Взгляд Microsoft на построение защищенных систем

Введение

В данной статье речь пойдет о Trustworthy Computing, концепции, а еще точнее - стратегии построения защищенных информационных систем. Trustworthy Computing призвана сделать компьютеры такими же надежными, как и, например, электричество или телефон.

Сегодня мы видим, что даже электричество, а ему мы доверяем еще больше, чем телефону, также не всегда работает, как собственно, и компьютеры. Почему так происходит? Исследования показывают, что все проблемы связаны, как правило, с людьми. Отказы информационных систем вызваны в основном неправильной настройкой и неверным конфигурированием, отсутствием нужных знаний у людей. В электрических цепях, например, разрыв хоть одного последовательного соединения приводит недееспособности всей системы.

Интересно выяснить, почему вообще у Microsoft возникла такая идея - создание защищенных информационных систем. Исторически, Microsoft начинала, в общем-то, с настольных систем, систем для небольших компаний. Когда компания вышла на уровень крупных проектов (не только в больших компаниях, но и в государственном секторе), то вдруг оказалось, что информация является самым критическим звеном для любой крупной компании и любого государственного органа. Ее защита, вообще говоря, даже работа с ней - являются краеугольным камнем, без которого ни один проект состояться не может. Microsoft учится на своих ошибках. Вице-президент Кирилл Татаринов, выступая на конференции "Платформа 2004", сказал: "Да, у нас были ошибки в разных продуктах". Он упомянул ошибки в SMS первой и второй версии, которые были исправлены в третьей. На самом деле, признание собственных ошибок, исправление их и разработка методов борьбы с ними - один из тех факторов, которые учитывают компании, выбирающие решения от Microsoft. Если компания большая, и когда государство большое, то они всегда захотят знать: "А кто является гарантом ситуации, когда мы что-то будем использовать, а это что-то работать не будет?". Это связано не только с информационными технологиями, это связано и с телефоном, и с электричеством, и с поездами.

Далее мы остановимся на том, что вообще такое - стратегия Trustworthy Computing (TwC), в рамках которой сейчас Microsoft производит абсолютно все, и каково наше ближайшее будущее?

Актуальность проблемы

Вообще говоря, есть ли пробема? Проблема, к сожалению, есть. Краткий отчет от самого авторитетного, наверное, источника (ФБР и Институт Компьютерных Преступлений) содержит сведения, что из 530 опрошенных компаний (как всегда, берется некоторая репрезентативная выборка), на самом деле озабочены безопасностью абсолютно все. При этом компании терпят убытки, на первый взгляд, не такие большие. Здесь мы видим, что самые большие денежные потери - это потеря информации. Причем, как все знают, похищение информации отличается от похищения, скажем, портфеля или ноутбука тем, что если у вас похители ноутбук, его у вас больше нет. Если же похищена информация, физически она у вас все равно осталась, вы часто даже не замечаете пропажи. Это - основная проблема, с которой сталкиваются следователи.

Отчет ФБР и Института Компьютерных Преступлений (FBI и CSI) за 2003 год. Из опрошенных 530 компаний:

Общие убытки от нарушений безопасности - $201 млн. Из них: $70 млн. - похищение информации, $65 млн. - из-за атак типа "отказ в обслуживании", $27 млн. - из-за вирусных атак (кроме атак типа "отказ в обслуживании").
82% компаний подвергались вирусным атакам
77% компаний подвергались атакам со стороны своих сотрудников
40% компаний подвергались атакам со стороны конкурентов

Может быть, данные везде уже растиражированы, но они все равно остаются и у вас. На самом деле есть еще один очень интересный факт: опасны не только внешние атаки, а еще и внутренние. Очень серьезный процент краж приходится именно на внутренние атаки, их число постоянно растет. Многие забывают, что мы живем в очень жестком, конкурентном мире. 40% атак исходят именно со стороны конкурентов. Это совершенная реальность, особенно для крупных компаний, когда исследования, разработки, даже направления исследований являются чрезвычайно важными. Потому что если вложить миллиард долларов не туда - миллиард пропадет. Заранее узнать, куда вложить - очень сложно. Если попытаться узнать это у конкурентов, вероятность удачно вложить деньги значительно возрастет...

Основные источники угроз

А каковы источники угроз? Помимо всем известных угроз, основная - люди. Microsoft не занимается защитой от природных явлений и отсутствием электричества. Люди - основная проблема, которая существует в безопасности. Но на самом деле мы забываем, что не только плохие настройки, не только обиженные сотрудники, но и развитие технологий (которое обеспечивается, вообще говоря, людьми) - это одна из самых главных проблем (причина существования проблем) информационной безопасности. Почему? Многие говорят: "Что это у Microsoft там, NT - такая слабая система, плохая, неустойчивая... И, вообще говоря, Microsoft там DES использовала, как криптографию. Что такое DES? Всем известно, что такое DES - полная ерунда!". Тогда, когда NT вышла, DES был государственным стандартом США. Не надо об этом забывать. DES просто устарел, потому что люди стали думать лучше, Intel делает более мощные процессоры, Microsoft умеет распараллеливать вычисления и т.д., и т.д., и т.д. Атаки на серверы 5-10 лет назад - это абсолютно не те атаки, с которыми приходится сталкиваться сейчас. Сегодня это - изощренные атаки, с различными вариантами проникновения в систему. Сегодня вирус - интеллектуальный продукт, который думает, каким образом ему проникнуть в систему.

Основной источник угроз - люди. 95% брешей по сведениям CERT (эти же данные приводит и IDC) основаны на неправильной конфигурации систем. Чаще всего это вызвано отсутствием знаний. Как же решать такую проблему? Microsoft предложила основу, или некую концепцию того, что из себя представляет защищенная система. Об этом можно подробно почитать на русском языке на сайте Microsoft: www.microsoft/rus/security. Ресурс содержит большое количество материалов, уже переведенных на русский язык, еще больше сведений можно почерпнуть на английской версии этого сайта.

Основы защищенных информационных систем

Система взглядов Microsoft на безопасность базируется на том, что понятие защищенности относится к области психологии. Если человек умеет ездить на велосипеде - никаких проблем, но если он не умеет ездить на велосипеде, он упадет и набьет себе шишек. А если он не умеет летать на самолете, то разобьется, даже если ему удастся взлететь. По этой причине понятие защищенности базируется, прежде всего, на знаниях, на ощущениях человека. Тем не менее, существует у этого знания большая технологическая составляющая. Если человек обучен летать на самолете, то спокойно чувствует себя в его кабине, если не обучен, то чувствует себя плохо. Кроме этого, существуют такие понятия, как безотказность систем, и не менее важная вещь - бизнес-этика поставщика. Что это такое? Когда кто-то обращается к поставщику любой системы (антивирусной, серверной и т.д.), то смотрит, а какова история этой компании? Она хорошо относится к клиентам или нет? У людей сейчас есть возможность прекрасного выбора между поставщиками, скажем, телефонных услуг, когда их выбирают не по цене, не по качеству - они примерно одинаковы, а по тому, а как оператор отвечает - ласково, нежно, хочет он решить вашу проблему, или ему абсолютно наплевать: "Вы не туда дозвонились, и вообще у нас все заняты, позвоните завтра". Поэтому бизнес-этика поставщика - слишком важная вещь, чтобы её можно было проигнорировать.

Сама безопасность зиждется на четырех столпах. Это, прежде всего, безопасность в архитектуре. Любая система должа быть изначально сформирована, создана, спроектирована, как безопасная. И делать это надо на первом этапе, а не на втором или третьем. Проблема в том, что люди привыкли к тому, что системы Windows какие-то простенькие, легенькие. Это уже безопасность по умолчанию. Все знают, что если администратор Windows поставил сервер, то он наверняка заработает. А администратор забыл даже настройки посмотреть - там вроде все стоит. И в то же всемя, если пользователь администрирует Unix, он столкнется с рядом проблем, и без руководства - не обойтись. Microsoft изначально делает системы легкими в эксплуатации. Но она натолкнулись на то, что эта легкость сейчас многими людьми воспринимается, как должное. Каждый человек при установке сервера не смотрит на настройки, не пытается конфигурировать продукт и настраивать его под себя. Между тем, Microsoft рассчитывала именно на это. Вот простой пример. Многие ли читают инструкцию к любому предмету, продукту, который покупают (не только к ПО)? Скорее всего, мало кто читает. По этой причине было решено свести к минимуму риски проникновения в систему, которая ставится с настройками по умолчанию. По умолчанию все установки логично приводить к максимально безопасному состоянию, часто с потерей функциональности.


1. Безопасность в архитектуре: создание защищенной архитектуры; новые функции безопасности; снижение количества уязвимостей в новом и существующем коде.

2. Безопасность по умолчанию: отключение неиспользуемых функций; использование необходимого минимума привилегий.

3. Безопасность в работе: правильная настройка; обнаружение проникновения; отражение атак; управление действиями по защите.

4. Сотрудничество: обучение; информация от пользователей и партнеров; совместные решения.

Безопасность в работе. В определенный момент стало понятно, что без каждодневной проверки того, что именно работает и как именно это работает, человеку не справиться с потоком тех задач, которые перед ним стоят. Поэтому надо проверять и правильные настройки, надо каким-то образом обнаруживать проникновения и управлять всеми этими действиями. Цель построения защищенной системы - решить эти задачи. В прошлом году Microsoft потратила более 200 млн. долларов конкретно на безопасность: на тренировку людей, на проверки, на прием новых сотрудников и т.д. Всего же в развитие новых продуктов было вложено порядка 7 млрд. долларов. Но ведь и сотрудников, занимающихся безопасностью, намного меньше. Что сделано с точки зрения безопасности в архитектуре? Все программисты (порядка 18 тысяч человек) прошли тренинги по написанию защищенного кода. Построены модели угроз для каждого продукта, издана книга о написании защищенных приложений, которая сегодня доступна и на русском языке - "Защищенный код" (М. Ховарт, Д. Леблан). Половина книги посвящена методологическим подходам. Что уже сделано по пункту "безопасность в работе". Например, BaseLine Security Analyzer - бесплатный сканер настроек. Microsoft не разработала этот продукт сама, она наняла другую компанию, профессионально занимающуюся продуктами по анализу состояния защищенности систем на базе Windows. Сканер проверяет очень много различных параметров. Он проверяет всю сеть, даже старые системы Windows 95/98, проверяет исправления, слабые пароли, правильные и неправильные настройки.


1. Безопасность в архитектуре: все программисты Microsoft прошли тренинги по написанию защищенного кода; построена модель угроз.

2. Безопасность по умолчанию: Windows XP: IIS отключен по умолчанию; Windows Server 2003: 19 новых сервисов отключены по умолчанию.

3. Безопасность в работе: бесплатный Baseline Security Analyzer; бесплатный Security Toolkit; новые книги по безопасности;

4. Сотрудничество: функции отправки отчетов; Microsoft Security Response Center; работа с партнерами по безопасности.

Если говорить о сотрудничестве, то нужно упомянуть функцию отправки отчетов. Многие возмущаются: "Что такое я в Windows XP наблюдаю: у меня зависла система, и она мне предлагает что-то куда-то отправить". В документации сказано, что отправляются не ваша личная информация, а данные о происшествии. Нужно много сведений, чтобы понять, почему произошло зависание. Многие производители часто делают не совсем качественные продукты, которые плохо совместимы. У Microsoft такая проблема тоже есть, безусловно. Когда эти продукты начинают работать вместе, часто возникает зависание систем. Сейчас, правда, такое случается реже, чем раньше. Отчет пользователя попадает в Microsoft Security Responds Center, там каждый месяц огромное количество людей обрабатывает миллионы отчетов о таких вещах, инспектируют их вместе с теми компаниями, которые делают не очень качественные продукты. Из отчетов очень хорошо видно, из-за чего возникла проблема, например, не правильно прерывание обработалось какой-то внешней программой, которую, по-видимому, не очень хорошо оттестировали и думали, что в XP все точно также написано, как в 2000. Это не так. После этого менеджеры проводят работу и ошибка устраняется. На самом деле, это - очень хороший механизм обратной связи: можно получить информацию не просто о факте зависания, но и почему оно произошло. Но в любом случае пользователь сам решает, отправлять отчет или нет. Сейчас готовится к выходу продукт, который позволяет это делать на уровне корпорации или компании. То есть внутри сети будет стоять некое программное устройство, которое будет собирать все данные об этих зависаниях и отправлять из одного места. В этом случае клиент не рискует раскрыть топологию сети и другую информацию, которая, возможно, есть на компьютерах.

Работы по достижению целей продолжаются. Microsoft всегда считала, что только специалисты могут разбираться в ее коде. Также как никто из нас не копается в телевизоре и не разбирается, как он работает. Есть люди и организации, которые этим занимаются. Microsoft считает, что эти ресурсы есть у крупных компаний, университетов и государств. А небольшая компания и частный человек не могут разобраться в многообразии того, что сделано, скажем, 10000 специалистами, когда они писали программный код. Одному человеку почти невозможно разобраться в 100 тыс. строк кода, а в 50 млн. - вообще нереально. По этой причине у Microsoft давно существуют программы предоставления своих кодов крупным корпорациям. Это есть, и это работает. У Microsoft есть программы, которые позволяют университетам смотреть ее исходные тексты. Более 70 университетов в мире много лет пользуются этим. Российская пресса об этом редко упоминает. Но в России, например, таких университетов нет. Почему? Да потому, что защита индивидуального права не позволяет в наши университеты, скажем, в МГУ, эти коды предоставить. Но Россия уже достигла такого уровня авторских прав, что исходные коды были предоставлены государству. Хотя для сертификации коды предоставлялись всегда. В 1995 году Microsoft предоставила Гостехкомиссии коды NT 4.0 и SQL 6.5, сертификация была проведена. Теперь предоставлены другие коды. Почему для государства? Потому что Microsoft считает, что государство - это та огранизация, которая обеспечивает благосостояние всего общества, и у нее-то достаточное количество специалистов, чтобы убедиться в том, что в этих кодах ничего нет плохого.

Исходные коды и стандарты

Интересно проследить, к чему это привело: Россия - первая страна, которая подписала подобное соглашение. Почему первая? Да потому, что уж очень был велик соблазн посмотреть, так это или не так. Контракт был подписан между Microsoft, ФАПСИ и полностью руководимой и контролируемой компанией "Атлас", которая в соответствии с законом, была управляема ими и подотчетна. Microsoft подписала этот контракт. Более того, она не только его подписала, но и организовала рабочие места на базе "Атласа" и уже началась работа конкретных людей (не принадлежащих Microsoft) по исследованию этих кодов. Была предоставлена возможность получения кодов через Интернет. Коды можно было изучать и в offline, исследовать и анализировать, но, к сожалению, в соответствии с приказом президента, ФАПСИ было распущено и некому стало быть гарантом того, что эти коды будут правильно обрабатываться и не утекут никуда. В соответствии с контрактом, там очень жесткая ответственность за это. Поэтому сейчас Microsoft совместно с другими заинтересованными организациями (ФСБ и др.) пытается найти правопреемника этого контракта. Важен также не только сам факт контракта, но и распределение обязанностей в такой совершенно новой ситуации между силовыми ведомствами. Необходимо просто определиться, кто какие функции берется выполнять. Более того, поскольку функционал был поделен между разными ведомствами, а не просто был передан в какое-нибудь одно, например, ФСБ в соответствии с приказом, то всегда возникают дополнительные проблемы - какие куски между кем распределить. Работать можно будет, скорее всего, любым организациям, это и Гостехкомиссия, и Министерство Обороны, и Министерство Атомной Промышленности, и ФСО, и т.д. Любые организации и любые люди соблюдают все необходимые правила, когда подписывают довольно серьезные обязательства. Эти также и представители сертифицирующих лабораторий. Исследовать код очень удобно также и тем, что есть доступ к определенной документации. Какие же исходные коды переданы? На сегодняшний день это Windows 2000 Server и Professional, Windows XP, Windows 2003 Server. Все эти коды будут активно использоваться при проведении сертификации.

Сертификация помогает доказать, что продукт действительно хорош. Следует пояснить, что Government Security Program (GSP) не имеет целью проведение сертификации. Сертификация - это другая цель. Ведь государственная организация может просто хотеть посмотреть, как устроен код. Она не обязательно будет его сертифицировать. Сертификация - это проверка на соответствие чему-либо. В рамках GSP Министерство Обороны или ФСБ могут создать свой продукт, отрезав ненужные функции, скомпилировать его и начать производить на территории России. Абсолютно нормальная ситуация. Раньше об этом подумать было совершенно невозможно, Microsoft на это никогда бы не пошла. Сейчас, фактически, об этом договорились, и речь идет только о некоторых конкретных вещах.

А почему используются не международные стандарты? Это, на самом деле, очень большая проблема. Общих международных стандартов нет, таких как GSM. Общий критерий - это единственный прототип будущих международных стандартов в области информационной безопасности. Есть и другие стандарты проверки на соответствие. Они очень просто устроены, это разные профили от первого до седьмого уровня, с первого по четвертый признаются всеми странами, подписавшими соответствующее соглашение. А вот с пятого по седьмой, что очень важно, каждая страна может делать своими, выставлять такие требования к этим профилям, чтобы они соответствовали национальным интересам. Может быть много разных профилей для России, много разных профилей для Англии, и т.д. И эти профили, эти сертификаты, должны подтверждаться уже в каждой стране.

Россия более или менее движется в этом направлении. Гостехкомиссия подготовила руководящие документы, которые просто являются национальными, они уже введены в действие. Сейчас проходит апробация многих продуктов на соответствие этим критериям. И это хорошо. Почему для России важно присоединение к общим критериям? А потому, что клиентам надо будет меньше платить за сертифицированные продукты. Microsoft потратила приличные деньги на сертификацию Windows 2000. Покупая Windows 2000 у любого дилера, клиент приобретает сертифицированный продукт. За него надо платить стандартную цену. Когда покупается сертифицированный внутри страны продукт, волей или не волей клиенту приходится доплачивать, потому что сертифицирующая лаборатория взяла приличные деньги для того, чтобы провести работы по сертификации. Это действительно серьезные работы, и они должны быть оплачены. Но ложится проблема на плечи конкретных пользователей. Поэтому логично было бы сделать этот процесс прозрачным и удобным для всех. Если бы Россия присоединилась к общим критериям, то российские лаборатории здесь могли бы провести эту сертификацию, а российские компании выходили бы с этими сертификатами на международные рынки, которые до того были бы закрыты. Более того, это был бы дополнительный приток инвестиций в российские сертифицирующие лаборатории, у них очень высокий статус профиссионализма на сегодняшний день, и они - известны. Но, не имея международного статуса у лабораторий, мы не увидим заказов.

Microsoft постоянно сертифицирует свои продукты. Windows 2000 - сертифицирован. На сертификацию по общим критериям отданы Windows XP и Windows 2003. Есть и другие сертифицированные продукты, скажем, ISA Server и т.д. Эти процессы занимают очень много времени. Windows 2000 был отдан на сертификацию буквально через пару месяцев после того, как возникли общие критерии и появилась сама организация. Сертификация заняла больше трех лет. В России уже отданы на сертификацию по стандартным руководящим документам Гостехкомиссии продукты Windows XP и Windows 2003 Server. Идут также работы по сертификации продуктов для Министерства Обороны. В России сегодня действует очень много систем сертификации, поэтому приходится сертифицировать в разных системах одни и те же продукты. Именно поэтому переход на международный стандарт сильно облегчил бы жизнь пользователям.

Windows Server 2003 и Exchange Server 2003 с точки зрения Trustworthy Computing

За время введения в действие новой концепции TwC Microsoft разработала несколько новых продуктов в полном с ней соответствии. Прежде всего, это Windows Server 2003 и Exchange 2003. Следует кратко остановиться на их характеристиках, расположив их в порядке, реализующем концепцию создания защищенных систем.


1. Безопасность в архитектуре.

Common Language Runtime (CLR) - защищенная среда выполнения программ: проверка подлинности исполняемых модулей программ перед их запуском (проверка электронных цифровых подписей модулей); выделение заранее определенных ресурсов для выполнения (памяти; дискового пространства; множества файлов); изолированные друг от друга процессы выполнения программ.

Разработаны Сервисы Управление Правами RMS (Rights Management Services): контроль над использованием информации в Web, в документах, в e-mail (например, можно запретить переадресовывать свое письмо); возможность использования в продуктах других компаний (предоставление SDK).

2. Безопасность по умолчанию.

Уменьшение потенциально возможной площади для атак. 19 сервисов по умолчанию отключены (например, IIS 6.0 отключен по умолчанию не только при инсталляции Windows Server 2003, но и при upgrade); увеличено число сервисов, работающих с минимальными привилегиями (например, IIS 6.0 инсталлируется с минимальными привилегиями).

3. Безопасность в работе.

Software Restriction Policy (SRP) для Windows Server 2003 и Windows XP - механизм на основе политик, дающий возможность контролировать процесс исполнения ПО: например, запрещать запуск на рабочих станциях игр;

Security Configuration Editor (SCE) - для конфигурирования безопасных бизнес-сценариев без снижения требуемой функциональности: например, использование специальных сценариев для Web-серверов, работающих одновременно в Интернет и Интранет;

Microsoft Audit Collection Services (MACS) - для мониторинга и аудита Windows Server 2003, Windows XP, Windows 2000 Server: сохраняет в SQL-базе в подписанном и зашифрованном виде все события для последующего анализа; роли Аудитора и Администратора системы различны - Администратор не может вносить изменения в файлы аудита.

Безопасность в архитектуре. В Windows Server 2003 создана специальная среда выполнения команд, которая перед запуском проверяет цифровую подпись модулей (сегодня почти каждый модуль подписан), резервирует память и другие ресурсы на выполнение, а также изолирует процессы друг от друга. Разработаны сервисы управления правами. Это очень интересная технология, которая позволяет, например, отправить электронную почту без права переадресовать ее кому-нибудь или скопировать. Можно также отправить документ без права редактирования или ограничить время работы с ним. Технология основана на применении криптографии, также используются сертификаты пользователя. Она полностью поддерживается в Exchange Server 2003 и Office 2003. Технология будет доступна также и в виде SDK для третьих компаний, причем эти SDK могут работать и с продуктами для старых систем, например, Windows 98. То есть пользователей никто не заставляет устанавливать последнюю версию ОС, можно остаться на той, что уже есть.

Безопасность по умолчанию. 19 новых функций просто отключены. Например, IIS по умолчанию просто отключен. Более того, если делать Update, то он тоже отключен.

Безопасность в работе. Разработаны специальные инструменты, которые позволяют не только запретить запуск определенного софта (например, игр), но и приложений, в которых нет уверенности, что они не конфликтуют с другими прикладными или системными программами. Создан также очень интересный продукт для аудита. Суть в том, что роли системного администратора и аудитора системы разведены: все, что делает администратор, в зашифрованном виде хранится в базе данных, и только аудитор может это смотреть. Сам системный администратор не в праве изменить эти записи. То есть администратор перестает быть "богом" и становится нормальным работником, действия которого можно контролировать. Всегда можно узнать, что произошло, и не удалил ли системный администратор, например, следы взлома БД. Такие проблемы есть, и многих беспокоит именно это.

Перейдем к Exchange Server. Продукт тесно интегрирован с Windows Server 2003, позволяет запрещать или разрешать сообщения с определенного IP-адреса. Созданы возможности для борьбы со спамом, можно использовать черные и белые списки третьих компаний. Также стоит отметить интеграцию с Outlook.


1. Безопасность в архитектуре.

Поддержка технологии RMS управления правами создаваемых документов;
Возможность разрешать или запрещать сообщения с определенного IP адреса;
Почта, адресованная пользователю, который не найден, или которому посылающий не имеет разрешения посылать почту, не будет доставлена;
Поддержка real-time "черных" и "белых" списков, включая подписки на решения третьих компаний;
Клиентская технология IRM управления правами создаваемых документов в любых приложениях Microsoft Office 2003, поддерживаемая серверной технологией RMS;
Технологии противодействия спаму;
Возможность запрещать на программном уровне доступ к адресной книге Outlook и посылать письма от имени другого лица;

2. Безопасность по умолчанию.

Протоколы POP, IMAP и NNTP по умолчанию отключены;
Outlook Mobile Access отключен по умолчанию;
"Анонимный вход изнутри организации" отключен по умолчанию;

3. Безопасность в работе.

Новые инструменты инсталляции сервера поверх Exchange Server 5.5 позволяют в пошаговом режиме анализировать существующую топологию, проверять установки и контролировать каждый шаг;
Возможность установки автоматических updates;

4. Сотрудничество.

Посвященный безопасности продукта web-сайт www.microsoft.com/exchange/security;
Дополнительные возможности по анализу в Microsoft Baseline Security Analyzer;
Детальная документация по настройкам безопасности.

Тесная интеграция с Outlook позволяет поддерживать управление цифровыми правами документов и многое другое. Exchange позволяет также контролировать в Outlook возможность программного доступа к адресной книги и посылку писем от другого имени, что, вообще говоря, часто используется при проникновении в систему или при рассылке спама.

Безопасность по умолчанию подразумевает отключение целого ряда возможностей. Например, анонимный вход изнутри компании уже не возможен. Раньше факт анонимной работы "своего человека" считался вполне нормальным, сегодня этому вопросу уже уделяется повышенное внимание.

Безопасность в работе. Все инсталляторы пошагово отслеживают состояние системы, дают возможность откатиться назад и проверить, что было сделано. Существенно улучшен интерфейс, повышены практичность и дружелюбность.

Сотрудничество теперь тоже на совершенно новом уровне. Созданы отдельные сайты по продуктам - например, по безопасности Exchange. Введены новые дополнительные функции в уже упоминавшейся Base Line Security Analyzer, причем эти функции соответствуют новым возможностям Exchange. Вышло также много новой документации по безопасности. В книжном виде это, например, Security Guide for Windows 2003, который в виде заархивированного (zip) текста занимает 5 Мбайт.

Стоит также остановиться на обновлениях для системы. Вообще говоря, не существует систем, для которых обновления не нужны. Любая ОС использует какую-нибудь систему патчей. По-другому не бывает. Microsoft старается реагировать на как можно большее число обнаруженных уязвимостей. Это создает другую проблему: системным администраторам не очень удобно устанавливать такое большое количество обновлений. Microsoft решила перейти на ежемесячный выпуск исправлений. Экстренные обновления все равно будут выходить в кратчайшие сроки и без расписания.

Microsoft также реализовала планы по улучшению самих обновлений: уменьшение сложности, улучшение тестирования, возможность отката (возврата в предыдущее состояние). Всего этого раньше не было. Размеры патчей сейчас значительно уменьшились. Имеет значение также и количество перезагрузок. Многие не довольны тем, что после установки патча надо перезагружать систему, и это вполне справедливо. Microsoft сократила на 70% количество тех случаев, когда надо перезагружать систему в связи с установкой обновления.

Стоит затронуть еще одну интересную проблему. Microsoft пытается защититься не только от тех уязвимостей, что уже обнаружены (только теоретически или уже с эксплоитами), но и от еще неизвестных проблем. Например, потенциальных брешей, новых вирусных атак и т.д. Для этого в выходящие сервис паки включаются новые возможности. Во-первых, есть просто firewall. Пользователь может любые порты закрыть по умолчанию и, например, не пустить к себе Blaster. Пользователь может улучшить блокирование вложений в Outlook и не пустить к себе вирусы типа Sobig. Эта технология уже реализована. Улучшен контроль над вредоносными или потенциально опасными компонентами ActiveX. Добавлена защита от переполнения буфера. Существуют новые возможности, в том числе и в компиляторах от Intel, которые уменьшают вероятность переполнения буфера. Это все были возможности Windows XP по борьбе с новыми напастями, теперь перейдем к Windows Server 2003. Только рабочие станции с определенными установками безопасности могут входить в компьютерную сеть. То есть, надо проверить все патчи, актуальность антивирусной базы, параметры межсетевого экрана и т.д. Проверять рабочую станцию нужно в карантине, где она работает с проверочным модулем.

Trustworthy Computing и процесс подготовки продуктов

Следует остановиться и на том, как Trustworthy Computing участвует в процессе подготовки новых продуктов Microsoft. Приблизительная схема представлена ниже.


Все начинается с дизайна и спецификаций, разработки, тестирования и документации. Появляется продукт, потом сервис-паки. На уровне дизайна сразу идет анализ безопасности, для каждого компонента строится своя модель угроз. После нескольких beta-версий всё равно продолжается разработка. Постоянно тестируется каждый модуль, проверяется на соответствие внутренним стандартам разработки. Есть инструменты, которые проверяют код, и люди, которые постоянно отслеживают новые техники атак. Эти угрозы исследуются и проверяются. На уровне beta-версий начинается проверка, в которую вовлекаются не только сами разработчики, но и сторонние эксперты. Когда продукт готовится к выпуску, то происходит полный аудит безопасности. А к чему это все приводит?

Результаты следующие. До появления TwC был выпущен целый ряд бюллетеней по безопасности SQL Server. После появления TwC - выпущен только один. Многие проблемы были устранены на уровне кода - отдельные части были просто переписаны. У Exchange нет вообще ни одного бюллетеня. Простое сравнение Windows 2000 Server: эта наиболее безопасная на сегодняшний день система (оттестированная и сертифицированная по общим критериям) через 150 дней имела 23 выявленных бреши (это без Trustworthy Computing). Windows Server 2003 готовилась уже с использованием этой технологии организации работ, и было найдено всего 9 уязвимостей. Возможно, что у продуктов других компаний вообще не найдено уязвимостей, но на сайте Red Hat удалось обнаружить, что 9-ая версия их системы за первые 150 дней была взломана 43 раза. Это говорит о том, что организованные и централизованные процессы часто бывают более эффективны, чем организованные, но менее централизованные.

Что делать самим пользователям? Начинать надо с аудита системы безопасности и политик. Все новые технологии основаны на политиках: есть политика наемного сотрудника, ввели ее, определили что человек может, что не может. Дальше любого сотрудника определяем через роль - существенно сокращаем время настроек и повышаем уровень контроля. Многие системы менеджмента и отслеживания текущей ситуацией основаны на ролевых сценариях. Следует автоматизировать процесс управления патчами. Самые крупные вирусные эпидемии вызваны только тем, что пользователи вовремя не установили нужные обновления. В качестве удаленных клиентов желательно устанавливать Windows XP - это самая надежная клиентская система линейки Windows на сегодняшний день.

Интервью с Владимиром Мамыкиным

Владимир Мамыкин - менеджер по информационной безопасности ООО "Майкрософт Рус" (так с 1 июня 2004 г. называется представительство Microsoft в России).



Алексей Доля: Владимир, какую должность вы занимаете в ООО "Майкрософт Рус"? Что входит в ваши обязанности?

Владимир Мамыкин: Я являюсь менеджером по информационной безопасности. В круг моих обязанностей входит координация деятельности в области реализации стратегии Trustworthy Computing (построения защищенных информационных систем) в России и странах СНГ. Поэтому я участвую в подготовке и проведении маркетинговых программ, конференций и семинаров, посвященных информационной безопасности (ИБ). Значительное время уделяю работе с партнерами, специализирующимися на ИБ. Принимаю участие в крупных информационных проектах, ведущихся у наших клиентов, в которых внедряются средства ИБ. Одной из самых главных моих задач в рамках реализации вышеуказанной стратегии является организация предоставления доступа российским заинтересованным организациям к исходным кодам продуктов Microsoft, сертификация продуктов в соответствии с российским законодательством и организация производства сертифицированных версий на территории России. Аналогичные задачи мы решаем также в Украине и Казахстане.


Алексей Доля: Как Microsoft позиционирует Windows Longhorn в плане безопасности? Следует ли ожидать, что Windows Longhorn будет настолько же отличаться от Windows XP, как сама Windows XP от Windows 98?

Владимир Мамыкин: Я уверен, что отличие Windows Longhorn от Windows XP будет даже больше, чем отличие Windows XP от Windows 98. Использование защищенной среды вычислений (Secure Execution Environment), модели доверенных приложений с различными уровнями доверия, модулей Trust Center и Security Advisor, наряду с уже зарекомендовавшими себя технологиями аутентификации составных частей операционной системы позволят организовать ранее не достигавшийся уровень безопасности. Кстати, все это является частью реализации стратегии Trustworthy Computing.


Алексей Доля: Microsoft планирует оснастить Windows Longhorn встроенным антивирусом? Что это даст пользователям? Насколько эффективен будет данный инструмент? Какой уровень безопасности должен обеспечить этот модуль?

Владимир Мамыкин: Вопросы встраивания антивируса в продукты Microsoft стали особенно часто возникать после приобретения нашей корпорацией румынской антивирусной компании GeCAD. Планы по выпуску собственного антивируса Microsoft еще не определены. Это еще раз подтвердил 17 июня Майк Нэш, вице-президент Microsoft Security Business Unit. С моей точки зрения, встроенный антивирус начального уровня - вещь чрезвычайно полезная. Прежде всего, с точки зрения приучения пользователя к тому, что необходимо пользоваться антивирусами. Это просто часть компьютерной гигиены, как я это называю. Так же, как и встроенный межсетевой экран начального уровня в Windows XP. При этом бизнес антивирусных компаний, создающих продвинутые антивирусы, не страдает. Более того, это расширило бы их бизнес за счет увеличения числа людей, просто знающих, что такое антивирус и зачем он нужен. Я разговаривал с некоторыми руководителями антивирусных компаний, они именно так и рассматривают это. Использование в штатном режиме технических достижений, которые до этого продавались отдельно - обычный процесс развития цивилизации.


Алексей Доля: За последние годы компания Microsoft сделала ряд серьезных шагов по защите пользователей своих операционных систем от целого ряда угроз: вирусов (имеется в виду антивирусное средство, которое будет встроено в новую версию Windows), спама (встроенный фильтр в Outlook), сетевых атак (встроенный брандмауэр). Планирует ли Microsoft и дальше наращивать усилия в этом направлении?

Владимир Мамыкин: Мы чрезвычайно серьезно относимся к тому, чтобы обеспечить защиту пользователей наших продуктов от вирусов, сетевых атак и спама. В частности, к этому направлению нашей деятельности относится не только включение соответствующих приложений в стандартную поставку, но и конфигурирование системы "по умолчанию" в максимально защищенном режиме. Это означает, что даже пользователь, плохо знакомый с особенностями настроек безопасности, после инсталляции системы получит максимально защищенную систему. Мы и дальше планируем увеличивать безопасность пользователей в этом направлении. Например, после установки SP2 для Windows XP на вашем компьютере, хакеры уже не смогут использовать для атаки на вашу систему способ, использованный ими в вирусе Blaster.


Алексей Доля: Какое развитие инициатива Trustworthy Computing получит в будущем?

Владимир Мамыкин: Стратегия создания защищенных систем будет продолжать активно внедряться: будет совершенствоваться архитектура (Secure by Design), в том числе за счет интеграции с аппаратными средствами, будут совершенствоваться методы и средства, облегчающие пользователю его повседневную работу с защищенными системами (Secure by Default и Secure by Deployment), и, конечно же, будут продолжать совершенствоваться способы обратной связи с конечными пользователями (Communications). Ведь только зная мнение потребителей можно совершенствоваться. Trustworthy Computing - это долгосрочная стратегия.


Алексей Доля: Компания Microsoft регулярно борется со спамерами и создателями вирусов. Я имею в виду судебные иски и награды гражданам за помощь правоохранительным органам. Насколько успешны попытки Microsoft хоть как-то переломить ситуацию? Помогли ли объявления о вознаграждении в поисках создателей самых опасных вирусов?

Владимир Мамыкин: Переломить ситуацию в борьбе с создателями вирусов и распространителями спама могут только совместные усилия общества и правоохранительных органов. Мы лишь стараемся как можно активнее участвовать в этом процессе. Хотя, как мне кажется, поданные в Великобритании и США судебные иски против лиц, подозреваемых в массовой несанкционированной рассылке электронных сообщений, заставили многих спамеров задуматься о том, насколько долго их деятельность может остаться безнаказанной. Что касается борьбы с вирусописателями, то здесь результаты еще более ощутимы. В ноябре 2003 года мы объявили о программе вознаграждений объемом 5 млн. долларов для граждан, оказывающих помощь правоохранительным организациям в их деятельности против распространения вирусов. Получив информацию об этой программе, несколько лиц в Германии в мае 2004 г предоставили информацию немецким властям о создателе червя Sasser в обмен на объявленную Microsoft награду. Благодаря этой информации немецкая полиция раскрыла не только деятельность по созданию червя Sasser, но также и червя Netsky, запущенного 16 февраля 2004 г.


Алексей Доля: Владимир, большое спасибо, что уделили нам время и ответили на все наши вопросы. Всего вам доброго и удачи!