18–19 апреля в Москве прошел шестой форум директоров по информационной безопасности, организованный Infor-media. Участие в мероприятии приняли руководители и ведущие специалисты отрасли информационной безопасности, представляющие компании из разных секторов экономики и госструктуры.
По традиции основная часть докладов была посвящена теоретическим и практическим аспектам комплексного обеспечения информационной безопасности, много говорилось также об анализе рисков и необходимости регулярного проведения аудита. Некоторые участники акцентировали внимание собравшихся на важности соблюдения политик персоналом и необходимости обучения сотрудников основным правилам безопасного обращения с информационными ресурсами. В докладах форума звучали такие актуальные сегодня темы, как безопасность в мобильном мире, удаленный доступ и непрерывность бизнеса, предотвращение мошенничества и расследование инцидентов при дистанционном банковском обслуживании.
Перечисленные направления актуальны, о них говорят почти на каждом мероприятии, посвященном информационной безопасности. Детальнее хотелось бы остановиться на работе двух секций: «Безопасность АСУТП: теория и практика» и «Уязвимости и закладки исходного кода».
О безопасности АСУТП начали говорить не так давно, поскольку считалось, что раз системы управления предприятием не имеют выхода в Интернет, то им ничто не угрожает. Правда, некоторое время назад к этой фразе добавилась оговорка: «кроме собственных сотрудников». Участники секции, посвященной безопасности АСУТП, смогли убедиться, что есть и другие угрозы безопасности для таких систем.
Как сообщили докладчики из «Лукойл-Информ» — Александр Желудов, начальник отдела интеграции АСУТП и систем управления производством, и Игорь Косинов, специалист по информационной безопасности, основными функциональными отказами и источниками ущерба при инцидентах информационной безопасности в АСУТП являются: отказ функционального управления технологическим процессом, потеря управления технологическим объектом, потеря информации. Как результат, организация может понести ущерб по следующим пунктам (по одному или сразу по нескольким): нарушения в работе технологического объекта, аварийная остановка объекта, возникновение аварийной ситуации, потеря информации.
Специалисты из «Лукойл-Информ» дали основные рекомендации по обеспечению безопасности в данной области. Если руководство предприятия только начало задумываться о комплексной защите, то сперва стоит провести силами специалистов аудит существующей конфигурации сетей АСУТП, проанализировать необходимость передачи данных между сетью АСУТП и корпоративной сетью, организовать аудит выполнения требований безопасности, предъявляемых к корпоративной сети, защитить периметр сети АСУТП, имеющий общие интерфейсы с корпоративной сетью, а также установить или обновить антивирусное ПО.
В дальнейшем необходимо предпринимать комплексные меры, включающие в себя обеспечение внутренними нормативными документами и контроль над их выполнением, анализ рисков и степени критичности объектов предприятия для бизнеса и определение мер по защите, формирование политик информационной безопасности, ввод в эксплуатацию и модернизацию объектов в строгом соответствии с политиками безопасности АСУТП. Необходимо снабдить организацию современным постоянно обновляемым арсеналом средств предотвращения, обнаружения и устранения угроз безопасности, вести регулярный мониторинг уязвимостей в оборудовании и программном обеспечении АСУТП.
Также интересной оказалась секция «Уязвимости и закладки исходного кода», модератором которой выступил Рустэм Хайретдинов, генеральный директор компании Appercut. Из выступления Ильи Медведовского, генерального директора компании Digital Security, слушатели могли узнать о том, как должен выглядеть идеальный инструмент анализа кода бизнес-приложений.
Так сложилось, что защите на уровне кода не уделяется должного внимания. Между тем различные уязвимости и закладки исходного кода открывают не только канал для попадания в систему вредоносного кода, но и обеспечивают лазейки для злоумышленников. Илья Медведовский рассказал о том, что специалисты ERPScan (дочерняя компания Digital Security) разработали статический анализатор ABAP-кода, позволяющий обнаруживать большое количество уязвимостей, минимизировав при этом число ложных срабатываний. По мнению экспертов компании, именно такими качествами должен обладать эффективный инструмент анализа кода бизнес-приложений. Проанализировав достаточное количество программ на ABAP, в ERPScan составили рейтинг наиболее популярных уязвимостей для ABAP. Вот что получилось. На первом месте — обход каталогов (более 20%), на втором — межсетевой скриптинг (20%), на третьем — отсутствие авторизации (18%), далее: утечка информации (17%), обход авторизации (менее 10%), закладки (менее 10%), инъекция кода (около 4%), SQL-инъекция (примерно 2%).
Медведовский рассказал, что после того как был разработан инструмент анализа кода для языка ABAP, самого сложного на сегодня языка бизнес-приложений, было решено адаптировать этот опыт для других языков. В настоящее время специалисты компании ERPScan заканчивают создание полноценной системы анализа исходного кода, предназначенной для различных бизнес-языков.
Хайретдинов в ходе обсуждения отметил, что сканеры кода с максимальной полнотой поиска уязвимостей стоят гораздо больше тех, что демонстрируют средние результаты. Он уверен, что многие компании готовы платить только за небольшой функционал, и предлагает акцентировать внимание не на количестве найденных брешей в коде, а на доступной цене решений.
Андрей Петухов, научный сотрудник лаборатории безопасности информационных систем ВМК МГУ, со своей стороны отметил, что работа инструмента анализа кода только в том случае может быть эффективной, если она дополняется ручным поиском уязвимостей. Он считает, например, что внутренние веб-приложения на начальном этапе приемлемо анализировать методом «черного ящика». К тому же статический анализ по сигнатурам, написанный по результатам ручного анализа, может обеспечить мониторинг изменений в коде.
Таким образом, инструмент анализа кода с максимальной полнотой поиска при минимальном числе ложных срабатываний должен попасть в руки профессионалу, обладающему серьезной квалификацией в данной области. Только в этом случае решение можно будет назвать идеальным. Что же касается цены, то здесь каждый сам для себя должен решить, что важнее — качество или доступность.