Дослідження: “IM – Instant Messenger or Information Misuse?”, Безпека ПЗ, Security & Hack, статті







Програми обміну миттєвими повідомленнями (IM – Instant Messaging), спочатку розраховані на домашніх користувачів, сьогодні стали повноцінним інструментом бізнес-комунікацій. Найчастіше, спілкування за допомогою популярних IM-клієнтів дозволяє домогтися більш тісних і дружніх контактів, ніж використання традиційних способів зв’язку, таких як телефон або електронна пошта. Однак поряд з очевидними перевагами, IM-програми мають і ряд недоліків – вони відволікають службовців від своєї основної діяльності і, що більш важливо, є потенційною проломом в системі безпеки підприємства.

Введення

Програми обміну миттєвими повідомленнями (IM – Instant Messaging), спочатку розраховані на домашніх користувачів, сьогодні стали повноцінним інструментом бізнес-комунікацій. Найчастіше, спілкування за допомогою популярних IM-клієнтів дозволяє домогтися більш тісних і дружніх контактів, ніж використання традиційних способів зв’язку, таких як телефон або електронна пошта. Однак поряд з очевидними перевагами, IM-програми мають і ряд недоліків – вони відволікають службовців від своєї основної діяльності і, що більш важливо, є потенційною проломом в системі безпеки підприємства.

Загрози, пов’язані з IM-технологіями, досить різноманітні. По-перше, існує маса шкідливих програм, що атакують користувачів тих чи інших IM-протоколів. По-друге, уразливості в програмах-клієнтах можуть служити прекрасною мішенню для хакерських нападів. І, по-третє, через IM-мережі постійно передається конфіденційна інформація, яку досить легко перехопити. Ну а якщо у вашій компанії з’явився інсайдер, то цю інформацію не треба навіть перехоплювати – йому цілком достатньо просто вислати свого зовнішнього контакту по IM-клієнта.

Це дослідження присвячене вивченню ризиків, які виникають в компаніях при використанні IM-клієнтів, а також тому, як організації реагують на ці ризики. Основна мета дослідження – визначити загрози ІТ-безпеки, пов’язані із застосуванням IM-програм в російських компаніях, і запропонувати найбільш ефективні методи захисту від них.


Основні висновки


* Переважна більшість (92,4%) респондентів визнають небезпеку IM-технологій, але практично кожен другий (48,6%) на практиці не діє і повністю ігнорує виникають ризики ІТ-безпеки.
* Основна загроза, яка виникає при використанні IM-клієнтів, це витік конфіденційної інформації (42,3%), що абсолютно справедливо: кожен четвертий респондент (24,5%) погодився, що постійно пересилає класифіковані відомості через IM-клієнт, а ще 15,8% не змогли дати однозначну відповідь.
* Майже половинка компаній (41, 4%), захищаються від IM-загроз, використовують блокування трафіку, а майже третина (27,0%) – адміністративні обмеження. Таким чином, респонденти вважають за краще забороняти IM-трафік, замість того, щоб контролювати це ефективний засіб комунікації.
* Лише трохи більше половини (57,9%) респондентів, які використовують блокування трафіку, вважають цю міру ефективною. Навпаки, три чверті компаній впевнені, що адміністративні обмеження (74,7%) і моніторинг IM-трафіку (78,9%) є ефективним засобом захисту від IM-загроз.
* Незважаючи на високі ризики, компанії малого бізнесу (до 100 робочих станцій) на 23,8% рідше використовують спеціальні засоби для захисту від IM-загроз, ніж великі корпорації (більше 501 користувача). Останні захищаються також далеко не завжди – заходи приймаються тільки в 66,8% випадків.

Методологія дослідження

Дослідження проводилося в період з 1 травня по 1 червня 2007 року. В процесі збору первинних статистичних даних брав участь 1101 респондент з різних країн, що заповнили онлайн-анкети (див. додаток) на порталі SecurityLab.ru. Питання, наведені в анкеті, були адресовані, насамперед, професійної аудиторії SecurityLab.ru, яка традиційно складається з досвідчених фахівців в області інформаційних технологій та інформаційної безпеки.

Зазначимо, що перше російське дослідження, присвячене безпеки IM-клієнтів в корпоративному середовищі, було проведено аналітичним центром InfoWatch в середині 2005 року («Інтернет-пейджери: пролом внутрішньої безпеки або майбутнє засіб бізнес-коммунікакій? “). Незважаючи на те, що база респондентів в минулому і сьогоденні дослідженнях значно відрізняються, деякі паралелі між ними провести все-таки можна. Тому, порівнюючи цьогорічні результати з показниками дворічної давності, аналітичний центр InfoWatch зупинятиметься тільки на самих загальних тенденціях.

Наведені нижче дані є округленими до десятих часток цілих чисел. В деяких випадках сума часток відповідей перевершує 100% через використання різноманітних питань.
Потре респондент

На рис. 1 представлений портрет респондентів за кількістю комп’ютеризованих робочих місць в організації. Найбільша частина опитаних співробітників працюють переважно в малих компаніях (61,3%), що мають не більше 100 робочих станцій. На частку середнього бізнесу (101-500 комп’ютеризованих місць) довелося 21,7%. Частина респондентів (17,0%) представляє, відповідно, великий бізнес. В подальшому результати опитування будуть сегментовані в залежності від розмірів бізнесу респондентів.
Використовувані IM-клієнти

Згідно з результатами дослідження (рис. 2), переважна більшість користувачів (74,3%) використовують сервіс ICQ, що свідчить про високу популярність даної програми в Росії. Правда, більше половини (54,3%) респондентів застосовують не тільки ICQ, але й інші IM-програми, а значить, кілька збільшують вірогідність можливих ризиків. У порівнянні з результатами дворічної давності, ситуація практично не змінилася: IM-клієнти не використовують 12,8% опитаних, причому вплив відмінностей в базі респондентів на цей фактор можна вважати несуттєвим.

Таким чином, технології IM стали повноцінним засобом бізнес-комунікації. Версія про їх можливе відмирання у зв’язку з проблемами безпеки не витримала перевірки часом. Бізнес-вигода, яку приносить використання IM, настільки велика, що абсолютна більшість компаній готові застосовувати IM-клієнти, незважаючи на їх очевидну незахищеність. Остання теза чудово розуміють і зловмисники, що неминуче призведе до поширення шкідливих програм, що експлуатують уразливість пейджерів. Не варто забувати і про внутрішні загрози – тобто, про інсайдерів, які використовують IM-канали.
Вплив IM на ІТ-безпеку

На рис. 3 приведена діаграма, що демонструє основні загрози, що виникають у зв’язку із застосуванням IM-програм. Неважко помітити, що в списку загроз лідирує витік конфіденційної інформації, яку відзначили 42,3% опитаних. Ризики, пов’язані з вірусними атаками і нецільовим використанням ІТ-ресурсів, набрали приблизно по 20% голосів, спам і реклама – по 10,0%. Відзначимо, що тільки 7,6% респондентів вважають, що використання IM-клієнтів повністю безпечно.

Наступне питання дослідження стосувалося найбільш серйозної загрози IM – витоку конфіденційної інформації (рис. 4). Як з’ясувалося, тільки 59,7% респондентів упевнені в тому, що вони ніколи не пересилають класифікованої інформацію по IM-каналах, а 24,5% опитаних, навпаки, періодично її пересилають. Ризикнемо припустити, що реальна кількість людей, що займаються подібними речами, набагато вище – багато хто просто не хочуть в цьому собі зізнатися.
Регламенти і політик

Введення різних політик і регламентів є, напевно, найпростішим способом зниження ризиків від використання IM-програм. Тим не менш, 62,0% респондентів представляють компанії, які таких регламентів не мають. Більш того, лише у 14,9% респондентів дію політик можна вважати ефективним. Дані, що говорять про застосування політик на підприємствах, наведено на наступній діаграмі (рис. 6)

У таб. 1 показана залежність факту використання політик від розміру організації-респондента. Неважко помітити, що чим більше компанія – тим вище вірогідність наявності регламенту та його ефективного застосування. Разом з тим, з точки зору малого бізнесу небезпека витоків може виявитися навіть вище – якщо велика корпорація зазнає збитків і відновиться, то невелика компанія ризикує стати банкрутом після крадіжки всього декількох важливих документів.

Таб. 1. Ефективність політик в компаніях різного розміру


 





























Малий бізнес


Середній бізнес


Великий бізнес


Політика відсутня


69,2%                      


61,9%                        


39,5%



Політика діє ефективно


9,3%                        


18,0%                        


28,1%


Політика є, але він не має ніякої сили


10,9%                       


11,1%                         


13,7%


Важко відповісти


10,6%                       


9,0%                          


18,7%


 


Виходячи з отриманих даних, напрошуються два основні висновки. По-перше, ефективний регламент значно (приблизно у два рази) знижує ризик витоку, однак не виключають його повністю. По-друге, наявність неефективного регламенту не тільки не знижує, а й навіть підвищує ймовірність пересилання конфіденційних даних. Тому, якщо організація хоче ввести регламент використання IM-програм – то вона повинна подбати про його ефективності.


Захист від IM-загроз на практиці

Інші способи захисту від IM-загроз наведені в діаграмі на рис. 6. З отриманих даних випливає, що практично половина компаній (46,6%) ніяк не захищаються IM-загроз, а серед використовуються методів переважають заборонні заходи (блокування трафіку). Чисто контролюючі заходи (моніторинг) поки не отримали широкого поширення – по всій видимості, їх впровадження пов’язане з технічними проблемами і опором користувачів.

Як і слід було очікувати, великі організації приймають різні заходи захисту від IM-загроз набагато частіше. Засмучує інше – приріст спостерігається в основному за рахунок строго заборонних заходів таких, як блокування трафіку. Застосування контролюючих заходів, навпаки, знаходиться у всіх компаніях приблизно на одному і тому ж низькому рівні (8-10%).

На думку експертів аналітичного центру InfoWatch, сьогодні існують інструменти, що дозволяють ефективно застосовувати контролюючі заходи, такі як моніторинг і архівування трафіку. Складаючи всю інформацію в сховище, організація істотно знижує ймовірність витоку. Користувачі розуміють, що пересилається інформація десь зберігається, тому ведуть себе обачно. Ну а в тих випадках, коли витік все-таки відбулася, заархівовані дані допоможуть знайти зловмисника. Нарешті, створення IM-архіву є обов’язковою умовою ряду нормативних актів та міжнародних стандартів.

Таб.3. Кореляція між заходами захисту та розміром фірми-респондента


 







































Малий бізнес



Середній бізнес



Великий бізнес



Адміністративні обмеження


13,0%


14,7%


14,9%


Блокування трафіку


16,5%


29,4%


30,2%


Моніторинг


8,1%


7,2%


9,9%


Архівування


0,6%


1,9%


2,2%


Інші заходи


5,8%


6,2%


10,6%


Ніякі заходи не застосовуються


56,0%


40,6%


32,2%


У таб. 4 знаходяться дані, що демонструють залежність застосовуваних заходів від найбільш небезпечних загроз. З отриманих результатів слід відразу кілька основних висновків. По-перше, адміністративні заходи та блокування трафіку є якимись універсальними способами захисту від більшості IM-загроз. По-друге, застосування моніторингу найбільш розумно в тих випадках, коли основний ризик для вашої компанії полягає у витоку конфіденційної інформації. По-третє, практично половина користувачів, які визнали загрози IM-програм, ніяк від цих загроз не захищаються.

Таб. 4. Залежність захисних заходів від ступеня небезпеки загрози


 







































Витік конфіденційної інформації



Вірусні атаки



Нецільове використання ІТ-ресурсів



Адміністративні обмеження


14,2%


14,3%


16,4%


Блокування трафіку


25,4%


18,2%


29,1%


Моніторинг


12,0%


4,9%


5,3%


Архівування


1,6%


0,4%


1,1%


Інші заходи


6,6%


5,9%


4,3%


Ніякі заходи не застосовуються


40,2%


56,3%


43,8%


Рекомендації щодо захисту від IM-загроз

Крім питання про вже застосовують способи захисту, дослідження також ставило за мету з’ясувати, які методи захисту слід застосовувати на думку самих респондентів. Як виявилося, розподіл відповідей по використовуваних (рис. 6) і рекомендованим (рис. 7) заходам значно відрізняються. Зазначимо, що на рис. 7 сума відповідей перевищує 100%, оскільки респондентам пропонувалося обрати кілька варіантів відповіді.

На відміну від «використовуваних» методів, більшість «рекомендованих» методів припускають контролюючі способи впливу на користувачів. З одного боку, це пояснюється непопулярністю заборонних заходів, з іншого – розуміємо переваг використання IM з точки зору бізнесу компанії.
Ефективність методів, що застосовуються на практиці

В рамках дослідження, аналітичний центр InfoWatch спробував оцінити ефективність «застосовуваних» методів, залежно від «рекомендованих» методів. Отримані результати підтвердили тези попереднього абзацу – тільки 57,9% респондентів, які використовують блокування трафіку, назвали цей захід «рекомендованої». Щодо адміністративних обмежень і моніторингу ці частки помітно вище, вони складають 74,7% і 78,9% відповідно. Таким чином, можна зробити висновок про те, що блокування трафіку є найбільш Нерекомендуемие і непопулярною мірою захисту від IM-загроз.

На завершення звернемося до діаграми (рис. 8), яка демонструє незахищеність респондентів, які зізналися в пересиланнях конфіденційної інформації. Дослідження показало, що 60,3% компаній, в яких працюють дані співробітники, взагалі не захищаються від IM-загроз. Очевидно, що якщо подібна ситуація збережеться, то внутрішні порушники обов’язково нею скористаються.
Висновок

Дане дослідження підтвердило правильність тих тенденцій, які були сформульовані два роки тому. Як ми вже неодноразово відзначали, IM-технології стали стандартним засобом комунікації, застосовуваним в переважній масі компаній. Представники цих фірм поступово усвідомлюють загрози, пов’язані з IM, і починають застосовувати різні методи захисту. У той же час, до цих пір існує маса ніяк не захищених організацій, що є потенційною мішенню для інсайдерів.

Подальший розвиток IM-програм як засоби бізнес-комунікацій видається цілком певним. З одного боку, зростатиме кількість інструментів захисту, з іншого – попит на ці інструменти з боку клієнтів. Чисельність організацій, в принципі ігнорують захист IM-каналів, буде, таким чином, знижуватися. Очевидно, що зусилля компаній в галузі захисту IM (як постачальників, так і замовників) будуть підстьобувати зростаючою кількістю погроз, як з боку зовнішніх порушників, так і особливо з боку інсайдерів.

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*