ЦОДы для биткоинов

05 мая 2014 г. | Механиков Олег | Категория: Вопросы эксперту

Тема безопасности биткоинов, — новой криптовалюты в мире виртуальных валют — одна из наиболее обсуждаемых ИТ-сообществом в последние месяцы. Несколько вопросов, касающихся защиты биткоинов, комментируют эксперты российского рынка.

Должны ли быть отдельные ЦОДы для хранения виртуальной валюты, с повышенной защитой? Или для этого можно приспособить среднестатистический дата-центр? Нужно ли создание особой зоны для хранения биткинов? Особой процедуры идентификации для доступа к серверам с биткоинам?

Андрей Зеренков, эксперт по информационной безопасности компании Symantec:

Архитектура современных ЦОД позволяет разделить их информационное пространство на зоны безопасности, степень защиты каждой из которых будет соответствовать требованиям безопасности сервисов и приложений, которые в ней обрабатываются. Более того, концепция SDDC (Software-defined Data Center) позволяет создавать практически любые конфигурации на основе технологий виртуализации, и мы уже предлагаем средства защиты для подобных сред. Если оператор ЦОД не смог обеспечить безопасность согласно требованиям, от него лучше отказаться – пусть сначала докажет, как минимум, с помощью процедур аудита информационной безопасности, свою состоятельность. А дальше – обычный процесс завоевания доверия пользователей.

Что же касается защиты, то это не только программно-технические средства, это комплекс организационно-технических мероприятий, включающий в себя и реализованные в технологиях продукты, и процессы обеспечения информационной безопасности, и подготовленных специалистов. В данном случае можно предположить, что либо сотрудник не был подготовлен в достаточной степени и нарушил регламенты и процедуры, либо процессы обеспечения ИБ недостаточно проработаны. И в том, и в другом случае доверять оператору такого ЦОД не следует. По крайней мере, пока он не раскроет подробности инцидента и не докажет, что принятых мер вполне достаточно для предотвращения подобного в будущем, и что относительно другого рода инцидентов ИБ также можно не беспокоиться.

Что же касается самих средств защиты – строгой аутентификации, сетевого экранирования, защищенного канала обмена информацией и др. – то это, как говорится, дело техники, то есть обычных профи в области ИБ, которые легко распишут, какие средства и в каких ситуациях следует применять. Ничего особенного здесь нет – в мире множество примеров защиты куда более важной информации.

Елена Козлова, руководитель направления Сompliance Центра информационной безопасности компании «Инфосистемы Джет»:

Биткоины − всего лишь один из типов данных, просто очень раскрученный. Защита биткоинов принципиально ничем не отличается от защиты обычных денег в ЦОДе, который обслуживает банки, и к ней нужно подходить с такой же строгостью. А принципы такой защиты давно известны и апробированы – например, можно руководствоваться стандартом PCI DSS.

Виртуальная валюта изначально создавалась специалистами криптологии.
Как Вы полагаете — биткоины — это то, на что в основном нацелены злоумышленники? Или корпоративный документооборот подвергается таким же несанкционированным попыткам захвата, но менее заметным, т.к. речь идет не о грабеже, а копировании/подмене данных?

Елена Козлова:

На обычные банковские приложения, работающие с «реальными» деньгами (которые, к слову, сразу можно потратить), совершается огромное число атак. Эти атаки намного серьезнее и результаты их весомее: по некоторым данным из банков и систем ДБО хакерами ежегодно уводятся миллиарды долларов. И это действительно проблема. Возвращаясь к разговору о биткоинах − логичнее строить их защиту так, будто это обычные деньги.

Андрей Зеренков:

Это похоже на вопрос: «Как использовать ядерную энергию?» Это и оружие страшной разрушительной силы, и очень мощный источник энергии, правда, с сопутствующими проблемами утилизации. Как использовать новую технологию, каждый решает для себя сам. Киберпреступники выбрали биткоины для расчетов как средство, которое не может вывести непосредственно на злоумышленника с помощью обычных юридических процедур. Но эта криптовалюта не принадлежит ни одному государству, и не обеспечивается его финансовыми резервами. То есть, гарантии по ее платежеспособности получить не у кого. Относительно ее курса к реальным валютам тоже ничего определенного обещать нельзя, так как он формируется исключительно на основе спроса и предложения, а эмиссия новых биткоинов децентрализована и неуправляема. Любой желающий может воспользоваться биткоинами для расчетов, но в нашей стране это официально запрещено.

Относительно попыток хищения информации, важной и для отдельных пользователей, и для компаний, мы говорим постоянно, рассказывая, как обеспечить противодействие злоумышленникам.Свежий отчет по угрозам “Internet Security Threat Report 2014: Volume 19” уже доступен для ознакомления на нашем сайте. Он интересен, в том числе, и с точки зрения оценки активности киберпреступников по хищению чужой информации.

Эксперты службы безопасности считают, что значительная часть нераскрытых преступлений, связанных с биткоинами, — дело рук инсайдеров или как-то связано с сотрудниками владельцев валюты или ЦОДов. Возможно ли, что это попытки оправдать бреши в защите ЦОДа?

Андрей Зеренков:

Полагаю, что эксперты известной вам службы безопасности имеют какое-то основание так считать. Я не знаю, на какую именно информацию вы ссылаетесь, но, на мой взгляд, непосредственный доступ к вычислительным мощностям подталкивает к действиям, называемым майнингом — по сути, это выполнение процедур обслуживания системы биткоин-взаиморасчетов на собственном оборудовании или оборудовании работодателя. Оплачивается биткоинами, разумеется. Поэтому находятся желающие нелегально использовать вычислительные мощности работодателя в личных целях. Можно сказать, что это брешь. Но брешь не столько на уровне технологий и продуктов защиты, а на уровне процессов обеспечения ИБ и на уровне подготовки специалистов.

Елена Козлова:

По статистике до 70% от всех киберпреступлений связано с деятельностью инсайдеров. И тема биткоинов не исключение — именно с инсайдерской помощью проще всего украсть биткоин.

Самое слабое место биткоинов, с Вашей точки зрения?

Андрей Зеренков:

Согласно тому, что я уже сказал выше, биткоин — это некая абстракция, не обеспеченная, по сути, абсолютно ничем. Кто-то ей доверяет, кто-то нет.

Если оператор не потребовал идентификацию у клиента  - можно ли это рассматривать как типовой случай забывчивости, как Вы полагаете? 

Андрей Зеренков:

У меня нет подобной статистики по ЦОД, но я полагаю, что столь безалаберное поведение сотрудника ЦОД – явление, выходящее за общепринятые рамки. Кстати, правильно выстроенная система защиты не позволила бы сделать это ни при каких условиях. Так что виноват в инциденте не только и не столько упомянутый сотрудник, который, по сути, стал «стрелочником», а виноват в первую очередь руководитель ИБ данного ЦОД.

Если после происшествия владелец ЦОДа  делает тотальную поверку и совершенствует системы безопасности – можно ли такому ЦОДу доверять, или все же логично переводить свои данные в другой ЦОД? Или дата-центру, где произошло такое событие, а руководство осталось прежним, трудно доверять? Вы бы перенесли свои биткоины на новый объект или оставили в прежнем ЦОДе ? 

Андрей Зеренков:

Обычной проверкой в данном случае не обойтись – необходимо тщательно проанализировать случившееся, переоценить всю систему обеспечения ИБ и, возможно, частично ее перепроектировать. Это не быстрый процесс, и он требует заметных дополнительных инвестиций. Вы готовы доверять обсуждаемому ЦОДу, не имея информации о том, почему произошел данный инцидент, и какие именно меры были приняты? (Я не про «стрелочника», которым оказался неподготовленный сотрудник, а про организацию информационной безопасности в целом).

Теги: биткоин, Bitcoin, Андрей Зеренков, Symantec, Елена Козлова, Инфосистемы Джет