|
|
Обозрение
ИТ-инфраструктура предприятия 2007Обозрение подготовлено
До недавнего времени считалось, что ИТ-инфраструктура — это то, что находится внутри компании. Развитие технологий интерактивности — например, Web 2.0 — пробило брешь в этой догме. С одной стороны, это порождает массу угроз безопасности, а с другой, появляются элементы коллективных интеллектуальных систем ИБ, способных выявить гораздо больше угроз, чем традиционные.
До последнего времени периодическое получение компаниями предупреждений о присутствии компьютерных червей было обычной практикой. «I love You», Netsky, SQLSlammer и другие подобные им вирусы вызывали панику среди системных администраторов, а эпидемии становились заголовками для СМИ. Распространение подобных вредоносных кодов легко можно было остановить при условии, что в наличии имелась активная антивирусная защита, которая эффективно обновлялась.
К сожалению, в больших сетях всегда находился хотя бы один компьютер, который по какой-либо причине выскальзывал за пределы сети. А бывало и так, что кто-то из пользователей оказывался «сообразительнее» других и мог обойти антивирусную защиту. Такая маленькая брешь могла привести к заражению большого количества других компьютеров. Защита, установленная на рабочих станциях, представляла собой простой сканер, проверяющий входящие файлы, а не комплексную «PIPS» — персональную систему предотвращения вторжений.
По рекомендации Gartner сегодня антивирусная защита для рабочих станций, как правило, кроме классического антивируса (сканера для резидентных файлов) включает дополнительную защиту, например, персональный брандмауэр, антишпион, антиспам и т.д. Но необходимо наличие и другой защиты: системы для обнаружения неизвестных вредоносных кодов или, например, от проникновения вируса через брешь сетевой безопасности или с помощью технологии, позволяющей обойти установленную защиту.
Если компьютер заражен новым видом вредоносного ПО, который невозможно обнаружить даже с помощью самой лучшей сигнатурной защиты, значит, в опасности находится вся сеть. Таким вредоносным элементом может оказаться сниффер (программа наблюдения), которая способна перехватывать информационные пакеты, передаваемые через сервер. Такая ситуация представляет собой реальную угрозу, поскольку из сети можно выкрасть большое количество конфиденциальной информации. Как этого избежать? Какие системы использовать для обнаружения того, что не обнаруживается?
Во-первых, не следует паниковать. Не существует не обнаруживаемых кодов. Несколько лет назад таковыми считались вредоносные коды, которые распространялись настолько стремительно, что не хватало времени для своевременного обновления систем, что помогло бы остановить эпидемию. Тем не менее, рано или поздно, такие коды выявлялись и уничтожались. По данным автора, вирус Loveletter не попадал в обращение в течение значительного периода времени.
Рост вредоносных кодов, использующих скрытые технологии
Источник: PandaLabs
Сегодня ситуация аналогична: если вредоносный код остается незамеченным, то так происходит не потому, что при его создании использовалась настолько сложная и инновационная технология, что решения безопасности не способны его обнаружить. Причина очень проста — в современных системах защиты обязательно устанавливается лимит на мощность сканирования.
Сегодня просто невозможно подсчитать точное количество находящихся в обращении вредоносных кодов. Кто-то полагает, что их около полумиллиона, другие утверждают, что обнаружили миллион, тогда как, с наиболее пессимистической точки зрения экспертов Panda, насчитывается свыше миллиарда вредоносных кодов.
Но независимо от цифр, совершенно ясно, что интернет «по самое не хочу» заполнен компьютерными угрозами, и это даже не говоря о внешних мошенниках. Антивирусному решению приходится бороться с бесчисленными целевыми угрозами и их новыми вариантами, появляющимися каждый день.
Если бы резидентному антивирусу приходилось защищать ПК от сотен тысяч обнаруживаемых кодов, у компьютера бы совсем не осталось ресурсов для выполнения других задач. Простейшая работа с файлом, содержащим информацию обо всех вредоносных кодах, отнимает значительное количество мегабайт памяти, не говоря уже о гигабайтах на жестком диске и невероятном увеличении использования циклов синхронизации исключительно в целях защиты.
Подобно тому, как доктор может оценить состояние здоровья пациента, антивирус способен обнаруживать наиболее важные и часто встречающиеся угрозы, в сочетании с брандмауэром, который выявляет прямые атаки. Если эти решения дополнить технологией для обнаружения неизвестных угроз, вы получите вполне адекватную систему проверки компьютера.
Сегодня ни один администратор не может на 100% гарантировать, что в сети нет вредоносных кодов, даже если в этой сети установлена защита. Поэтому абсолютно необходимо периодически производить глубокую проверку компьютеров на предмет вредоносного ПО, которое могло проникнуть в сеть незамеченным. При этом нельзя забывать о том, что использование целевых вредоносных программ, созданных под определенную компанию, получает всё большую популярность, и чаще всего традиционные антивирусные системы даже не подозревают о деятельности таких программ.
Системы для глубокого сканирования сетей сейчас доступны даже в онлайновом режиме, поэтому нет необходимости обращаться к консультанту, который будет один за другим просматривать содержимое всех компьютеров в поисках необычных файлов. Для полной проверки всей сети потребуется лишь несколько часов, а затем Вы получите информацию обо всех обнаруженных вредоносных кодах, представляющих угрозу для систем безопасности.
Согласно результатам исследования, проведенного Panda Security, 76% из более чем 100 компаний, сети которых были полностью проанализированы (при использовании целого ряда технологий обнаружения вредоносного ПО), оказались заражены каким-либо вредоносных кодом. Но, тем не менее, во всех сетях было установлено какое-либо решение безопасности. По крайней мере, так считали менеджеры по безопасности этих компаний.
Проблема очень серьезна, хотя её решение не такое сложное, как можно подумать. Если текущих решений недостаточно, значит всё, что нужно — это появление системы для поиска вредоносных кодов, которая технологически будет более совершенной, чем те, что существуют в данный момент.
Ведь даже если мы считаем, что со здоровьем у нас полный порядок, мы все-таки ходим на осмотр врача время от времени. Почему бы не применить этот же принцип к своей ИТ-инфраструктуре? Детальная проверка на предмет наличия вредоносного ПО с помощью подходящих утилит поможет заранее обнаружить много неприятных вещей. Это как с уровнем холестерина — лучше узнать об этом заранее, пока вы еще живы.
В фильме «Птицы» Хичкока есть сцена, вошедшая в анналы мирового кинематографа благодаря тому напряжению, которое она создает у зрителя. Здесь имеется в виду момент, когда герои выходят из дома, а вокруг них повсюду тысячи птиц — они спокойно сидят, но создается невыносимое напряжение от угрозы возможной атаки. В сфере ИТ-безопасности сегодня складывается очень похожая ситуация. Мы окружены вредоносным ПО, хотя ни один вредоносный код уже не вызывает таких массовых атак, какие, например, были свойственны SQLSlammer, Blaster и др. В интернете нас повсюду окружают угрозы, которые могут «напасть» в любой момент, как птицы в фильме. Разница лишь в том, что в ленте герои могли видеть птиц и поэтому шли осторожно. Однако мы уже привыкли пользоваться всемирной паутиной без оглядки, ошибочно полагая, что раз в новостях ничего не сообщают об угрозах, значит беспокоиться не о чем.
Новые коды, регистрируемые ежегодно
Источник: PandaLabs
Последняя статистика по обнаружению вредоносных кодов от PandaLabs выглядит пугающе. В 2006 году было обнаружено такое же количество вредоносных кодов, как за последние 15 лет вместе взятые — 96,000! Значит, ежедневно появлялось в среднем 260 новых экземпляров вредоносного ПО. По одному каждые 5 минут. А это всего лишь среднее значение, часто новые вредоносные коды появлялись с интервалом в 90 секунд.
Не так давно кто-то сказал, что эра компьютерных вирусов закончилась, и сегодня всё безопасно. Неверно! В корне неверно! Мы живем в небезопасной среде, в мире надвигающейся опасности и потенциальной катастрофы.
Более опасно, чем мириады угроз, затаившихся всего лишь на расстоянии одного клика мышки, то, что интернет-пользователи сегодня нисколько не осознают грозящей им опасности. Мы привыкли к появлению веб-страниц, подсказывающих нам согласиться с установкой какого-то загадочного «компонента». Мы привыкли получать громадное количество электронных сообщений с опасными вложениями и круглосуточно оставлять открытыми широкополосные подключения к интернету. Мы беспокоимся лишь о том, сколько же времени займет скачивание пиратской версии нашего любимого фильма. Тем временем хакеры создают новый вредоносный код каждые пять минут.
Сегодняшние системы защиты от вредоносных кодов основаны, в первую очередь, на использовании сигнатурных файлов. Когда в 1998 году некоторые антивирусные компании приняли решение обновлять свой сигнатурный файл ежедневно, нашлись те, кто смеялся. Они не видели необходимости в подобной мере, учитывая, что в то время каждый день появлялись какие-то 10 новых вредоносных кодов, которым для распространения требовалось несколько дней.
Так как же часто нужно обновлять сигнатурные файлы сегодня? Каждый час? А за этот час появится с десяток новых вредоносных кодов, которые начнут распространяться в течение нескольких минут. Очень скоро решения безопасности, основанные исключительно на сигнатурных файлах, потерпят мучительное поражение в борьбе с новыми угрозами.
Но проблемы на этом не заканчивается: пользователи ведь действительно верят, что они в безопасности. Они всё так же доверяют своим традиционным решениям безопасности и полностью уверены в том, что надежно защищены, несмотря на то, что каждые пять минут появляется новая угроза! Наиболее современные компании, занимающиеся антивредоносной защитой, уже разработали решения, которые помимо использования сигнатурных файлов еще и анализируют поведение системы для выявления опасной активности. Это большой шаг вперед, который ведет на новый уровень безопасности. Но и этого все-таки недостаточно.
Революция, которую произвело появление печатных машин, не воспринималась как таковая в XV веке. Тогда это было просто полезное изобретение. В то время огромное количество людей не умели читать, а книги были для ученых.
Очень похожей была ситуация, имевшая место в 70-х годах прошлого века, когда началось развитие интернета: это была система лишь для экспертов. Для тех привилегированных, которые умели пользоваться компьютером и имели его в наличии. Однако, как и в случае с печатной машиной, произошла революция: тогда многие люди научились читать, а в 90-х годах интернет проник во многие организации и, начиная с 2000 года, был уже во многих домах.
Несмотря на то, что на сегодняшний день книги распространены очень широко, ЮНЕСКО подсчитала, что в 2000 году около 90 миллионов людей не умели читать. Таким же образом, хотя проникновение интернета в 2006 году составило 1 миллиард 100 миллионов пользователей (по данным IDC), сегодня есть много абсолютно технологически неграмотных людей. И это если не говорить о технологически неграмотных в функциональном плане, которые пользуются интернетом, но толком не понимают, что делают, и как это работает.
Кроме того, есть проблема, гораздо более серьезная, чем просто неграмотность — это преобладание старой концепции функционирования интернета, когда немногочисленные «привилегированные» предоставляют информацию всем остальным пользователям. Что-то вроде «просвещенного деспотизма», версия интернет 1.0.
Но всё меняется. Сегодня интернет — это совместная работа пользователей. Информация больше не принадлежит кому-то одному, кто по доброте душевной предлагает её всем остальным. И это хорошо. Раньше очень немногие люди делились информацией, а сегодня пользователи не просто делятся друг с другом данными: они совместно используют знания.
Существует множество ярких примеров, иллюстрирующих новую тенденцию. Одним из наиболее показательных, наверное, стала Wikipedia. Это энциклопедия, в которой пользователи выкладывают свои знания о каком-либо понятии, а остальные члены интернет-сообщества дополняют, корректируют или изменяют их. Таким образом, создаются бесплатные знания для всех пользователей интернета.
Такую систему можно применять и в области информационных технологий, которая до последнего времени продолжала стоять на устаревших концепциях антивредоносной безопасности. В сегодняшних условиях распространения вредоносного ПО огромное количество таких кодов просто не могут попасть в исследовательские лаборатории. Совместное обнаружение вредоносных программ — это эффективный инструмент для борьбы с ним.
Если можно создать энциклопедию, собрав знания всех интернет-пользователей, значит, можно собрать информацию обо всех вредоносных кодах, установленных на компьютерах интернет-пользователей. А после этого сформировать коллективную интеллектуальную систему, способную выявить гораздо больше угроз, чем традиционные системы, работающие на основе сигнатур. Безопасность каждого компьютера значительно вырастет, что напрямую принесет пользу всему сообществу.
Но такая модель Web 2.0 требует реального внедрения, а это совсем не простая задача. Во-первых, вредоносное ПО нужно находить на компьютерах, подключенных к интернету. А для этого необходимо дать такому ПО четкие определения. В традиционных антивирусных системах всё просто и понятно: если вирусная лаборатория какой-либо антивирусной компании получает определенный код и классифицирует его как вредоносный, он сразу же добавляется в файл вирусных сигнатур.
Сегодня в интернете циркулирует такое количество вредоносного ПО, что лаборатории фактически не имеют возможности получить образцы всех этих кодов. Таким образом, необходима система, которая бы автоматически идентифицировала вредоносный код без необходимости вмешательства специалиста, способного его проанализировать. Если бы мы остановились на последнем варианте, то лаборатории сейчас насчитывали бы сотни тысяч технических сотрудников.
На сегодняшний день технология развита в достаточной степени для того, чтобы могла существовать самостоятельная система обнаружения вредоносного ПО, которой не приходилось бы опираться на предварительные знания каждого образца. Именно такие системы, на основе принципа коллективного разума, и начинают создавать разработчики ПО — например, Panda. Данной системе нужно всего лишь выявить определенные характеристики кода, чтобы классифицировать его как вредоносный. Согласитесь, что очень немногие легальные программы записывают нажатия на клавиши и пересылают свои записи через открытый порт TCP. Поэтому, вероятность того, что программа, выполняющая подобные действия, окажется вредоносной, чрезвычайно высока. Такой же принцип можно применить ко многим другим действиям, выполняемым вредоносными кодами.
Сразу же при обнаружении программы, которая служит источником проблемы (или может стать таким источником), она отправляется в лабораторию для более глубокого анализа, а затем заносится в каталог и вирусную базу данных для интернет-пользователей. Таким образом, любой другой пользователь, зараженный таким же вредоносным кодом, может воспользоваться лечением, разработанным для компьютера, подключенного к интернету в любой точке мира и ставшего жертвой этого кода. Технологии Web 2.0 помогают достигать прежде неизвестных уровней безопасности пользователей и позволяют сделать безопасность одним из свойств интернет-сообщества.
Фернандо де ла Квадра