящий источник угрозы получается в результате практически нереально выследить. К тому же, весьма затруднительно защитить систему от атаки, которая одновременно идет с тысяч источников порой.
Вычисления тоже становятся распределенными. Скажем больше: подобные вычисления вполне могут производиться и при условии, что владельцы ничего об этом не знают. И подобные прецеденты уже имеются. Не смотря на то, что в известных нам случаях сама цель была мирной вполне (компьютерные ресурсы использовались с целью поиска и обнаружения сигналов от внеземных цивилизаций), но гарантии, что привлекательные скринсейверы, используя несколько тысяч машин, не займутся в чьих-то интересах криптографическим анализом, никто не даст.
Стремление при помощи косвенных методов обойти крипзащиту – это еще одна из интереснейших тенденций. Совсем недавно был опубликован реальный пример. Сама такая попытка взлома смотрится скорее курьезом: обход протокола SSH, который был защищен, благодаря анализу промежутков времени между посылками. Однако она наталкивает на невеселые мысли относительно того, во что может развиться. Защищенность информации может значительно упасть из-за роста мощности компьютеров в совокупности с возможностью проведения параллельных вычислений и математическими современными методами.
И последнее. Все возрастает вероятность проведения войн в киберпространстве. Соперник может оказаться не только сильным, но и анонимным – это доказали американские события. Дата-центры и системы информации крупных корпораций как раз могут превратиться в первоочередную мишень. И в таком случае столкнуться предстоит с хорошо подготовленными и массированными атаками, а противостоять им получится лишь у отлаженной и очень хорошо продуманной системы защиты.
Дата-центры на данный момент представляют собой первопроходцев в создании как раз таких систем безопасности – комплексных, относительно огромного числа их клиентов.
Так же рекомендуем почитать интересные статьи на хостинг тему:
