2004 г.
Чем измерить безопасность Интернет?
Алексей Лукацкий
Статья была опубликована в журнале "Технологии и средства связи"
Мир реальный
Угроза терроризма растет с каждым днем и, понимая это, Министерство национальной безопасности США (Homeland Security Department) в 2002 году разработало специальную шкалу (Threat Advisory), позволяющую любому человеку в мгновение ока оценить текущий уровень угрозы со стороны террористов. Эта шкала содержит 5 уровней, названных "состояниями угрозы" (Threat Conditions) и которые описывают текущий уровень риска террористических атак. Самый безопасный, нижний, уровень (Low Condition) присваивается, когда опасность террористических атак невелика. Самый высокий и, значит, опасный, уровень - пятый (Severe Condition). Самый яркий пример, когда мог быть назначен этот уровень - 11 сентября 2001 года в США или 23 октября 2002 года в Москве.
Такая шкала - не изобретение Министерство национальной безопасности. До него ее активно использовало и использует до сих пор Министерство Обороны США. Те же 5 уровней угрозы получили название - ThreatCon, позже переименованные в FPCON (Force Protection Condition). Отсутствие угрозы получило название - Normal, а реальная угроза со стороны террористов именуется - Delta (между этими уровнями также существуют Alpha, Bravo и Charlie).
Мир виртуальный
Однако угрозу обычного терроризма я оставлю за рамками данной статьи и сконцентрируюсь на кибертерроризме, который также все чаще поднимает голову. Все большее число традиционных и электронных СМИ пестрят сообщениями о той или иной проделке хакеров - от взлома сайта никому неизвестной компании "Голохвостов и компания" до проникновения в сети ядерных центров (см. статью "Хакеры управляют ядерным реактором"). Хуже того. Даже обычный домашний пользователь может стать жертвой кибертеррористов, т.к. различные эпидемии захлестывают Интернет все чаще и чаще. RedCode, Nimda, Klez, Slammer… Как долго это будет продолжаться и как рядовой пользователь Интернет может противодействовать этой угрозе?
Не надо изобретать велосипед. Идею можно позаимствовать у спецслужб и перенести систему оповещения об уровне угрозы в виртуальный мир. Некоторые известные в мире информационной безопасности компании так и поступили и теперь любой администратор или домашний пользователь может заранее узнать о возможной эпидемии или массовой атаке и соответствующим образом подготовить к ней свою или сеть или компьютер.
На сегодняшний день можно выделить 3 основных источника информации об уровне защищенности Интернет. Первой по праву идет компания Internet Security Systems, которая уже не первый год поддерживает ежедневно обновляемый сервис AlertCon, который не только позволяет оценить текущий уровень киберугрозы, но и понять, почему группа экспертов X-Force компании ISS приняла такое решение. Ключевым достоинством AlertCon является наличие рекомендаций, позволяющих быстро устранить причину проблемы.
Вторым источником информации об уровне угроз в Интернет можно назвать широко известный специалистам сайт SecurityFocus, который был в прошлом году куплен компанией Symantec. Данный сервис, немудрствуя лукаво был назван ThreatCon, как и аналогичная шкала Министерства Обороны. Он , также как и AlertCon, содержит 4 постепенно нарастающих уровня угрозы - от нижнего до экстремального. Единственное отличие Symantec ThreatCon от ISS AlertCon - в отсутствии рекомендаций по защите своей сети.
Третьим по эффективности можно назвать сервис Infocon, поддерживаемый центром анализа Internet-атак Internet Storm Center. Данный сервис также как и другие информирует пользователей о текущем уровне угрозы, но не содержит ни подробного описания текущего состояния безопасности Интернет, ни тем более рекомендаций по защите. Однако, хотя сервис Infocon и не столь информативен, этот недостаток компенсируется сайтом центра, на котором специалист по информационной безопасности найдет много интересного - начиная от наиболее часто атакуемых сервисов и портов и заканчивая регулярно обновляемым списком адресов злоумышленников. Аналогичную информацию предоставляет и компании Symantec и Internet Security Systems. Первая предлагает услугу X-Force Threat Analysis Service, а вторая - Symantec DeepSight Threat Management System. Однако данные услуги не бесплатны и доступны только зарегистрированным пользователям. Однако в отличие от Internet Storm Center компании ISS и Symantec предлагают информацию персонифицированную для конкретного пользователя, например, все атаки и уязвимости для ПО, используемого заказчиком.
Учитывая постоянный рост числа инцидентов, хакерских атак и эпидемий червей хотелось бы, чтобы и в России появился аналогичный сервис, облегчающий отечественным пользователям Интернет анализ текущего уровня Интернет-безопасности.
Кстати, учитывая все возрастающую угрозу со стороны обычных террористов в России, отечественный спецслужбы также могли бы разработать инструмент аналогичный американскому Threat Advisory, облегчающему жизнь рядовому обывателю и позволяющему ему адекватно оценивать текущую опасность.