Корпоративная инфраструктура

Анализ защищенности компьютерных сетей организаций от внешних атак

Анализ защищенности компьютерных сетей организаций от внешних атак

Россия и ближнее зарубежье, январь 2003 года

Задача данного анализа
Общая характеристика анализа
География участников
Общий анализ защищенности
Анализ по регионам
Достоверность данных
Резюме

В ходе исследования ставилась задача оценить степень защищенности компьютерных сетей организаций от возможных внешних сетевых атак. Другими словами, оценивалась "хакероустойчивость" корпоративных сетей, имеющих выход в Интернет. Проблемы внутренней информационной безопасности компаний в настоящем обзоре не рассматриваются. Вся основная информация представлена на диаграммах, поэтому в тексте мы приводим только минимальные комментарии.

Данное исследование проводилось компанией Positive Technologies в рамках акции по бесплатному аудиту безопасности компьютерных сетей организаций в декабре 2002г. - январе 2003г. В общей сложности было проверено 367 IP-адресов в 197 организациях. Все желающие добровольно регистрировались на сайте компании. Проверка проводилась только после получения официального запроса от проверяемой организации с подтверждением владения заявленными к проверке сетевыми адресами.

Защищенность анализировалась с использованием технологии XSpider 7.0 - оригинальной разработки компании Positive Technologies. Оценки выставлялись по четырех-бальной шкале, расшифровка которой приведена в Таблице 1.

Таблица 1. Уровни защищенности сети от внешних атак

Степень защищенности    Комментарий
Высокая    Замечаний нет, в рамках текущих знаний взлом сети представляется невозможным
Средняя    Имеются уязвимости, которыми может воспользоваться только очень высококвалифицированный взломщик. Вероятность полного доступа к ресурсам сети низка.
Низкая    Для взлома сети достаточно среднего уровня хакерских знаний. Вероятно получение полного контроля над ресурсами сети.
Критически низкая    Любой посторонний, поставивший перед собой задачу взлома сети, может решить ее при помощи стандартных методов. Как правило, возможен полный контроль над данными и ресурсами сети.

Подавляющее большинство (более 80%) компаний являются российскими. При этом доля регионов (вычитаем Москву и Петербург) достаточно высока - более половины всех отечественных организаций. Из стран ближнего зарубежья отдельно выделена Украина как наиболее представительный участник анализа. Среди прочих стран ближнего зарубежья в анализе учтены Азербайджан, Белоруссия, Грузия, Казахстан, Латвия, Литва, Узбекистан.

Диаграмма 2 показывает распределение проанализированных IP-адресов по степени защищенности в соответствии со шкалой оценок, приведенной в Таблице 1. Видно, что более половины сетевых адресов защищены надежно. Интересно, что доли менее защищенных сетей разной степени уязвимости практически равны.

Данное распределение на первый взгляд дает более оптимистичную картину, чем можно было бы ожидать. Однако имеется два "но".

Во-первых, имеет смысл рассмотреть статистику защищенности, рассчитанную для на уязвимости не отдельных адресов, а сети в целом. Поскольку для многих проанализированных сетей тестировалось несколько адресов, для подобной статистики есть вполне достаточно данных. Результаты приведены на Диаграмме 3 и они несколько хуже предыдущих. Причина очевидна: из-за неравноценной защищенности отдельных адресов, во многих сетях имеется "слабое звено", которое повышает степень уязвимости всей корпоративной сети. Важно, что именно Диаграмма 2 более адекватно отражает защищенность сетей организаций. При этом, уже менее половины сетей оказываются защищенными надежно.

Во-вторых, следует учитывать то, как отбирались участники данного анализа. Они регистрировались добровольно на сайте компании, занимающейся сетевой безопасностью. Очевидно, что это само по себе обеспечило существенный отбор аудитории в пользу организаций, уделяющих какое-то внимание вопросам собственной информационной безопасности. Следовательно, для совершенно произвольной выборки корпоративных сетей можно ожидать еще более низкого процента надежно защищенных сетей.

В данном разделе рассматривается та же самая статистика, что и в предыдущем, но разбитая на географические регионы. Стоит обратить внимание на следующие результаты.

Во-первых, Москва показала достаточно низкие результаты - худшие, если рассматривать сетевые адреса. Если говорить о защищенности сетей, что более осмысленно, то и тут московский регион смог отыграть только одно место, уступив России в целом и Санкт-Петербургу.

Данные по ближнему зарубежью отличаются очень низким уровнем защищенности сетей (при рекордной степени защищенности массива проверенных адресов), что отражает факт "размазанности" сильно уязвимых IP по различным сетям. Валидность этих данных также не слишком высока, поскольку выборка по данной категории была невелика (менее 20 компаний).

Во-вторых, на общем фоне более низкой защищенности сетей по сравнению с общей выборкой сетевых адресов (что логично, как указывалось выше), Украина продемонстрировала аномальный результат - и это на фоне очень хорошей положительной статистики. Это объясняется двумя обстоятельствами: небольшой выборкой участников (около 20) и тем, что уязвимые IP обнаруживались в небольшом количестве сетей, но в значительном количестве.

Делая выводы из материалов настоящего исследования, следует принимать в расчет следующие обстоятельства и ограничения.

1. В целом исследование является достаточно надежным и представительным - в течение двух месяцев произведен детальный анализ почти 400 сетевых адресов в 170 организациях.

2. Данные по таким регионам как Россия и Москва представляются весьма достоверными ввиду значительного размера выборки. Результаты по остальным регионам могут иметь заметную погрешность.

3. Выборка организаций, принимавших участие в анализе, не была совершенно случайной. Проверялись сети только тех компаний, которые самостоятельно изъявили желание проверить свою информационную безопасность.

4. С технической и организационной точки зрения анализ очень надежен: проверка производилась тщательно и профессионально, принадлежность адресов тем или иным компаниям (и, следовательно, регионам) подтверждалась документально.

В результате анализа удалось с высокой достоверностью определить оценку сверху уровня защищенности корпоративных сетей для России в целом и для московского региона отдельно. Доля надежно защищенных сетей в России менее половины, по Москве этот показатель даже несколько ниже. Около четверти корпоративных сетей в Москве (около 20% для регионов России) имеют критически низкий уровень защиты, то есть находятся под постоянной реальной угрозой внешних сетевых атак с драматическими последствиями.

Давая "философскую" оценку данным результатам, отметим, что, на наш взгляд, выявленная ситуация не является катастрофически плохой и даже дает некоторый повод для оптимизма. Но оправдан он будет только в том случае, если внутренняя политика организаций продолжит то движение в сторону большего внимания к собственной информационной безопасности, которое начинает намечаться в последнее время.