Алексей Лукацкий - менеджер по развитию бизнеса Cisco Systems
Городок в западно-американской степи. Салун. За столом сидят два ковбоя и пьют виски. Вдруг по улице кто-то проносится на огромной скорости, паля во все стороны из пистолетов. Один ковбой другому:
— Билл?
— Да, Гарри?
— Что это было, Билл?
— Это был Неуловимый Джо, Гарри.
— А почему его зовут Неуловимым Джо, Билл?
— Потому что его никто ещё не поймал, Гарри.
— А почему его никто ещё не поймал, Билл?
— Потому что он никому не нужен, Гарри.
Это достаточно распространенное заблуждение, вся проблема которого кроется в непонимании разницы между понятиями «уязвимость» и «защищенность». Первый термин является переводом английского vulnerability и синонимом слова «дыра». Многие специалисты считают, что чем больше дыр в той или иной системе, тем она незащищеннее. В качестве примера все обычно ссылаются на противостояние Windows и Linux. Якобы в первой операционной системе больше дыр, чем во второй и поэтому она чаще выводится из строя, направленными атаками. Это, кстати, другой миф, о котором мы уже говорили (число инцидентов с Windows скорее связано с ее распространенностью, чем с ее низкой защищеностью).
Вернемся же к защищенности, которая является функцией от двух переменных – уязвимости и угрозы. При этом уязвимость определяется как функция эффективности уже существующей защиты и возможностей нарушителя, а угроза, в свою очередь, является также функцией от двух переменных – наличия доступа и действий злоумышленника.
Посмотрев на эту иллюстрацию можно сразу понять всю разницу между уязвимостью и защищенностью. Наличие дыр в информационной системе еще не значит, что этой дырой кто-то может воспользоваться. Ведь мы должны рассматривать не гипотетическую систему, а вполне конкретный узел, со своими настройками и установленным ПО, включая системы защиты.
Представьте два компьютера с операционной системой Windows XP – один, допустим, мой, корпоративный; второй – домашний, рядового Интернет-пользователя. Одинаковый ли у них уровень защищенности? Если судить по количеству дыр в Windows XP, то да. Но вы же прекрасно понимаете, что это не так. На моем корпоративном лэптопе не только автоматически установливаются все последние патчи, но у меня также установлен антивирус и система персональной защиты Cisco Security Agent. Дополнительный уровень защиты обеспечивается настройками Интернет-браузера, а также системой шифрования жесткого диска. А теперь посмотрим на компьютер домашнего пользователя. У него ничего этого нет, исключая, может быть, нечасто обновляемый и не всегда лицензионно чистый антивирус.
Другой пример – уязвимость в iPhone или Windows Mobile. Многие ли злоумышленники способны возпользоваться этими дырами? Увы, это требует иного уровня знаний и квалификации, чем использование готовых утилит, активно эксплуатирующих слабости Windows или Linux.
Еще один пример, иллюстрирующий разницу между «уязвимостью» и «защищеностью». Он построен на таком понятии как «потенциал нападения» и введен в ГОСТ Р ИСО/МЭК 18045 «Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий». Суть это понятия достаточно проста – даже при наличии уязвимости у злоумышленика может не хватить ресурсов, у него не будет доступа или у него просто нет мотивации, для использования слабого звена. Допустим мы знаем, что в Интернет «видна» информационная система больницы (такое бывает не редко) и она дырява как решето. Будет ли злоумышленник атаковать ее, зная что его действия могут привести к нанесению вреда жизни и здоровью пациентов медучреждения? Врядли. Мотивация не та. С другой стороны, отсутствие видимых слабых мест Интернет-банка не является препятствием для атаки на него. Не случайно ГОСТ 18045 подразделяет потенциал нападения на два аспекта – возможность идентификации слабого звена и его использование. Второе не всегда вытекает из первого.
Вот и получается, что система с одной уязвимостью не является более защищенной, чем система с сотней незакрытых уязвимостей. Они могут быть не закрыты осознанно – потому, что установка патча приведет к неработоспособности каких-либо других приложений на компьютере. А может быть они не закрыты потому, что их эксплуатация блокируется на периметре межсетевым экраном и системой предотвращения атак. Причин может быть много, а результат один – система не стала от наличия этих дыр менее защищенной (правда и более защищенной тоже). Необходимо оценивать множество дополнительных параметров, прежде чем сделать вывод о том, защищена ли данная конкретная система или нет.
