Исследование

IM — Instant Messenger или Information Misuse?

Программы обмена мгновенными сообщениями (IM – Instant Messaging), изначально рассчитанные на домашних пользователей, сегодня стали полноценным инструментом бизнес-коммуникаций. Зачастую общение с помощью популярных IM-клиентов позволяет добиться более тесных и дружественных контактов, нежели использование традиционных способов связи, таких как телефон или электронная почта. Однако наряду с очевидными достоинствами, IM-программы имеют и ряд недостатков — они отвлекают служащих от своей основной деятельности и, что более важно, являются потенциальной брешью в системе безопасности предприятия.

Угрозы, связанные с IM-технологиями, достаточно разнообразны. Во-первых, существует масса вредоносных программ, атакующих пользователей тех или иных IM-клиентов. Во-вторых, уязвимости в таких программах могут служить прекрасной мишенью для хакерских атак. И в-третьих, через IM-каналы постоянно передается конфиденциальная информация, которую достаточно легко перехватить. Ну а если в вашей компании появился инсайдер, эту информацию не надо даже перехватывать — ему вполне достаточно просто выслать ее по внешнему контакту своего IM-клиента.

Настоящее исследование посвящено изучению рисков, которые возникают в компаниях при использовании IM-клиентов, а также отношению организаций к подобным рискам. Основная цель исследования — определить угрозы IT-безопасности, связанные с применением IM-программ в российских компаниях, и предложить наиболее эффективные методы защиты от этих угроз.

Основные выводы

  • Подавляющее большинство (92,4%) респондентов признают опасность IM-технологий, но практически каждый второй (48,6%) на практике бездействует и полностью игнорирует потенциальные угрозы IT-безопасности.
  • Основная угроза, возникающая при использовании IM-клиентов — утечка конфиденциальной информации (по мнению 42,3% респондентов). Это совершенно справедливо: каждый четвертый опрошенный (24,5%) согласился, что постоянно пересылает сведения личного характера через IM-клиент; 15,8% затруднились дать однозначный ответ.
  • Почти половина компаний (41,4%) защищаются от IM-угроз, используя блокировку трафика, а почти треть (27,0%) практикуют административные ограничения. Причем всего 57,9% респондентов, блокирующих трафик, считают эту меру эффективной.
  • В целом, приблизительно три четверти компаний считают административные ограничения (за них — 74,7% опрошенных) и мониторинг IM-трафика (78,9%) достаточно эффективным средством защиты от IM-угроз. Таким образом, респонденты предпочитают запрещать IM-программы вместо того, чтобы контролировать это эффективное средство коммуникации.
  • Несмотря на высокие риски, компании малого бизнеса (до 100 рабочих станций) на 23,8% реже, нежели крупные корпорации (более 501 пользователя), используют специальные средства для защиты от IM-угроз. Да и большие организации защищены далеко не всегда — необходимые меры по безопасности принимаются только в 66,8% случаев.

Методология исследования

Исследование проводилось в период с 1 мая по 1 июня 2007 года. В ходе сбора первичных статистических данных посредством онлайн-анкет на портале SecurityLab.ru был опрошен 1101 респондент из различных стран. Вопросы, приведенные в анкете, были адресованы прежде всего профессиональной аудитории данного сайта, которая традиционно состоит из опытных специалистов в области информационных технологий и информационной безопасности.

Отметим, что первое российское исследование, посвященное безопасности IM-коммуникаций в корпоративной среде, было проведено аналитическим центром InfoWatch в середине 2005 года. Несмотря на то, что контингент респондентов в прошлом и настоящем исследованиях имеет значительное различие, некоторые параллели между полученными данными провести все-таки можно. Поэтому при сравнении нынешних результатов с показателями двухлетней давности InfoWatch акцентировал внимание только на самых общих тенденциях.

Приведенные ниже данные являются округленными до десятых долей целых чисел. В некоторых случаях сумма долей ответов превосходит 100% из-за использования многовариантных вопросов.

Распределение респондентов по количеству ПК в компании

На рис. 1 представлено процентное распределение респондентов по количеству компьютеризированных рабочих мест в организации. Наибольшая часть опрошенных сотрудников (61,3%) работает преимущественно в небольших компаниях, имеющих не более 100 рабочих станций. На долю среднего бизнеса (101-500 компьютеризированных мест) приходится 21,7%. Оставшаяся часть респондентов (17,0%) представляет, соответственно, крупный бизнес. Ниже результаты опроса будут дифференцированы в соответствии с размерами бизнеса компаний респондентов.


Рис. 1. Распределение респондентов
по количеству ПК в компании

Используемые IM-клиенты

Согласно результатам исследования (рис. 2), подавляющее большинство пользователей (74,3%) используют сервис ICQ, что свидетельствует о высокой популярности данной программы в России. Правда, более половины респондентов (54,3%) применяют не только ICQ, но и другие IM-программы, а значит, несколько увеличивают вероятность возможных рисков. Отличия между базами респондентов, опрошенных сейчас и два года назад, практически не сказались на количестве компаний, не использующих IM-клиенты вообще. Этот показатель составил 12,8%.


Рис. 2. Используемые IM-клиенты

Таким образом, IM-технологии стали полноценным средством бизнес-коммуникаций. Версия об их возможном отмирании в связи с проблемами безопасности не выдержала проверки временем. Бизнес-выгода, которую приносит использование IM, настолько велика, что абсолютное большинство компаний готовы применять IM-клиенты, невзирая на их очевидную незащищенность. Это прекрасно понимают злоумышленники, и это неизбежно приведет к распространению в корпоративных сетях вредоносных программ, эксплуатирующих уязвимости интернет-пейджеров. Не стоит забывать и о внутренней угрозе — об инсайдерах, благодаря которым происходит утечка информации по IM-каналам.

Влияние IM-технологий на IT-безопасность

На рис. 3 представлен рейтинг основных неприятностей, которыми может быть чревато использование IM-программ. Нетрудно заметить, что в списке угроз лидирует утечка конфиденциальной информации, которую отметили 42,3% опрошенных. Риски, связанные с вирусными атаками и нецелевым использованием IT-ресурсов, набрали примерно по 20% голосов, спам и реклама — по 10%. Отметим, что только 7,6% респондентов считают использование IM-клиентов полностью безопасным.


Рис. 3. Угрозы, возникающие в связи
с использованием IM-технологий

Следующий вопрос анкеты касался наиболее серьезной угрозы со стороны IM — утечки конфиденциальной информации (рис. 4). Как выяснилось, только 59,7% респондентов уверены в том, что они никогда не пересылают такую информацию по IM-каналам, а 24,5% опрошенных, напротив, периодически ее отправляют. Рискнем предположить, что реальное количество людей, занимающихся подобными вещами, гораздо выше — многие попросту не хотят в этом себе признаться.


Рис. 4. Пересылка конфиденциальной информации

Корпоративные регламенты и политики безопасности

Введение различных корпоративных регламентов и политик безопасности является, наверное, самым простым способом снижения рисков от использования IM-программ. Тем не менее, 62% респондентов представляют компании, не имеющие таких регламентов. Более того, лишь у 14,9% опрошенных действие политик можно считать эффективным. Данные, говорящие о применении политик на предприятиях, приведены на следующей диаграмме:


Рис. 5. Использование корпоративных политик безопасности

В таблице 1 показана зависимость использования политик от размера организации-респондента. Нетрудно заметить, что чем больше компания, тем выше вероятность наличия регламента и его эффективного применения. Вместе с тем, с точки зрения малого бизнеса опасность утечек может оказаться даже выше — если крупная корпорация, скорее всего, восстановится после перенесенных убытков, то небольшая компания рискует стать банкротом после кражи всего нескольких важных документов.

  Политика отсутствует Политика действует эффективно Политика есть, но не имеет никакой силы Затрудняюсь ответить
Малый бизнес 69,2% 9,3% 10,9% 10,6%
Средний бизнес 61,9% 18,0% 11,1% 9,0%
Крупный бизнес 39,5% 28,1% 13,7% 18,7%

Таблица 1. Эффективность политик безопасности в компаниях различного размера

С помощью таблицы 2 можно проследить зависимость пересылки конфиденциальной информации от наличия корпоративной политики безопасности в сфере IM. Исходя из полученных данных, напрашиваются два основных вывода. Во-первых, эффективный регламент значительно (примерно в два раза) снижает риск утечки (однако не исключают его полностью). Во-вторых, наличие неэффективного регламента не только не снижает, но, наоборот, даже повышает объемы пересылаемых конфиденциальных данных. Поэтому, если организация хочет ввести регламент использования IM-программ, она должна заранее продумать его эффективность.

  Политика действует эффективно Политика есть, но не имеет никакой силы Политика отсутствует
Конфиденциальная информация пересылается 14,9% 31,1% 24,0%
Конфиденциальная информация не пересылается 78,1% 53,1% 60,3%
Затрудняюсь ответить 6,9% 16,5% 16,1%

Таблица 2. Политики безопасности и утечка конфиденциальной информации

Защита от IM-угроз на практике

Остальные способы защиты от IM-угроз указаны на рис. 6. Из полученных данных следует, что практически половина компаний (48,6%) никак не защищаются IM-угроз. Остальные используют в основном запретительные методы защиты (в частности, блокировку трафика). Контролирующие способы (мониторинг) пока не получили широкого распространения — по всей видимости, их внедрение сопряжено с техническими проблемами и сопротивлением со стороны пользователей.


Рис. 6. Используемые способы защиты от IM-угроз

Как и следовало ожидать, крупные организации принимают различные меры для защиты от IM-угроз гораздо чаще предприятий малого бизнеса. Огорчает другое — высокие показатели наблюдаются в основном за счет использования сугубо запретительных методов. Применение контролирующих способов, напротив, находится в компаниях всех масштабов примерно на одном и том же низком уровне (8-10%).

По мнению экспертов аналитического центра InfoWatch, сегодня существуют инструменты, позволяющие эффективно применять методы контроля, такие как мониторинг и архивирование трафика. Складывая всю информацию в хранилище, организация существенно снижает вероятность утечки. Пользователи понимают, что пересылаемая информация где-то сохраняется, поэтому ведут себя осмотрительно. Ну а в тех случаях, если утечка все-таки произошла, заархивированные данные помогают найти злоумышленника. Наконец, создание IM-архива является обязательным условием ряда нормативных актов и одним из международных стандартов.

  Административные ограничения Блокировка трафика Мониторинг Архивирование Другие методы Никакие методы не применяются
Малый бизнес 13,0% 16,5% 8,1% 0,6% 5,8% 56,0%
Средний бизнес 14,7% 29,4% 7,2% 1,9% 6,2% 40,6%
Крупный бизнес 14,9% 30,2% 9,9% 2,2% 10,6% 32,2%

Таблица 3. Применяемые в организациях различных размеров методы защиты

В таблице 3 приведены цифры, демонстрирующие связь применяемых методов защиты с размером организации. Эти данные позволяют сделать несколько выводов. Во-первых, административные меры и блокировка трафика являются некими универсальными способами защиты от большинства IM-угроз. Во-вторых, мониторинг наиболее разумен в тех случаях, когда основной риск для компании заключается в утечке конфиденциальной информации. В-третьих, практически половина пользователей, признающих серьезность IM-угроз, никак от этих угроз не защищаются.

  Административные ограничения Блокировка трафика Мониторинг Архивирование Другие методы Никакие методы не применяются
Утечка конфиденциальной информации 14,2% 25,4% 12,0% 1,6% 6,6% 40,2%
Вирусные атаки 14,3% 18,2% 4,9% 0,4% 5,9% 56,3%
Нецелевое использование IT-ресурсов 16,4% 29,1% 5,3% 1,1% 4,3% 43,8%

Таблица 4. Зависимость защитных мер от степени опасности угрозы

Рекомендации по защите от IM-угроз

Помимо вопроса об уже применяющихся способах защиты, исследование ставило целью выяснить, какие методы защиты, по мнению самих респондентов, следовало бы использовать на самом деле. Как оказалось, распределение ответов по используемым организациями (рис. 6) и рекомендуемым ими (рис. 7) мерам значительно отличаются. (Отметим, что на рис. 7 общая сумма ответов превосходит 100% благодаря многовариантным вопросам.)


Рис. 7. Рекомендуемые респондентами способы защиты от IM-угроз

В отличие от используемых методов, большинство рекомендуемых предполагают контролирующие способы воздействия на пользователей. С одной стороны, это объясняется непопулярностью запретительных мер, с другой — понимаем преимуществ использования IM с точки зрения успешности бизнеса компании.

В рамках исследования аналитический центр InfoWatch также попытался оценить эффективность применяемых компаниями на практике методов в сравнении с методами рекомендуемыми. Полученные результаты подтвердили тезисы двухлетней давности — только 57,9% респондентов, использующих блокировку трафика, назвали эту меру оптимальной для своей организации. Доли административных ограничений и мониторинга заметно выше: 74,7% и 78,9% соответственно. Таким образом, можно сделать вывод о том, что блокировка трафика является самой нежелательной и непопулярной мерой защиты от IM-угроз.

Защита конфиденциальной информации на практике

В завершение обратимся к диаграмме (рис. 8), демонстрирующей незащищенность респондентов, признавшихся в пересылках конфиденциальной информации. Исследование показало, что 60,3% компаний, в которых работают данные сотрудники, вообще не защищаются от IM-угроз. Очевидно, что если ситуация не изменится, инсайдеры не преминут ею воспользоваться.


Рис. 8. Применяемые на практике меры по защите
конфиденциальной информации

Заключение

Данное исследование подтвердило правильность прогнозов, сделанных два года назад. Как мы уже отмечали, IM-технологии стали стандартным и широко распространенным средством корпоративных коммуникаций. Компании постепенно осознают серьезность угроз, связанных с IM, и начинают обороняться при помощи различных методов защиты. Вместе с тем, до сих пор существует масса никак не защищенных организаций, являющихся потенциальной мишенью для инсайдеров.

Дальнейшее развитие IM-технологий как инструмента бизнес-коммуникаций представляется вполне определенным. С одной стороны, будет расти количество средств защиты, с другой — спрос на эти средства со стороны корпораций. Численность компаний, в принципе игнорирующих защиту IM-каналов, таким образом, будет снижаться. Хочется надеяться, что усилия и поставщиков, и заказчиков IM-защиты будут стимулироваться возрастающим количеством угроз — как со стороны внешних нарушителей, так и (в особенности) со стороны инсайдеров.

IM — Instant Messenger или Information Misuse?

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике