8 декабря 2014

Ошибочное понимание ИT-безопасности: тяга к новизне

Новости Советы

Это первая статья из моей серии заметок, посвященных ошибочным представлениям о задачах ИT-безопасности. Поверьте мне, таких заблуждений очень много. Настолько много, что рассказать обо всех невозможно, но я постараюсь максимально раскрыть тему — насколько позволят мне время и силы.

False Perception of IT security Predicting the Future

Я родился в начале 80-х и рос под влиянием таких известных фильмов, как «Терминатор», «Робокоп», «Военные игры», «Хакеры», «Особое мнение», «Бегущий по лезвию» и «Матрица». Во всех этих историях сюжет строится вокруг одной идеи — технологии выходят из-под контроля человека. Конечно, это всего лишь выдумка, а не реальность, и все это знают. Но когда мы говорим о проблемах ИТ-безопасности, большинство все еще обращается к устоявшемуся стереотипу и полагает, что в мире ПК самая главная задача — обеспечить защиту от угроз из будущего.

Та же тенденция представлена на конференциях по безопасности, в специализированных статьях и на блогах… похоже, что все сосредоточились на необходимости познать неизведанное и защититься от него. Практически все разработчики решений безопасности говорят об APT (долговременные и сложные кампании) и целевых кибератаках. Не поймите меня неправильно, это действительно важные темы. Но если посмотреть на те случаи проникновения и эксплуатацию тех уязвимостей, с которыми имеют дело большинство обычных людей и компаний здесь и сейчас, мы увидим совсем другую картину.

Можно было бы сказать, что проблема состоит в отсутствии защиты от старых, известных угроз. Но на самом деле все несколько сложнее. При разговоре с коллегами, исследующими вопросы ИТ-безопасности, у меня складывается впечатление, что многие важные вопросы игнорируются (в том числе и на специализированных конференциях). Такие разговоры непопулярны, поскольку не могут удивить слушателей свежими и необычными результатами.

Вследствие этого аналитики информационной безопасности и компьютерные специалисты уже не делятся друг с другом интересными инструментами, идеями, методами и накопленным опытом. Как исследователи, мы должны брать на себя больше ответственности за то, о чем мы говорим, пишем в блогах, и то, что называем важным для других людей. Конечно, мы также должны продолжить исследование новых угроз.

Но если на официальных выступлениях мы будем говорить только о последних найденных вирусах и уязвимостях, слишком многие пользователи озадачатся обеспечением защиты только от новейших угроз, пренебрегая базовыми вещами, такими как несвоевременная установка патчей, использование уязвимых систем, слабых паролей и настроек по умолчанию, отсутствие сегментации сети, незашифрованные базы данных.

Я также хочу уточнить, что под словом «мы» я понимаю не только экспертов по безопасности, но также и руководителей, разработчиков, консультантов и всех людей, связанных с миром ИТ. Разработчикам следует более ответственно подходить к коду. Системным администраторам и интеграторам стоит убедиться в том, что они полностью понимают, как именно работают те приложения и операционные системы, которые они устанавливают.

Даже обычный пользователь, далекий от глобальных вопросов ИT, должен серьезно относиться к проблеме, ведь она касается и его тоже. На самом деле безопасность — это забота каждого из нас. Пользователи должны лучше понимать, что их домашние устройства тоже нуждаются в защите и никто, кроме их самих, ее не обеспечит. Поэтому стоит обзавестись собственными системами информационной безопасности и не винить окружающих, если что-то идет не так. Вначале стоит подумать, не стала ли ваша система уязвимой, например, из-за слабого пароля?

Мы не можем бороться с будущими угрозами, не понимая прошлых. Похоже, в наше время уровень развития технологий растет быстрее, чем наш контроль над ними. И, возможно, вместо того, чтобы сосредоточиться на все более глубоком прогнозировании, стоит сделать шаг назад и более тщательно поработать над уже известными проблемами.