Взлом в законе
Валерий Коржов,
Computerworld №05, 19.02.2008
«ДиалогНаука» оказывает услуги взлома сетей и конкурентной разведки
Компания «ДиалогНаука», основная специализация которой — построение систем информационной защиты, предлагает и проверку качества уже созданных «укреплений». «ДиалогНаука» 5 февраля провела семинар «Практические аспекты проведения аудита информационной безопасности компании», на котором раскрыла некоторые подробности подобного рода услуг.
Взлом
Тест на проникновение, или «пентест» (от английского словосочетания Penetration Testing), — услуга по взлому защиты собственной сети, заказанная независимому эксперту. Для ее получения клиенту достаточно подписать договор, который вводит наказуемые деяния в рамки законных договорных отношений, а также соглашение о неразглашении полученных в процессе тестирования сведений. Договор также определяет возможные методы атаки на информационную систему и ожидаемый результат. Эта услуга позволяет компании оценить, насколько эффективна на практике защита от атак реальных хакеров. «ДиалогНаука» предлагает как тесты сетевой защиты, так и попытки физического проникновения за защищаемый периметр. Физическое проникновение можно использовать, например, для установки аппаратного перехватчика нажатий клавиатуры или несанкционированного беспроводного подключения. Дополнительно компания предлагает услуги инструментального анализа защищенности сети, который проводится только с использованием сканера уязвимостей с последующим анализом результатов его деятельности экспертами компании. В этом случае реальной атаки обычно не происходит.
Стоимость теста на проникновение определяется в основном размером компании, поскольку объем работ по нахождению изъянов и выработке сценариев атак зависит от количества рабочих мест на предприятии. Так, при количестве компьютеров от 100 до 200, как правило, для проведения теста достаточно двухмесячной работы одного эксперта, который пытается реализовать один-два сценария атак. Если в компании до 500 компьютеров, то количество сценариев может быть увеличено до пяти, а время анализа увеличивается до трех месяцев. Для анализа защиты крупных компаний возможно подключение второго тестера, количество отработанных сценариев может быть увеличено до десяти, а время анализа — до полугода. Защита будет считаться надежной, если не удастся выполнить атаку за указанное количество попыток или если при реализации одного из сценариев служба безопасности зафиксирует попытку взлома. Впрочем, по данным Виктора Сердюка, генерального директора «ДиалогНауки», до 90% тестов на проникновение оказываются успешными.
Порядок действий при проникновении примерно следующий: сбор информации об атакуемом объекте, ее анализ, выработка сценариев атаки, попытка их реализации и составление отчетов.
По словам Андрея Соколова, консультанта «ДиалогНауки», занимающегося проведением тестов на проникновение, чаще всего срабатывает простой сценарий с рассылкой троянской программы в возмущенном письме от имени какого-нибудь внутреннего пользователя, «эффективность такой атаки достигает 70%, из 20 разосланных троянцев активируются 15.» Причем троянскую программу эксперт, как правило, разрабатывает сам, и поэтому она не детектируется антивирусными программными средствами. Для передачи данных вовне в обход межсетевого экрана троянец использует технологию VPN поверх DNS, реализации которой доступны в том числе и в виде продуктов с открытыми кодами.
Конкурентная разведка
Мониторинг утечек конфиденциальной информации ведется так же, как велась бы собственно конкурентная разведка, только в виде объекта исследований выступает сам заказчик. Отличием конкурентной разведки от промышленного шпионажа является использование только открытых источников данных, в качестве которых выступает Internet. Эксперты интегратора сканируют Сеть на предмет публикации в ней данных, которые являются существенными для безопасности компании клиента.
Мониторинг конфиденциальной информации позволяет определить, насколько эффективно работает система предотвращения от утечек и не является ли какая-нибудь существенная информация доступной всем желающим. В качестве примера Андрей Масалович, руководитель отдела конкурентной разведки «ДиалогНауки», привел краткое исследование сайта самой компании, найденной по поисковому запросу «Лидер информационной безопасности». Оказалось, что на сайте этой компании в открытом доступе лежит полное резюме на одного западного топ-менеджера, документация по тендеру и целый диск с сотнями мегабайтов информации, который готовился для партнерской конференции и поэтому содержит много полезной для конкурентов информации.
Для автоматизации такого контроля «ДиалогНаука» предлагает программный комплекс Avalanche, разработанный компаниями InterRusSoft и «ИнрэкоЛАН». Он базируется на технологии Java и хранилище JDataStore. Продукт представляет собой персональный Internet-поисковик, который позволяет обходить за небольшое время выбранный список сайтов и искать на них новую информацию. Эта информация классифицируется и раскладывается по так называемым «умным папкам», которые в том числе помогают анализировать собранную роботами информацию. Результатом деятельности Avalanche может стать сайт, на котором будет содержаться новая, консолидированная и разложенная по темам информация.