Борьба с внешними ИТ-угрозами на предприятиях малого и среднего бизнеса
Владимир Митин, "PCWeek/RE", №19, 2006
Вопрос о том, какие методы укрепления ИТ-безопасности предприятия перспективнее — реактивные или проактивные — уже обсуждался на страницах нашего еженедельника (см. PC Week/RE, № 32/2005, с. 35). Тогда, если помните, речь в основном шла о “тяжелых” решениях, предназначенных для охраны периметра крупных корпоративных сетей. Мы решили продолжить этот разговор, сделав теперь акцент на проблемах, возникающих у малых и средних предприятий при выборе средств защиты рабочих станций, а также настольных и блокнотных ПК.
Андрей Никишин: “Всем известно, как работает двигатель внутреннего сгорания, но далеко не все знают, как его лучше всего изготовить” |
Как известно, в нашей стране количество игроков этого сегмента рынка с каждым годом неуклонно увеличивается, что усложняет пользователю проблему выбора. Поэтому мы провели круглый стол на тему “Борьба с внешними ИТ-угрозами в малых и средних предприятиях: реактивность или проактивность?”, пригласив на него ведущих специалистов антивирусных фирм-конкурентов и топ-менеджеров интеграторских компаний, специализирующихся на защите бизнеса от разного рода ИТ-угроз. Участниками нашего заседания стали директор направления сервисных решений “Лаборатории Касперского” Андрей Никишин, генеральный директор ООО “Доктор Веб” Борис Шаров, технический директор ЗАО “ДиалогНаука” Виктор Сердюк, генеральный директор российского представительства Eset Software Дмитрий Попович, генеральный директор компании StarForce Technologies Михаил Калиниченко, а также Эдуард Пройдаков — редакционный директор ИТ-группы издательства “СК Пресс”.
ИЗ ИСТОРИИ ВОПРОСА
В своё время практически единственным источником внешних ИТ-угроз были компьютерные вирусы, заражающие полезные — как исполнимые, так и неисполнимые — файлы и, грубо говоря, живущие в них.
Как утверждает “Вирусная энциклопедия Касперского”, первые компьютерные вирусы появились примерно в середине 1970-х годов (для машин Univax 1108 и IBM 360/370;), а первая в истории действительно массовая эпидемия компьютерного вируса (для машин марки Apple II) произошла в 1981 г.
В 1986 г. была зарегистрирована первая глобальная эпидемия для IBM-совместимых компьютеров. Печально известный вирус Brain, заражавший загрузочные сектора дискет, в течение нескольких месяцев распространился практически по всему миру...
Борис Шаров: “Многие термины, используемые поставщиками средств защиты, “локализованы” очень неудачно, не соответствуют нормам русского языка и большинству пользователей просто не понятны” |
Тогда же (во второй половине 80-х) появились и первые борцы с этой напастью. В нашей стране наиболее известными из них были Олег Котик, Антон Чижов и Дмитрий Лозинский. К 1989 г. компьютерами были оснащены уже очень многие рабочие места, а антивирус Лозинского, использующий сигнатурный метод обнаружения вирусов, оказался наиболее популярным и распространённым. Двое же других авторов очень быстро перестали этим заниматься. Зато в октябре 1989-го за исследование зловредных кодов взялся выпускник Института криптографии, связи и информатики Евгений Касперский. В свободное от основной работы время он стал писать антивирусные программы. Непосредственным толчком к этому занятию послужил проникший на его ПК вирус Cascade. А в 1992 г. свой первый антивирусный пакет создал Игорь Данилов. В его основе лежала эмуляция процесса исполнения программ (прообраз многих нынешних несигнатурных технологий).
Итак, в нашей стране довольно долгое время выбор у пользователей ПК был невелик: либо легендарный Aidstest Дмитрия Лозинского, ныне работающего в компании “Доктор Веб”, либо пакеты, созданные командами Игоря Данилова (Dr.Web) или Евгения Касперского (одно время они предлагались под торговой маркой AVP).
Уже в нынешнем веке большую известность в России получили пакеты зарубежных фирм -- Panda, Symantec, Trend Micro и других. В январе 2005 г. (см. PC Week/RE, № 14/2005, c. 12) в нашей стране активно начала действовать компания Eset Software.
Прошлой осенью на российском рынке антивирусных средств для секторов SoHo и SMB появилась фирма Computer Associates (см. PC Week/RE, № 36/2005, с. 2). В начале этого года активные действия в нашей стране развернула Kerio, предлагающая корпоративный межсетевой экран Kerio WinRoute Firewall 6.2, рассчитанный на 10--500 пользователей.
Богатый ассортимент антивирусных средств ставит пользователя перед проблемой: какое средство выбрать для себя или для своей компании? Эта проблема усугубляется ещё и тем, что стоимость всех имеющихся на рынке антивирусных продуктов (для секторов SoHo и SMB) примерно одинакова. Как одинакова и их реклама, звучащая примерно так: наши продукты защитят вас от всех типов ИТ-угроз. При этом данное весьма спорное утверждение иногда подкрепляется списком этих самых ИТ-угроз, а иногда и нет.
Виктор Сердюк: “Грамотный совет по выбору средств защиты от ИТ-угроз может дать только специализированный системный интегратор” |
Для справки: почти все согласны с тем, что классический вирус модифицирует файлы и создает в них свои (не обязательно похожие друг на друга) копии, а черви распространяются по компьютерным сетям и другим средствам коммуникаций, но файлов при этом не заражают и не модифицируют. А вот по поводу шпионящих программ (spy software) мнения расходятся: одни производители причисляют к ним все вредоносные коды, служащие для кражи конфиденциальной информации, слежения за интернет-привычками пользователей и т. д.; а другие понимают под ними лишь относительно безобидные “фиксаторы” интернет-привычек пользователей и рекламное ПО. При этом похитители паролей и различной банковской информации выделяются в отдельный класс вредоносных кодов. Под троянцами же обычно понимаются программы, проникающие на компьютер под видом вполне полезных утилит. А ещё бывают боты (вирусы-роботы, управляемые в дистанционном режиме и используемые для проведения DoS-атак, кражи конфиденциальной информации и иных неблаговидных целей), “руткиты”, “бэкдоры” и многие другие классы вредоносных кодов. Все их перечислить практически невозможно.
О ТЕРМИНАХ
Было бы очень заманчиво выработать единую классификацию внешних ИТ-угроз и затем построить обозримую (желательно — формата A4) табличку, содержащую “крестики-нолики” на пересечении столбцов-угроз со строками-продуктами. Таким образом потребитель хотя бы в первом приближении мог бы себе представить, для борьбы с какими именно ИТ-угрозами то или иное средство предназначено.
Однако наш круглый стол показал, что единой общепринятой классификации внешних ИТ-угроз на сегодня, увы, не существует. Более того, некоторые участники дискуссии выразили сомнение в том, что она вообще необходима. Их можно понять: ведь в настоящее время практически каждая антивирусная (в широком смысле) компания утверждает, что её продукт (или комплекс продуктов) защищает пользователя практически от всех бед. Можно предположить, что каждая компания-производитель эти самые беды классифицирует так, чтобы именно её решение на фоне данной классификации смотрелось исключительно хорошо.
Классификация информационных угроз национальной безопасностиБолее широкую классификацию информационных угроз, предложенную Эдуардом Пройдаковым, можно найти в проекте документа РИО-Центра “Развитие информационного общества в России”. Она выглядит следующим образом. ИТ-угрозы подразделяются на следующие категории:
|
Виктор Сердюк говорит: “Да, в ИТ-отрасли ещё не сложилась чёткая и понятная большинству пользователей единая классификация угроз информационной безопасности. Это осложняет работу системных интеграторов, стремящихся предложить своим клиентам комплексные решения. Но думаю, что такого рода классификация рано или поздно появится”.
А вот Дмитрий Попович считает, что правильная классификация ИТ-угроз возможна лишь в том случае, когда её составлением дружно займутся сами хакеры и вирусописатели. Относительно же позиций антивирусных компаний он сказал буквально следующее: “Каждая из них имеет не только сильные, но и слабые стороны. Бывает и так, что иногда эти компании не замечают те вещи, которые реально опасны, а выдумывают какие-то свои виртуальные угрозы, а поэтому единого мнения в части классификации ИТ-угроз, наверное, не будет никогда”.
В то же время легко заметить, что в отсутствие единой классификации проводить сравнение антивирусных продуктов по функциональности практически невозможно, так как одни и те же термины каждая антивирусная фирма трактует несколько по-своему. Кроме того, некоторые компании в маркетинговых целях зачастую вводят новые термины для “старых” ИТ-угроз, утверждая, что с данной угрозой наиболее эффективно борется именно их продукт.
Дмитрий Попович: “Чем больше эвристики, тем лучше!” |
Ещё Остап Бендер говорил, что чем мех дороже, тем он лучше. Аналогичная ситуация складывается и на рынке средств антивирусной защиты: чем они дороже, тем, как правило, многофункциональнее, надёжнее, проще в эксплуатации и так далее.
Однако, как отмечает Андрей Никишин, рядовые покупатели (особенно розничные) ориентируются не столько на “вектор функционала” и технологические свойства продукта, сколько на его маркетинговую — в том числе чисто внешнюю — “упаковку”. Он говорит: “Некоторые зарубежные антивирусные компании завоевали большую рыночную долю благодаря тому, что “закупили” в известных супермаркетах длинные и находящиеся на уровне глаз торговые полки и заполонили их яркими коробками со своей продукцией”.
Да что там классификация ИТ-угроз! Большой спор среди участников круглого стола вызвал даже вопрос о том, какие методы борьбы с внешними ИТ-угрозами следует считать реактивными, а какие — проактивными.
Андрей Никишин считает, что реактивными методами следует называть те, которые требуют времени или вмешательства эксперта для обнаружения новой ИТ-угрозы, а проактивными – те, которые не требуют такого вмешательства.
По мнению же Бориса Шарова, проактивная технология — это та, которая перекладывает ответственность обнаружения угрозы на самого пользователя.
А вот Виктор Сердюк считает, что к проактивным следует относить все технологии, которые блокируют угрозу до того, как она нанесёт какое-либо вредоносное действие. Поэтому c его точки зрения нельзя противопоставлять друг другу проактивный и сигнатурный подходы. Его мысль развивает Михаил Калиниченко: “Всем примерно понятно, что представляет собой сигнатурный метод, но огромный разброс мнений существует относительно того, какие методы нужно считать несигнатурными, проактивными, превентивными и т. д. Чтобы убедиться в этом многообразии, полистайте, к примеру, брошюрки, выпущенные к недавней выставке CeBIT’2006. Да и вообще сейчас, в эпоху криминализации Интернета, главную опасность представляют не сами программы (как бы их ни классифицировали), а люди, которые собирают украденные данные и используют их в корыстных целях”.
Дальше г-н Калиниченко отмечает: “Любая классификация ИТ-угроз по внешним техническим признакам будет неустойчива, так как эти самые признаки очень быстро меняются. Если же в основу классификации положить тип ущерба, который может быть нанесён пользователю компьютера, то ситуация станет более стабильной, понятной и конкретной. В этом случае мы имеем лишь три вида ущерба -- нарушение функционирования ОС или приложений, уничтожение либо искажение файлов данных, воровство той или иной информации. По большому счету кроме этих трёх видов ущерба сложно что-либо придумать ещё”.
Михаил Калиниченко: “Не надо проводить строгую грань между внешними и внутренними ИТ-угрозами” |
“Да, идти надо не от ИТ-угроз, а от вреда, который они могут принести. Задачу поставщика средств ИТ-безопасности я вижу в том, чтобы дать в руки интеграторов или конечных пользователей некий инструмент и объяснить им принцип его работы. А уж дальше они сами пусть решают, как и из каких кирпичиков строить систему информационной безопасности”, — соглашается с ним Борис Шаров.
А Андрей Никишин добавляет: “Немаловажный аспект заключается в том, каково соотношение затрат на информационную безопасность и того потенциального вреда, который может быть нанесен компании. Если на компьютере пользователя стоит единственная любимая игрушка, то ему вообще не нужен антивирус. В случае чего гораздо проще и дешевле переустановить ОС и игру. Защита должна быть адекватна стоимости хранящейся на ПК информации. Аналогичная ситуация возникает при защите автомобиля: ведь никто не будет ставить на “мерседес” только механическую защиту руля, равно как никто не станет инсталлировать спутниковую противоугонную систему на “копейку” (первая модель “жигулей”. – В. М.) двдцатилетней давности. В первом случае это хотя и дёшево, но слишком ненадёжно, а во втором — неоправданно дорого”.
Михаил Калиниченко также предложил не противопоставлять внешние угрозы, обусловленные деятельностью “внешних врагов” -- хакеров, вирусописателей и других “плохих парней” (интересно отметить, что среди сотен лиц, привлечённых за написание и распространение зловредных кодов, представительниц пока не было прекрасного пола) внутренним, т. е. тем, что вызваны халатностью или злым умыслом собственных сотрудников. Ход его мыслей весьма понятен: ведь “на сто процентов проактивный” продукт Safe’n’Sec, предлагаемый компанией StarForce Technologies, базируется на технологии поведенческого анализа и позиционируется как средство борьбы не только с внешними, но и с внутренними угрозами. При этом г-н Калиниченко честно признаётся, что пакет Safe’n’Sec только противодействут ИТ-угрозам, но заражённых файлов не лечит. Для этой цели в линейке продуктов Safe’n’Sec присутствует специальная версия, дополненная классическим антивирусным движком. В то же время он отмечает: “Вирус — это частный случай вторжения в ПК, и в таком смысле Safe’n’Sec может считаться антивирусным продуктом”.
По мнению Андрея Никишина, в настоящее время эвристические анализаторы используются практически всеми антивирусными компаниями. Более того, он считает, что принцип их действия — вне зависимости от того, под какой торговой маркой данная технология продвигается — более или менее одинаков. И дело тут в конкретной реализации. Правильность своих слов г-н Никишин также проиллюстрировал автолюбительским примером: “Все знают, как работает двигатель внутреннего сгорания, однако “хонда” снимает 140 лошадиных сил с литра объёма двигателя, а “жигули” и сотни снять не могут. Принцип-то одинаковый, а детали разные! Аналогичная ситуация наблюдается и в мире проактивных технологий”.
Эдуард Пройдаков: “На первой выставке SofTool в 1991 г. я за три рубля купил легальную версию Aidstest^а Лозинского и берегу её для музея” |
Или такой пример (опять же приведённый Андреем Никишиным): “Никто из производителей машин не рассказывает тонкостей своей системы управления газораспределением, Одни говорят, что у них VVT, а другие — что VVTI. Для обычного пользователя этих названий хватает. Точно так же и в антивирусах — производитель, скажем, говорит: “у нас есть эвристика третьего поколения” А уж как именно эта эвристика реализована, пользователей, как правило, совсем не волнует. Впрочем, у всех наверняка есть маркетинговые документы, в которых относительно доходчивым языком, без углубления в детали, объясняется, как примерно работает данная технология. И для большинства пользователей этих объяснений вполне хватает. О тонкостях никто не рассуждает. Но именно за счёт этих тонкостей каждый из нас получает своё конкурентное преимущество”.
На вопрос: “Откуда вы всё это знаете?” -- г-н Никишин отвечает так: “В своё время я сам делал эвристический анализатор (в терминах Бориса Шарова это был поведенческий анализатор), который анализировал поведение программы во время эмуляции. С тех пор ничего принципиально нового не изобрели — либо эмуляция и анализ эмулированных действий во время эмуляции, либо поиск сигнатур как после эмуляции, так и без нее”.
Независимое сравнение проактивных технологий — архисложная вещь, и в настоящее время ни одна тестовая лаборатория не берется делать такого рода проверки. В то же время процесс тестирования защитных пакетов на коллекциях уже известных вирусов отработан достаточно хорошо. Беда лишь в том, что актуальность этих коллекций у многих экспертов вызывает некоторые сомнения.
Виды ИТ-угрозПо мнению организаторов редакционного круглого стола, в первом приближении ИТ-угрозы можно разделить на внутренние (обусловленные халатностью или злонамеренными действиями персонала) и внешние: разрушение программ или данных, а также похищение конфиденциальных сведений в результате хакерских атак или действия зловредных кодов, “приходящих” через Интернет либо с различных носителей информации. На наш взгляд, классифицировать внешние ИТ-угрозы правильнее было бы не по одному какому-либо критерию, а по различным признакам. Например:
|
Между прочим, даже сам термин “ИТ-угроза” (который, по мнению Эдуарда Пройдакова, уже устоялся и потому может считаться общеупотребительным) далеко не всем участникам нашего круглого стола пришёлся по душе. Некоторые из них считают, что более целесообразно оперировать понятиями “уязвимость”, “атака”, “объект атаки”, “последствия атаки” и т. д. Ведь “атака” возможна лишь в том случае, если “объект атаки” (ПК или какое-либо другое устройство, подключенное к Сети, — Web-камера, холодильник, микроволновая печь и т. д.) имеет какую-либо “уязвимость” (“дыру”), на использовании которой и основываются замыслы злоумышленников.
КОНКРЕТНЫЕ РЕКОМЕНДАЦИИ
Однако термины терминами (в истории их происхождения должны разбираться не только специалисты по ИТ-безопасности, но и лингвисты), а что же делать пользователю, который не в силах понять, чей пакет лучше и как ему построить глубоко эшелонированную защиту от разного рода ИТ-напастей?
Общая рекомендация здесь такова: обращайтесь в независимые интеграторские фирмы, специализирующиеся на защите компаний от разного рода ИТ-угроз. С данным мнением согласился не только технический директор интеграторской “ДиалогНауки”, но и представители практически всех антивирусных компаний. При этом они дружно отмечают: “Чем больше такой интегратор независим, т. е. чем больше вендоров-антивирусников в портфеле его предложений, тем лучше!”. Заметим: лучше клиенту, но хуже интегратору. Ведь чем он “многовендорнее”, тем больше экспертов должно быть в его штате и тем выше его расходы.
Классификация средств борьбы с внешними ИТ-угрозамиНа наш взгляд, эту классификацию также правильнее было бы проводить не по одному какому-либо критерию, а по различным признакам. По назначению (целевой аудитории) 1) Домашние пользователи ПК, КПК, сотовых телефонов и коммуникаторов; 2) Рынок SoHo (индивидуальные предприниматели и небольшие компании, в штате которых нет ИТ-специалистов); 3) SMB-cектор (небольшие и средние компании, в штате которых есть один или несколько грамотных системных администраторов); 4) Корпоративный сектор (крупные компании, имеющие собственные почтовые серверы и располагающие многочисленными ИТ-отделами); 5) Телекоммуникационные компании (интернет-провайдеры, операторы фиксированной и сотовой связи и т. д.); По функциональности 1) “Просмотрщики” входящей/исходящей почты и файлов, переписываемых на различные носители данных (или с них); действуют как на основе сигнатурных баз, так и с помощью различных эвристических анализаторов; 2) Мониторы (резидентные сторожа), постоянно отслеживающие (и тем или иным способом фиксирующие) “поведение” различных программ; 3) Защитные экраны, осуществляющие “цензуру” различных протоколов передачи данных (MAPI, POP3, SMTP, HTTP, TCP/IP и т. д.); 4) Cпам-фильтры; 5) Cредства фильтрации Web-контента (на основе анализа IP-адресов, ключевых слов и т. д.). По “конструктивному исполнению” 1) Чисто программные средства; 2) Различное оборудование (в том числе сетевое); 3) Cпециализированные программно-аппаратные комплексы. |
А ведь автор этого замечания глубоко прав. Все участники нашего круглого стола признали, что ни одна из имеющихся на сегодня реактивных или проактивных технологий не обеспечивает 100%-ную защиту от всех видов ИТ-угроз. Хотя бы потому, что сами такие угрозы становятся настолько изощрёнными, что не поддаются никакой разумной классификации.
Некоторые специалисты считают, что бороться нужно не с “обезличенными” и плохо классифицируемыми ИТ-угрозами, а с конкретными “уязвимостями”. Во-первых, их гораздо меньше, чем разновидностей вирусов, червей и троянцев. А во-вторых, практика показывает, что своевременное “латание дыр” (увы, многие пользователи, а порой и сисадмины этим занятием себя особо не утруждают) является очень эффективным средством профилактики (т. е. “проактивным”).
Но опять же не панацеей: из девятого тома Internet Security Threat Report, отчёта по вопросам интернет-безопасности, который раз в полгода выпускает Symantec, следует (см. www.pcweek.ru/?ID=510287), что в период с 1 июля по 31 декабря 2005 г. с момента обнаружения уязвимости до выпуска использующего её зловредного кода проходило в среднем 6,8 суток (против 6,0 суток в предыдущий отчётный период). В то же время между обнаружением уязвимости и выпуском соответствующего исправления проходит в среднем 49 дней. Плюс ко всему даже своевременно поставленные “заплатки” не защищают пользователя от таких печальных явлений, как спам, фишинг и фарминг.
Нет нужды лишний раз говорить, что враг хитёр и коварен. И если от стандартных распределённых атак ещё есть надежда как-то защититься, то от умело проведённого “прицельного бомбометания” спастись практически невозможно. Андрей Никишин отмечает: “Если целевая атака проводится грамотным хакером, то перед её началом тщательно исследуется, какие системы защиты стоят на объекте нападения, и, естественно, атака проводится так, чтобы системы не зафиксировали вторжение и никто ничего не заметил”.
При этом в самом плохом положении находятся пользователи ноутбуков, часто выезжающие на “передовую”. Ведь в силу несовместимости многих антивирусных продуктов они порой лишены возможности “вырыть” даже хотя бы две линии противовирусных “окопов”. Широкое распространение мобильных устройств приводит также к тому, что широко разрекламированные мощные средства защиты периметра сети (в том числе программно-аппаратные) хотя и крайне необходимы, но уже не являются панацеей от всех бед, а средства индивидуальной защиты настольных и блокнотных ПК становятся всё более актуальными.