2001 г
Дата-центры и хостинг в Сети. Опасности и безопасность.
Михаил Елагин (myelagin@ibs.ru)
"Если у Вас паранойя, то это еще не значит, что за Вами никто не следит"
Дата-центры - новое явление, приходящее на смену интернет-хостинг провайдерам в тех областях, где требуется повышенная надежность и высокий уровень информационной безопасности. Предоставление в аренду приложений, хранение и обработка больших объемов критически важной информации в сочетании с предоставлением доступа к такой информации через Интернет - вот основные функции дата-центров, современных "крепостей для данных". И поэтому вопросы информационной безопасности и защиты выходят для центров обработки данных на первое место.
Несмотря на постоянные сообщения о "хакерских атаках", наносящих, если верить публикациям, миллиардные убытки, все больше и больше компаний использует Интернет в своем бизнесе. Хорошо это или плохо, но это неизбежно. Бизнесу, который становится все более глобальным и распределенным, требуется единая среда, единое пространство для работы с информацией. И здесь альтернативы для Интернет на сегодняшний день нет.
Сегодня Интернет - единственное действительно всеобщее пространство, позволяющее передавать, хранить, обрабатывать информацию, имеющее развитую инфраструктуру, набор дружественных протоколов и интерфейсов, и доступное, практически, всюду.
Альтернативой могли бы стать сети X.25, но в силу ряда причин их развитие замерло, и сейчас они используются ограниченно, в специальных целях. При необходимости из Интернет может быть организовано взаимодействие с такими (и другими) сетями и их ресурсами. Это позволяет использовать дополнительные возможности, например, передачу и прием факсимильных, телексных и телетайпных сообщений, выход в специализированные банковские сети, пересылку электронных сообщений обычной "бумажной" почтой, передачу SMS через e-mail и электронной почты на сотовые телефоны.
Интернет неизбежно становится средой, через которую обеспечивается доступ к корпоративным данным, в том числе, и к информации, являющейся критичной. Когда оперативность и удобство доступа из любой точки земного шара к большим объемам данных становится крайне важными, выбора практически не остается. И если государственные организации, такие как военные или дипломатические ведомства, могут позволить себе использовать закрытые сети, изолированные от остального мира, у коммерческих организаций этой возможности нет: это невыгодно, неудобно и нецелесообразно.
В связи с этим все большее распространение получают услуги современных дата-центров, которые обеспечивают надежный хостинг и предусматривают расширенные возможности обеспечения безопасности данных. Так, например, при удаленной работе с приложениями по схеме ASP (аренда приложений, Application Service Provision) безопасность обеспечивается за счет комплексной системы защиты, включающей в себя межсетевые экраны, сканеры обнаружения вторжений, системы аудита журнальных файлов, системы анализа статистических характеристик трафика и многое другое.
Задачи информационной безопасности (да и безопасности любого другого рода) сводятся, как правило, к минимизации ущерба при возможных воздействиях, а также к предсказанию и предотвращению таких воздействий.
Соответственно, составляющими информационной безопасности являются:
- определение объектов, на которые могут быть направлены угрозы;
- выявление существующих и возможных угроз;
- определение возможных источников угрозы;
- оценка рисков;
- методы и средства обнаружения враждебного воздействия;
- методы и средства защиты от известных угроз;
- методы и средства реагирования при инцидентах.
Какие объекты в информационных системах могут подвергаться угрозам?
Собственно информация. Ее можно а) украсть; б) уничтожить; в) изменить; г) заблокировать; д) скомпрометировать. Но информация сама по себе пассивна, для того, чтобы влиять на нее, нужно воздействовать на носитель или систему, в которой информация "живет". Для защиты информации от раскрытия и несанкционированного изменения используются получившие в последние годы серьезное развитие методы криптозащиты.
Оборудование и элементы инфраструктуры. Сюда относятся серверы, активное сетевое оборудование, кабельные системы, электропитание, вспомогательные системы. Для таких объектов существует угроза физического воздействия, которое может привести к повреждению объекта, потере функциональности, либо к появлению в системе чужеродных объектов, влияющих на работу системы или осуществляющих съем информации. Кроме того, существует риск похищения объектов защиты. Это не кажется смешным, особенно с учетом того, что в 2000 году усредненный ущерб от кражи лэптопов составил более 10 миллионов долларов. Для минимизации риска в этом направлении используются классические методы физической защиты (защитный периметр, пропускная система и контроль доступа персонала, видеонаблюдение, "закладки" и системы сигнализации, срабатывающие при похищении оборудования, вооруженная охрана, служба собственной безопасности и т.п.) Что касается вирусов, выжигающих оборудование, это, к счастью, пока только легенды (и, возможно, вопрос относительно далекого будущего).
Программное обеспечение. Это операционные системы, прикладные программы, сервисы. И это основные цели классических атак и основные источники уязвимостей. Атаки на такие объекты могу привести а)к краху системы (программы, сервиса), частичной или полной потере функциональности; б)выполнению атакующей стороной (или в результате внешнего воздействия) несанкционированных либо непредусмотренных действий внутри системы; в)получению контроля над системой.
Защита от атак, использующих уязвимость программного обеспечения, как правило, и является основной задачей классических систем информационной безопасности.
Персонал. Анализ возможностей физического и психологического воздействия на системного администратора выходят за рамки этой статьи. Хотя, если серьезно говорить о безопасности в целом, администратор крупной информационной системы должен являться объектом защиты. И объектом пристального внимания службы собственной безопасности. Пока остановимся на том, что целенаправленное или случайное воздействие на персонал, имеющий административные полномочия в системе, может привести к возникновению существенных рисков. Отметим также, что для отдельных систем "цена вопроса" может оказаться сопоставимой со стоимостью всей системы.
Мы рассмотрели основные объекты, подвергающиеся угрозам с точки зрения информационной безопасности.
Кто и что может представлять угрозу для информации? Кто может выступать субъектом воздействия такого рода, и какие средства могут при этом применяться?
"Злоумышленник". Некто, в силу определенных мотивов осуществляющий сознательные действия, которые могут нанести ущерб. Мотивы могут быть самые разные - от спортивного интереса до обиды на работодателя. Или до исполнения служебных обязанностей сотрудником заинтересованной организации.
"Администратор". Лояльный сотрудник, имеющий полномочия суперпользователя, который в силу каких-либо обстоятельств непреднамеренно осуществляет действия, наносящие ущерб. Причиной может быть элементарное отсутствие квалификации, усталость, чрезмерная загрузка. Классический пример - команда rm -rf / * (удалить все файлы, включая вложенные директории, без подтверждения) в UNIX, ставшая темой анекдотов и страшных историй. И, тем не менее, периодически выполняемая. Администратор имеет практически неограниченные полномочия в системе, и даже если какая-то информация защищена от изменения и компрометации, очень сложно предотвратить ее уничтожение.
"Вирусы". Обобщим под этим названием все "самовоспроизводящиеся" программы, созданные человеком, но во многом живущие своей собственной жизнью, подчиняясь заложенному в них алгоритму. Это и вирусы, и черви, и распространяющиеся с ними "троянские кони". Контроль за ними со стороны создателя может быть полностью утерян (пример - сетевой червь Морриса), или частично сохранен (Code Red). В случае вирусной атаки выяснить первоначальный источник заражения и автора программы во многих случаях невозможно (по крайней мере, это выходит за рамки обязанностей и возможностей специалистов по безопасности информационных систем и провайдеров).
Разумеется, есть еще "форс-мажорные обстоятельства, то есть обстоятельства непреодолимой силы, выходящие за пределы разумного предвидения и контроля сторон, как то…." и т.п., но это вопрос скорее юридического характера. И хотя относящиеся к форс-мажорным обстоятельствам катастрофы, стихийные действия, террористические акты, действия правительства и властей и т.п. и т.д., безусловно, представляют угрозу для информации (а также для специалистов по безопасности), это тема для другой статьи.
Согласно последним данным, опубликованным Институтом Компьютерной безопасности [Computer Security Issues & Trends, 2001 CSI Computer Crime and Security Survey], на первом месте по количеству зафиксированных инцидентов стоят вирусные атаки. На втором месте - кражи лэптопов. На третьем - действия инсайдеров внутри сети. И только на четвертом месте, со значительным отрывом, идет проникновение в сеть извне.
Что касается заявленного финансового ущерба, то здесь данные не столь достоверны - с учетом того, что слишком многое можно списать на вошедших в моду хакеров и сорвавшихся с цепи сетевых червей. С другой стороны, далеко не все пострадавшие заявляют о нанесенном ущербе, боясь испортить репутацию компании. Разброс цифр очень велик - так, для удаленных атак заявленная сумма ущерба колеблется от 100 долларов до 10 миллионов на каждую атаку, при средней величине в $500, для вирусных атак - от 100 долларов до 20 миллионов, а усредненная цифра - чуть больше 200 долларов.
При этом есть категории инцидентов, где средний ущерб действительно велик - это финансовое мошенничество и кража информации. Так, для мошенничества величина среднего ущерба оценивается почти в 4,5 тысячи долларов, при совокупном заявленном ущербе, приближающемся к 100 тысячам долларов. И эта информация подтверждается, в частности, сообщениями о банкротстве ряда фирм, занимавшихся интернет-торговлей.
Вероятность атаки, направленной на сеть хостинг-провайдера или дата-центр, велика. В первую очередь, это обуславливается большим числом размещаемых ресурсов. В случае дата-центров становится существенным и характер размещаемой информации, ее высокая цена и критичность. В этом случае нельзя исключать опасности профессионально подготовленной и проведенной атаки, направленной на получение или уничтожение информации, а также на получение контроля над ресурсом.
В случае "классического" хостинга (понимая под этим компании, специализирующиеся на виртуальном веб-хостинге) профессиональная атака маловероятна, но заведомо велико число лобовых, "brute force" атак, а также атак с использованием хорошо известных уязвимостей. Весьма вероятны атаки на почтовые серверы с целью безнаказанной передачи большого объема спама (незапрошенной информации, как правило, рекламного характера). Что касается сложных профессиональных атак, то их подготовка требует достаточно серьезных усилий (а по возможности и участия инсайдеров), что по цене окажется гораздо дороже полученного результата, даже при успешной реализации атаки.
Политика безопасности различна для разных организаций и систем. Как по разному выстраивается обеспечение безопасности жилого дома, магазина и атомной станции, точно так же по разному строится информационная безопасность хостинг-провайдера, корпоративной информационной системы и дата-центра.
Дата-центры, или Центры Обработки Данных, ЦОД - новое явление, вызванное развитием сети (а также развитием бизнеса в сети). Крупные компании, выходящие в Интернет, предъявляют свои требования, в первую очередь, касающиеся уровня оказания услуг и обеспечения безопасности. При этом большинство существующих хостинговых компаний ориентировано на другой сегмент рынка и имеет свою специфику. В большинстве своем они не готовы к решению подобных задач. Если вернуться к нашей метафоре, то жилые дома не предназначены для размещения промышленных площадок и банков, а тем более, атомных станций.
Хостинговые компании появились раньше дата-центров и в иной экономической ситуации (как в России, так и на Западе). У большинства таких компаний основная задача - предоставление недорогих и достаточно профессиональных услуг по размещению и поддержке веб-сайтов и несложных почтовых систем. Среди клиентов оказываются и частные лица, и небольшие компании, и бюджетные организации, и шоу-бизнес, и многие другие. Крупный корпоративный бизнес и организации, связанные с властью и управлением, как правило, не работает с хостинговыми компаниями именно в силу низкой защищенности и негарантированности уровня оказания услуг.
Задача снижения себестоимости во многом определяет структуру информационной системы "классического хостера". Как правило, используются "не-брендовые" серверы под управлением Linux или Free-BSD, веб-серверы Apache, базы данных MySQL и Postgress, и скрипты на Perl и PHP. Все это имеет плюс в виде бесплатности и минус в отсутствии нормальной технической поддержки от вендоров (впрочем, веб-серверы Apache действительно весьма надежны и удобны).
Надо отметить, что во многих случаях "классические" хостинг-провайдеры не имеют собственного активного сетевого оборудования и собственных каналов связи, используя инфраструктуру провайдера. С одной стороны, это позволяет значительно снизить цену на услуги, с другой - лишает возможностей контроля и значительно ограничивает возможный уровень обеспечения безопасности.
В целом, общий уровень защиты у среднего хостера адекватен цене размещаемой информации и возможным угрозам. Политика безопасности, как правило, не разрабатывается, а все изменения в системе проводятся одним или несколькими администраторами. Отсутствие поддержки со стороны вендоров, небольшие штаты - все это, с одной стороны, заставляет системных администраторов быть всегда в хорошей форме, но с другой стороны серьезно снижает возможности и уровень защиты.
Впрочем, как мы уже говорили, для разных категорий объектов подходят свои методы защиты, и не имеет смысла на каждый жилой дом ставить зенитку и систему противоракетной обороны. И в задачи охранника жилого дома входит борьба с хулиганами и ворами, но никак не отражение атаки коммандос и не отлов профессиональных разведчиков.
Дата-центры стали появляться сравнительно недавно, и их, по большому счету, нельзя считать развитием хостинговых компаний. Это совсем другая структура, ориентированная на предоставление сложных комплексных услуг, которые могут требоваться заказчику (как правило, корпоративному). При этом одной из особенностей дата-центров является их высокая защищенность - и в смысле защиты территории, и в смысле технических средств и организационных мер безопасности.
В обеспечении информационной безопасности в дата-центрах есть своя специфика. В первую очередь - это необходимость обеспечения "прозрачного" доступа клиентам, работающим через Интернет (в том числе, и через терминальные сервисы), при соблюдении очень жестких требований к защите информации. Еще одной особенностью является использование разнообразных платформ и приложений, что не позволяет сконцентрироваться на безопасности какой-либо одной платформы или одной линии продуктов. Следует учитывать и то, что доступ к определенной категории клиентской информации не должен иметь никто, включая администраторов системы.
Надо учитывать и то, что для большинства коммерческих продуктов режим ASP появился сравнительно недавно. Соответственно, такие продукты не имеют длительной истории эксплуатации в режиме разделенного удаленного доступа и, соответственно, не могут похвастаться тщательным тестированием на уязвимости. Поэтому перед запуском ASP-продукта необходима длительная процедура тестирования и конфигурирования. Для определения настроек брандмауэров требуется анализ трафика, определение диапазона открытых портов, статистических характеристик трафика в различных режимах.
Рассмотрим некоторые конкретные элементы защиты, их возможные реализации и целесообразность применения в различных ситуациях.
"Нулевой" рубеж обороны - это сокрытие структуры сети, так называемая имитационная защита. Специальное программное обеспечение эмулирует сетевые сегменты, сервера и уязвимости. Постоянный контроль за атаками на несуществующую сеть позволяет выявить источники угроз. С другой стороны имитационная защита вводит в заблуждение потенциальных агрессоров и затрудняет определение истинной структуры системы и планирование атак.
Первый рубеж защиты - детектор вторжений, IDS. Производя анализ входящего трафика, эта система отслеживает появление сигнатур известных типов атак. В ряде случаев устанавливается система адаптивной защиты, в которой при обнаружении определенных сигнатур осуществляется изменение списков доступа на сетевом экране (firewall). Таким образом, осуществляется оперативное блокирование источника атаки. При этом целесообразно ограничивать число проверяемых сигнатур (что характерно, например для Cisco IDS - NetRanger). Это позволяет увеличить быстродействие и снизить вероятность ложных тревог (что критично для адаптивной системы). Снижение числа обнаруживаемых атак компенсируется применением дополнительных систем обнаружения вторжений в локальных контурах защиты (чаще всего используется свободно распространяемый детектор SNORT).
Стоит отметить, что с использованием IDS связан ряд проблем. В первую очередь, это ложные срабатывания. Подобная ситуация наблюдалась во время "эпидемии" Code Red и NIMDA. Эта проблема решается, но возможность таких событий всегда надо иметь в виду.
В компаниях, занимающихся "классическим" виртуальным веб-хостингом, аппаратные IDS практически не используются, в первую очередь в силу дороговизны. Программные "легкие" детекторы тоже используются довольно редко, так как они требуют значительных системных ресурсов. Анализ трафика (разбор пакетов) производится при необходимости "в ручную", с использованием утилит типа tcpdump. Основная масса атак отслеживается при анализе журнальных файлов.
В дата-центрах использование и аппаратных, и программных IDS является неизбежным.
Второй уровень защиты - это разделение зон безопасности, закрытых сетевыми экранами, и разделение трафика за счет использования виртуальных сетей VLAN. Трехуровневую структуру ("внешняя зона", "демилитаризованная зона" и "внутренняя зона") можно считать стандартным решением. Межсетевые экраны - это хорошо описанная классика. Виртуальные сети (VLAN) в классическом хостинге используются значительно реже - в основном в силу иной структуры сети и упоре на виртуальный хостинг. Задача изоляции клиентского трафика в UNIX-системах виртуального хостинга решается программными средствами.
Настройка межсетевых экранов при сложной структуры сети является нетривиальной задачей. В целом, используется принцип "запрещено все, что не разрешено".
Из других методов защиты, использование которых неизбежно, следует выделить антивирусную защиту. Идеальным решением является централизованный антивирусный мониторинг, причем выбор программного обеспечения здесь достаточно широк и зависит от вкуса и финансовых возможностей. Что касается антивирусного контроля почты с автоматическим удалением зараженных сообщений, то это вещь несколько сомнительная. Многие предпочитают получать почту в неизменном виде. Не всегда приятно, когда антивирусная система молча "съедает" сообщения, содержащие, скажем, сигнатуры вирусов или сообщения пользователя о возможности вирусной атаки с прикрепленным подозрительным файлом. С другой стороны, слабый "гигиенический" уровень большинства пользователей и постоянные вирусные атаки делает вирусный контроль пользовательских почтовых ящиков желательным. По крайней мере у пользователя должен быть выбор, и для разных категорий пользователей должны применяться различные типы реагирования.
Анализ журнальных файлов является неотъемлемой частью системы безопасности независимо от класса и уровня компании, и на нем нет смысла останавливаться.
Контроль доступа и идентификация пользователей - тоже неотъемлемая часть системы безопасности, постоянно обсуждаемая и описываемая. Однако стоит остановиться на контроле доступа администраторов и операторов, имеющих административные полномочия в системе. Постоянной проблемой является генерация и смена паролей суперпользователей. Из соображений безопасности их следует менять действительно часто. Что либо не происходит, либо пароли root оказываются записанными на всех доступных поверхностях. Неплохим выходом является использование современных средств идентификации и контроля доступа. Собственно, реально используется несколько основных методов, в частности, на основе бесконтактных элементов памяти ("таблеток") Dallas Semiconductor, на основе смарт-карт (Schlumberger и аналогичных), а также системы биометрического контроля.
Последние (для случая центра управления сетью дата-центра) кажутся предпочтительней, так как палец или глаз потерять сложнее, чем брелок с элементом памяти. И есть гарантия, что в систему входит именно уполномоченный пользователь, а не некто, нашедший ключ.
Из систем биометрического контроля наиболее распространены сканеры отпечатка пальца (Compaq Fingerprint, Identix, "мыши" и "хомяки"-"Hamster"). Эти системы, как правило, недороги, многие по цене не превышают 100 долларов. Сканеры радужной оболочки глаза пока дороги и недостаточно надежны.
Разумеется, нет смысла перечислять все технические методы обеспечения безопасности.
Но следует иметь в виду, что только технических средств, какими бы мощными они не были, недостаточно для поддержания даже минимального уровня безопасности.
Некорректные действия администратора могут нанести ущерб больший, чем все вирусные атаки. Ошибка пользователя, самостоятельно администрирующего свои приложения, может свести "на нет" все усилия по безопасности. Логин "demo" и пароль "test" встречались и встречаются до удивления часто. Также, как и пароли "sdfgh" и "54321").
Что еще характерно для центров обработки данных - это наличие разработанной политики безопасности, жесткая регламентация и разработанная система документации.
Жесткая регламентация действий персонала, в том числе (и в первую очередь) системных администраторов, конечно, имеет и свои минусы, в частности, снижает оперативность при необходимости проведения нестандартных действий. С другой стороны, имеется гарантия исполнения действий предписанных и необходимых. При этом увольнение специалиста с административными полномочиями не влияет на нормальное функционирование и не снижает общего уровня безопасности. Кроме того, наличие системы собственной безопасности позволяет минимизировать ущерб от возможных действий персонала, имеющего административные полномочия в системе.
Еще один важный момент - корпоративная политика и этика. В дата-центрах работает большое число людей. И от них зависят очень многие вопросы, касающееся безопасности. И если администраторы и технический персонал преданы организации и не станут инсайдерами, работающими на конкурента - это уже наполовину обеспеченная безопасность системы.
Важным моментом является реагирование на инциденты. Клиенты дата-центра должны быть максимально защищены, и в случае реализации угроз должны приниматься необходимые и адекватные меры.
Разумеется, не всегда легко определить истинный источник угрозы, но в большинстве случаев это возможно. И нельзя пренебрегать административным реагированием. Во-первых, существует сетевой этикет и общепринятые правила, которых придерживается подавляющее большинство провайдеров. И если они получают доказательные материалы, подтверждающие атаку из их сети, то, как правило, реагируют жестко и адекватно. Но только в том случае, если им предоставляются действительно веские доказательства. Кроме того, в большинстве развитых государств существуют организации или подразделения, занимающиеся борьбой с преступлениями в Сети. Как правило, они реагируют в том случае, если преступление совершено на их территории или ущерб нанесен их резидентам. Но с учетом ужесточения политики контроля за Интернет в связи с угрозой терроризма можно не сомневаться, что в случае действительно серьезных событий необходимое расследование будет проведено.
В любом случае служба информационной безопасности дата-центра имеет возможность административного реагирования на инциденты. При определенной настойчивости, знании структуры международных и национальных органов сетевой и общей безопасности, знании законодательства шанс на адекватную реакцию весьма велик. Стоит помнить, что безопасность - это не только технические средства и умения, но и сбор информации, анализ по многим критериям, синтез, и, разумеется, искусство.
В качестве примера можно привести статистику IDS (детектора вторжений), контролирующего одну из сетей проекта DATA FORT. За четыре дня октября было зафиксировано более 50000 сигнатур атак. Основную массу внесли "черви" Nimda (более 40000 обнаруженных сигнатур), причем основная масса атак шла из одного источника- из сети немецкого ISP-провайдера. Атака прекратилась после уведомления администраторов сети. Так как Nimda использует известные уязвимости, которые были закрыты администраторами DATA FORT сразу после их обнаружения, никакого ущерба вирусная атака не нанесла.
Из других попыток вторжения зафиксировано две попытки использования очень старых уязвимостей в FTP и три атаки на почтовые системы (опять-таки попытки использования хорошо известных уязвимостей). Разумеется, безрезультатных. В этих случаях административные меры не принимались (слишком любительский характер носили эти попытки).
Кроме того, зафиксировано 149 попыток определения версии DNS (источники- в самых разных сетях), плюс 40 попыток сканирования портов (опять-таки различные источники атаки). В целом ничего явно противозаконного в таком сканировании нет - просто попытки, не утруждая себя, отыскать слабое место в сети. Но зафиксированные источники сканирования занесены в базу данных как потенциально угрожающие.
Все смоделированные атаки (сканирование сети, "лобовые атаки", атаки на уязвимости IIS) были обнаружены и правильно идентифицированы.
Какие угрозы могут появиться в будущем?
Во первых, писать "вирусоподобные" программы становится все проще, с другой стороны, они становятся мобильными и могут функционировать на любой платформе. Многие новые "черви" и "троянские кони" не имеют явной разрушительной функции, а предназначены в первую очередь для получения контроля над пораженным узлом - часто для организации массовых распределенных атак и создания "боевых сетей".
Распределенные атаки становятся все более частыми и опасными. Так, DDoS (распределенные атаки типа "отказ в обслуживании") представляют собой новую и весьма серьезную угрозу. Такая атака является многоуровневой, и атаку осуществляют "зомби" - троянские программы, функционирующие на пораженных компьютерах, и управляемые мастер-программами, также работающими на "взломанных" компьютерах. В результате оказывается практически невозможно отследить реальный источник угрозы, "центр управления" атакой. Кроме того, защититься от атаки, идущей одновременно с сотен и тысяч источников, крайне затруднительно.
Распределенными становятся и вычисления. Более того, такие вычисления могут производиться и без ведома владельцев компьютеров. Прецеденты уже есть. И хотя в известных случаях цели была вполне мирными (ресурсы компьютеров использовались для поиска сигналов внеземных цивилизаций), никто не гарантирует, что красивые скринсейверы на десятках тысяч машин не будут на самом деле заниматься криптографическим анализом в чьих-то интересах.
Еще одна интересная тенденция - попытки обхода криптозащиты с помощью косвенных методов. Реальный пример был опубликован совсем недавно. И хотя подобная попытка "взлома" (а точнее, обхода) защищенного протокола SSH за счет анализа временных промежутков между посылками выглядит скорее курьезом, она может оказаться "тенью грядущего зла". Увеличение мощности компьютеров и возможность организации параллельных распределенных вычислений в сочетании с современными математическими методами (в частности, с корреляционными методами анализа, использованием нейронных сетей) может привести к резкому падению защищенности информации.
И еще одно. Вероятность войн в киберпространстве становится все более высокой. И, как показали недавние события в США, противник может быть анонимным и сильным. При этом информационные системы крупных корпораций и дата-центры могут стать мишенью номер один. В этом случае придется столкнутся с массированными и хорошо подготовленными атаками, противостоять которым сможет только хорошо продуманная и отлаженная система защиты.
Сегодня сетевые дата-центры являются первопроходцами в создании именно таких, комплексных систем безопасности в отношении своих многочисленных клиентов.
Об авторе:
Михаил Ростиславович Елагин - специалист по регламентации и сетевой координатор проекта DATA FORT корпорации IBS. Занимается разработкой регламентирующей документации, общими вопросами информационной безопасности, взаимодействием с координирующими организациями Интернет.