Сетевая небезопасность

03 января 2010

Теоретически операторы связи – те, кто самыми первыми могут определять, какие угрозы информационной безопасности становятся более или менее актуальными, какие новые идеи рождаются в головах хакеров. В конечном счете, путь к объектам атак злоумышленников идет через их каналы, через сервера.

Казалось бы, сегодня, когда концепция «задача оператора связи - предоставить каналы, остальным занимаются другие участники рынка» всеми воспринимается как пережиток прошлого, инициативы операторов связи в данном начинании естественны и неизбежны.

От проблем клиента к проблемам оператора и обратно

Можно достаточно четко определить, когда проблемы информационной безопасности клиентов живо заинтересовали и отечественных операторов связи – три года назад, когда получили распространение такие явления, как массированные DoS и DDoS-атаки, а также черви, превращающие компьютеры в часть бот-нетов, то есть источников рассылки спама или вирусов. В первом случае огромное количество одновременно генерируемых запросов типа «отказ в обслуживании» (или Deny of Services или DoS) на один адрес перегружают канал связи, тем самым парализуют работу онлайн ресурсов компании. Во втором – вирусы, заражая компьютер, делают его источником массовых рассылок спама, или же вирусов, или тех же DDoS запросов.

До того времени основное внимание телекоммуникационных компаний занимали защита биллинговых систем (учитывающих трафик), а также защита от несанкционированного доступа к сетям операторов (то, что называют фродом). То есть несанкционированное пользование каналами операторов, а не полное заполнение их вплоть до закупорки. Смена парадигмы застала кого-то врасплох, резко возрастающий поток трафика «ударял» не только по ресурсам конечных целей атак, но и по узлам сетей оператора, и зачастую последние не справлялись. В результате атака на одного клиента могла негативно сказаться на работе целого участка сети оператора и, тем самым, затруднить работу многим, вспоминает о прошлых проблемах ИТ-директор компании «Северен-Телеком» Алексей Григорьев.

С другой стороны, решение данной проблемы на уровне оператора нельзя сказать, что было чрезвычайно сложным. «На самом деле обычная фильтрация трафика, если ее правильно организовать, может решить все проблемы с зараженными компьютерами в сети, изолируя их», - замечает директор отдела информационных технологий компании «Смарт Телеком» Константин Перминов.

«Правда, фильтрация - это палка о двух концах: она загружает те же маршрутизаторы, некая часть их ресурсов отвлекается от основной задачи пропуска трафика. Поэтому часть операторов предпочитает воспользоваться услугами разработчиков оборудования. Тем более, что специальные устройства, которые помогают бороться с внешними угрозами сети операторов, типа DoS и DDoS атак, также как и устройства, разбирающиеся со внутренними проблемами, достаточно давно представлены на рынке», - рассказывает технический консультант по решению вопросов безопасности для операторов связи российского отделения компании Cisco Павел Антонов.

Конечно, когда речь идет о крупном операторе связи, то необходимы масштабные средства защиты от внешних и внутренних атак. Собственно в 2007 году ряд крупных операторов (в том числе и региональные дочки «Связьинвеста») отметились тем, что приобрели специализированные решения для защиты от DDoS-атак. В итоге, можно постулировать, что данная проблема более не загружает умы операторов связи. «Сегодня, если некий клиент подвержен DDoS-атаке или заражен червем, то это исключительно его проблема, и она не затрагивает других абонентов оператора связи», – резюмирует Алексей Григорьев.

Дело клиента - дело оператора

Но понятно, что локализация угроз не есть в полной мере решение проблемы. Всем понятно, что и когда абонент вызывает стороннюю атаку, и когда сам становится источником вредоносного контента – он жертва, пострадавшая сторона. И если у него хорошие отношения со своим оператором, весьма вероятно, что сначала с просьбой о помощи абонент обратится к провайдеру. Но защищать своих клиентов операторы, похоже, пока не готовы.

Когда машины абонента вдруг начинают генерировать большой объем исходящего трафика, реакция оператора будет в целом предсказуемой. «Ели мы видим, что с IP-адреса нашего абонента идет массовая рассылка, то такого клиента мы просто отключаем», - рассказывает руководитель технического департамента компании ОБИТ Дмитрий Щемелинин. В случае, если активность зараженных компьютеров не чрезвычайно высока, а канал связи широк (или если оператор не столь тщательно мониторит свою сеть), абонент не лишается связи, зато получает счет за большие объемы исходящего трафика. «В большинстве случаев, когда выясняется, что трафик вырос из-за заражения компьютеров вирусами, операторы, конечно, идут на уступки, но дополнительные затраты клиент в любом случае понесет», - рассказывает технический директор компании «Вэлл-Ком» Владимир Подзоров. С одной стороны, такая позиция операторов вполне закономерна – поскольку источник всех проблем однозначно находится на территории абонента, значит, он сам виновен в возникновении проблемы и сам же должен с ней разбираться.

Другое дело, что помощь со стороны оператора не требует особых усилий и может быть более чем кстати клиенту. «К уходу трафика у клиента могут привести три типа причин: нерадивые сотрудники, качающие трафик, вредоносный вирус или же ошибочные (халатные) действия системного администратора клиента (открытый порт)», - делится опытом Владимир Подзоров. И оператор достаточно легко может, во-первых, понять какая из причин привела к уходу трафика и, во-вторых, помочь с решением проблемы.

«Достаточно посмотреть на канал клиента - как уходит от него трафик - и если, например, причина – открытый порт, то это видно сразу», - замечает Владимир Подзоров. Если компьютер стал частью бот-нета, это тоже достаточно четко видно со стороны. И понятно, что в некоторых случаях решение проблем абонента может быть весьма простым. «Заблокировать открытый канал – достаточно просто, и даже если системный администратор не может закрыть свой порт, такое, к сожалению, тоже бывает, оператор может извне зафильтровать соответствующий порт. Также оператор может посоветовать или установить внутренний биллинг, чтобы клиент увидел, кто именно из его работников вредит компании», - описывает приемы г-н Подзоров.

Ситуация, когда имеет место внешняя DoS или DDoS-атака на серверы абонента, более печальна. Потому что в большинстве случаев тот, на кого она нацелена, практически беззащитен. Тем более, что в последнее время, как пугают специалисты ИТ-безопасности, появились новые типы DDoS атак, нацеленные на конкретный тип сервера, которые вовсе не обязательно при этом «кладут» весь канал связи. Так что, если у компании технологический процесс частично завязан на сетях передачи данных, есть свой сайт или внутренняя почта, которая должна работать on-line, DDoS-атака – серьезная угроза. И без помощи оператора справиться с данной проблемой крайне сложно. «Для того, чтобы эффективно противостоять DDoS-атаке, предпочтительно, чтобы соответствующие пакетные фильтры располагались на стороне оператора связи», - замечает Павел Антонов.

Теоретически, закон о связи содержит пункт, который обязывает оператора по просьбе клиента блокировать доступ к нему с указанных абонентом внешних адресов. Но в случае распределенной атаки абонент просто не может предоставить список адресов, кроме того, что их огромное количество, они постоянно меняются. Так что его спасение в полной мере находится в руках оператора. Но добиться этой помощи в подавляющем большинстве случаев не просто. «Как показывает практика многие из операторов (прежде всего крупные компании) не будут по данному поводу «заморачиваться», скорее просто разведут руками. Могут вообще сказать «если этот канал вам забивают - берите канал больше», - рассказывает Владимир Подзоров. Собственно поэтому и возможен (по отзывам участников рынка уже получил распространение) открытый шантаж компаний, когда к ним приходят письма с предложением перевести некую сумму денег, иначе «положим ваш сервер на несколько дней (недель)».

Желание и возможности

Все же при обсуждении вопросов информационной безопасности игроки рынка указывают на то, что участие оператора в этой проблеме– индивидуальный параметр, который напрямую зависит от гибкости компании, ее клиентоориентированности. Если это в его силах, хороший оператор всегда поможет своему клиенту разобраться с проблемами – заверяют представители операторов, тем более, когда клиент остается в его зоне. «Если у клиента не внешний IP-адрес, а внутренний, мы без особых проблем можем контролировать его трафик, защищать его от внешних угроз», - уверен Дмитрий Щемелинин. Аналогичные слова можно слышать и от других участников рынка.

Но утверждение, что в случае возникновения названных проблем операторы готовы быстро и качественно помочь своим клиентам, все же вызывает сомнения. Прежде всего потому, что на настоящий момент практически ни у кого из операторов нет подобной услуги. В минувшем году получило распространение услуга установки антивирусной программы защиты компьютера и фильтрации спама, но это решения на уровне машин пользователей, и оператор выступает здесь всего лишь агентом. Сетевая фильтрация или защита от DDoS-атак – то, что мог бы предложить оператор сам – таких предложений нет.

Можно также посмотреть на то, какими средствами оператор гарантирует безопасность при развертывании корпоративной сети (в частности, когда объединяет в одну сеть разрозненные филиалы). Все зависит от клиента – кому-то достаточно стандартной защиты, а кто-то потребует повышенной. Но вот обе эти защиты – они не от оператора. «На самом деле по закону "О связи" оператор не несет ответственность, если к сети клиента кто-то подключится. И в подавляющем большинстве случаев оператором используются стандартные средства шифрования, которые предусмотрены разработчиком на данном оборудовании, – рассказывает коммерческий директор компании «ЛАНК Телеком» Алексей Максимихин. - А если клиенту необходима повышенная защита, то оператор в 99% случаев реализует это силами сторонней компании, системного интегратора. И это логично, потому что для защиты более высокого уровня нужно делать криптографическое шифрование, а у операторов нет лицензий для предоставления таких услуг».

То же касается и тех случаев, когда встает вопрос о поисках уязвимых мест сети клиента. Чтобы провести анализ информационных потоков, разработать модель угроз и посоветовать комплекс мер защиты, иными словами сделать внешний аудит, компании необходимо пройти процедуру сертификации. Опять же, практически никто из игроков рынка связи подобных лицензий не имеет, исключение составляют лишь одна-две компании, которые обеспечивают связью госорганы и, соответственно, работают в связке с соответствующими службами.

В действительности, ответ на вопрос, почему операторы не развивают данное направление, прост – операторы пока не ощущают спроса на подобные услуги. «Я, как коммерческий директор, постоянно в контакте с нашими клиентами, и каких-либо требований к информационной безопасности не наблюдаю», - отмечает Алексей Максимихин.

«Обеспечение информационной безопасности локальной сети клиента – это на самом деле весьма трудозатратный процесс. По моим ощущениям, клиенты не готовы оплачивать обеспечение полной информационной безопасности. А брать на себя часть вопросов по информационной безопасности – это большие риски с точки зрения ответственности», - рассуждает Алексей Григорьев.

И ощущения операторов в целом согласуются с общей ситуацией. Отношение к информационной безопасности в России на очень низком уровне, рассказывает петербургский представитель группы компаний «Информзащита» Вадим Кропотов. Так, например, в мире более 70% потерь информационных данных происходит вследствие инсайда, то есть это потери от действий работников компаний. А у нас подавляющее большинство компаний не знают, что для защиты информации необходимо, как минимум, ввести режим коммерческой тайны (и это не просто соответствующий гриф на пакте с документами, а целый комплекс мер), иначе, даже если поймаешь за руку того, кто продает ценную информацию, ты не сможешь наказать его по суду, иллюстрирует свое утверждение Вадим Кропотов.

Из арьергарда в авангард

С другой стороны логика развития рынка телекоммуникаций подразумевает, что отношение к тому, может ли (или должен ли) оператор заботится об информационной безопасности своего абонента, должно меняться.

Во-первых, существует такое явление, как виртуализация. В последний год операторы все чаще и настойчивее предлагают отдавать им сетевую инфраструктуру. Заменить фиксированную офисную АТС на виртуальную, или перейти, опять же, к виртуальному серверу, или вообще создать виртуальный офис, то есть поместить рабочие места на сервер оператора, а себе оставить лишь канал доступа в Интернет. С точки зрения требований к защите серверов оператора, виртуализация ничего не меняет, замечает Павел Антонов. Единственное, что оператору нужно будет лучше контролировать момент подключения абонентов к его мощностям (виртуальные услуги предполагают, что доступ к ним абонент получает из любого места, из любой сети). Все же наиболее вероятный вариант нарушения информационной безопасности (после варианта кражи информации сотрудником компании) – через промежуточные узлы сети компании, то, что называется man in the middle. Понятно, что когда вся информация течет по конкретным каналам, то подсоединиться на порядок сложнее, чем если информация идет через Интернет.

При этом также ясно, что позиция абонента по отношению к тому, кто будет виновен в проблемах со связью (если они возникнут), меняется. «В компании есть традиционные телефонные каналы, для того, чтобы совершать с них несанкционированные звонки, злоумышленнику нужно физически попасть на территорию конкретной компании. То есть, если такая ситуация случается, то всем понятно, что основная вина лежит на охране этой конкретной компании. С другой стороны, если у клиента виртуальная АТС, и к ней кто-то подключается – то все вопросы к оператору», - рассуждает Алексей Григорьев.

Очевидно, что схожий потенциал несет и такое явление, как введение Service License Agreement в качестве основного стандарта для заключения договоров между операторами и их клиентами. Service License Agreement (SLA) подразумевает, что оценивается не сама услуга (доступ в Интернет или организация локальной сети), а качество ее предоставления. И размер оплаты оператора рассчитывается в зависимости от таких характеристик как доступность, количество сбоев за определенный промежуток времени, время, затраченное на их устранение и так далее. Введение Service License Agreement обсуждается на рынке уже несколько лет. По крайней мере, с 2007 года операторы с завидной регулярностью обещают переходить к практике заключения таких договоров. Однако, до настоящего момента количество таких договоров минимально. Вместе с тем очевидно, что распространение SLA договоров неизбежно. А это, в свою очередь, должно вести к тому, что операторы, как минимум, будут уделять больше внимания безопасности своих сетей.

«На самом деле угроза одна – бот-неты (или черви, заражающие компьютеры и делающие их частью бот-нетов). Потому что через бот-неты идет распространение спама, различных вирусов, с них же осуществляются и DDoS-атаки», - замечает Павел Антонов. И понятно, что данная угроза будет присутствовать в сети еще продолжительное время. Способы заражения компьютеров постоянно эволюционируют. Вот в аналитическом отчете Cisco об угрозах в сети за 2009 год эксперты выделяют новое направление атак хакеров – распространение вирусов через социальные сети, там люди более доверчивы. Потом будет новый канал. То есть заражения будут, и тот же спам, и те же DDoS-атаки останутся одним из проверенных вариантов извлечения прибыли. И существует отдельный класс оборудования и набор решений, чтобы решать задачи обеспечения информационной безопасности на уровне операторов связи, а не на уровне клиентов. Да и сами решения чаще всего многозадачные: например, те устройства, что осуществляют мониторинг сетей операторов в поисках абонентов, распространяющих спам или вирусы, могут контролировать трафик, идущий к конкретному клиенту, и осуществлять сетевую антивирусную фильтрацию.

Пока мы можем постулировать, что, во-первых, у операторов нет предложения по защите информационной безопасности клиента (хотя бы защите от внешних IT угроз), как практически ни у кого нет и соответствующих лицензий на то, чтобы решать вопросы информационной безопасности (как ни у кого нет и лицензий на криптографическое шифрование данных). Кроме этого, отечественные операторы не демонстрируют желание к совместному решению проблем информационной безопасности (хотя понятно, что проблемы общие). Созданный у нас для данных целей проект так и не заработал. А между тем на Западе подобные сообщества достаточно успешно функционируют, и, зачастую, первыми замечают новые угрозы, идущие из Сети. Иными словами, хотя отечественные операторы связи могут быть (и возможно должны быть) активными участниками в борьбе с хакерами, по факту сейчас находятся в арьергарде общего движения.

Алексей Лентьев

Источник: IP News