суббота, 7 сентября 2013 г.

Отчет института Ponemon: Дела с обеспечением доверия в электронной среде у крупнейших 2000 коммерческих организаций мира идут неважно


В сети выложен текст отчета, подготовленного Институтом Понемон (Ponemon Institute, http://www.ponemon.org/ ), занимающимся независимыми исследованиями и консультированием  по вопросам защиты данных, персональных данных и политики информационной безопасности, вместе с компанией Venafi – одним из лидеров в области разработки корпоративных систем управления ключами и сертификатами.

Отчет называется «Первый ежегодный отчет об ущербе от несрабатывания средств обеспечения доверия: Угрозы и атаки» (The First Annual Cost of Failed Trust Report: Threats & Attacks). Этот любопытный 16-страничный документ доступен по адресу http://docs.bankinfosecurity.com/files/whitepapers/pdf/699_Ponemon_Cost_of_Failed_Trust_Report.pdf  .  Ниже приведен перевод краткого резюме этого отчета.
В «Первом ежегодном отчете об ущербе от несрабатывания средств обеспечения доверия: Угрозы и атаки» представленные результаты исследований института Ponemon, подтвержденные фирмой Venafi.

Отчет представляет собой первое обширное исследование вопроса о том, как неспособность контролировать доверие перед лицом новых и появляющихся угроз подвергает опасности все корпорации, действующие в глобальном масштабе.

Основываясь на ожиданиях участников опроса, потери каждой организации в ближайшие 24 месяца могут составить 35 миллионов долларов. Эта оценка основана исходя из суммарного возможного ущерба для организации на сумму 398 млн долларов США. Эти и другие выводы основаны на новых результатах исследований, проведенных в Австралии, Франции, Германии, Великобритании и США с участием 2342 респондентов в основном из компаний, входящих в список Global 2000.

Все государственные органы и коммерческие организации опираются на криптографические ключи и сертификаты при обеспечении доверия в ходе имеющего ключевое значение электронного обмена информацией. Эти технологии лежат в основе современного мира платежей по картам, интернет-магазинов, смартфонов и облачных вычислений. Но сейчас, - в отличие от былых времен, когда надёжность обеспечения доверия могла быть измерена в понятиях замков, сейфов и камер слежения, - руководители, даже работающие в области информационной безопасности, не осознают, насколько хрупким является сегодня доверие. Несколько килобайт криптографических данных - это всё, что защищает нас от миллионов потерь в продажах, прикованных к земле самолетов и закрытых границ.

К сожалению, преступники уже поняли, насколько хрупка стала наша способность контролировать доверие. Распространенность криптографических ключей и сертификатов, а также опирающихся на них протоколов, делает эксплуатацию доверия очень привлекательной. Неспособность коммерческих организаций выявлять атаки на доверие либо принимать соответствующие меры, если такие атаки всё же детектируются, делает их ещё более привлекательной целью. На сегодняшний день глобальный финансовый ущерб от атак, масштабы проблемы, связанных с ликвидацией уязвимостей и даже степень признания того, что такие атаки имеют место, в основном так и не получили количественной оценки.

Важнейшие результаты данного исследования следующие:
  • Потенциальный ущерб для каждой организации составляет 400 миллионов долларов. Каждая организация из списка Global 2000 в среднем рискует понести ущерб в 35 млн. долларов в результате атак, использующих недостатки в управлении доверием, связанные со сбоями в управлении криптографическими ключами и электронными сертификатами. Эта оценка основана исходя из суммарного возможного ущерба для организации на сумму около 400 миллионов долларов.

  • Наиболее вероятно и чревато наибольшим ущербом использование недостатков слабой криптографии.  18% организаций ожидают, что в течение ближайших 2 лет станут жертвами атак, использующих слабую, унаследованную криптографию. Учитывая, что с каждой такой атакой связан общий возможный ущерб на сумму в 125 млн. в течение двух лет, эта легко предотвращаемая проблема является самым дорогостоящим провалом в управлении ключами, выявленным в ходе данного исследования.

  • Атаки на поставщиков услуг по обеспечению доверия берут свое. Фишинговые атаки и атаки типа Man-in-the-middle, использующие скомпрометированные удостоверяющие центры и сертификаты для того, чтобы выдавать себя за авторизованных лиц, по оценке создают для каждой организации риск ущерба на 73 миллионов долларов в течение двух лет.

  • Никто не находится в безопасности. Все опрошенные глобальные корпорации понесли ущерб вследствие их неспособности  контролировать доверие.
Помимо выявления финансовых последствий неспособности организаций контролировать доверие, исследование также показывает глубину проблем, с которыми сталкиваются  организации в плане управлении своими ключами и сертификатами, что отражено в следующих выводах:
  • Масштаб проблемы таков, что она не может быть решена вручную. По оценкам организаций, у них в среднем имеется около 18 тысяч ключей и сертификатов, развернутых на таких элементах инфраструктуры, как веб-сервера, базы данных, сетевые устройства и облачные сервисы; и 45% организаций считает, что неспособность управлять ключами и сертификатами прямо приводит к эрозии доверия, от которого зависит их деловая деятельность.

  • Большинство даже не в состоянии описать, как они контролируют доверие. 51%  организаций из списка Global 2000 не знаю в точности, сколько ключей и сертификатов используется в их инфраструктуре. Это неучтенный системный риск.

  • Технологии, имеющие ключевое значение для облачных вычислений, явно и непосредственно находятся в опасности. Мо мнению опрошенных организаций, атаки на ключи защищённой оболочки (Secure Shell, SSH), которая является основной технологией, применяемой для установления доверия и соединений с облачными сервисами от Amazon и Microsoft, представляют собой наиболее опасную угрозу, являющуюся следствием неспособности контролировать доверие. Неспособность обнаруживать атаки на SSH-ключи и принимать меры в случае нападения увеличивает риски и возможные потери.

  • Установление контроля над доверием изменит результат. Уже сейчас 59% организаций считает, что если они наладят надлежащее управление ключами и сертификатами, прежде, чем  начнут использовать новые технологии шифрования и аутентификации, они смогут вернуть себе контроль над доверием и покончить с существующими сейчас рисками инцидентов безопасности, незапланированных отключений, неудачных аудитов и неисполнения законодательно-нормативных требований.
Мой комментарий: Безусловно, в отчете сильно ощущается то, что одним из его заказчиков является фирма, как раз поставляющая решения для управления ключами и сертификатами. Тем не менее, приведенные факты заслуживают внимания. Помимо прочего, они лишний раз напоминают о том, что криптография сама по себе – не панацея.

Печально звучит следующая фраза из отчета: «Прежде считавшаяся невозможной, успешная компрометация удостоверяющих центров стала теперь обычным делом». А американский Национальный институт стандартов и технологий (NIST) даже опубликовал в июле 2012 года рекомендации для организаций на случай компрометации удостоверяющих центров и выпуска теми фальшивых сертификатов, см. http://csrc.nist.gov/publications/nistbul/july-2012_itl-bulletin.pdf .

Источник: сайт BankInfoSecurity.com
http://docs.bankinfosecurity.com/files/whitepapers/pdf/699_Ponemon_Cost_of_Failed_Trust_Report.pdf 
http://docs.media.bitpipe.com/io_10x/io_108136/item_633362/Cost%20of%20Failed%20Trust%203.12.pdf

Комментариев нет:

Отправить комментарий