Каждая конференция по информационной безопасности неизменно обсуждает уязвимости и риски. ИТ-конференции уже перестали обходить стороной эту проблематику, хотя лет пять назад могли. При этом неизбежна полемика между ИТ-прикладниками и безопасниками о "Борьбе с мельницами". Первые считают, что риски преувеличены и что главное - бизнес-результат, вторые же настаивают на необходимости внимания к ИБ, демонстрируя различные данные своих и сторонних исследований.
Вот, к примеру:
- Positive Technologies сообщает, что 74% компаний из ТОП-100 были уязвимы снаружи в 2013 году и для проникновения внутрь нужно было использовать всего 2 уязвимости. В 100% компаний возможно повысить привилегии, находясь внутри инфраструктуры.
- Kaspersky Labs & B2B International сообщают, что 96% компаний эксплуатируют критические уязвимости, а более 40% потеряли данные в результате атак. В 25% случаев это были конфиденциальные сведения (в России) и 35% организаций в мире потеряли конфиденциальные данные.
Наша статистика также неутешительна. А с учетом того, что мы также работаем в сегменте среднего и малого бизнеса, то отчетливо видно, что 90% организаций вообще не выделяют тематику безопасности ИТ-инфраструктуры - действуют по инерции и ждут от ИТ только бизнес-функционала. Лишь в 10% мы видим наличие системного администратора с функциями безопасника. В остальных случаях оказывается, что соблюдать даже хотя бы ключевые хорошие практики безопасности некому. Бдительности либо нет, либо она усыплена "простыми" решениями. Типичные ляпы включают слабые пароли, отсутствие обновлений, открытые настежь сервера, неиспользование антивирусов, неконтролируемые конфигурации межсетевых экранов, слабые протоколы, неидентифицированные устройства и т.п.
В последние год-два, к сожалению, статистика наблюдаемых нами инцидентов ИБ значительно ухудшилась: инциденты действительно стали частыми и заметными :(. Независимые группы по расследованию инцидентов растут в прогрессии, а Symantec сообщает о "смерти антивирусов" и росте риска специализированных атак, учащение которых мы уже видим в нашем регионе.
Иными словами, на самом деле я свожу проблему не к вопросу о "Борьбе с ветряными мельницами", в которой интеграторов обвиняют ИТ-шники, а к вопросу компетентности, к вопросу общей культуры создания ИТ-инфраструктуры, отношения к её технологичности. К вопросу о том, что обозревать риски и применять хорошие практики просто необходимо всем. Более того, часто и серьезные затраты не нужны, а просто грамотная настройка ИТ-инфраструктуры, контроль действий, а не просто "Скомпилировалось да и ладно...".
Это же очевидно, что возросший риск инцидентов продиктован именно тотальной слабостью конфигурации ИТ-инфраструктур, высунутых в Интернет. Фактически речь об уязвимостях не в софте, а в настройках, в руках.
Представьте, если бы не 74%-90% инфраструктур было уязвимо, а где-нибудь 10-15%, то кому это было бы интересно? Т.е. задача найти уязвимую организацию уже была бы проблемой.