Liberatum.ru

Проблема безопастности программного обеспечения является одной из главных проблем бизнеса крупных компаний. Не для кого не секрет, что софт подвержаный критическим уязвимостям может принести большие убытки. Редакция Fubix.ru попросила ответить на вопросы директора по информационной безопасности Microsoft в России — Мамыкина Владимира Николаевича.

Расскажите о системах обеспечения информационной безопасности на базе программ с открытым кодом?

Как правило, мы не комментируем продукты других компаний. Но отвечу на вопрос, ссылаясь на независимые источники. Как известно, все возможные атаки на информационные системы используют существующие в системе уязвимости. Если нет уязвимостей, то и нет возможностей для атак. Я, конечно, имею в виду технические атаки, не использующие человеческие слабости. Слабости человека использует социальная инженерия. И давайте теперь посмотрим на уязвимости продуктов с открытым кодом, или как они себя еще называют свободного программного обеспечения (СПО). Я как раз недавно обсуждал в своем блоге (http://blogs.technet.com/mamykin/) эту тему.

Как утверждали и продолжают утверждать сторонники СПО, одним из главных достижений СПО является безопасность. И это якобы должно следовать из концептуальной возможности проверять код всеми желающими. На деле, к сожалению поклонников СПО, все обстоит хорошо только на словах. Теоретически вроде бы правильный принцип проверки кода всеми желающими не приводит пока к положительным результатам. Например, на основе статистики самого компетентного международного сайта secunia.com в прошлом году даже новые разработки лидера систем СПО компании Red Hat – сервер Enterprise Linux Server v.5 и клиент Enterprisre Linux Client v.5 не порадовали своих создателей. В них было найдено рекордное число уязвимостей — 97 × 99 соответственно, при этом в самом ядре Linux Kernel 2.6 за 2007 год было найдено 32 уязвимости. А ведь в соответствии с методологией подсчета уязвимостей эти уязвимости ядра надо прибавить к уязвимостям продуктов. И тогда получим совершенно невообразимые цифры — 129 × 131 уязвимостей соответственно. В то время как коммерческое ПО показало вполне приличную работу архитекторов безопасности и программистов: в сервере Sun Solaris 10 было найдено 88 уязвимостей (хотя это многовато, пожалуй), в Windows Server 2003 Enterprise — 31, в клиентской Apple Mac OS X — 26, в Windows Vista — 17. Я уже не говорю о том, что у производителей коммерческого ПО есть продукты, в которых вообще не обнаружено уязвимостей. И это за несколько лет существования продукта на рынке. Угадайте у кого, и проверьте свою догадку на secunia.com.

С чем это связано? С различием в подходах к процессу разработки и программирования.
Со стороны СПО — множество слабо контролируемых разработчиков, со стороны коммерческого ПО — жесткий контроль разработки и кодирования. Идея о том, что все желающие бросятся проверять код просто не работает — это тяжкий труд. Кроме того, это труд для профессионалов. Почитайте книгу Ховарда и Лебланка «Защищенный код» — там много интересных примеров, как действительно находятся ошибки в коде.

Кстати, неработоспособность идеи о том, что все захотят улучшать код, каждый может проверить на своем опыте. Все мы много раз видели и продолжаем видеть опечатки и неточности на чужих сайтах. Много ли раз каждый из нас бросался исправлять эти ошибки — писать и звонить в редакции этих сайтов? Просто сознайтесь себе сами — никогда. Но за своими сайтами следим — мы за это получаем зарплату, хотя часто и опосредованным образом (за счет улучшения качества сайта и увеличения продаж с него, и т.д.).

Так что пока дела с обеспечением информационной безопасности у производителей программ с открытым кодом обстоят неважно. И, к сожалению, такая картина проявляется уже не первый год подряд.

Какие рекомендации по выбору и развертыванию систем обеспечения безопасности, основанные на реальном опыте тестирования и эксплуатации подобных систем в условиях корпоративных сетей, Вы можете дать?

Прежде всего, необходимо составить модель угроз, а уже потом выбирать способы минимизации рисков для вашей корпоративной сети. К сожалению, именно этим этапом большинство организаций пренебрегают. А ведь это все равно, что начать бежать, не подумав куда бежать и зачем. Дать же какие-то технические рекомендации без анализа конкретной корпоративной сети просто невозможно. Позволю себе еще одно сравнение – это все равно, что попросить совета в починке автомобиля не сказав какой автомобиль и что в нем плохо работает.

На сколько, по-вашему, важно проводить аудит информационной безопасности?

Это чрезвычайно важно. В некоторых случаях это просто обязательная процедура, например, если вы готовите бухгалтерский отчет по международным требованиям. Но и просто «для себя» такой аудит я бы рекомендовал проводить раз год. Ведь даже переоценивать информационные ресурсы надо хотя бы раз в год. Аудит дает возможность оценить реальное положение вещей. Поэтому к его проведению просто необходимо привлекать независимых оценщиков. Идеально – стороннюю компанию, но возможно и независимых от отдела ИТ и отдела безопасности сотрудников самой компании. Квалификация у них только должна быть соответствующей, а независимость проверяемой.

Не так давно Microsoft анонсировала релизы нескольких крупных проектов. Какие существуют системы защиты кода на последних продуктах Microsoft?

Вы, по-видимому, имеете в виду то, как мы защищаем свои продукты от копирования? Это обычная процедура, когда для того, чтобы продукт заработал надо ввести продуктовый код. Похожие системы существуют у всех производителей ПО. А от внедрения в код постороннего кода мы защищаемся тем, что электронным образом подписываем все компоненты продукта. И при вызове системой этих компонентов система проверяет не изменился ли вызываемый компонент. Такая проверка совсем незаметна для пользователя. Но если какой-то файл был изменен, например, вирусом, то система выдаст вам предупреждение о несоответствии этого файла.

Какие сертификаты безопасности есть у новой линейки продуктов Microsoft?

Сертификаты на соответствие наших продуктов российским требованиям по безопасности от ФСТЭК и ФСБ вывешены у нас на сайте http://www.microsoft.com/Rus/Security/Certificate/Default.mspx. Из последних наших достижений – это сертификация Windows Vista и линейки антивирусных продуктов Forefront на уровень 1Г. Сейчас идет сертификация Exchange Server 2007 и SharePoint Server 2007.

Какие продукты Microsoft наиболее подвержены взломам? Можете привести какие либо данные?

Все в нашем мире познается в сравнении. И подверженность взломам, в том числе. В ответе не первый ваш вопрос я сослался на авторитетный независимый источник secunia.com, из которого следует, что в целом продукты Microsoft в наименьшей степени, по сравнению с другими продуктами, подвержены взломам. Могу добавить к приведенным выше данным, что у нас есть продукты, в которых не обнаружено вообще никаких уязвимостей за все время их существования. Это, например, SQL Server 2005 и ISA Server 2006. Как вы видите, это продукты последнего поколения. Конечно, наши старые продукты, например, вышедшие до Windows XP с сервис паком 2, существенно уступают новым в части обеспечения безопасности. Именно поэтому мы предлагаем нашим клиентам использовать самые последние версии наших продуктов.

Какое время реакции у Microsoft на выпуск обновлений для серверных приложений, при появлении критических уязвимостей? Как происходит процесс оценки уязвимости?

Все наши обновления выходят уже несколько лет на регулярной основе – каждый второй вторник каждого месяца. Не всегда эти обновления содержат обновления по безопасности. Но мы оставляем за собой право в случае экстренной необходимости выпустить внеочередной патч, если это необходимо для предотвращения вирусной эпидемии. К счастью, таким правом мы не пользуемся уже несколько лет. Просто «эпидемиологическая обстановка» нормальная. Что касается самого процесса оценки уязвимости, то это достаточно серьезный процесс, к которому привлекаются специалисты самого разного профиля, в том числе и независимые.

Как Вы оцениваете положение дел в компаниях в области информационной безопасности?

Так как обеспечение информационной безопасности это процесс, то могу сказать, что этот процесс развивается в компаниях нашей страны в правильном направлении. Руководители стали лучше осознавать, что от качества обеспечения этого процесса зависит благополучие компании, а иногда и просто ее существование. Но впереди еще много работы, и она никогда не закончится – появляются новые угрозы и на них должны быть дадены адекватные ответы.

Мамыкин Владимир Николаевич

Директор по информационной безопасности Microsoft в России

В сферу деятельности Владимира входит разработка и реализация стратегии корпорации в области информационной безопасности для России.

Владимир Мамыкин имеет 30-летний опыт разработки и внедрения защищенных информационных систем для государственных организаций и коммерческих структур. До перехода в Microsoft Владимир работал Директором по развитию бизнеса Aladdin Software Security R. D., занимал руководящие должности в компаниях Сибинтек (Юкос), MediaLingua, «СОЮЗ Мультимедиа» и других. В 1978—1995 был руководителем проектов и старшим научным сотрудником в ранге полковника военного исследовательского института.

Владимир Мамыкин является автором идей, руководителем работ по созданию и выводу на рынок ряда известных программных продуктов, среди которых поиск в базах данных «Поиск по-русски для Microsoft SQL Server 7.0», система электронной почты «The Bat! Pro», инфраструктурный продукт «Безопасность в сети Windows Server 2000». Разработаны и успешно внедрены стратегии развития компаний «СОЮЗ Мультимедиа», «MediaLingua», «Terralife», «Happyland» и др.

В 2007 году Владимир защитил кандидатскую диссертацию по международной экономике. В 2001 году с отличием закончил Kingston Business School и получил степень MBA. Учился на техническом факультете и в аспирантуре Высшей Школы КГБ при Совете Министров СССР. Владимиром имеет более 70 опубликованных работ по теоретической математике, он также является автором ряда публикаций по компьютерной и экономической тематике в периодических изданиях.