В середине февраля в Сан-Хосе (шт. Калифорния, США) состоялась RSA Conference 2006 - крупнейший ежегодный мировой форум по вопросам информационной безопасности. С одним из ключевых докладов на ней выступил председатель совета директоров и главный софтверный архитектор Microsoft Билл Гейтс, впервые представивший новую стратегию корпорации, цель которой - построение безопасной вычислительной экосистемы (Secure Computing Ecosystem, SCE).

Нужно сказать, что год назад руководитель Microsoft также выступал на конференции RSA 2006 с обширным докладом по теме безопасности, но тогда речь шла в основном о текущей работе компании в этом направлении (см. "Microsoft наращивает свои усилия в области ИТ-безопасности", "BYTE/Россия" № 4'2005). Сейчас же речь идет о более четкой формулировке концепции на будущее, реализация которой подкрепляется и будет подкрепляться технологиями и продуктами Microsoft.

По мнению Билла Гейтса, главная задача построения SCE - не только оперативно реагировать на появляющиеся угрозы со стороны вредоносного ПО (malicious software), но и определить долгосрочную ИТ-стратегию на основе анализа рыночных и технологических тенденций. Принципиальный момент состоит в том, что в современном взаимоувязанном, многоплатформенном мире, в котором задействованы различные сети, устройства, продукты и сервисы, обеспечить безопасность усилиями одного поставщика просто физически невозможно.

Поэтому Microsoft выдвигает в первую очередь именно концепцию, которая предполагает широкое взаимодействие всех представителей ИТ-индустрии, а с точки зрения заказчиков - возможность выбора наиболее подходящих решений и технологий. Именно поэтому важная роль отводится расширению отраслевого партнерства, примером которого служит, в частности, SecureIT Alliance (http://www.secureitalliance.com).

Здесь нужно обратить внимание на то, что, помимо сугубо технологических аспектов, вопросы ИТ-безопасности поддерживаются и регулируются законодательством. Законодательство, с одной стороны, подразумевает борьбу с создателями и распространителями вредоносного ПО. С другой стороны, многие законы защищают свободу распространения информации и конфиденциальность персональных данных. Тем самым они в какой-то мере ограничивают возможности применения технических средств, по крайней мере, в автоматическом режиме, без согласия пользователей.

Именно эти соображения в значительной степени определяют для Microsoft стратегию создания собственных программных средств обеспечения безопасности: корпорация движется по пути формирования многокомпонентного комплекса ПО, из которого заказчики могут самостоятельно набирать нужный им функционал. По мнению Microsoft, сотрудничество в компьютерной отрасли должно идти в следующих направлениях:

  • необходимо добиться доверительного и персонализированного режима при сетевой работе, так, чтобы пользователи имели безопасный и простой доступ к сетевым ресурсам при соблюдении конфиденциальности;
  • создание безопасных решений должно стать отраслевым требованием, что подразумевает доступ разработчиков к общим наборам API, инструментам, сервисам, тренингам и т. д.;
  • необходимо предоставить пользователям, ИТ-специалистам и разработчикам простые средства управления и контроля, с помощью которых они смогут самостоятельно следить за распространением и получением своей информации;
  • фундаментальные технологии надежности и безопасности реализуются на уровне платформ.

Именно в этом и состоят цели концепции SCE, которая должна соответственно включать четыре компонента.

Доверительная экосистема (Тrust ecosystem). Это цифровая экосистема, в которой люди, организации, производители устройств и авторы программного кода могут быть правильно идентифицированы в процессе выполнения различных операций, с обеспечением частных прав пользователей.

Инженерные методы поддержки безопасности (Engineering for security). Здесь подразумеваются общеотраслевые усилия по повышению безопасности с помощью формирования, публикации и распространения лучших отраслевых практик в этой области, диагностических инструментов и специальных методов тестирования.

Упрощение работы пользователей (Simplicity). Управление безопасностью необходимо радикальным образом упростить за счет применения индустриальных стандартов, общих средств разработки и унифицированных практик их применения для различных платформ, продуктов и сервисов.

Базовая платформенная безопасность (Fundamentally secure platform). Предполагается сотрудничество внутри отрасли в реализации четырех ключевых элементов построения безопасных платформ: защитных изоляционных технологий, многофакторной аутентификации, управления доступом на базе политик и унифицированного аудита между приложениями.

Доверительная экосистема

Основная идея создания доверительной экосистемы заключается в постоянной проверке безопасности всех компонентов с использованием различных методов. Для этого требуется на качественно новом уровне определять тождественность людей, организаций, устройств и программного кода на базе концепции инфраструктуры Identity Metasystem, создаваемой Microsoft в целях более безопасного обмена персональной идентичной информацией через Интернет.

Тут нужно подчеркнуть, что Identity Metasystem - это не законченная система, а именно концепция, основанная на соглашениях относительно метаданных и протоколов, позволяющих применять множество различных провайдеров и брокеров на разных платформах. Она базируется на открытых стандартах (в частности, WS-Security) и учитывает действующее законодательство, регулирующее сферу защиты персональной информации. Ее реализация включает четыре основных аспекта - программный код, устройства, люди и организации, поддержка которых будет существенно расширена в ОС Microsoft следующего поколения (Windows Vista и серверной ОС Longhorn).

Программный код

Active Directory. Служба каталогов Microsoft играет важную роль в поддержке управления тождественностью и доступом на уровне предприятий. Значительный шаг в этом направлении был сделан в выпущенном в конце 2005 г. Windows Server 2003 R2, в котором появились федеративные службы (Active Directory Federation Services, AFDS). В состав службы Active Directory будущей Windows Server (Longhorn) предполагается включить такие службы, как Rights Management Services (управление правами), Certificate Services (службы сертификатов), Metadirectory Services (службы метакаталогов) и Federation Services (федеративные службы), а также поддержку технологии InfoCards.

64-разрядная защита на уровне ядра. Использование недокументированных функций (в том числе прямого доступа к системным таблицам ОС) на уровне ядра должно быть исключено. В Windows Vista будет реализована защита от изменения системных структур и блокировка установки неавторизованных патчей. Все модули, работающие в режиме ядра (операционные сервисы, драйверы), должны снабжаться цифровой подписью.

SpyNet - как предполагается, это будет сообщество людей, использующих для защиты от шпионских программ технологию Microsoft Windows Defender (прежнее название - AntiSpyware). Эта технология должна играть ключевую роль в деле идентификации ПО, которое может быть отнесено к категории spyware. Данная информация должна помочь Microsoft поддерживать Windows Defender в постоянной готовности путем регулярного обновления сигнатур.

Устройства

Microsoft Network Access Protection (NAP). NAP-клиент в Windows Vista поможет защититься от сетевых атак за счет автоматического обязательного обновления средств безопасности и антивирусов при подключении пользователя к сети.

Безопасность Интернет-протоколов (Internet protocol security, IPsec). Эти технологии уже входят в состав Windows Server 2003, Windows 2000 и XP. Методы серверной и доменной изоляции снижают риски сетевых угроз, в том числе в условиях изменения топологии сетей и обновления ПО. Поддержка IPsec на уровне NAP в Windows Vista и Windows Server (Longhorn) будет расширена за счет ограничения сетевого доступа от "сомнительных" компьютеров.

Люди

InfoCard. Эта новая технология определения тождественности (пользователей и компонентов систем) будет реализована как функционал Windows. Она войдет в состав программной модели WinFX операционных систем Microsoft следующего поколения и будет поддерживаться новым браузером Windows Internet Explorer 7 в средах Windows Vista, Windows XP Service Pack 2, а также Windows Server 2003 Service Pack 1 и R2. Технология InfoCard, реализованная на базе стандартных протоколов Web Services, поможет, например, в таких вопросах, как защита от фишинга (компьютерного мошенничества)

Режим Plug and Play для смарт-карт. Смарт-карты и другие устройства двухфакторной аутентификации будут поддерживаться в ОС Microsoft на базе новой архитектуры, основанной, в свою очередь, на Microsoft Base Smart Card Cryptographic Service Provider и модулях автоматического подключения внешних устройств.

Certificate Lifecycle Manager. Это новый продукт для управления цифровыми сертификатами и смарт-картами на базе технологии многофакторной аутентификации. Его первая бета-версия была представлена в ходе RSA Conference 2006, окончательный вариант должен появиться в первой половине 2007 г.

Организации

Сертификаты SSL высокой надежности. Microsoft совместно с другими представителями отрасли работает над новым стандартом усиленной идентификации безопасных сайтов (например, банковских). Такие сайты могут быть защищены с помощью сертификатов High Assurance SSL Certificates (известных также под названием Enhanced Validation). Поддержка этих методов сертификации будет реализована в Windows Internet Explorer 7.

Фишинг-фильтры. Эти фильтры помогут пользователям защититься от Web-сайтов, замеченных в компьютерном мошенничестве. Фильтры анализируют содержимое Web-сайтов с помощью специальных методов, а также используют сведения о таких сайтах из глобальных баз данных.

Microsoft Phishing Filter уже сейчас свободно доступен в качестве расширения для MSN Search Toolbar и включен в состав бета-версий Windows Vista и Windows Internet Explorer 7 for Windows XP.

Антиспам. Microsoft уже имеет в своем арсенале антиспамовые технологии, которые могут работать совместно с механизмами идентификации отправителей Sender ID Framework. Эти средства сейчас широко используются в различных почтовых системах. В частности, предполагается, что более половины входящей почты на сервисе Hotmail будут иметь запись Sender ID к концу 2006 г. Антиспамовые возможности Outlook 2007, а также новых клиентов Hotmail, Exchange и Outlook Express будут усилены за счет использования "электронных марок" (упрощенный аналог цифровой подписи).

Инженерные методы поддержки безопасности

Ключевая идея здесь состоит в том, что вопросы безопасности должны быть в центре внимания разработчиков на всех этапах создания ПО, и для этого должны применяться самые совершенные методы и средства. В этой связи Microsoft призывает всех ИТ-разработчиков публиковать и распространять лучшие отраслевые практики в этой области, имея в виду следующие основные аспекты.

Безопасность при проектировании. Уже на этапе проектирования ПО следует моделировать вероятные угрозы, проводить инспектирование кода и тестирование на предмет наличия "дыр".

Безопасность по умолчанию. Написание кода должно постоянно учитывать вопросы безопасности. В частности, все неиспользуемые функции должны автоматически удаляться из программы, а к системным ресурсам должны иметь доступ только те пользователи, которым это действительно нужно для работы.

Безопасность при развертывании. Автоматизированные средства установки ПО должны минимизировать применение частных микроконфигураций и предлагать более эффективные методы управления на уровне предприятия.

Культура безопасности. Важность вопросов безопасности должна учитываться уже на ранних этапах проектирования архитектуры и разработки решений и быть в центре внимания на всех последующих стадиях жизненного цикла ПО.

В последние несколько лет Microsoft постоянно совершенствует собственные внутренние процессы проектирования и разработки, реализуя долгосрочную программу Microsoft Security Development Lifecycle (SDL). Это позволило корпорации существенно снизить в своих продуктах число дефектов, особенно критичных, связанных с безопасностью (см. также врезку "Как Microsoft повышает надежность программного кода"). Microsoft предлагает детальное описание SDL независимым разработчикам и международному сообществу специалистов по безопасности, включая программы тренингов, региональные семинары, персональные контакты и книги.

Компания создала также ряд инструментов для повышения надежности написания кода в среде Visual Studio 2005. Например, инструмент статического анализа исходного кода PREfast выявляет определенные классы ошибок, которые не обнаруживаются обычными компиляторами. FxCop обеспечивает сканирование приложений на основе управляемого кода. Опция /GS защищает программу от проникновения вредоносного кода в момент переполнения буфера, а библиотека Safe CRT добавляет функции, которые помогут защитить приложение от внешних атак.

Упрощение работы

Следующее направление - это поддержка безопасной работы пользователей, ИТ-специалистов и разработчиков. Данная задача решается как за счет усиления средств в составе Windows (речь идет в первую очередь о Windows Security Center в составе Windows XP SP2 и Windows Vista, а также о включении в состав будущих клиентских ОС инструментов защиты от шпионских программ), так и за счет развития онлайновых Интернет-служб, в частности, Windows OneCare Live.

Пользователи

Windows Security Center. Данный штатный компонент Windows XP SP2 обеспечивает подключение средств защиты от вирусов и сетевого экрана и автоматическое обновление системы. Новый Windows Vista Security Center будет включать защиту от шпионского ПО (Windows Defender или технологии независимых разработчиков). Он также будет показывать статус Internet Explorer и параметры User Account Control (UAC), отражающие уровень защиты пользователя от внешних угроз.

Windows OneCare Live. Эта онлайновая служба предназначена для защиты Windows от вирусов, шпионского и другого вредоносного ПО. О намерении создать такой сервис корпорация сообщала еще в мае прошлого года, а в ноябре началось его бета-тестирование (http://ideas.live.com), участниками которого с тех пор уже стали сотни тысяч человек.

Функционал сервиса Windows OneCare не ограничивается борьбой с вредоносным ПО. Он также включает специальные средства защиты наиболее ценной для пользователя электронной информации. Кроме того, с его помощью можно решать проблемы снижения производительности вычислительной системы в целом, в том числе по причине утери контроля над файловой системой. Сервис обеспечит автоматическое обновление антивирусного ПО, включая двухуровневый сетевой экран, а также поддержку производительности обслуживаемых систем за счет применения улучшенных средств очистки дисков, дефрагментации внешней памяти и восстановления файлов. Как подчеркивает Microsoft, с учетом пожеланий бета-тестеров в OneCare добавлены функции резервного копирования (в том числе на CD или DVD) и восстановления поврежденных данных. Управление средствами поддержки "здоровья" ПК организовано через единый простой пользовательский интерфейс. Все задействованные сервисы находятся в постоянной готовности и выполняются в фоновом режиме.

Сейчас Windows OneCare Live работает в режиме бета-тестирования, но с июня будет запущена в коммерческую эксплуатацию. Годовая подписка на службу обойдется в 50 долл., один абонемент дает право на обслуживание трех компьютеров. Сначала служба будет работать только на английском языке, но в течение года должны появиться тестовые варианты ее национальных версий.

ИТ-специалисты

Windows Server Update Services (WSUS) - это компонент Windows Server, отвечающий за установку патчей и обновлений, загружаемых через службу Windows Update.

Microsoft Client Protection (MCP) - новое решение, предназначенное для защиты от различных внешних угроз настольных ПК делового назначения и серверов. В нем используются те же технологии, что в Windows Defender и Microsoft Windows Malicious Software Removal Tool. В настоящее время выпущена ранняя бета-версия продукта, включающая защиту от шпионского ПО, средства централизованного управления и отчетности. В третьем квартале будет представлена публичная версия MCP, а в первой половине 2007 г. должен появиться окончательный вариант.

Microsoft Antigen - семейство решений для защиты почтовых серверных систем от вирусов и спама (разработка приобретенной Microsoft летом прошлого года компании Sybari Software). Новые версии решений для Exchange и SMTP-серверов представлены сейчас в ознакомительном режиме для ограниченного числа пользователей, но в течение полугода обещан выпуск общедоступной бета-версии.

Разработчики ПО

Как уже говорилось выше, Microsoft предлагает средства своей программы Security Development Lifecycle, а также инструментарий в составе Visual Studio.

Базовая платформенная безопасность

И, наконец, создание безопасных систем должно строиться на надежной платформенной основе. В частности, защита от различного вредоносного ПО должна включать комплекс изоляционных технологий, в том числе MAL (memory access layer, слой защиты памяти), многофакторную аутентификацию, управление политиками прав доступа, перекрестный аудит ПО и т. д. Все эти средства предполагается усилить в будущей Windows Vista.

Защита от проникновения вредоносного ПО

Защищенный режим Internet Explorer Protected. Эта возможность будет реализована только в Windows Vista, она защитит среду браузера от хакерских проникновений. В этом режиме будут запрещены модификации пользовательских и системных файлов и установок, взаимодействие браузера и ОС будет проходить в специальном защищенном процессе.

Windows Defender (ранее Windows AntiSpyware) - защита от шпионского и нежелательного ПО в режиме реального времени или сканирования. Сейчас продукт представлен второй бета-версией для Windows 2000 SP4, Windows XP SP2 и Windows Server 2003 SP1. Он будет включен в состав Windows Vista и свободно доступен пользователям Windows 2000/XP и Windows Server 2003, которые присоединились к программе Windows Genuine Advantage.

Windows Service Hardening. Персональный сетевой экран для Windows Vista будет интегрирован с новой функцией Windows Service Hardening, которая должна защитить критически важные службы ОС от действий вредоносных программ на уровне файловой системы, регистров, сети и ряда других ресурсов.

Безопасный доступ к информации

User Account Control (UAC) следит за тем, чтобы приложения и задания запускались только со стандартных пользовательских входов, ограничивая доступ к средствам административного уровня авторизованными процессами.

Упрощенная архитектура входа в систему. Новая архитектура Winlogon в Windows Vista и Windows Server (Longhorn) позволит независимым поставщикам ПО подключать собственные методы аутентификации, например, биометрию или токены. Это будет организовано на основе модели провайдеров, которая намного проще используемой сегодня Graphical Identification и Authorization.

Защита данных от несанкционированного просмотра

BitLocker Drive Encryption - программно-аппаратное средство шифрования данных на внешних носителях информации. Это позволит защитить корпоративную и пользовательскую информацию даже в случае потери или кражи компьютера.

Шифрованная файловая система EFS (Encrypted File System) обеспечивает защиту данных на уровне пользовательских файлов или папок с помощью ключей, хранимых на смарт-картах. Так, если два пользователя обменяются компьютерами, то они не смогут получить доступ к зашифрованной информации без ключей.

Службы управления правами RMS (Rights Management Services). В Windows Vista включены интегрированные клиентские функции RMS, что поможет безопасно распространять информацию на основе управления политиками доступа. В Windows Vista RMS будет поддерживаться новый XPS-формат документов.

Как Microsoft повышает надежность программного кода

В июле 2005 г. генеральный менеджер Microsoft по маркетингу SQL Server Майк Тучен ответил на несколько вопросов редакции по поводу предстоящего выпуска SQL Server 2005.

"BYTE/Россия": Как обеспечивалось общее качество и надежность новой СУБД?

Майк Тучен: Вас, возможно, это удивит, но у нас есть все основания считать текущую версию SQL Server 2000 самой защищенной БД на рынке. Посмотрите на такой важный параметр, как количество обновлений по безопасности, которые выпускают все поставщики СУБД. В этом году мы выпустили ноль заплаток для нашей БД, в 2004 г. - одну, в 2003-м - две. В то же время у наших главных конкурентов насчитываются десятки заплаток в год!

"BYTE/Россия": Какие же волшебные слова вы сказали, чтобы добиться таких результатов?

Майк Тучен: Примерно три с половиной года назад Microsoft столкнулась с рядом проблем с безопасностью своих продуктов, особенно SQL Server. Это дошло до сведения общественности и создало серьезную угрозу для бизнеса корпорации. Реакция руководства компании была быстрой и решительной: Стив Балмер отдал приказ о приостановке всех разработок. Он сказал: ни один разработчик компании не напишет ни одной строчки кода, пока не будут выполнены три условия.

Первое: каждый разработчик должен пройти курсы изучения и исправления часто встречающихся недостатков в ПО с точки зрения безопасности. Второе: весь уже написанный код должен пройти повторную проверку на предмет выявления брешей в системе защиты. Третье: исправленный код должен быть передан пользователям.

Эти требования Балмера были реализованы, и действительно был такой период времени в работе Microsoft, когда в компании не было написано ни одной строки нового кода. Но в результате количество годовых обновлений для SQL Server 2000 упало с 11 до двух. Мы также изменили стратегию наших отношений с заказчиками в вопросах безопасности. Было решено публиковать все сведения о выявляемых ошибках и поставлять все обновления, сопровождая их подробным описанием исправляемого недостатка.