Центри даних (Data Centres) — нове явище, що приходить на зміну інтернет-хостинг провайдерів в тих областях, де потрібна підвищена надійність і високий рівень інформаційної безпеки. Надання в оренду додатків, зберігання і обробка великих обсягів критично важливої інформації в поєднанні з наданням доступу до такої інформації через Інтернет — ось основні функції центрів даних, сучасних «фортець для даних». І тому питання інформаційної безпеки і захисту виходять для центрів обробки даних на перше місце.

Незважаючи на постійні повідомлення про «хакерських атаках», завдають, якщо вірити публікаціям, мільярдні збитки, все більше і більше компаній використовують Інтернет в своєму бізнесі. Добре це чи погано, але це неминуче. Бізнесу, який стає все більш глобальним і розподіленим, потрібна єдина середа, єдиний простір для роботи з інформацією. І тут альтернативи для Інтернет на сьогоднішній день немає.

Сьогодні Інтернет — єдине дійсно загальне простір, що дозволяє передавати, зберігати, обробляти інформацію, має розвинену інфраструктуру, набір дружніх протоколів і інтерфейсів, і доступне практично всюди.

Альтернативою могли б стати мережі X. 25, але в силу ряду причин їх розвиток завмерло, і зараз вони використовуються обмежено, у спеціальних цілях. При необхідності з Інтернет може бути організовано взаємодію з такими (та іншими) мережами та їх ресурсами. Це дозволяє використовувати додаткові можливості, наприклад, передачу і прийом факсимільних, телексных і телетайпных повідомлень, вихід в спеціалізовані банківські мережі, пересилання електронних повідомлень звичайної «паперової» поштою, передачу SMS через e-mail та електронної пошти на стільникові телефони.

Інтернет невідворотно стає середовищем, через яку забезпечується доступ до корпоративних даних, в тому числі і до інформації, яка є критичною. Коли оперативність і зручність доступу з будь-якої точки земної кулі до великих обсягів даних стає вкрай важливими, вибору практично не залишається. І якщо державні організації, такі як військові або дипломатичні відомства, можуть дозволити собі використовувати закриті мережі, ізольовані від решти світу, у комерційних організацій цієї можливості немає: це невигідно, незручно і недоцільно.

У зв’язку з цим все більшого поширення отримують послуги сучасних центрів даних, які забезпечують надійний хостинг і передбачають розширені можливості забезпечення безпеки даних. Так, наприклад, при віддаленій роботі з додатками за схемою ASP (оренда додатків, Application Service Provision) безпека забезпечується за рахунок комплексної системи захисту, що включає в себе міжмережеві екрани, сканери виявлення вторгнень, системи аудиту журнальних файлів, системи аналізу статистичних характеристик трафіку і багато іншого.

Завдання інформаційної безпеки(та й безпеки будь-якого іншого роду) зводяться, як правило, до мінімізації збитків при можливих впливах, а також передбачення і запобігання таких впливів.

Відповідно, складовими інформаційної безпеки є:

– визначення об’єктів, на які можуть бути спрямовані загрози;

– виявлення існуючих і можливих загроз;

– визначення можливих джерел загрози;

– оцінка ризиків;

– методи і засоби виявлення ворожого впливу;

– методи і засоби захисту від відомих загроз;

методи та засоби реагування при інцидентах.

ЯКІ ОБ’ЄКТИ В ІНФОРМАЦІЙНИХ СИСТЕМАХ МОЖУТЬ ПІДДАВАТИСЯ ПОГРОЗАМ?

Власне інформація. Її можна а) вкрасти; б) знищити; в) змінити; г) заблокувати; д) скомпрометувати. Але інформація сама по собі пасивна, для того, щоб впливати на неї, потрібно впливати на носій або систему, в якій інформація «живе». Для захисту інформації від несанкціонованого розкриття та зміни використовуються отримали в останні роки серйозний розвиток методи криптозахисту.

Обладнання та елементи інфраструктури. Сюди відносяться сервери, активне мережеве обладнання, кабельні системи, електроживлення, допоміжні системи. Для таких об’єктів існує загроза фізичного впливу, яке може призвести до пошкодження об’єкта, втрати функціональності, або до появи у системі чужорідних об’єктів, що впливають на роботу системи або здійснюють знімання інформації. Крім того, існує ризик викрадення об’єктів захисту. Це не здається смішним, особливо з урахуванням того, що в 2000 році середній збиток від крадіжки лептопів склав понад 10 мільйонів доларів. Для мінімізації ризику в цьому напрямку використовуються класичні методи фізичного захисту (захисний периметр, пропускна система та контроль доступу персоналу, відеоспостереження, закладки та системи сигналізації, що спрацьовують при викраденні обладнання, озброєна охорона, служба власної безпеки і т. п.) Що стосується вірусів, выжигающих обладнання,
це, на щастя, поки лише легенди (і, можливо, питання щодо далекого майбутнього).

Програмне забезпечення. Це операційні системи, прикладні програми, сервіси. І це основні цілі класичних атак і основні джерела вразливостей. Атаки на такі об’єкти можу навести:

– до краху системи (програми, сервісу), часткової або повної втрати функціональності;

– виконання атакуючою стороною (або в результаті зовнішнього впливу) несанкціонованих або непередбачуваних дій всередині системи;

– отримання контролю над системою.

Захист від атак, що використовують уразливості програмного забезпечення, як правило, і є основним завданням класичних систем інформаційної безпеки.

Персонал. Аналіз можливостей фізичного та психологічного впливу на системного адміністратора виходять за рамки цієї статті. Хоча, якщо серйозно говорити про безпеку в цілому, адміністратор великої інформаційної системи повинен бути об’єктом захисту. Об’єктом пильної уваги служби власної безпеки. Поки зупинимося на тому, що цілеспрямоване або випадкове вплив на персонал, що має адміністративні повноваження в системі, може призвести до виникнення суттєвих ризиків. Відзначимо також, що для окремих систем «ціна питання» може виявитися порівнянною з вартістю всієї системи.

Ми розглянули основні об’єкти, що піддаються погрозам з точки зору інформаційної безпеки.

ХТО І ЩО МОЖЕ ПРЕДСТАВЛЯТИ ЗАГРОЗУ ДЛЯ ІНФОРМАЦІЇ? ХТО МОЖЕ ВИСТУПАТИ СУБ’ЄКТОМ ВПЛИВУ ТАКОГО РОДУ, І ЯКІ КОШТИ МОЖУТЬ ЗАСТОСОВУВАТИСЯ?

«Зловмисник». Хтось, в силу певних мотивів здійснює свідомі дії, які можуть нанести збиток. Мотиви можуть бути найрізноманітніші — від спортивного інтересу до образи на роботодавця. Або до виконання службових обов’язків співробітником зацікавленої організації.

«Адміністратор». Лояльний співробітник, який має повноваження адміністратора, який в силу яких-небудь обставин ненавмисно здійснює дії, що завдають шкоди. Причиною може бути елементарна відсутність кваліфікації, втому, перевантаження. Класичний приклад — команда rm -rf / * (видалити всі файли, включаючи вкладені директорії, без підтвердження) в UNIX, яка стала темою анекдотів і страшних історій. І, тим не менш, періодично виконується. Адміністратор має практично необмежені повноваження в системі, і навіть якщо якась інформація захищена від зміни та компрометації, дуже складно запобігти її знищення.

«Віруси». Узагальнимо під цією назвою всі «такі» програми, створені людиною, але багато в чому живуть своїм власним життям, підпорядковуючись закладеному в них алгоритмом. Це і віруси і черв’яки, що поширюються з ними «троянські коні». Контроль за ними з боку творця може бути повністю втрачено (приклад — мережевий хробак Морріса), або частково збережений (Code Red). У разі вірусної атаки з’ясувати початковий джерело зараження і автора програми в багатьох випадках неможливо (принаймні, це виходить за рамки обов’язків і можливостей спеціалістів з безпеки інформаційних систем і провайдерів).

Зрозуміло, є ще «форс-мажорні обставини, тобто обставини непереборної сили, що виходять за межі розумного передбачення і контролю сторін, як то….» і т. п., але це питання скоріше юридичного характеру. І хоча відносяться до форс-мажорних обставин катастрофи, стихійні дії, терористичні акти, дії уряду і влади і т. п. і т. д., безумовно, представляють загрозу для інформації (а також для фахівців з безпеки), це тема для іншої статті.

Згідно з останніми даними, опублікованими Інститутом Комп’ютерної безпеки [Computer Security Issues & Trends, 2001 CSI Computer Crime and Security Survey], на першому місці за кількістю зафіксованих інцидентів стоять вірусні атаки. На другому місці — крадіжки лептопів. На третьому — дії інсайдерів всередині мережі. І лише на четвертому місці, зі значним відривом, йде проникнення в мережу ззовні.

Що стосується заявленого фінансового збитку, то тут дані не настільки достовірні — з урахуванням того, що дуже багато що можна списати на ввійшли в моду хакерів і зірвалися з ланцюга мережевих черв’яків. З іншого боку, далеко не всі постраждалі заявляють про завдані збитки, боячись зіпсувати репутацію компанії. Розкид цифр дуже великий — так, для віддалених атак заявлена сума збитку коливається від 100 доларів до 10 мільйонів на кожну атаку, при середній величині в $500, для вірусних атак — від 100 доларів до 20 мільйонів, а усереднена цифра — трохи більше 200 доларів.

При цьому є категорії інцидентів, де середній збиток дійсно великий — це фінансове шахрайство і крадіжка інформації. Так, для шахрайства величина середнього збитку оцінюється майже в 4,5 тисячі доларів, при сукупному заявленому збиток, наближається до 100 тисяч доларів. І ця інформація підтверджується, зокрема, повідомленнями про банкрутство ряду фірм, що займалися інтернет-торгівлею.

Ймовірність атаки, спрямованої на мережу хостинг-провайдера або центр даних, велика. В першу чергу, це обумовлюється великою кількістю розміщених ресурсів. У разі центрів даних стає істотним і характер розміщуваної інформації, її висока ціна і критичність. В цьому випадку не можна виключати небезпеку професійно підготовленої та проведеної атаки, спрямованої на отримання або знищення інформації, а також на отримання контролю над ресурсом.

У випадку «класичного» хостингу (розуміючи під цим компанії, що спеціалізуються на віртуальному веб-хостингу) професійна атака малоймовірна, але свідомо велике число лобових, «brute force» атак, а також атак з використанням добре відомих вразливостей. Вельми вірогідні атаки на поштові сервери з метою безкарною передачі великого об’єму спаму (запитуваної інформації, як правило, рекламного характеру). Що стосується складних професійних атак, то їх підготовка вимагає досить серйозних зусиль (а по можливості і участі інсайдерів), що по ціні виявиться набагато дорожче отриманого результату, навіть при успішній реалізації атаки.

Політика безпеки різна для різних організацій і систем. Як по різному вибудовується забезпечення безпеки житлового будинку, магазину і атомної станції, точно так само по різному будується інформаційна безпека хостинг-провайдера, корпоративної інформаційної системи та центру даних.

Центри даних, або Центри Обробки Даних, ЦОД — нове явище, викликане розвитком мережі (а також розвитком бізнесу в мережі). Великі компанії, що виходять в Інтернет, висувають свої вимоги, в першу чергу, стосуються рівня надання послуг і забезпечення безпеки. При цьому більшість існуючих хостингових компаній орієнтовано на інший сегмент ринку і має свою специфіку. В більшості своїй вони не готові до вирішення подібних завдань. Якщо повернутися до нашої метафори, то житлові будинки не призначені для розміщення промислових майданчиків і банків, а тим більше, атомних станцій.

Хостингові компанії з’явилися раніше центрів даних та іншої економічної ситуації (як у Росії, так і на Заході). У більшості таких компаній основне завдання — надання недорогих і досить професійних послуг з розміщення та підтримки веб-сайтів і нескладних поштових систем. Серед клієнтів виявляються і приватні особи, і невеликі компанії, і бюджетні організації, і шоу-бізнес, і багато інших. Великий корпоративний бізнес і організації, пов’язані з владою і управлінням, як правило, не працює з хостинговим компаніями саме в силу низької захищеності і негарантированности рівня надання послуг.

Завдання зниження собівартості багато в чому визначає структуру інформаційної системи «класичного хостера». Як правило, використовуються «не-брендові» сервери під управлінням Linux або Free-BSD, веб-сервер Apache, бази даних MySQL та Postgress, і скриптів на Perl і PHP. Все це має плюс у вигляді безкоштовності і мінус із-за відсутності нормальної підтримки від вендорів (втім, веб-серверів Apache дійсно вельми надійні і зручні).

Треба відзначити, що в багатьох випадках «класичні» хостинг-провайдери не мають власного активного мережевого обладнання та власних каналів зв’язку, використовуючи інфраструктуру провайдера. З одного боку, це дозволяє значно знизити ціну на послуги, з іншого — позбавляє можливостей контролю і значно обмежує можливий рівень безпеки.

В цілому, загальний рівень захисту у середнього хостера адекватний ціною розміщуваної інформації і можливим загрозам. Політика безпеки, як правило, не розробляється, а всі зміни в системі проводяться одним або кількома адміністраторами. Відсутність підтримки з боку вендорів, невеликі штати — все це, з одного боку, змушує системних адміністраторів бути завжди в хорошій формі, але, з іншого боку, серйозно знижує можливості і рівень захисту.

Втім, як ми вже говорили, для різних категорій об’єктів підходять свої методи захисту, і не має сенсу на кожен житловий будинок ставити зенітку і систему протиракетної оборони. І завдання охоронця житлового будинку входить боротьба з хуліганами і злодіями, але ніяк не відбиття атаки командос і не відлов професійних розвідників.

Центри даних стали з’являтися порівняно недавно, і їх, за великим рахунком, не можна вважати розвитком хостингових компаній. Це зовсім інша структура, орієнтована на надання складних комплексних послуг, які можуть надаватися замовнику (як правило, корпоративного). При цьому однією з особливостей центрів даних є їх висока захищеність — і в сенсі захисту території, і в сенсі технічних засобів і організаційних заходів безпеки.

Забезпечення інформаційної безпеки в центрах даних є своя специфіка. В першу чергу — це необхідність забезпечення «прозорого» доступу клієнтам, що працюють через Інтернет (в тому числі, і через термінальні сервіси), при дотриманні дуже жорстких вимог до захисту інформації. Ще однією особливістю є використання різноманітних платформ і додатків, що не дозволяє сконцентруватися на безпеці якої-небудь однієї платформи або одній лінії продуктів. Слід враховувати й те, що доступ до певної категорії клієнтської інформації не повинен мати ніхто, включаючи адміністраторів системи.

Треба враховувати і те, що для більшості комерційних продуктів режим ASP з’явився порівняно недавно. Відповідно, такі продукти не мають тривалої історії експлуатації в режимі розділеного віддаленого доступу і, відповідно, не можуть похвалитися ретельно тестуванням на уразливості. Тому перед запуском ASP продукту необхідна тривала процедура тестування та конфігурування. Для визначення параметрів брандмауерів потрібен аналіз трафіку, визначення діапазону відкритих портів, статистичних характеристик трафіку в різних режимах.

Розглянемо деякі конкретні елементи захисту, їх можливі реалізації та доцільність застосування в різних ситуаціях.

«Нульовий» рубіж оборони — це приховування структури мережі, так звана імітаційна захист. Спеціальне програмне забезпечення емулює мережеві сегменти, сервера і уразливості. Постійний контроль за атаками на неіснуючу мережа дозволяє виявити джерела загроз. З іншого боку, імітаційна захист вводить в оману потенційних агресорів і ускладнює визначення істинної структури системи і планування атак.

Перший рубіж захисту — детектор вторгнень, IDS. Проводячи аналіз вхідного трафіку, ця система відслідковує появу сигнатур відомих типів атак. У ряді випадків встановлюється система адаптивної захисту, в якій при виявленні певних сигнатур здійснюється зміна списків доступу на мережному екрані (firewall). Таким чином, здійснюється оперативне блокування джерела атаки. При цьому доцільно обмежувати число перевіряються сигнатур (що характерно, наприклад, для Cisco IDS — NetRanger). Це дозволяє збільшити продуктивність і знизити ймовірність помилкових тривог (що критично для адаптивної системи). Зниження числа виявляються атак компенсується застосуванням додаткових систем виявлення вторгнень в локальних контурах захисту (найчастіше використовується вільно поширюваний детектор SNORT).

Варто відзначити, що з використанням IDS пов’язаний ряд проблем. В першу чергу, це помилкові спрацьовування. Подібна ситуація спостерігалася під час «епідемії» Code Red і ВІРУСІВ. Ця проблема вирішується, але можливість таких подій завжди треба мати на увазі.

У компаніях, що займаються «класичним» віртуальним веб-хостингом, апаратні IDS практично не використовуються, в першу чергу в силу дорожнечі. Програмні «легкі» детектори теж використовуються досить рідко, так як вони вимагають значних системних ресурсів. Аналіз трафіку (розбір пакетів) проводиться при необхідності «в ручну», з використанням утиліт типу tcpdump. Основна маса атак відстежується при аналізі журнальних файлів.

У центрах даних використання і апаратних і програмних IDS є неминучим.

Другий рівень захисту — це поділ зон безпеки, закритих мережевими екранами, і поділ трафіку за рахунок використання віртуальних мереж VLAN. Трирівневу структуру («зовнішня зона», «демілітаризована зона» і «внутрішня зона») можна вважати стандартним рішенням. Міжмережеві екрани — це добре описана класика. Віртуальні мережі (VLAN) у класичному хостингу використовуються значно рідше — в основному в силу іншої структури мережі і упорі на віртуальний хостинг. Завдання ізоляції клієнтського трафіку в UNIX-системах віртуального хостингу вирішується програмними засобами.

Налаштування міжмережевих екранів при складної структури мережі є нетривіальним завданням. В цілому, використовується принцип «заборонено все, що не дозволено».

З інших методів захисту, використання яких неминуче, слід виділити антивірусний захист. Ідеальним рішенням є централізований антивірусний моніторинг, причому вибір програмного забезпечення тут досить широкий і залежить від смаку і фінансових можливостей. Що стосується антивірусного контролю пошти з автоматичним видаленням інфікованих повідомлень, то це річ дещо сумнівна. Багато воліють отримувати пошту в незмінному вигляді. Не завжди приємно, коли антивірусна система мовчки «з’їдає» повідомлення, що містять, скажімо, сигнатури вірусів або повідомлення користувача про можливості вірусної атаки з прикріпленим підозрілим файлом. З іншого боку, слабкий «гігієнічний» рівень більшості користувачів і постійні вірусні атаки робить вірусний контроль поштових скриньок бажаним. Принаймні у користувача повинен бути вибір, і для різних категорій користувачів повинні застосовуватися різні типи
реагування.

Аналіз журнальних файлів є невід’ємною частиною системи безпеки незалежно від класу і рівня компанії, і на ньому немає сенсу зупинятися.

Контроль доступу та ідентифікація користувачів — теж невід’ємна частина системи безпеки, постійно обговорюється і описувана. Однак варто зупинитися на контролі доступу адміністраторів та операторів, що мають адміністративні повноваження в системі. Постійною проблемою є генерація і зміна паролів суперпользователей. З міркувань безпеки їх слід міняти часто. Що або не відбувається, або паролі root виявляються записаними на всіх доступних поверхнях. Непоганим виходом є використання сучасних засобів ідентифікації і контролю доступу. Власне, реально використовується декілька основних методів, зокрема, на основі безконтактних елементів пам’яті («таблеток») Dallas Semiconductor, на основі смарт-карт (Schlumberger і аналогічних), а також системи біометричного контролю. Останні (для випадку центру управління мережею центру даних) здаються краще, бо палець або око втратити складніше, ніж брелок з елементом пам’яті. І є гарантія, що в систему входить саме уповноважений користувач, а не хтось, знайшов ключ.

Із систем біометричного контролю найбільш поширені сканери відбитку пальця (Compaq Fingerprint, Identix, «миші» і «хом’яки»-«Hamster»). Ці системи, як правило, недорогі, багато за ціною не перевищують 100 доларів. Сканери веселкової оболонки ока поки дороги і недостатньо надійні.

Зрозуміло, немає сенсу перераховувати всі технічні методи забезпечення безпеки. Але слід мати на увазі, що тільки технічних засобів, якими б потужними вони не були, недостатньо для підтримання мінімального рівня безпеки. Некоректні дії адміністратора можуть завдати шкоди більший, ніж всі вірусні атаки. Помилка користувача, самостійно администрирующего свої додатки, може звести «нанівець» всі зусилля з безпеки. Логін «demo» і пароль «test» зустрічалися і зустрічаються до подиву часто. Також, як і паролі «sdfgh» і «54321»).

Що ще характерно для центрів обробки даних — це наявність розробленої політики безпеки, жорстка регламентація і розроблена система документації.

Жорстка регламентація дій персоналу, в тому числі (і в першу чергу) системних адміністраторів, звичайно, має і свої мінуси, зокрема, знижує оперативність при необхідності проведення нестандартних дій. З іншого боку, є гарантія виконання дій запропонованих і необхідних. При цьому звільнення фахівця з адміністративними повноваженнями не впливає на нормальне функціонування і не знижує загального рівня безпеки. Крім того, наявність власної системи безпеки дозволяє мінімізувати збиток від можливих дій персоналу, що має адміністративні повноваження в системі.

Ще один важливий момент — корпоративна політика та етика. У даних центрах працює велика кількість людей. І від них залежать дуже багато питань, що стосується безпеки. І якщо адміністратори і технічний персонал віддані організації і не стануть інсайдерами, які працюють на конкурента — це вже наполовину забезпечена безпека системи.

Важливим моментом є реагування на інциденти. Клієнти дата-центру повинні бути максимально захищені, і в разі реалізації загроз повинні прийматися необхідні та адекватні заходи.

Зрозуміло, не завжди легко визначити істинний джерело загрози, але в більшості випадків це можливо. І не можна нехтувати адміністративним реагуванням. По-перше, існує мережевий етикет і загальноприйняті правила, яких дотримується переважна більшість провайдерів. І якщо вони отримують доказові матеріали, що підтверджують атаку з їх мережі, то, як правило, реагують жорстко і адекватно. Але тільки в тому випадку, якщо їм надаються дійсно вагомі докази. Крім того, у більшості розвинених держав існують організації або підрозділи, що займаються боротьбою зі злочинами в Мережі. Як правило, вони реагують у тому випадку, якщо злочин скоєно на їх території або збиток нанесений їх резидентам. Але з урахуванням посилення політики контролю за Інтернет у зв’язку із загрозою тероризму можна не сумніватися, що в разі дійсно серйозних подій необхідне розслідування буде проведено.

У будь-якому випадку служба інформаційної безпеки центру даних має можливість адміністративного реагування на інциденти. При певній наполегливості, знанні структури міжнародних і національних органів мережевої та загальної безпеки, знання законодавства шанс на адекватну реакцію досить великий. Варто пам’ятати, що безпека — це не тільки технічні засоби і вміння, але і збір інформації, аналіз за багатьма критеріями, синтез, і, зрозуміло, мистецтво.

В якості прикладу можна навести статистику IDS (детектора вторгнень), що контролює одну з мереж проекту DATA FORT. За чотири дні жовтня було зафіксовано понад 50000 сигнатур атак. Основну масу внесли «черв’яки» Вірусів (понад 40000 виявлених сигнатур), причому основна маса атак йшла з одного джерела – з мережі німецького ISP-провайдера. Атака припинилася після повідомлення адміністраторів мережі. Так як Nimda використовують відомі уразливості, які були закриті адміністраторами DATA FORT відразу після їх виявлення, ніякого збитку вірусна атака не завдала.

З інших спроб вторгнення зафіксовано дві спроби використання дуже старих вразливостей в FTP і три атаки на поштові системи (знову-таки спроби використання добре відомих вразливостей). Зрозуміло, безрезультатних. У цих випадках адміністративні заходи не приймалися (занадто аматорський характер носили ці спроби).

Крім того, зафіксовано 149 спроб визначення версії DNS (джерела — в самих різних мережах), плюс 40 спроб сканування портів (знову-таки різні джерела атаки). В цілому явно нічого протизаконного в такому скануванні немає — просто спроби, не обтяжуючи себе, відшукати слабке місце в мережі. Але зафіксовані джерела сканування занесені в базу даних як потенційно загрозливих.

Всі змодельовані атаки (сканування мережі, «лобові атаки», атаки на уразливості IIS) були виявлені і правильно ідентифіковані.

ЯКІ ЗАГРОЗИ МОЖУТЬ З’ЯВИТИСЯ В МАЙБУТНЬОМУ?

По-перше, писати «вирусоподобные» програми стає все простіше, з іншого боку, вони стають мобільними і можуть функціонувати на будь-якій платформі. Багато нові «черв’яки» і «троянські коні» не мають явної руйнівної функції, а призначені в першу чергу для отримання контролю над ураженим вузлом — часто для організації масових розподілених атак і створення «бойових мереж».

Розподілені атаки стають все більш частими і небезпечними. Так, DDoS (розподілені атаки типу «відмова в обслуговуванні») являють собою нову і дуже серйозну загрозу. Така атака є багаторівневою, і атаку здійснюють «зомбі» — троянські програми, що функціонують на уражених комп’ютерах, і керовані майстер-програмами, також працюють на «зламаних» комп’ютерах. В результаті виявляється практично неможливо відстежити реальний джерело загрози, «центр управління» атакою. Крім того, захиститися від атаки, йде одночасно з сотень і тисяч джерел, вкрай важко.

Розподіленими стають і обчислення. Більше того, такі обчислення можуть проводитись і без відома власників комп’ютерів. Прецеденти вже є. І хоча у відомих випадках була цілком мирними (ресурси комп’ютерів використовувалися для пошуку сигналів позаземних цивілізацій), ніхто не гарантує, що красиві скрінсейвери на десятках тисяч машин не будуть насправді займатися криптографічним аналізом в чиїхось інтересах.

Ще одна цікава тенденція — спроби обходу криптозахисту з допомогою непрямих методів. Реальний приклад був опублікований зовсім недавно. І хоча подібна спроба «злому» (а точніше, обходу) захищеного протоколу SSH за рахунок аналізу часових проміжків між посилками виглядає скоріше курйозом, вона може виявитися «тінню майбутнього зла». Збільшення потужності комп’ютерів і можливість організації паралельних розподілених обчислень в поєднанні з сучасними математичними методами (зокрема, з кореляційними методами аналізу, використанням нейронних мереж) може призвести до різкого падіння захищеності інформації.

І ще одне. Ймовірність війн в кіберпросторі стає все більш високою. І, як показали недавні події в США, противник може бути анонімним і сильним. При цьому інформаційні системи великих корпорацій і центри даних можуть стати мішенню номер один. В цьому випадку доведеться зіткнуться з масованими і добре підготовленими атаками, протистояти яким зможе тільки добре продумана і налагоджена система захисту.

Сьогодні мережні центри даних є першопрохідцями у створенні саме таких, комплексних систем безпеки щодо своїх численних клієнтів.