Безопасность на завалинке
Уровни безопасности
О чём говорят цифры?
Реальное различие систем
|
|
MS и Linux: простая замена ОС не решает проблем защитыСодержание:
Безопасность на завалинке Практически все вирусы, нашумевшие за последние годы, заражали исключительно компьютеры с программным обеспечением от Microsoft (операционная система Windows, почтовые клиенты Outlook и Outlook Express, Проблема безопасности широко обсуждается в компьютерной прессе, а также прессе обычной и попросту в художественной литературе. Пожалуй, почти любой пользователь компьютеров Самая главная страшилка вирусы. Это общее условное название для разнообразных программ, которые инфицируют компьютеры через сеть и затем используют их для заражения других компьютеров. Иногда вирусы также наносят прямой вред (например, уничтожают файлы); но даже если вредоносных функций у вируса нет, он зачастую парализует работу компьютера. Кроме того, вирусы создают значительную нагрузку на компьютерные сети; это замедляет их работу и нередко повышает расходы пользователей (при оплате за трафик). Другая общеизвестная опасность хакеры. Компьютерные злоумышленники, как известно каждому читателю специализированной литературы, захватывают контроль над компьютерами самыми разными методами и используют для самых разных целей: от кражи сверхсекретной информации до массированной атаки на Безопасной в таком представлении должна считаться система (не только ОС, но и весь набор ПО), которая никогда не позволит вирусу заразить компьютер, а хакеру получить Разумеется, абсолютно и гарантированно безопасной системы существовать не может. Но нередко возникает спор о том, какие программы «более безопасны». Какую платформу Microsoft, Linux или ещё Эта дискуссия идёт давно и горячо. Репутация компании Microsoft в отношении безопасности оказалась основательно подмочена (преимущественно в результате вирусных эпидемий); именно поэтому была объявлена инициатива Trustworthy Computing, призванная улучшить ситуацию. В свою очередь, сторонники свободного ПО часто ссылаются на безопасность как на одно из ключевых его достоинств. Реальные проблемы безопасности, однако, нельзя свести к простому, обывательскому представлению. Прежде всего, в разных ситуациях актуальны различные вопросы, связанные с безопасностью. Так, для пользователя в доме или малом офисе безопасность это, прежде всего, защита его персонального компьютера. Этот компьютер, как правило, не является сервером, т.е. не предоставляет При этом у компьютера нет постоянного квалифицированного системного администратора. В лучшем случае профессионал устанавливает ПО и периодически производит обслуживание. Но нередко даже первоначальная установка ПО, не говоря уже о текущей заботе о состоянии машины, ложится на самого пользователя. Такой компьютер требует защиты от разнообразных атак (вирусных и других), которые могут нарушить стабильность его работы, похитить конфиденциальную информацию от паролей для доступа в интернет до номеров кредитных карт, а также частных архивов или бухгалтерии. Пользователь думает о надежной защите, когда читает статьи о проблеме безопасности в разнообразных изданиях. Именно для обеспечения целостности данных предназначены многочисленные межсетевые экраны и антивирусы, доступные на потребительском рынке. Безопасность Обеспечить безопасность Почему атаки на Перед средними и крупными компаниями стоит задача безопасности внутренней сети. Она отличается и от обеспечения безопасности персонального компьютера, и от защиты В более серьёзных случаях Иногда компании, стремясь сократить расходы и надеясь на особую безопасность тех или иных программных решений, пытаются сэкономить на администрировании сетей. В результате квалификации администраторов оказывается недостаточно. Ведь никакое ПО не может заменить людей в таком сложном и важном деле, как обеспечение безопасности корпоративной сети. Поскольку вопросы безопасности стали весьма актуальны в последние годы, аналитики ищут разнообразные возможности для объективных исследований на эту тему. Появляются разнообразные статьи и исследования из самых разных источников, призванные показать сравнительную безопасность тех или иных программных решений. Некоторые из них становятся сенсацией. Февральское исследование, проведенное mi2g, выявило, что Linux стал наиболее атакуемой системой. Количество успешных взломов серверов за год Источник: mi2g Столь неожиданные результаты вызвали значительную дискуссию. Однако что они отражают в реальности? И о чем могут свидетельствовать любые цифры по вопросу безопасности даже идеально правильно определённые? Можно исследовать количество реальных взломов как это предположительно делает mi2g. Однако далеко не все взломы поддаются наблюдению. О большинстве успешных взломов корпоративных сетей никто никогда не узнаёт кроме, конечно, специалистов внутри самих компаний. Никакая компания не решится сообщить о том, что её данные стали достоянием похитителей. Это может катастрофическим образом сказаться на ее рыночном положении, вызвать обвал акций и т.п. (Правительственные ведомства и некоммерческие организации, возможно, меньше зависят от рынка но и у них достаточно причин молчать о взломах.) Добиться приемлемых результатов при исследовании безопасности персональных компьютеров (в доме и малом офисе), возможно, несколько легче. Их количество измеряется, как минимум, миллионами; благодаря этому вполне применимы правила социологических исследований, и теоретически возможно создать репрезентативную выборку, следить за компьютерами нескольких тысяч пользователей, особым образом отобранных, и на этом основании делать выводы о ситуации. Однако обычно исследователи идут по пути наименьшего сопротивления и обращают внимание на те взломы, которые очень легко заметить и проверить. Речь идёт, разумеется, о взломе Исследователи просматривают некоторую видимую часть По мнению иностранных специалистов, главной причиной выхода Интересно, что ПО, используемое на Сайт Взломы основных ОС Источник: Windows и Linux примерно сравнялись, начиная с марта 2003 года. По мнению аналитиков Ещё один способ получения цифр подсчёт количества уязвимостей, обнаруженных в разных программных системах, а также времени подготовки «заплаток» к ним. Такое исследование провела, в частности, компания Forrester. Доступность уязвимости до выхода заплатки к ней
Процент критических «дыр» и заплаток к ним
Источник: Forrester Research Эта компания рассмотрела средние «дни риска» (время от публичного сообщения об уязвимости предполагается, что атаки на неё начнутся только после этого, до выпуска «заплатки» поставщиком), а также количество серьёзных среди всех обнаруженных уязвимостей и то, какая часть из них была закрыта. Прежде всего, авторы обзора рассматривают все уязвимости как равные. То есть, конечно, их критичность указывается но анализ не учитывает то, на каких компьютерах уязвимость реально может проявляться. Так, заметная часть «дырок» в В ответе на исследование Forrester создатели дистрибутивов Linux подчеркнули: «Наши пользователи знают, что на действительно критичные проблемы мы реагируем за считанные часы». Кроме того, в случае Linux авторы измеряют время до появления официального исправления проблемы, поступающего от поставщика дистрибутива. Но если проблема действительно критична, и с системой работает квалифицированный администратор, он может получить и установить обновление и из другого источника. В обзоре Forrester даже присутствует специальное значение Distribution days of risk среднее количество дней от появления первой «заплатки» (в любом доступном источнике) до выхода официального исправления в дистрибутиве. Чтобы получить количество дней (опять же, среднее) от публикации проблемы до появления сколь либо доступной заплатки, придётся вычесть из значения All days of risk значение Distribution days of risk. Тогда окажется, что, например, для Red Hat время неизбежного риска до того, как администратор сможет получить «заплатку» и решить проблему, составляет всего 10 дней. А пользователю Microsoft придётся ждать 25 дней, и даже самый высокий профессионализм не уменьшит этот срок. Итак, численные исследования не могут дать полное представление о безопасности различных программных систем. По ним получается, что возможности свободного ПО (на базе Linux) и продуктов Microsoft в области безопасности примерно равны но это равенство оказывается весьма условным Как мы уже указали, безопасность бывает разная. И для решения различных задач преимущества и недостатки каждого из вариантов будут, разумеется, также разными. Для персонального компьютера у решений на основе Linux есть огромное преимущество. При установке на такой компьютер Linux позволяет отключить все сетевые сервисы (а если это нужно для локальной сети в доме или офисе, то оставить лишь строго ограниченный набор например, доступ к файлам и принтерам). Разнообразные уязвимости, возникающие в серверных программах для Linux, попросту не скажутся на таком компьютере. С другой стороны, решения Microsoft для такого же персонального компьютера Персональный компьютер под управлением Linux, настроенный стандартным образом (именно как рабочая машина, а не сервер), заметно менее уязвим, чем любая Почти все описанные проблемы решаются, если установку системы (а в идеале ещё и регулярное обслуживание, хотя бы раз в квартал) производит квалифицированный специалист. Он может подстроить работу системы под нужды конкретного пользователя, найти нужное программное обеспечение, а если Следует заметить, что многие Но если помощь профессионала по Применение BSD на настольных компьютерах связано с заметными сложностями и особого смысла не имеет кроме как для профессионалов, которые предпочитают именно эту систему. Для безопасности Так, «заплатки» для каждой проблемы можно установить отдельно, тогда как в Windows они доступны в виде массивных пакетов. Эти пакеты нередко вызывают проблемы в работе компьютера а для Отсутствие требования перезагрузки компьютера для установки большинства исправлений также заметное достоинство свободных решений. Есть и другие полезные свойства, которые предоставляют специалисту заметные возможности по обеспечению безопасности. Выбор между Linux и BSD (обычно в варианте FreeBSD) для Полноценное обеспечение безопасности корпоративной сети требует тщательного планирования и проработанного подхода. Разумеется, его нельзя заменить Правда, в простых случаях когда в сети всего несколько компьютеров заметную пользу может принести специализированное ПО для компьютера, обеспечивающего связь с интернетом. Гибкость решений с открытыми исходными текстами позволила создать подобные готовые пакеты например, ALT Linux / ИВК «Кольчуга». Такой пакет почти не требует обслуживания профессионалом и при этом заметно улучшает безопасность сети от внешних атак. Однако, если сеть достаточно крупная или в ней хранятся ценные данные, одних программных решений недостаточно. Даже наличие квалифицированного системного администратора само по себе не решает проблему. Требуется выработка чёткой политики безопасности, обучение пользователей и т.п. Выбор платформы для различных компьютеров в сети лишь одна из многих задач, которые придётся решить, чтобы избежать открытости сети компании всем ветрам различного вида атак. Инвестиции в обеспечение безопасности (и стабильной работы) достаточно крупной корпоративной сети должны быть значительными. Причём «простота» администрирования Windows отнюдь не отменяет необходимости в квалифицированных, дорогостоящих специалистах. Более того для преодоления последствий этой «простоты» нередко требуется большой опыт. Компании, которые полагаются на якобы «низкую полную стоимость владения» Windows и экономят на специалистах, совершают огромную ошибку и она приводит в лучшем случае к медленной работе и частым простоям, а в худшем к потере информации. Никакой выбор платформы не позволит средней или крупной компании отказаться от необходимой работы по обеспечению безопасности. И любая реклама, утверждающая иное лжива. Возможно, именно такая ложь и является основной причиной нынешних массовых проблем. Михаил Рамендик /CNews.ru Алексей Раевский: Пользователи задумываются о защите информации только после ее утечкиО тенденция, проблемах и перспективах рынка ИБ в России, а также об эффективной защите информации в интервью CNews.ru рассказал Алексей Раевский, генеральный директор компании SecurIT. CNews.ru: Появление стандарта ИСО 154082002 в значительной степени облегчает выход отечественных разработчиков на мировые рынки со своими решениями. В какой степени российские компании заинтересованы в освоении международных рынков, ведь многие игроки Алексей Раевский: На мой взгляд, появление этого стандарта очень позитивный сдвиг для российского рынка систем информационной безопасности. В последнее время Россия взяла уверенный курс на интеграцию в глобальное мировое сообщество, и эта интеграция должна осуществляться на всех уровнях. Принятие международного стандарта благоприятно и для российского рынка, поскольку на нем смогут полноценно работать производители систем информационной безопасности, и для отдельных российских компаний, которые не хотят ограничивать сферу своей деятельности государственной границей РФ. Ведь получить такой сертификат в Европе или США для российской компании на порядок сложнее и накладнее, чем у себя дома. CNews.ru: В прошлом году ваша компания вышла на рынок Литвы. Является ли это признаком того, что SecurIT основательно закрепилась на внутреннем рынке России? Алексей Раевский: |
Сообщить факт о Windows XP
Почему устарела Windows XP?
Сообщить цифры о Windows XP