В последние два года в сети более чем в два раза увеличилось число программ, содержащих вредоносный код, почтовые черви приобрели «троянские» черты и нанесли несколько серьезных ударов. В то же время на рядовых пользователей обрушились лавины спама. Как полагают эксперты, в ближайшие два-три года давление этих факторов будет только возрастать.
Замок на всю границу
Первый шаг, который, очевидно, пытаются предпринять все компании — не дать возможность червям проникнуть в корпоративную сеть. Классическая стратегия защиты от вирусов и червей — пограничная защита.
Если червь не может проникнуть в сеть, он не может ее и инфицировать. Здесь необходимо подумать о каждой возможной лазейке. Самый очевидный путь проникновения — интернет.
В последнее время широкое распространение получили портативные компьютеры, которые могут стать легкой добычей для хакера со стажем. Когда пользователь использует лаптоп вне офиса, ноутбук не защищен брандмауэрами и подвержен атакам извне.
Сегментация сети: разделяй и здравствуй
Сегментация сети включает безопасные зоны типа DMZ и физически разделенные сети. DMZ относится к концепту демилитаризированной зоны.
В таких случаях сеть делится на интернет и проверенную локальную сеть. Санкционированный трафик из интернета на веб-серверы в DMZ поступает через брандмауэры. Второй брандмауэр, который находится между веб-серверами и конечными серверами, защищает сетевой сервер. Трафик проходит через открытый порт, а другие тоннели будут закрыты. Напомним, что в каждом брандмауэре траффик анализируется с помощью IDS (система обнаружения вторжения) и любая попытка атаки расследуется.
Другой важный концепт использования брандмауэров — поверхностная фильтрация для предотвращения несанкционированного трафика.
Поверхностная фильтрация — понятие из описания интерфейса брандмауэра — блокирует работу незнакомых программ и их выход за пределы системы. Так можно закрыть еще один из каналов распространения червей.
Пограничный брандмауэр разрешает движение трафика из интернета только к определенным портам и IP-адресам в DMS. Для всех остальных трафик оказывается заблокированным.
Внутренний брандмауэр блокирует незнакомый трафик, как из интернета, так и из DMS-серверов. Затем, проверенный трафик на определенных портах будет направлен с DMS-серверов на серверы проверенной сети.
Защитив свою сеть от нежелательного трафика, необходимо заняться конфигурацией серверов.
Укрепление серверов
Защита хоста — это наиболее сложный этап защиты. От системного администратора требуется практически постоянно обновлять систему: необходимо устанавливать патчи на операционную систему, удалять ненужные сервисы и разрешения по доступу к файлам, и т.п. Любой сервер, вне зависимости от типа ОС, должен быть защищен еще до его подключения к сети.
Новые патчи для операционных систем и приложений выпускаются каждый день. Их нужно быстро тестировать и применять к серверам для удаления известных дефектов.
Несмотря на достаточно оперативную подготовку патчей, многие пользователи их попросту не устанавливают, пока не грянет гром. Так, более 35000 серверов не имели патчей и инфицировались, когда был выпущен червь Slammer. При этом Slammer появился через 6 месяцев после того, как Microsoft разработал патч к серверу MS-SQL и MSDE.
Патчей выпускается огромное количество и все же, несмотря на это, от системных администраторов требуется быстрая и слаженная работа по их установке. В больших компаниях с многочисленными серверами и приложениями это невероятно сложно.
Конечной точкой многих программ являются сервера — это серьезный источник угрозы безопасности компании. Распространение программ необходимо остановить до того, как они достигли сервера и записались в архив. О ненужных программах зачастую забывают и не ставят на них патчи. Именно из-за таких программ на сервере появляются уязвимые места, которые компрометируют как другие приложения, так и данные на сервере.
Некоторые знатоки высказывали хорошую идею — иметь в запасе наименее привилегированную модель, когда дело доходит до разрешения доступа к файлу. Умолчание подобных функций для многих операционных систем предусмотрено, скорее, для облегченного использования компьютера, чем для его безопасности и «по умолчанию» хакер имеет доступ к серверу.
Защита приложений
Теперь, когда все серверы укреплены, нужно подумать о безопасности приложений, работающих на сервере. Защита приложений — это разработка безопасного кода. Кодировка используется для предотвращения переполнения буфера и применения защиты. Подтверждение входных данных по типу и размеру позволит предотвратить переполнение буфера.
В настоящее время задачи разработчиков усложнились — им необходимо предугадывать все, что пользователь может сделать, а не тестировать и исправлять ошибки и дефекты. Если программисты будут пользоваться такими методами, — для разработчиков червей станет намного сложнее найти уязвимый код.
Поскольку присутствие пиратов и хакеров в ИТ-бизнесе — данность, то можно успешно блокировать распространение известных червей. Всю информацию о вирусах и червях необходимо обновлять регулярно, по факту ее появления в сети. Для крупных организаций это проблематично, но очень важно. В ряде систем антивирусные программы могут предотвратить инфицирование файлов.
Пользователь как оперативная боевая единица
Последний шаг — объяснить пользователям компьютеров, что они должны делать для защиты сети. Эту работу нельзя оставлять системным администраторам и аналитикам ИТ-безопасности.
Самое эффективное средство повышения бдительности и снижения риска — тренинг для самих пользователей. Они должны понимать риск, связанный с открытием почтовых приложений и вложенных файлов, подсоединением ноутбуков к домашней сети, и назначением «слабых», в том числе общеизвестных паролей.
Пользователи — это клиенты сети. Люди совершают ошибки, но тренинги помогут уменьшить риск. Одна только стратегия сильных паролей способна сдержать нападения хакеров.
«Иммунная система» интернета: когда?
Черви из года в год становятся все более изощренными и опасными, что заставляет делать системы более защищенными. Каждый год черви наносят бизнесу ущерб, исчисляемый миллиардами долларов. Администраторы внедряют все более серьезные средства защиты, но киберпреступники идут на шаг впереди.
Правила брандмауэров постоянно обновляются; важные серверы отключаются от общей сети; защита хоста усиливается патчами и удалением ненужных программ; больше внимания уделяется безопасности приложений; антивирусные программы обновляются; пользователей информируют о путях предотвращения хакерских нападений. Так сеть действительно становится более защищенной, что затрудняет разработку новых эффективных червей и вирусов. Но все еще трудно определить, станет ли «иммунная система» интернета настолько сильной, что способный к размножению червь убьет сам себя.
По некоторым прогнозам, ситуация с червями будет ухудшаться, но в дальнейшем дела пойдут на поправку. Но всегда есть и худшие варианты, связанные с интернетом. Создатели червей вряд ли будут сидеть спустя рукава и отложат разработку «суперчервей» в долгий ящик.
В то же время, если бы каждый подключенный к интернету пользователь обезопасил свою систему, червей стало бы куда меньше.