Законы Безопасности

Оригинал статьи находится тут.

С развитием Интернета, развитием бизнеса в сети безопасность становится все более обсуждаемой темой. Компания Microsoft опубликовала интересную статью: Десять непреложных законов безопасности. Я попробую ее немного дополнить и посмотреть на некоторые вопросы с другой стороны.
Для начала кратенько разберемся, а что же такое безопасность. Безопасность, по мнению В. Заплатинского из книги "Терминология науки о безопасности" — это такое состояние сложной системы, когда действие внешних и внутренних факторов не приводит к ухудшению или невозможности ее функционирования и развития. Какие же факторы могут повлиять на информационную безопасность (неважно предприятия или отдельного лица с его домашним компьютером)? От чего конкретно нужно защищаться? В информационной среде объектом защиты служит информация (по сути своей просто набор ноликов и единичек). Эту информацию можно украсть (с различными целями) или подменить (в том числе совсем испортить).
Вообще безопасность делится на три категории: програмную, аппаратную и организационную. При чем если хотя бы по одной из категорий нет защиты - то защиты нет вообще. Для тех же кто считает, что красть у него нечего нужно помнить, все что можно украсть, можно и изменить или просто уничтожить. Представьте если на предприятии полностью исчезнет хотя бы база данных бухгалтерии - это равнозначно хорошему пожару и зачастую с ликвидацией предприятия.
Итак, начнем с аксиомы безопасности. А звучит она так: "Если между двумя источниками передается информация, то обязательно существует третья точка, с которой эту информацию можно снять или подменить". Неужели так все плохо и можно украсти и испортить все? Да, действительно, украсть и испортить можно все, но не все так плохо. Защита информации определяется стоимостью взлома. Если, например, Ваша компания стоит 1000000 руб, а стоимость взлома ее составляет 900000 руб., то конечно ее ломать никто не будет, тот кому это нужно ее просто купит. Или если на Вашем домашнем компьютере ничего полезного нет и стоимость взлома его составляет 10000 руб, то врядли на него кто-либо полезет. Но вот эту цифру - необходимая стоимость взлома нужно правильно оценить. А в качестве примера, как может осуществлятся взлом и сколько он может стоить можно прочитать вот в этой статье.
Рассмотрим законы безопасности, которые опубликованы Microsoft поподнобнее.
Закон №1. Если вы запустили на своем компьютере приложение злоумышленника, это больше не ваш компьютер.
Написано с одной стороны все верно. Но это совсем не значит, что нельзя совсем ничего запускать. И для того, чтобы помочь в контроле того что запускается, например, помогает такая служба как UAC Windows Vista. Ведь на самом деле операционная система Windows Vista по умолчанию довольно сильно защищена. А приложению не имеющему административных прав в общем очень трудно "забрать" у Вас компьютер. На самом деле как только приложение потребует у Вас административные права, чтобы нанести вред - Вы и только Вы решаете нажать "да" или ввести пароль администратора в окошко службы UAC. И тут в законе приведен очень хороший пример бутерброда. Не нужно качать программу из неизвестного источника. А когда запускаете программу, и она просит административные полномочия, то следует хорошо подумать, а нужна ли она Вам вообще, такая программа. Кстати, чтобы выполнить этот закон во многих предприятиях настроена политика таким образом, что запускать можно только заранее разрешенные приложения, а если на приложение которое ранее не просило административные права, вдруг UAC выдал предупреждение, то администратор сразу должен ответить отказом и начать разбираться (у пользователя по определению не должно быть администраторского пароля).
Закон №2. Если злоумышленник внес изменения в операционную систему вашего компьютера, это больше не ваш компьютер
Это действительно так. Но вот с помощью чего злоумышленник сможет внести изменения? На самом деле, только если Вы не соблюдаете другие законы. с другой стороны существуют службы к которым следует относиться осторожно, даже соблюдая все законы. Например есть такая служба как NAP. Данная служба, работая на конкретном компьютере может сделать с ним все, но на самом деле возможно только через System Health Agents или на уровне NAP Enforcement Clients. Но ведь чтобы установить эти компоненты на конкретный компьютер требуется нарушить другие законы. То есть получается, что сама служба NAP с одной стороны несет в себе дополнительные механизмы с помощью которых можно сломать безопасность. С другой стороны если внедрять эту службу в защищенной среде, то проблем быть не должно. А если посмотреть на то, что такое служба NAP, то в незащищенной среде она в общем то и не нужна. При этом в этой же службе несмотря на полную незащищенность самих компонентов исполняющихся на клиентсой машине, информация с сервера и на сервер передается защищенной. Таким образом можно рассмотерть многие службы. Поэтому сделаем по закону 2 следующий вывод: не следует иметь служб и сервисов которые не нужны - они должны быть отключены (так как это дополнительные возможности для злоумышленника внести изменения в Ваш компьютер).
Закон №3. Если у злоумышленника есть неограниченный физический доступ к вашему компьютеру, это больше не ваш компьютер
Этот закон полностью повторяет начало статьи. Если нет организационной составляющей, то нет и защиты. Если к компьютеру может подойти любой человек с улицы, то стоимость взлома резко снижается. С другой стороны есть мобильные пользователи, да и есть ситуации когда компьютер действительно стоит в легкодоступном месте. Внимательно вчитавшись в формулировку закона можно увидеть фразу: "неограниченный физический доступ", - ключевое слово неограниченный. То есть если мы его ограничим, то сможем поднять стоимость взлома. Ограничить можно спомощью следующих мер. Самая основная (особенно касается ноутбуков), - это использование шифрованной файловой системы, в том числе для загрузочного диска (возможность ее использования появилась вместе с Windows Vista). Правда для этого возможно также понадобится дополнительное оборудование (но и связку трех категорий: програмной, аппаратной и организационной никто для каждого закона не отменял). Другим действенным способом является контроль выключения ПЭВМ. Действительно, большинство способов взлома через физический доступ невозможны без отключения аппаратных частей. При этом требуется организационная быстрая реакция на случай отключения компьютера (или его перезагрузки) и дополнительные аппаратно-програмные решения (в том числе кнопка, реагирующая на вскрытие корпуса или датчик перемещения).
Закон №4. Если злоумышленник смог загрузить приложения на ваш веб-узел, это больше не ваш веб-узел
На самом деле я бы такой закон убрал. Вэб-узел, - это тоже компьютер и данный закон полностью повторяет закон №1. Но видимо это достаточно важный момент, раз Microsoft вынесла в отдельный пункт. А в качестве рекомендации - все вэб узлы лучше держать у себя, а не у "неизвестного", пусть и "очень надежного" провайдера. Только в этом случае можно гарантировать хоть какую-то безопасность.
Закон №5. Ненадежные пароли делают бесполезной любую систему безопасности
Это действительно так. Для любого пароля должно применяться правило 3 из 4 (где 4 - это 4 вида символов: маленькие буквы, заглавные буквы, цифры и спецсимволы) и иметь длину не менее 8 символов. При этом пароль может знать только один человек! владелец логина. (В некоторых компаниях у администраторов даже существуют отдельные списки пользователей со всеми паролями, и эти списки "валяются" в "очень надежном" месте в том числе, например, на флэшке ... какую легко потерять. Да и с другой стороны если у Вас пароль на вэб сервере "Пупкина" совпадает с паролем к Exchange - OWA ... то ваш пароль уже знает тот самый "Пупкин" как мимнимум. Так как подобные пароли очень тяжело помнить, да и со временем их накапливается много, можно использовать специальные программы, например RoboForm, для хранения паролей в зашифрованном виде.
Закон №6. Безопасность компьютера напрямую зависит от надежности администратора
Это действительно так. Также верно, что администраторов должно быть очень мало и у каждого свои обязанности и возможности доступа. Ну совсем грубое нарушение, это когда у руководителя предприятия или начальников отделов есть административные права. Также администратор должен быть самым "безвольным" в организации. То есть должен быть выделен человек - наблюдатель (это как раз может быть и начальник любого уровня) который имеет право видеть и наблюдать за всеми изменениями, но только видеть (прав на изменение у него нет). У администратора же по направлению есть права на любые изменения в данном направлении (например администратор базы данных), но сам он поменять ничего организационно не может. Например, принимают человека на работу, - нужно завести его в системе. Как это обычно происходит? (Думаю сами знаете) Как это должно быть? Отлел кадров должен заполнить специальную форму на вновь нанятого. Эта форма передается непосредственному начальнику работника, в которой он определяет (расставляя галочки) к каким службам и сервисам (таже электоронная почта и Интернет) у работника должен быть доступ. И только на основании этой формы (она может быть и в электронной форме и в бумажной) администратор заносит человека в систему. Аналогично должна происходить очень быстро и автоматически блокировка аккаунта пользователя (именно длокировка, а не удаление - удалять, - это тоже ошибка безопасности) при его увольнении.
Закон №7. Безопасность зашифрованных данных напрямую зависит от того, насколько защищен ключ расшифровки
Тут и добавить особо нечего, все ясно из названия. Как рекомендация - это использование специальных ключей-токенов где хранятся все ключи и пароли в зашифрованном виде. Также очень неплохо, когда этот токен является и пропуском в комнату (здание), тогда работник отойдя в туалет вынужден забрать с собой ключ (иначе обратно в комнату не попадешь), а при вынимании ключа компьютер сразу блокируется (это действие по умолчанию, но все можно настроить).
Закон №8. Устаревшее антивирусное приложение лишь немногим лучше, чем его отсутствие
Это действительно так. Но важно дополнить: антивирусное обеспечение должно обладать функциями эвристики, и отправлять подозрительные файлы сразу в антивирусную компанию, предупреждая администратора. Это нужно затем, что в последнее время усилились атаки на предприятия написанием специальных вирусов. Так как это вирус (троян) написан специально под огрганизацию, то антивирусное ПО о нем еще ничего не знает. И если нет быстрой и правильной реакции, то может быть уже поздно. Также следует отключать подписи в сообщениях электронной почты, что файлы проверены таким-то антивирусом. Какой именно антивирус используется должно оставаться тайной (хотя иголку в стоге сена не утаишь). Также бывает рекомендуют использовать несколько антивирусов на разных машинах - но это должно правильно продумываться, так как может сильно осложнить обслуживание (а значит и реакцию на проблемы).
Закон №9. Абсолютная анонимность недостижима ни в жизни, ни в Интернете
Этот закон нужно просто учитывать. Также рекомендуется просто запрещать многие сервисы на рабочем месте, так как объединив некоторые сведения сопоставляя ip адреса пользователей с тем что они пишут, можно собрать достаточно информации для взлома организации. Также запрещение онлайновых сервисом часто связывают с оплатой рабочего времени, а не с безопасностью. (Пусть, например, работник проводит на форуме всего 15 минут рабочего времени - на самом деле гораздо больше - но это уже 15 * 5 = 1 час 15 минут в неделю, или 5 часов в месяц. То есть в месяц работкин теряет как минимум один рабочий день целиком (и это только при 15 минутах))
Закон №10. Технология не является панацеей
Тут тоже добавить можно мало. Технологии постоянно меняются и на каждый хитрый болтик находится своя хитрая гаечка. Поэтому стоимость взлома должна постоянно переоцениваться, постоянно должны проводиться организационные мероприятия, направленные на безопасность, обновляться технический и програмный фонд. Ну и требуется постоянно учиться и понимать как работает та или иная программа или служба и где у нее слабые места.