Стратегия Microsoft в области информационной безопасности
Составляющие стратегии Microsoft в сфере информационной безопасности: развитие технологий, разработка рекомендаций и совместная работа с партнерами.
Информационная безопасность продуктов компании Microsoft с давних пор остается горячей темой для обсуждения. Связано это в первую очередь с тремя факторами: распространенность продуктов корпорации на рынке, наличие ошибок в этих продуктах и количество вредоносного кода, который эти бреши эксплуатирует. Очевидно, что при доле рынка*, близкой к 90% (Net Applications, 2008), продукты Microsoft были и остаются мишенью номер один для киберпреступников, и даже незначительное количество брешей в ОС может привести к заражению вирусами миллионов компьютеров. В первом полугодии 2008 г. инструмент Microsoft Software Removal Tool помог найти и удалить вредоносное ПО на 2% отсканированных компьютеров — но в абсолютных цифрах это более 63 млн инсталляций (по данным Microsoft Security Intelligence Report 5).
Такое положение обязывает компанию уделять самое пристальное внимание вопросам информационной безопасности. Но сложность решения этой задачи требует усилий не только в технологическом плане. Важные составляющие — наличие процессов управления безопасностью и осведомленность людей об угрозах и способах противодействия им.
В 2002 г. компания Microsoft представила инициативу Trustworthy Computing. В настоящее время термин Trustworthy Computing используется компанией для описания действий, основанных на проверенных рекомендациях по ведению бизнеса и направленных на предоставление всем желающим безопасной, надежной и конфиденциальной среды вычислений.
Такие распространенные достижения технологии, как телефон и электричество, очень давно стали частью нашей жизни, и мы им доверяем. Несмотря даже на то, что изредка эти технологии дают сбой, мы все равно уверены в их полезности. Достижение похожего уровня уверенности в технологической надежности — фундаментальная цель Microsoft и инициативы Trustworthy Computing.
Здесь мы сталкиваемся с несколькими сложными проблемами. При том что общее качество технологий значительно улучшилось, ожидания пользователей в плане конечной надежности опережают эти улучшения. Основная часть этой проблемы — увеличение сложности программных продуктов и экосистемы в целом плюс недостаток реальных стандартов для оценки надежности. У Microsoft есть общее видение бесшовной вычислительной среды, в которой различные устройства легко работают совместно, как единое устройство.
Trustworthy Computing основана на следующих составляющих:
- безопасность — означает, что информация и системы защищены от атак;
- конфиденциальность — обеспечивает сохранность учетных данных, а также личной и деловой информации, с одновременным предоставлением пользователям контроля над использованием их данных;
- надежность — означает, что этому ПО можно доверять, поскольку оно работает именно так, как должно работать;
- практика ведения бизнеса — обеспечивает выполнение принципов Microsoft по поддержанию высочайших стандартов ведения бизнеса, учитывающих сложившиеся в обществе этические, юридические и коммерческие нормы;
- взаимодействие — эта часть концепции Trustworthy Computing направлена на обеспечение совместной работы продуктов и систем компании Microsoft в рамках различных компаний и организаций.
В основе доверия к продуктам Microsoft лежит то, что компания работает над их совершенствованием в каждой из указанных выше областей. Для обеспечения безопасности в рамках Trustworthy Computing используется подход под названием «глубокая защита», который базируется на следующих основных элементах.
Фундамент. Этот элемент нацелен на создание безопасной по своей природе платформы. В компании Microsoft обучают разработчиков, тестеров и менеджеров, как разрабатывать более безопасный код, соблюдая специальный процесс разработки. Другая ключевая область — расширение процессов и средств, используемых в обновлении ПО у заказчиков. В Microsoft продолжают работать над тем, чтобы процесс обновления был более управляемым и предсказуемым и чтобы постоянно улучшалось качество обновлений.
Ослабление угроз. Подход Microsoft направлен на то, чтобы уменьшить подверженность организаций атакам за счет лучших практик защиты, определения и удаления вредоносного ПО при помощи технологий и продуктов компании. Данные, собранные через большое количество систем с обратной связью, включая MSN Live, Windows Online Crash Analysis, SpyNet AntiSpyware Community, комбинируются и анализируются совместно с крупнейшими вендорами для быстрого обнаружения и предупреждения, а значит, и защиты от новых угроз.
Идентификация и контроль доступа. Это еще один важный момент подхода Microsoft. Данный аспект безопасности имеет три фундаментальные составляющие: доверяемая идентификация, управление политиками доступа и защита информации. Microsoft фокусирует свои усилия на инновациях в этой области, чтобы иметь уверенность в том, что пользователи получают права для доступа к информации согласно политикам и помогают управлять временем жизни информации, где бы она ни была сохранена.
Конфиденциальность — критический элемент опыта Trustworthy Computing. Наши клиенты имеют высокие ожидания в плане того, как мы собираем, используем и сохраняем персональную информацию. Чтобы оправдать эти ожидания, в Microsoft создали специальные политики и процессы для дизайна, разработки и тестирования продуктов, которые неукоснительно соблюдаются при разработке любых систем.
И наконец, Trustworthy Computing играет критическую роль в общей практике бизнеса Microsoft. Ведь мы связаны обязательствами, которые, базируясь на доверии заказчиков, партнеров, правительства и сообществ, демонстрируют приверженность к целостности всего того, что мы делаем. Поэтому компания прилагает все усилия к тому, чтобы соответствовать ожиданиям (или превысить их) в вопросах соответствия законам, регулирующим актам и этическим обязательствам во всем мире.
Три компонента стратегии безопасности
Чтобы решить задачи, связанные с обеспечением информационной безопасности, Microsoft работает в трех основных областях: развитие технологий, разработка рекомендаций и совместная работа с партнерами (рис. 1).
Первоочередная и главная цель стратегии — создание полностью защищенной платформы. В связи с этим значительные средства вкладываются в разработку ОС Windows и других решений, а затем, опираясь на достигнутые результаты, компания создает продукты и службы для обеспечения безопасности.
Microsoft разработала для пользователей целый ряд руководств, основанных на технологических новшествах, которые реализованы в этих службах и платформах, а также предоставляет пользователям доступ к рекомендациям и обучающим ресурсам, полезным для решения вопросов, связанных с безопасностью. Чтобы помочь клиентам в обнаружении недостатков системы безопасности и поиске оптимальных способов их устранения, компания предлагает пользователям технические документы и различные программные средства. Центр обеспечения безопасности Microsoft ежемесячно (а при необходимости чаще) издает бюллетени по безопасности, а также выпускает соответствующие руководства для ИТ-специалистов по обеспечению безопасности систем.
И наконец, Microsoft активно работает в рамках отраслевого сотрудничества с другими ИТ-компаниями и с государственными учреждениями. Это дает нам возможность сотрудничать с правительственными учреждениями в вопросах государственной политики, находить некоторых киберпреступников, собирать сведения о существующих в Интернете вредоносных программах и обмениваться этими сведениями с разработчиками антивирусных средств, что позволяет быстрее реагировать при появлении новых угроз.
Развитие технологий
Чтобы обеспечить максимальный уровень безопасности, необходимо следовать рекомендациям по созданию многоуровневой защиты (рис. 2). Такой подход, использующий дополнительные решения для обеспечения безопасности, которые противодействуют определенным классам угроз, значительно повышает защищенность организации.
Семейство продуктов Forefront предназначено для обеспечения безопасности организаций; в него входят межсетевые экраны, решения для борьбы с вредоносными программами на серверах, а также централизованно администрируемые средства борьбы с вредоносными программами для клиентских и серверных ОС.
Технология защиты доступа к сети (Network Access Protection, NAP), встроенная в ОС Vista и Windows 2008, позволяет автоматически выполнять проверку и изменение состояния системы безопасности на устройствах сети. С ее помощью можно автоматически применять политики на основе ролей и изолировать устройства от сети, пока они автоматически не вернутся к состоянию, соответствующему политике.
Защита содержимого реализуется с помощью служб управления правами, что позволяет организовать доступ к корпоративным данным в соответствии с тщательно структурированными политиками. BitLocker и файловая система EFS обеспечивают сохранность данных даже в случае утери или хищения персонального или переносного компьютера.
Службы RMS (управление правами доступа) защищают данные на протяжении всего их жизненного цикла. Даже если данные представляют собой документ и даже если этот документ был вложен в сообщение электронной почты или скопирован на USB-диск, его по-прежнему можно защитить. Для этого документ или сообщение электронной почты шифруются, а затем задается список имен и пользователей, которые могут обращаться к этому сообщению или документу, с указанием точной политики доступа — кто из пользователей может читать, изменять, печатать и пересылать соответствующий документ или сообщение.
Все эти компоненты тесно интегрированы посредством многофункциональной системы управления учетными данными на базе Active Directory. Обеспечивая простоту управления всеми своими продуктами и их тесную интеграцию, компания Microsoft помогает добиться того, чтобы решения для обеспечения безопасности работали именно так, как это необходимо пользователю.
Средства разработки, поставляемые Microsoft, созданы с учетом большинства ее технологий разработки безопасного кода. Это позволяет самостоятельно создавать приложения, обладающие таким же уровнем защиты, как и пакеты, предлагаемые известными разработчиками.
Разработка с учетом требований безопасности
Общеизвестно, что выполнение разработки ПО с учетом требований безопасности — это важнейший фактор, влияющий на качество программного продукта. Использование методологии жизненного цикла разработки безопасных систем (Security Development Lifecycle, SDL) гарантирует, что ПО и решения изначально создавались таким образом, чтобы снизить риски безопасности. Внедрив строгие процессы разработки безопасных систем, проверки кода, просмотра и реакции на проблемы, компания Microsoft уменьшила уязвимость ОС к атакам, что повысило целостность систем и приложений.
Методика Security Development Lifecycle была внедрена несколько лет назад, и все это время она непрерывно совершенствовалась на основе результатов эксплуатации. До недавнего времени SDL оставалась внутренней методикой, которая, наряду с обязательным обучением разработчиков, тестировщиков и руководителей проектов компании Microsoft, должна была повысить эффективность разработки и научить создавать более безопасный код. В настоящее время Microsoft рассказывает о своих рекомендациях при проведении обучения, а также предоставляет эти рекомендации участникам сообщества. Кроме того, выпущена книга Майкла Говарда (Michael Howard) и Стива Липнера (Steve Lipner) The Security Development Lifecycle («Жизненный цикл разработки безопасных систем»), рассказывающая о том, как разрабатывалось в Microsoft данное направление, об опробованных процессах и основных методах работы в данной области.
В процессе работы над методикой SDL был создан целый ряд программных средств; в качестве примеров можно привести PREfast и FxCop. PREfast — это средство, которое специалисты компании периодически используют для проверки разрабатываемого исходного кода. Оно обнаруживает наиболее общие типы уязвимостей (такие как переполнение буфера) и поддерживает проверку исходного кода на языках C и C++. Средство FxCop выполняет аналогичные функции для управляемого кода и ищет в управляемом коде места, потенциально уязвимые для внедрения кода SQL, и другие наиболее распространенные типы уязвимостей.
Обновления ПО
Управление обновлениями ПО — важнейшая составляющая управления компьютерными сетями любого типа и размера. Поэтому компания Microsoft продолжает разрабатывать технологии управления обновлениями, которые удовлетворяли бы потребности пользователей. Проделана большая работа, чтобы предоставить отдельным пользователям и организациям любого размера методику обновления на основе интуитивно понятной, интеллектуальной и надежной технологии, а также соответствующие рекомендации. В результате пользователи получили целостный, интегрированный набор технологий, упрощающий процесс обновления ПО и позволяющий более эффективно управлять им. Эти технологии обеспечивают постоянную доступность служб Windows Server Update Services и Microsoft Update, а также средств Microsoft Baseline Security Analyzer 2.0 и Inventory Tool for Microsoft Updates.
Основной компонент интегрированной технологии обновления ПО — общий каталог обновлений системы безопасности и сведений о вопросах безопасности для Windows, Office, SQL и Exchange. Этот каталог содержит огромный объем различных данных о безопасности и тесно интегрирован со службами Windows Server Update Services и Microsoft Update, а также со средствами MBSA 2.0 и Inventory Tool for Microsoft Updates (ITMU), что уменьшает сложность установки обновлений ПО Microsoft и делает этот процесс более понятным, целостным и надежным.
С практической точки зрения инфраструктура управления обновлениями продуктов выполняет следующие действия: проверяет компьютер и формирует перечень обновлений, которые необходимо установить, а также перечень соответствующих сведений по безопасности на основе списка обновлений и рекомендуемых параметров системы безопасности. Далее она обеспечивает доставку тщательно проверенных обновлений ПО и официальных рекомендаций на основе ежемесячного расписания. И наконец, служба управления обновлениями предоставляет варианты решений для развертывания обновлений ПО, которые могут быть реализованы пользователями, исходя из размера их сетей. Это позволяет быстро разворачивать требуемые обновления, уменьшая расходы, возникающие вследствие атак, снижения производительности или необходимости возврата к предыдущим состояниям.
Разработка рекомендаций
Выше были упомянуты некоторые технологии и процессы, однако необходимо помнить, что обеспечение безопасности не сводится только к использованию тех или иных технологий. По данным Microsoft Security Intelligence Report 5, на текущий момент основная причина потерь конфиденциальной информации — это кражи или потеря оборудования. За последнее время в СМИ освещалось немало историй, связанных с потерей ноутбуков или жестких дисков с конфиденциальными данными. Другая, не менее опасная техника краж информации или несанкционированного проникновения — это социальная инженерия. Во всех этих случаях эксплуатируется человеческий фактор, и снизить такие риски возможно, только обучая людей правилам безопасной работы в информационной среде. Поэтому в дополнение к технологиям нужно использовать и другие средства.
Первое из них — подробные руководства. Microsoft проводит множество обучающих мероприятий и семинаров, как через Интернет, так и непосредственно инструкторами. Каждый месяц более 9 млн человек посещает сайт Microsoft.com и знакомится с материалами, посвященными безопасности. За последние два или три года более 2 млн ИТ-специалистов прошли обучение как в очном порядке, так и с использованием материалов сайта компании и интерактивных учебных классов.
Кроме того, разработан целый ряд программных средств. Одно из них, Microsoft Security Assessment Tool, фактически анализирует сеть и компьютер и сообщает о найденных уязвимостях и о способах их самостоятельного устранения.
Работа с партнерами
Необходимое условие обеспечения безопасности клиентов компании Microsoft — сотрудничество с правительством и другими ИТ-компаниями. Чтобы обеспечить соблюдение законов, Microsoft тесно сотрудничает с большим числом партнеров и с правительствами стран всего мира. Хотя об этой работе говорится не слишком много, она носит глобальный характер. Например, компания участвовала более чем в 300 правоприменительных акциях по всему миру, направленных против спамеров и фишеров. В частности, проделана работа, которая способствовала аресту авторов вирусов Zotab и Sasser: Microsoft предоставила правоохранительным органам большой объем сведений, позволивших установить их личности и задержать их.
Если говорить о партнерстве в ИТ-отрасли, то в настоящее время существует новая инициатива компании — альянс Microsoft Security Response Alliance (MSRA). Ранее также было организовано несколько альянсов, преследовавших различные цели, например, VIA (Virus Information Alliance) и GIAIS (Global Internet Association for Internet Safety). Кроме того, существует много программ, в рамках которых Microsoft работает с независимыми разработчиками приложений и с разработчиками антивирусных средств. Однако в настоящее время компания объединила все эти программы и программу Government Security Program в рамках альянса MSRA, что облегчит сотрудничество с правительством и ИТ-компаниями, а также предоставление информации пользователям.
Кроме того, Microsoft прилагает большие усилия, чтобы информировать пользователей о событиях в области обеспечения безопасности. Для этого компания сотрудничает с общественными организациями (I-Safe или центр National Center for Missing and Exploited Children) и предоставляет пользователям сведения о состоянии безопасности при работе в Интернете и рекомендации по обеспечению безопасности.
Результаты
Концентрация усилий на обеспечении безопасности, которой в последнее время уделяется особое внимание, дает свои результаты. На рис. 4 приведены данные о том, сколько компьютеров с вредоносным ПО было найдено за каждые 1000 запусков Microsoft Software Removal Tool в первом полугодии 2008 г. (по данным Microsoft Security Intelligence Report 5). Из графика отчетливо видно, что доля инфицированных компьютеров с ОС Windows Vista значительно ниже, чем компьютеров с Windows XP. А наличие актуальных обновлений представляет собой важный фактор снижения уровня угроз. Это наглядно показывает, что внедрение процесса SDL и тестирование системы безопасности улучшило качество программного продукта. Однако это не означает, что работа над данными продуктами завершена — специалисты Microsoft продолжают усовершенствовать системы безопасности этого ПО и разрабатывать новые методики.
* Имеется в виду рынок ОС. — Прим. ред.