Техническая библиотека CITForum.ru CITKIT.ru - все об Open Source Форумы Курилка
Все новости / Все статьи Деловая газета - шквал(!) IT-новостей :: CITCITY.RU
Первая полоса ИТ-Инфраструктура Телекоммуникации Безопасность BI Интеграционные платформы КИС IT-бизнес Ширпотреб Точка зрения

22.08.2018

Новости:


Все новости

Безопасность, Ширпотреб

Безопасность Skype в корпоративной среде

Программа Skype помогает пользователям Интернета общаться друг с другом точно так же, как они это делают по телефону. Ее популярность настолько велика, что многие не только устанавливают ее дома, но и начинают «протаскивать» Skype на свои рабочие станции, благо программа не требует полномочий администратора и свободно доступна в Интернете. Что ж, это удобно. Но безопасно ли применение Skype в интрасети? За ответом обратимся к исследованию InfoWatch - «Безопасность Skype в корпоративной среде».

На первый взгляд может показаться, что проблема высосана из пальца. Программа Skype проста в обращении, не требует полномочий администратора, не «съедает» много трафика. Более того, функциональность Skype выручает в различных ситуациях. Например, можно бесплатно поговорить с коллегой, который находится в другом полушарии, быстро перегнать файл или обменяться текстовыми сообщениями (как в ICQ) и т. д. Однако многие системные администраторы раздражаются, когда находят Skype на компьютерах служащих. Причем эти эмоции вполне объяснимы. Достаточно вспомнить эйфорию пользователей, когда они вовсю начали развертывать P2P-сети. В начале дома, а потом и на работе.

К чему это привело? К многочисленным утечкам конфиденциальной информации, краже торговых и промышленных секретов, заражению интрасети P2P-червями и т. д. Еще острее стоит проблема в крупных компаниях. Очевидно, что IT-департаментам или коллегам, отвечающим за информационную безопасность (ИБ), необходимо определиться, разрешать ли сотрудникам использовать Skype. От этого решения зависит содержание политики ИБ. Между тем, чтобы адекватно ответить на поставленный вопрос, следует проанализировать риски, сопутствующие использованию Skype в корпоративной среде. Для этой цели компания InfoWatch опросила 1242 посетителя портала SecurityLab.ru.

Исследование получило название «Безопасность Skype в корпоративной среде». В данном опросе приняли участие в основном профессиональные служащие (диаграмма 1).

Диаграмма 1. Профессиональный статус респондентов в IT

28,7% респондентов определили свою квалификацию как «пользователь», 71,3% оказались системными администраторами (34,2%) или специалистами по ИБ (37,1%). Таким образом, в ходе исследования удалось собрать мнения достаточно компетентных служащих, отвечающих за IT или ИБ.

Основные результаты

Остановимся теперь на ключевых выводах исследования. Во-первых, программа Skype действительно лидирует по популярности среди всех VoIP-продуктов. На ее долю приходится почти половина (46,8%) применений всех респондентов, а если исключить компании, не использующие такие программы вообще, то доля Skype возрастает до 64,9%.

Во-вторых, риск утечки конфиденциальной информации является самой опасной угрозой (55,6%) для корпоративной сети, в которой имеется Skype. Дело в том, что программы такого рода предоставляют внутренним нарушителям целый ряд дополнительных каналов утечки.

В-третьих, проблемы ИБ, возникающие вследствие использования Skype, — это не изъян технологии как таковой, а результат человеческого фактора. По мнению респондентов, именно служащие являются источником угрозы (44,6%) при использовании Skype.

В-четвертых, почти две трети респондентов (66,4%) склоняются к тому, что угрозы, сопутствующие применению Skype в корпоративной среде, становятся серьезным препятствием на пути распространения такого рода программ. Лишь треть опрошенных специалистов (33,7%) уверена, что проблемы с ИБ не помешают дальнейшему распространению Skype в компаниях.

Таким образом, бесконтрольное использование Skype и других VoIP-программ в интрасетях действительно может привести к реализации целой серии рисков ИБ. Прежде всего, утечке конфиденциальной информации за счет новых коммуникационных каналов, предоставляемых Skype. Однако сама программа в этом не виновата, так как именно инсайдеры с ее помощью высылают важные сведения наружу. Следовательно, руководство компании должно либо использовать средства для защиты от утечек, что исключит возможность утечки посредством Skype, либо отказаться от VoIP-программ в интрасети, иначе это приведет к краже конфиденциальной информации.

Skype — самая популярная VoIP-программа

На диаграмме 2 представлены предпочтения респондентов в отношении различных средств VoIP.

Диаграмма 2. VoIP-программы в корпоративной среде

Легко видеть, что Skype лидирует (46,8%). При этом все остальные программы для голосового общения через Интернет едва набрали четверть голосов (25,3%). Тем не менее определенная доля респондентов (27,9%) вообще не использует Skype в корпоративной среде. Можно сделать вывод, что Skype несомненно лидирует в области применения VoIP. Как пользователи, так и разработчики равняются на функционал и возможности этой программы, так что результаты анализа рисков, возникающих вследствие использования Skype, можно во многом перенести на все остальные VoIP-средства.

Угрозы ИБ и Skype

Основная часть исследования посвящена именно рискам ИБ, сопутствующим применению Skype в интрасети. Как оказалось, абсолютное большинство респондентов опасаются одной или нескольких таких угроз (диаграмма 3). При этом лишь 5,3% опрошенных специалистов считают, что Skype не несет дополнительных рисков.

Диаграмма 3. Угрозы при использовании Skype

Наибольшая угроза, по мнению 55,6% респондентов, — это риск утечки конфиденциальной информации. Получается, что более половины IT-работников уверены, что использование Skype может повлечь кражу закрытой корпоративной информации. Между тем, риск хакерской атаки на ресурсы вычислительной сети респонденты оценили как значительно менее опасный (29%). Промежуточные позиции заняли угрозы несанкционированного доступа к информации (39,2%), потери данных (33,2%) и проникновения вредоносных программ на рабочие станции (31,7%). Еще 7,4% голосов набрали прочие угрозы.

Применению VoIP-программ действительно сопутствует целый комплекс угроз ИБ. Причем это проблема не только Skype, но и любого программного обеспечения. Например, продукт может содержать уязвимости, благодаря которым хакер или вредоносный код способен проникнуть на рабочую станцию. Более того, злоумышленники могут попытаться рассылать нежелательные сообщения посредством Skype, в том числе голосовой спам. Однако ахиллесова пята всех средств коммуникации состоит в том, что они создают дополнительные каналы утечки конфиденциальной информации. Такие каналы следует либо брать под контроль, либо блокировать полностью. В противном случае в распоряжении инсайдеров окажется действительно эффективный канал утечки. Собственно, именно эти выводы и подтвердились в результате опроса. На первое место респонденты поставили риск кражи конфиденциальной информации. Что же касается таких стандартных рисков, как вирусы и хакеры, опрошенные специалисты совершенно справедливо отдали дань этим угрозам, поскольку от них не застрахован ни один программный продукт.

Источник угрозы

Итак, на предыдущем этапе исследования удалось выяснить, что использование Skype приводит к возникновению дополнительных рисков ИБ. Далее аналитический центр InfoWatch предложил респондентам указать источники возникновения новых угроз ИБ (диаграмма 4).

Диаграмма 4. Природа рисков при использовании Skype

Ведь помимо проблем в самой утилите Skype, уязвимости могут быть обусловлены недостатками программного окружения, злонамеренностью или халатностью пользователей и т. д. Как оказалось, большинство опрошенных специалистов (44,6%) видят главный источник угрозы в самих людях. Другими словами, именно человеческий фактор при использовании Skype может привести к инцидентам ИБ наиболее часто.

На втором месте (26,7%) стоят недостатки программного окружения Skype. Речь идет либо об уязвимостях операционной системы, либо используемых средствах защиты и любого другого прикладного ПО, которое может приводить к реализации угроз ИБ при взаимодействии со Skype. В то же самое время лишь 23,4% респондентов считают, что претензии можно предъявлять к разработчикам Skype.

Наконец, только каждый двадцатый опрошенный специалист (5,4%) высказался за то, что использование Skype не несет вообще никаких угроз ИБ. Таким образом, сами по себе VoIP-программы вряд ли являются основным источником рисков ИБ. Почти половина случаев — вина самих работников предприятия, которые не умеют должным образом пользоваться инструментами или имеют скрытый умысел украсть информацию.

Подводя итог, можно заметить, что отказываться от применения Skype — все равно что запрещать Интернет или электронную почту. Средства VoIP полезны и удобны, но чтобы исключить реализацию самой опасной угрозы — утечки конфиденциальной информации — предприятиям следует защищать эти данные точно так же, как они защищаются от кражи по каналам электронной почты и Интернета, через принтеры и USB-носители.

Роль безопасности при использовании Skype

Из ответов респондентов (диаграмма 5) видно, что фактор безопасности является очень важным при принятии решения об использовании Skype в корпоративной сети.

Диаграмма 5. Являются ли угрозы ИБ препятствием для внедрения Skype в компаниях?

Две трети опрошенных специалистов (66,4%) уверены или склоняются к тому, что угрозы ИБ затрудняют внедрение Skype в компаниях. Полученная цифра очень солидна. К тому же следует принять во внимание, что выше уже было показано, что корень зла находится не в самой технологии Skype, а в некорректном или злонамеренном использовании этой программы. Следовательно, всякая новая технология, которая увеличивает риск утечки конфиденциальной информации, будет встречаться в штыки. Таким образом, мы подошли к достаточно опасному рубежу. Без внедрения современных продвинутых технологий сложно стать успешной компанией. В то же время использование новых решений затруднено вследствие дополнительных угроз ИБ.

Возвращаясь к результатам опроса, отметим, что 33,7% специалистов считают, что дополнительные риски не препятствуют внедрению Skype на предприятиях. Это категория прагматиков, достаточно объективно и логично оценивающих все выгоды от использования Skype. Тем не менее 66,4% респондентов уверены в обратном. Получается, что риски ИБ, возникающие при использовании Skype, становятся довольно существенным препятствием на пути внедрения этой VoIP-программы в компаниях. Между тем, подобную точку зрения вряд ли можно назвать логичной, так как источником дополнительных угроз являются сами служащие предприятия. В результате, если защитить информацию как таковую, она вряд ли сможет уйти по каналам Skype.

Заключение

Исследование показало, что использование Skype в корпоративной среде небезопасно. И наибольшей угрозой (55,6%) является риск потери конфиденциальных данных. В этом нет ничего удивительного, ведь средства VoIP вообще очень удобны для внутренних нарушителей. А вот угрозы хакерской атаки (29,0%) и проникновения в интрасеть зловредных программ (31,7%) существенно преувеличены респондентами. Свою роль тут сыграли традиционные опасения взлома и зомбирования компьютеров. Реально же проблема хакеров не столь остра в настоящее время, а черви и троянцы, использующие программы для голосовых конференций, достаточно малочисленны.

В то же время выяснилось, что в принципе небезопасен любой IT-инструмент, который используется неверно. И, согласно данным опроса, именно человеческий фактор сегодня превращается в главную проблему (44,6%) при работе со Skype. К тому же на защищенности негативно сказывается программное окружение (26,7%). Лишь 23,4% респондентов считают основным недостатком бреши в самих VoIP-клиентах.

Подводя итог всему вышесказанному, можно сделать вывод, что нецелесообразно ограничивать внедрение Skype, поскольку преимущества технологии очевидны, а недостатки являются скорее следствием неправильного использования продуктов. Впрочем, данную точку зрения разделяет лишь каждый третий из опрошенных специалистов (33,7%). Остальные же две три (66,4%) склоняются к тому, что применение Skype влечет дополнительные риски, которые можно ликвидировать, полностью запретив использование Skype.

Комментарий специалиста

Денис Зенкин, директор по маркетингу компании InfoWatch

Необходимо пояснить, о каких рисках идет речь при использовании Skype. Например, почти половина респондентов полагает, что с помощью Skype внутренние нарушители смогут значительно легче красть конфиденциальную информацию. Что ж, это совершенно верно. Какие дополнительные каналы утечки предоставляет Skype? Во-первых, голосовой трафик. Так же, как с помощью мобильного телефона, можно позвонить по Skype и зачитать какой-то фрагмент текста. Во-вторых, пересылка файлов. Здесь все аналогично отсылке файлов по FTP, e-mail или по ICQ. В-третьих, копирование ценных данных в буфер обмена, а потом вставка в чат, который поддерживается программой Skype. Это аналог ICQ или чата в Интернете. Так вот, из всех этих каналов относительно новым является только голосовой трафик. Все остальные возможности легко контролируются теми же средствами, что применяются для защиты от утечек через электронную почту, пейджеры и Интернет. Что же касается VoIP-трафика, его вряд ли можно считать опасным каналом утечки. Здесь и сослуживцы инсайдера прекрасно услышат, о чем он рассказывает по Skype, да и много информации таким способом не передать. Так что можно не беспокоиться об утечке данных посредством голоса, если пользователь Skype работает в окружении сослуживцев. А вот другие каналы утечки должны быть подконтрольны обязательно, иначе конфиденциальная информация очень быстро попадает к конкурентам или будет опубликована для доступа всем и каждому. Есть ли в этом вина Skype? Думаю, нет. Если корпоративные секреты защищены от утечки, то с помощью Skype их украсть не удастся. А если ценная информация вообще не защищена, то ее можно похитить и без всякого Skype.



"Экспресс Электроника"

Комментарии

Страницы комментариев: предыдущая :: 1 :: 2

<SOME>, Mon May 7 13:26:20 2007:
Ацтой ваш скайп! Я например совсем роптив его использования. На работе нужно работать,, а не трещать по скайпу. + Проблемы безопастности совсем не надуманные..... и существуют. Никакие антивирусы от чел. фактора тож не спасут. Сложив всё это приходиться делать выводы, что это недопустимо использовать в корпоративных целях!
saleon, Mon Apr 16 15:18:01 2007:
Поддерживаю "sokov'a". Где реальные факты? Уязвимости есть везде, надо их только искать...)
..а кому-то убирать.
Bobr, Thu Apr 12 12:02:33 2007:
Кстати разделяю мнение MoGola.
VitaMin, Wed Apr 11 13:28:21 2007:
Читайте внимательно о предмете опроса и его респондентах, критики. То, что ваши ожидания не оправдались - не проблема Инфовотч.
guest, Tue Apr 10 13:11:41 2007:
а почему забыли упомянуть, что Доля тоже работает в Инфовотч. Это получается, что специалисты одной фирмы комментируют друг-друга - ну кто же будет писать отзыв, отличающийся от статьи.

Инфовотч вообще любит пользователей запугивать странными угрозами и приводить расплывчатый анализ, лишь бы себя попиарить. делали бы продукты нормальные, а то получается всякое г.
DR-SHADOW, Tue Apr 10 10:18:53 2007:
сорри за граммар ошибки очень торопился)))
DR-SHADOW, Tue Apr 10 10:18:12 2007:
Если ченстно Я такого профессионалного анализа , естественно в кавычках не ожидал, это напоминает мне один фрагмент из нашего отечественного филма:"Сан Саныч! можно ест ети грибы?, Да, можно, а не отравлюс? Отравищся, От чего? Да я сам не знаю".
MoGol, Tue Apr 10 09:50:21 2007:
А причем тут халтура?
InfoWatch (подразделение Лаборатории Касперского) - это компания занимающая защитой информации, вероятно сейчас они закончили разработку модуля контроля за Skype и вот и проводят его презентацию. Жаль, что логотип "на правах рекламы" стыдливо потерялся.
sokov, Tue Apr 10 09:05:09 2007:
Случайно наткнулся на статью и просто нахожусь В ШОКЕ. Ожидал реальный анализ уязвимостей и "дыр" этой программы, статистики атак, а меня кормят какими-то страхами непонятных пользователей, формализованными в диаграммы. Алексей, вы всерьез считаете, что на основе этого "анализа" IT-директор может принять решение о запрете или разрешении установки Skype на корпоративных машинах???
Подобная халтура редко встречается в специализированных изданиях и, без сомнения, это - шедевр! Браво!

Страницы комментариев: предыдущая :: 1 :: 2

Комментарии заморожены.

Последние комментарии:

Самое интересное:


© 2004–2009 Проект CITCITY.ru