Компьютерные вирусы остаются в настоящее время одной из наиболее опасных угроз информационной безопасности автоматизированных информационных систем (АИС). Одним из подтверждений этого являются статистические данные ассоциации mi2g (www.mi2g.com), согласно которым в 2004 году суммарный ущерб, нанесённый вирусами, составил 184 млрд долл. Это почти в два раза превышает аналогичный показатель 2003 года.
Ущерб в млрд долл. в 1999–2004 гг.
(по данным mi2g)
Год Вирусы Спам Фишинг Итого
1999 2 ----- 1 ---- 0 -- 21
2000 9 ----- 3 ---- 0 -- 26
2001 6 ----- 3 ---- 0 -- 37
2002 11 --- 72 --- 0 - 119
2003 92 --- 65 -- 16 - 239
2004 184 - 154 - 47 - 525
Необходимо также отметить, что, по данным исследований Института компьютерной безопасности и Федерального бюро расследований США, в 2004 году более 78 % организаций были подвержены вирусным атакам1. При этом у 97 % из них были установлены межсетевые экраны, а 96 % компаний использовали антивирусные средства. Сказанное выше говорит о том, что существующие подходы к защите от вредоносного ПО не позволяют в полной мере решить задачу обеспечения антивирусной безопасности. Однако, прежде чем приступить к описанию недостатков традиционных методов защиты от компьютерных вирусов, рассмотрим основные виды вирусных угроз, которые могут представлять опасность для АИС организаций. Кстати, общие сведения о защите АИС вы можете почерпнуть в предыдущих двух статьях цикла — в “БиК” № 1 и № 2 за 2007 год.
Типы вирусных угроз безопасности
Основными видами угроз антивирусной безопасности являются различные типы вредоносного ПО, способного нанести определённый вред АИС или её пользователям. Вредоносное ПО представляет собой компьютерные вирусы, а также программы типа “троянский конь”, adware, spyware и др.
Вирусы — это специально созданный программный код, способный самостоятельно распространяться в компьютерной среде2. В настоящее время можно выделить следующие типы информационных вирусов: файловые и загрузочные вирусы, “сетевые черви”, бестелесные вирусы, а также комбинированный тип вирусов. Каждый из этих типов отличается видом носителя, а также методом распространения в АИС.
Программы типа “троянский конь” (Trojan Horses) также относятся к вредоносному программному коду, однако, в отличие от вирусов, не имеют возможности самостоятельно распространяться в АИС. Программы данного типа маскируются под штатное ПО системы и позволяют нарушителю получить удалённый несанкционированный доступ к тем узлам, на которых они установлены.
Вредоносное ПО типа spyware предназначено для сбора определённой информации о работе пользователя. Примером таких данных может служить список интернет-сайтов, посещаемых пользователем, перечень программ, установленных на его рабочей станции, содержимое сообщений электронной почты и др. Собранная информация перенаправляется программами spyware на заранее определённые адреса в сети интернет. Вредоносное ПО данного типа может являться потенциальным каналом утечки конфиденциальной информации из АИС.
Основная функциональная задача вредоносных программ класса adware заключается в отображении рекламной информации на рабочих станциях пользователей. Для реализации этого они, как правило, выводят на экран пользователя рекламные баннеры, содержащие информацию о тех или иных товарах и услугах. В большинстве случаев эти программы распространяются вместе с другим ПО, которое устанавливается на узлы АИС. Несмотря на то что программы adware не представляют непосредственную угрозу для конфиденциальности или целостности информационных ресурсов АИС, их работа может приводить к нарушению доступности вследствие несанкционированного использования вычислительных ресурсов рабочих станций.
Как правило, вирусные угрозы могут существовать на одном из четырёх этапов своего жизненного цикла (рис. 1).
Основным условием первого этапа жизненного цикла вирусной угрозы в АИС является наличие уязвимости, на основе которой потенциально возможно провести вирусные атаки3. Уязвимости могут проистекать из-за недостатков организационно-правового либо программно-аппаратного обеспечения АИС. Первый тип уязвимостей связан с отсутствием определённых нормативных документов, в которых определяются требования к антивирусной безопасности АИС, а также пути их реализации. Так, например, в организации может отсутствовать политика информационной безопасности, учитывающая требования к антивирусной защите. Примерами уязвимостей программно-аппаратного обеспечения являются ошибки в ПО, отсутствие средств защиты, неправильная конфигурация программного окружения, наличие нестойких к угадыванию паролей и др.
Уязвимости могут возникать как на технологическом, так и на эксплуатационном этапах жизненного цикла АИС. Технологические уязвимости проявляются на стадиях проектирования, разработки и развёртывания АИС. Эксплуатационные уязвимости связаны с неправильной настройкой программно-аппаратного обеспечения, установленного в АИС.
Второй этап жизненного цикла вирусной угрозы предполагает использование вирусом имеющейся технологической или эксплуатационной уязвимости для инфицирования ресурсов АИС. На данном этапе вирус заражает один из хостов (серверов, задача которых — обеспечивать доступ к сетевым ресурсам), входящих в состав АИС. В зависимости от типа уязвимости АИС применяются различные методы для их использования.
На третьем этапе жизненного цикла вирус выполняет те действия, для которых он был предназначен. Так, например, вирус может установить на инфицированный компьютер программу типа “троянский конь”, исказить информацию, хранящуюся на хосте, или собрать конфиденциальную информацию и передать её на определённый адрес в сети интернет. В ряде случаев вирусы также могут использоваться для нарушения работоспособности атакованной АИС.
На четвёртом этапе жизненного цикла происходит дальнейшее распространение вирусов в АИС посредством инфицирования других компьютеров, расположенных в одной ЛВС вместе с заражённым хостом. В большинстве случаев распространение вирусов осуществляется на основе тех же уязвимостей, которые использовались для первичного инфицирования АИС.
Недостатки существующих подходов
В настоящее время во многих компаниях бытует миф о том, что для эффективной защиты АИС от вредоносного ПО достаточно установить антивирусные продукты на всех рабочих станциях и серверах, что автоматически обеспечит нужный уровень безопасности. К сожалению, практика показывает, что такой подход не позволяет в полной мере решить задачу защиты от вредоносного кода. Обусловлено это следующими основными причинами:
· подавляющее большинство антивирусных средств базируется на сигнатурных методах выявления вредоносного ПО, что не позволяет им обнаруживать новые виды вирусов, сигнатуры которых отсутствуют в их базах данных;
· в ряде случаев в организациях отсутствуют нормативно-методические документы, регламентирующие порядок работы с антивирусными средствами защиты. Это может приводить к возможным нарушениям правил эксплуатации, а именно — несвоевременному обновлению сигнатурных баз, отключению компонентов антивирусов, запуску программ с непроверенных информационных носителей и т. д.;
· антивирусные средства защиты не позволяют выявлять и устранять уязвимости, на основе которых компьютерные вирусы могут проникать в АИС предприятий;
· антивирусы не обладают функциональными возможностями, позволяющими ликвидировать последствия вирусных атак.
Другим распространённым подходом к защите от вредоносного кода является использование в АИС антивирусных средств защиты только одного производителя, которые устанавливаются на серверы, рабочие станции и сетевые шлюзы. Недостатком такого метода является высокий уровень зависимости от продукции этого производителя. Это означает, что в случае если по какой-то причине будет нарушена работоспособность антивирусного ядра или вендор (производитель ПО) не сможет своевременно обновить свою базу данных, то под угрозой вирусной эпидемии окажется вся инфраструктура компании. Актуальность данной проблемы обусловлена тем, что антивирусные лаборатории по-разному реагируют на появляющиеся компьютерные вирусы. Иллюстрирует это пример, изображённый на рис. 2. Он показывает время реакции различных компаний-производителей на вирус Sober.P, который появился 2 мая 2005 года. Как видите, разница во времени реакции составляет до восьми часов, в течение которых АИС потенциально может быть успешно атакована злоумышленниками. Необходимо также отметить и разницу во времени реагирования компаний на тот или иной вирус: тот производитель, который сегодня первым отреагировал на появление вируса класса А, завтра может последним выпустить сигнатуру для вируса типа Б.
Далее рассмотрим, каким же образом следует строить систему защиты. Бесспорно, что только комплексный подход к защите от вирусных угроз позволяет избежать вышеперечисленных недостатков.
Комплексный подход к защите от вирусных угроз
Такой подход к защите от вредоносного кода предусматривает согласованное применение правовых, организационных и программно-технических мер, перекрывающих в совокупности все основные каналы реализации вирусных угроз. В соответствии с этим подходом в организации должен быть реализован следующий комплекс мер:
· выявление и устранение уязвимостей, на основе которых реализуются вирусные угрозы. Это позволит исключить причины возможного возникновения вирусных атак;
· своевременное обнаружение и блокирование вирусных атак;
· выявление и ликвидация последствий вирусных угроз. Данный класс мер защиты направлен на минимизацию ущерба, нанесённого в результате реализации вирусных угроз.
Важно понимать, что эффективная реализация вышеперечисленных мер на предприятии возможна только при наличии нормативно-методического, технологического и кадрового обеспечения антивирусной безопасности.
Нормативно-методическое обеспечение антивирусной безопасности предполагает создание сбалансированной правовой базы в области защиты от вирусных угроз. Для этого в компании должен быть разработан комплекс внутренних нормативных документов и процедур, обеспечивающих процесс эксплуатации системы антивирусной безопасности. Состав таких документов во многом зависит от размеров самой организации, уровня сложности АИС, количества объектов защиты и т. д. Так, например, для крупных организаций основополагающим нормативным документом в области защиты от вредоносного кода должна быть концепция или политика антивирусной безопасности. Для небольших компаний достаточно разработать соответствующие инструкции и регламенты работы пользователей, а также включить требования к обеспечению антивирусной защиты в состав политики информационной безопасности организации.
В рамках кадрового обеспечения антивирусной безопасности в компании должен быть организован процесс обучения сотрудников противодействию вирусным угрозам. Программа обучения должна быть направлена на минимизацию рисков, связанных с ошибочными действиями пользователей, приводящих к реализации вирусных атак. Примерами таких действий являются: запуск приложений с непроверенных внешних носителей, использование нестойких к угадыванию паролей доступа, закачка ActiveX-объектов с сайтов, не включённых в список доверенных, и др. В процессе обучения должны рассматриваться как теоретические, так и практические аспекты антивирусной защиты. При этом программа обучения может составляться в зависимости от должностных обязанностей сотрудника, а также от того, к каким информационным ресурсам он имеет доступ.
Технологическое обеспечение направлено на создание комплексной системы антивирусной защиты (КСАЗ), которая помимо антивирусов дополнительно должна включать в себя такие подсистемы, как защита от спама, обнаружение и предотвращение атак, выявление уязвимостей, сетевое экранирование и подсистема управления.
Подсистема выявления компьютерных вирусов является базовым элементом КСАЗ и предназначена для обнаружения различных типов компьютерных вирусов на уровне рабочих станций пользователей, серверов, а также сетевых шлюзов. Для обнаружения вирусов подсистема должна использовать как сигнатурные, так и эвристические методы анализа. В случае обнаружения вируса подсистема обеспечивает возможность оповещения пользователя и администратора безопасности, а также удаления выявленных вирусов из инфицированных файлов. Для эффективной защиты от вирусов подсистема должна базироваться на антивирусных ядрах различных производителей4. Это позволит существенно повысить вероятность обнаружения вируса за счёт того, что каждый файл или почтовое сообщение будет проверяться различными средствами. Ещё одним преимуществом использования многоядерных антивирусов является более высокая надёжность работы КСАЗ. В случае если в одном из сканирующих ядер КСАЗ произойдёт сбой, то оно всегда может быть заменено другим активным антивирусным ядром. Примером программного продукта, который может использоваться для реализации КСАЗ, является система Antigen компании Microsoft (www.antigen.ru), предназначенная для антивирусной защиты серверов Exchange, SharePoint, SMTP-шлюзов и другого прикладного ПО. Данный продукт может включать в себя до восьми антивирусных ядер различных производителей.
Подсистема сетевого экранирования предназначена для защиты рабочих станций пользователей от возможных сетевых вирусных атак посредством фильтрации потенциально опасных пакетов данных. Подсистема должна обеспечивать возможность фильтрации на канальном, сетевом, транспортном и прикладном уровнях стека TCP/IP. Как правило, данная подсистема реализуется на основе межсетевых и персональных сетевых экранов. При этом межсетевой экран устанавливается в точке подключения АИС к сети интернет, а персональные экраны размещаются на рабочих станциях пользователей.
Подсистема выявления и предотвращения атак предназначена для обнаружения несанкционированной вирусной активности посредством анализа пакетов данных, циркулирующих в АИС, а также событий, регистрируемых на серверах и рабочих станциях пользователей. Подсистема дополняет функции межсетевых и персональных экранов за счёт возможности более детального контекстного анализа содержимого передаваемых пакетов данных. Эта подсистема включает в себя следующие компоненты:
· сетевые и хостовые сенсоры, предназначенные для сбора необходимой информации о функционировании АИС. Сетевые сенсоры реализуются в виде отдельных программно-аппаратных блоков и предназначены для сбора информации обо всех пакетах данных, передаваемых в рамках того сетевого сегмента, где установлен сенсор. Данный тип сенсоров должен присутствовать во всех ключевых сегментах АИС, где расположены защищаемые узлы системы. Хостовые сенсоры устанавливаются на рабочие станции и серверы АИС и собирают информацию обо всех событиях, происходящих на этих узлах системы. Хостовые сенсоры могут собирать информацию не только о пакетах данных, но и о других операциях, которые выполняются приложениями, запущенными на узле АИС;
· модуль выявления атак, выполняющий обработку данных, собранных сенсорами, с целью обнаружения информационных атак нарушителя. Данный модуль подсистемы должен реализовывать сигнатурные и поведенческие методы анализа информации;
· модуль реагирования на обнаруженные атаки. Модуль должен предусматривать возможность как пассивного, так и активного реагирования. Пассивное реагирование предполагает оповещение администратора о выявленной атаке, в то время как активное — блокирование попытки реализации вирусной атаки;
· модуль хранения данных, в котором содержится вся конфигурационная информация, а также результаты работы подсистемы.
Подсистема выявления уязвимостей должна обеспечивать возможность обнаружения технологических и эксплуатационных уязвимостей АИС посредством проведения сетевого сканирования. В качестве объектов сканирования могут выступать рабочие станции пользователей, серверы, а также коммуникационное оборудование. Для проведения сканирования могут использоваться как пассивные, так и активные методы сбора информации. По результатам работы подсистема должна генерировать детальный отчёт, включающий в себя информацию об обнаруженных уязвимостях, а также рекомендации по их устранению. Совместно с подсистемой выявления уязвимостей в АИС может использоваться система управления модулями обновлений общесистемного и прикладного ПО, установленного в АИС. Совместное использование этих систем позволит автоматизировать процесс устранения выявленных уязвимостей путём установки необходимых обновлений на узлы АИС (service pack, hotfix, patch и др.).
Подсистема защиты от спама направлена на блокирование почтовых сообщений рекламного характера. Для этого подсистема должна поддерживать возможность работы со списками RBL (Real-Time Black Lists), а также реализовывать собственные сигнатурные или поведенческие методы выявления спама. Подсистема устанавливается таким образом, чтобы все входящие почтовые сообщения, поступающие из интернета, вначале проходили через её контекстный фильтр, а затем попадали на корпоративный почтовый сервер.
Подсистема управления антивирусной безопасностью предназначена для выполнения следующих функций:
· удалённой установки и деинсталляции антивирусных средств на серверах и рабочих станциях пользователей;
· удалённого управления параметрами работы подсистем защиты, входящих в состав КСАЗ;
· централизованного сбора и анализа информации, поступающей от других подсистем. Данная функция позволяет автоматизировать процесс обработки поступающих данных, а также повысить оперативность принятия решений по реагированию на выявленные инциденты, связанные с нарушением антивирусной безопасности.
Общая схема размещения подсистем защиты, входящих в состав комплексной системы антивирусной безопасности в АИС, показана на рис. 3.
Внедрение такой комплексной системы антивирусной защиты представляет собой довольно сложный многоступенчатый процесс, который включает в себя следующие этапы (рис. 4):
· аудит информационной безопасности АИС, который направлен на сбор исходной информации, необходимой для разработки плана внедрения КСАЗ;
· формирование требований к КСАЗ, предназначенной для защиты АИС. На данном этапе формируется техническое задание на внедрение КСАЗ;
· разработка технико-рабочего проекта по внедрению КСАЗ, содержащего описание проектных решений, схем установки, параметров настройки КСАЗ и других служебных данных;
· обучение персонала организации, ответственного за администрирование КСАЗ;
· пусконаладочные работы, связанные с развёртыванием КСАЗ;
· техническое сопровождение КСАЗ, в рамках которого решаются вопросы, связанные с обслуживанием системы в процессе её эксплуатации.
Состав этапов и их длительность зависят от размерности защищаемой АИС, а также от масштабов внедрения КСАЗ. Работы, связанные с установкой и эксплуатацией системы обнаружения атак, могут проводиться как собственными силами предприятия, так и с привлечением внешних организаций, специализирующихся на предоставлении услуг в области информационной безопасности. При этом некоторые этапы могут объединяться или проводиться одновременно. Так, например, разработка технико-рабочего проекта и обучение персонала предприятия могут осуществляться параллельно.
Заключение
Компьютерные вирусы являются в настоящее время одной из наиболее значимых угроз информационной безопасности, о чём свидетельствуют многочисленные данные по ежегодным финансовым потерям компаний в результате воздействий вирусных атак. При этом традиционные меры борьбы с вредоносным программным обеспечением, основанные на простой установке антивирусных средств защиты на рабочих станциях и серверах, оказываются недостаточно эффективными. Поэтому использование комплексного подхода в противодействии вирусным атакам, рассмотренного в данной статье, позволит повысить эффективность тех мер, которые используются компаниями в настоящее время.
1 CSI/FBI Computer crime and security survey. Computer Security Institute. 2005, www.gocsi.com.
2 ГОСТ Р 51188–98. Защита информации. Испытания программных средств на наличие компьютерных вирусов. Типовое руководство.
3 Сердюк В. А. Ахиллесова пята информационных систем. BYTE/Россия. № 4, 2004.
4 Microsoft Corporation. The Antivirus Defense-in-Depth Guide, 2004.
Начать дискуссию