Это самая безопасная из когда-либо выпущенных версий Windows XP:
ограничено более 600 настроек, на установку критических обновлений
безопасности уходит в среднем 72 часа вместо стандартных 57 дней.
Единственная проблема - для ее получения вы должны служить в ВВС США.
ВВС США убедили исполнительного директора компании Microsoft Стива Баллмера (Steve Ballmer) снабдить их безопасной Windows,
которая снизит контрактные затраты на обслуживание приблизительно на
100 миллионов долларов, с бесконечной лицензией. На этой неделе на
слушании по информационной безопасности в Конгрессе США руководитель по
разработке в институте SANS Алан Паллер (Alan Paller) в качестве
примера рассказал о том, как правительство может использовать свою
покупательную способность для того, чтобы заставить компании
производить более безопасные продукты. Ведь такие безопасные продукты,
в конечном счете, станут доступны для остальной части населения. Случай
с ВВС США может оказаться переломным.
Мы поговорили на эту тему с Джоном Джилианом (John Gilligan), прежним информационным директором ВВС, чтобы выяснить подробности.
Джилиан,
который был директором в ВВС с 2001 по 2005 год, а теперь управляет
собственной консалтинговой компанией, сказал, что все это началось в
2003 году, после того, как Агентство Национальной Безопасности (NSA)
провело тесты на проникновение в сеть ВВС в рамках регулярного
тестирования безопасности Пентагона.
Специально приглашенные
специалисты по безопасности сделали из сети АНБ швейцарский сыр, при
этом оказалось, что более 2/3 проникновений стали возможными благодаря
некорректно настроенному ПО, в котором были уязвимости. В некоторых
случаях виновата была операционная система или приложение, которые были
напичканы незащищенными функциями. В других случаях системы, которые
изначально были безопасными, стали уязвимыми вследствие переустановки
какого-либо ПО без повторной установки патчей.
"Это была очень легкая мишень" - говорит Джилиан.
ВВС
США, находясь на грани проведения повторных переговоров с Microsoft
относительно контракта по программному обеспечению для своей сети,
организовали встречу с Баллмером и попросили, чтобы компания создала
максимально безопасную конфигурацию Windows XP. Идея была такова, чтобы
администраторы ВВС не тратили всое время на настройку/перенастройку.
Microsoft быстро согласилась на этот план и в качестве куратора проекта выступил сам Баллмер.
"У
него есть полдюжина клиентов, с которыми он связан лично" - сказал
Джилиан. "Они создали предварительную версию, а мы подстроили ее и
кое-что добавили."
АНБ, Национальный Институт Стандартов и
Технологии (National Institute of Standards and Technology, NIST),
Агентство по оборонным информационным системам (Defense Information
Systems Agency, DISA) и Центр Интернет-безопасности (Center for
Internet Security, CIS) собрались вместе, чтобы решить, какие функции
ОС необходимо ограничить в специальном издании Windows XP для ВВС.
Многие изменения были довольно-таки сложными с технической точки зрения,
но Джилиан считает, что важнее всего и проще всего было понять и
исправить способ, с помощью которого Windows XP обрабатывает пароли.
Представители ВВС настояли, чтобы система была конфигурирована так,
чтобы административные пароли были уникальными и отличались от общих
пользовательских паролей, препятствуя получению административных
привилегий обычным пользователем. Были добавлены новые спецификации для
увеличения длины и сложности паролей, а также ограничения срока
действия до 60 дней .
ВВС потратили практически два года
на создание каталога и проверку всех используемых приложений своей сети
в новой конфигурации, чтобы обнаружить конфликты. В некоторых случаях,
когда разработанное своими силами программное обеспечение небезопасно
взаимодействовало с Windows XP, программисты ВВС должны были внести
изменения в используемое программное обеспечение.
"Мы
разработали целую дисциплину взаимодействия приложений. Потребовалось
внимание старшего руководства, поскольку это не нравилось
IT-специалистам. Мы взяли на себя управление и вынудили их
модифицировать системы. Но выигрыш был огромен, потому что теперь ВВС
знают, что у них стоит на машинах, они знают все приложения и как ими
управлять".
В дополнение к безопасной конфигурации ВВС также
обратились к Microsoft за автоматизированными инструментами для
установки обновлений и запрета на внесение изменений в конфигурацию.
Наличие единой конфигурации в значительной степени экономило время на установку обновлений.
Джилиан отметил, что раньше у администраторов сети ВВС уходило больше
100 дней на то, чтобы установить патчи после того, как была обнаружена
новая уязвимость - было необходимо проверить патчи на множестве
различных конфигураций. На установку внеочередных патчей, которые
должны быть установлены мгновенное, уходило 57 дней, а это оставляло
сеть уязвимой для злоумышленников.
"Как только этот недостаток стал очевидным, те, кто хотел напасть на наши системы, могли спокойно это сделать" - сказал Джилиан.
В
случае единой конфигурации все проверки сама Microsoft выполняет
прежде, чем выпустить патч, экономя время и средства ВВС. К тому же
благодаря новой конфигурации число звонков в службу технической
поддержки ВВС снизилось на 40% процентов.
"Оказывается, когда
настроить систему, как подобает, и после этого не вносить каких-либо
изменений, она работает очень хорошо" - сказал Джилиан.
ВВС
приступили к реализации проекта еще в 2005 года и закончили
устанавливать новую конфигурацию на системах в конце 2007 года. В
контрактах с поставщиками аппаратного обеспечения было требование,
чтобы продавцы предварительно устанавливали конфигурацию Windows XP на
системы прежде, чем поставлять их ВВС.
ВВС сэкономили 100
миллионов долларов на пятилетнем лицензионном соглашении с Microsoft,
объединяющем больше 30 контрактов - это стало возможным благодаря тому,
что покупалась одна общая стандартная конфигурация.
Важно, что безопасность системы действительно выросла. Джилиан сказал, что после того, как конфигурация была установлена, 85% осуществляемых атак были успешно заблокированы.
"Как
только у вас установлена стандартная конфигурация, ее становится
гораздо сложнее атаковать" - сказал Джилиан. "Я не буду утверждать, что
в сеть ВВС нельзя проникнуть, но количество инцидентов уменьшилось в
разы. Надеюсь, что те, кто защищает сети, могут теперь сосредоточить
свою энергию на меньшем наборе уязвимостей и более сложных атаках."
Проект был настолько успешен,
что это стало основой для программы правительства Federal Desktop Core
Configuration Program, которой в прошлом году отдел управления и
бюджета Белого дома поручил улучшить безопасность правительственных
систем. Джилиан сказал, что другие отделы начали с конфигурации ВВС и
лишь немного ее изменили, чтобы та соответствовала их конкретным
потребностям и приложениям.
Он сказал, что следующий шаг должен
расширить проект на другие программные продукты, такие как системы
управления базами данных. Он добавил, что уверен в том, что пример с
Microsoft станет поворотным при обсуждении с вендорами, которые
усиленно сопротивляются ограничению функций их приложений.
"Они
все еще работают в той модели, которая предполагает предоставление
клиентам всех функций" - сказал он. "Но я думаю, что мы достигли точки,
где эта модель больше не эффективна. Я считаю, что все продукты должны
идти с ограниченной конфигурацией, а если клиент решит, что они хочет
изменить ее, тогда вперед. Они не могут продолжать поставлять продукты,
при которых расходы, которые несет потребитель из-за необходимости
поддерживать конфигурацию и противостоять атакам, настолько высоки".
Что означает это для нас, для среднестатистических пользователей, пока неясно.
Мы связались с Microsoft, чтобы узнать, планирует ли компания выпускать
подобные - ограниченные в функционале - версии Windows XP на
потребительский рынок, а также появлияет ли этот успешный опыт на
будущие продукты компании. И получили в ответ лишь молчание.
