В эту ночь решили самураи
Перейти границу у реки.
Борис Ласкин «Три танкиста»
21 июня 2011 года в Самарском государственном университете состоялось RVPN Road Show. Точнее, его самарский этап: мероприятием, проходившим с 24 мая по 20 июля 2011 года, были охвачены 12 городов России во всех часовых поясах – от Москвы до Владивостока.
Открыл мероприятие один из самых активных ИТ-шников Самары, начальник информационно-аналитического центра «Университет-интернет» СамГу, ХХХ РАКС Дмитрий Лимов.
Первым прозвучал доклад бизнес-консультанта по безопасности Cisco Алексея Лукацкого «Защищённые сети без границ – подход Cisco». Следует отметить, что название доклада звучит парадоксально: в обычном понимании такие слова, как «защита» и «граница» тесно связаны, собственно, защищать принято именно границы. А здесь – что то вроде улыбки Чеширского Кота: защита есть, а границ нет. Однако если вдуматься, концепция Cisco отражает состояние современного мира с его глобализацией, объединениями стран (Содружество независимых государств, Союзное государство России и Белоруссии, Евросоюз, Содружество наций), развитием транснациональных корпораций (одной из которых и является Cisco), при этом ослабление пограничных строгостей отнюдь не сопровождается снижением уровня безопасности. Информационно-коммуникационные технологии (ИКТ) традиционно идут «впереди планеты всей», а Cisco в свою очередь является одним из лидеров ИКТ, поэтому кому, как не ей выдвигать новые идеи, которые завтра станут стандартами отрасли, а послезавтра – и всей нашей жизни. Думаю, чем быстрее «защита без границ» станет для нас привычным словосочетанием, тем быстрее наша страна сумеет интегрироваться в мировую цивилизацию.
В начале своего доклада Алексей Лукацкий привёл несколько примеров того, как нарушается информационная безопасность. Приходит письмо от африканского наследника, который находится в шаге от обладания несметными богатствами, но ему нужно помочь сделать этот шаг. Цена вопроса – несколько сотен или тысяч долларов, и, разумеется, он не забудет вашей доброты и поделится своим наследством. В общем – «как только, так сразу». Самое главное, это понять, что от собственной жадности и веры в чудо никакая система безопасности защитить не в состоянии, а перекрывать границы ради безопасности недалёких авантюристов никто не будет.
На этом примере видно, что мотивация злоумышленников также изменилась вместе со взрослением ИКТ: если в романтическую пору, когда высокие технологии использовались в основном профессионалами, было интересно просто показать свою техническую крутизну, то сегодня на первое место выходит меркантильное желание добыть денег. Злоумышленник не устраивает фейерверков и вообще старается нанести вред не компьютеру, а банковскому счёту его владельца. Или втёмную использовать компьютер для атаки на соседей. Но в любом случае старается уйти незамеченным и не оставить следов.
Вместо «стрельбы по площадям» злоумышленник атакует конкретную цель, код генерится специальными программами, купленными на стороне, либо покупается готовым. В целом описать сегодняшние угрозы можно следующими терминами:
- Устойчивые, сложные, мутирующие.
- Каждый экземпляр атаки может отличаться от предыдущего.
- Домены меняются ежедневно, даже ежечасно.
- Контент мутирует и маскируется под легальный трафик.
- 80 % спама исходит от инфицированных клиентов.
- 70 % «зомби» используют динамические IP-адреса.
- Угрозы из легальных доменов растут на сотни процентов в год.
- Спам составляет более 180 миллиардов сообщений в день.
Большое распространение получили «угрозы нулевого дня», то есть атаки, совершённые впервые при отсутствии антивирусных средств, способных им противостоять. Нельзя сказать, что вирусы писать просто, однако их разработчик может поставить на компьютеры несколько антивирусов и сколь угодно долго тренироваться в обходе защиты. После того, как вирус выйдет в свет, против него обязательно будет выпущено средство борьбы, но здесь ключевое слово «после» – а в первый момент такой защиты не окажется. Отсюда правило первое: обновлять антивирус как можно чаще, по нескольку раз в день.
Ещё один способ атаки: заражение мобильных устройств (смартфонов, «телефоноподобных» планшетов) и через мобильные устройства.
В то же время следует признать, что использование мобильных устройств, облачных сервисов и прочих потенциально опасных вещей уже не остановить – с этим надо научиться жить.
Серьёзным источником угроз в последнее время стали социальные сети. Люди принимают приглашения от незнакомцев (тем более что многие как раз и шли туда с целью познакомиться), и куда потом это заведёт, никто не знает. Собственно, и здесь идеи старые, только способы новые.
Такое нагнетание страхов (и страхов вовсе не беспочвенных) по закону жанра требовало хэппи энда, и он случился. Конкретно же Cisco предлагает целостную систему защиты от различных угроз, которыми богато сегодняшнее информационное пространство.
Часть решений (в частности, межсетевые экраны) давно и успешно зарекомендовали себя, другие (в основном, относящиеся к облакам и мобильным устройствам) только становятся стандартами, но именно целостная система защиты является таковой в полной мере.
Начинается всё с аналитики: специалисты Cisco из подразделения SIO (Security Intelligence Operation), своеобразной службы информационной разведки, работают круглые сутки в разных часовых поясах, постоянно отслеживают и прогнозируют новые угрозы. Бюллетени, регулярно выпускаемые этой службой, бесплатны и доступны всем специалистам. Таким образом, ни одна глобальная угроза не может быть незамеченной. Однако это правило не относится к специальным угрозам, направленным в адрес конкретной организации – такие угрозы просто не могут «засветиться» в сети.
Кроме того, постоянно развиваются и ставшие стандартными устройства защиты: Cisco ASA серии 5585 теперь умеют работать на скоростях до 40 Гбит/с, что означает удвоение производительности. Для защиты мобильных устройств существует специальная технология Cisco AnyConnect. Новым направлением является технология контроля устройств, за которыми пользователь не работает. Это то, что сегодня называют «интернетом вещей»: кофеварки, рояли, принтеры. Здесь важно помнить такую особенность: если пользователь, которому закрыли доступ в интернет, может позвонить в техподдержку и решить проблему, то кофеварке такой звонок не под силу. А если это не кофеварка, и система пожаротушения?
Облачные системы безопасности базируются на решениях ScanSafe – компании, которую Cisco купила несколько лет назад. За 7 лет существования сервиса не было ни одной остановки, а суть его в том, что весь трафик перенаправляется на ближайший ЦОД (их на сегодняшний день 17), где и обрабатывается.
Однако вскоре стало ясно, что до хэппи энда ещё далеко, поскольку Алексей Лукацкий перешёл к теме соответствия систем защиты требованиям российских регуляторов. Именно так, во множественном числе, их целых 7, чего нет ни в одной стране мира. Точнее, 7 – это если на уровне законодательства, а вообще-то с учётом отраслей их поболе будет. Разумеется, при таком обилии они частично дублируют друг друга: всего перекрывается 87 % требований и только 13 % являются уникальными для каждого регулятора. Тем не менее, требуется постоянно отслеживать их всех, а это немалая работа. Cisco по мере возможностей участвует в разработке нормативных актов и старается максимально их унифицировать. Вторым плюсом участия в разработке является осведомлённость о грядущих изменениях и возможность вовремя доработать решения Cisco для соответствия требованиям. Единственным местом, где Cisco не присутствует, является рынок гостайны.
Сертификация в России тоже весьма специфическая и всего существует 4 системы сертификации. Требования их зачастую закрыты, даже секретны, и даже лицензиаты их не видят, а оперируют выписками из выписок, не имеющими законной силы. Мало того: сертификат даётся не на модель, а на экземпляр. Существует и сертификация серии, но это стоит от нескольких тысяч до миллионов долларов, и очень немногие вендоры готовы идти на такие затраты.
Отсюда следует вывод, что даже если вендор заявляет о том, что этот продукт сертифицирован, то без специальных условий будет продан продукт (экземпляр) несертифицированный. Ещё один нюанс: зарубежный вендор, который не ведёт коммерческой деятельности в РФ и работает через партнёров, в принципе не может сам сертифицировать свои продукты. Тем не менее, компания Cisco сертифицировала 28 линеек своего оборудования.
И всё же, следуя закону Мэрфи «После изменения от плохого к худшему цикл повторяется», ситуация в сфере регулирования будет только ухудшаться, что следует из приведённого графика. Разумеется, Cisco не опускает руки: из примерно 2500 выданных ФСТЭК сертификатов, более 500 принадлежат Cisco.
И ещё: ввоз и эксплуатация шифровальных средств также регулируются разными нормативными актами, и вполне может оказаться, что средство, прошедшее сертификацию на эксплуатацию, ввезено в страну нелегально.
Вот так плавно был сделан переход от общих проблем безопасности к конкретным продуктам: модулям шифрования, разработанным Cisco, снабжённым софтом от S-Terra CSP и производимых в России. Cisco является признанным мировым лидером информационной безопасности, и весь мир без всякого недоверия использует созданные компанией решения, но в России ситуация особая: у принимающих решение людей ещё не выветрилась из сознания холодная война и попытки сделать всё своими силами. Хорошо ещё, что наша страна по масштабам больше КНДР, поэтому идея опоры только на собственные силы не довела нас до северокорейской нищеты. К тому же даже в самые что ни на есть советские времена хватало ума идти на хитрости: переименовали FIAT в «Запорожец» или «Жигули» - вот вам и полностью отечественный продукт. Хлынувшие после «перестройки» на российский рынок машины на платформе Intel не оставили шансов отечественным процессоростроителям, да и с операционными системами тоже как-то не заладилось, и здесь всё прошло гладко, но административный контроль над средствами шифрования (в том числе и для коммерческих организаций) сохранился и даже усилился. Выходом была разработка отечественной компанией S-Terra CSP VPN-решений, поддерживающих российские криптоалгоритмы на базе оборудования Cisco. Были получены сертификаты ФСБ СФ/114-1622, 114-1624, 124-1623, 124-1625, 124-1626 от 28 февраля 2011 года, сертификат по классу КС2 на оба решения, на решение для удаленных офисов на базе модуля для ISR G1 и G2 (2800/2900/3800/3900) , на решение для ЦОД и штаб-квартир на базе UCS C-200. Надо сказать, что компании S-Terra удалось занять уникальную позицию: являясь российской компанией и будучи лицензиатом ФСБ и ФСТЭК России, она одновременно имеет статус доверенного партнёра Cisco.
Кроме того S-Terra является соорганизатором доверенного производства продуктов Cisco в России. На сегодняшний день равновесие восстановлено: продукты Cisco соответствуют всем требованиям регуляторов, как по своим техническим характеристикам, так и по происхождению. Тем не менее, становится очевидным: наличие большого количества регуляторов, каждый из которых формулирует собственные (хотя зачастую и совпадающие) требование не идёт на пользу как самой безопасности, так и стоимости решений по реализации. Вспомним, как несколько лет продолжалась «оборона» отечественного рынка от беспроводных устройств, поддерживающих стандарт IEEE 802.11n. В случае с модулем RVPN всё не так плохо, но ведь могло быть и лучше! Это я об использовании в качестве процессора устаревшего Intel Celeron, а не современного Intel Atom. Объяснение простое – модернизация модуля потребовала бы вновь проходить все круги сертификации, поэтому решено было ничего не трогать, чтобы не возникло новых проблем.
От компании S-Terra выступил менеджер по продуктам безопасности Алексей Афанасьев. Кроме рассказа о компании и демонстрации продукции были проведены лабораторные работы. Лучшие участники, как и положено, получили призы от Cisco и S-Terra.
5 лет назад компания Cisco открыла при Госуниверситете свою академию, и жаль, что подобные мероприятия проходят в Самаре не так часто, как хотелось бы. Тем более, что активность слушателей на RVPN Road Show была очень высокой, все понимали поставленные задачи и выполнили лабораторные работы.
– Скажите, пожалуйста, куда мне отсюда идти?
– Это во многом зависит от того, куда ты хочешь прийти, – ответил Кот.
Льюис Кэррол «Алиса в стране чудес»