«Всегда существовал большой разрыв между тем, что пишут о безопасности, и тем, что действительно происходит в реальном мире. Никто и никогда не будет говорить о том, как их взломали, о серьезном инциденте, связанном с безопасностью, о множестве проблем, выявленных последним аудитом безопасности, и о том неприятном факте, что политики безопасности в организации нет…»
Ден Фармер, исследователь в области безопасности
 |
Век массового подключения чрезвычайно агрессивен. Потоки свободно перемещающейся во всех направлениях информации, развитие электронной коммерции и средств мультимедийного общения ставят под сомнение надежность защиты, которую обеспечивает при подключении к интернету стандартный брандмауэр. Сегодня организации уже не могут опираться исключительно на традиционные решения антивирусной и антишпионской защиты, которые оказываются неэффективными в противодействии сложным, скрытым и целенаправленным атакам, исходящим от Всемирной сети.
Защита удаленных рабочих мест
За последние годы картина угроз существенно изменилась. Если еще в недавнем прошлом злоумышленники совершали большинство атак в погоне за славой, то теперь у них другая цель — финансовое обогащение. Сами же атаки стали более изощренными и скрытыми. Профессиональные хакеры непрерывно разрабатывают новые тактики, стремясь получить тайный несанкционированный и постоянный доступ к коммерческой информации. Одной из наиболее опасных стала смешанная тактика, объединяющая несколько методов: черви, троянские кони и нераспознаваемые угрозы.
Несколько лет назад для обеспечения безопасности жизненно важных ресурсов организации хватало основанных на сигнатурах средств защиты, которые действуют главным образом реактивно. Теперь организации нуждаются в превентивных структурированных средствах, способных обезопасить удаленные рабочие места от нераспознаваемых атак и даже от неизвестных угроз. Такими средствами могут стать комплексные решения, которые не только защищают корпоративные ресурсы на всех уровнях, но и обеспечивают беспрепятственное внедрение, централизованное управление и взаимодействие с другими системами.
Не менее актуальна проблема безопасности и для пользователей мобильных компьютеров, которые активно применяют различные средства работы с ресурсами корпоративной сети: удаленный доступ, VPN, веб и др. Однако независимо от того, какие каналы связи при этом задействуются — беспроводные или стационарные, — их надежность никто не гарантирует. Это усложняет и без того непростую задачу соблюдения на удаленных рабочих местах требований внутренних политик безопасности. Вот почему внедрение средств контроля и управления рабочими местами столь необходимо. При этом следует принять во внимание такие особенности этой задачи:
• рост стоимости управления удаленными рабочими местами. Неэффективное их использование влияет как на производительность труда, так и на доходы. Затраты на приобретение, управление и администрирование программных продуктов увеличиваются, равно как и требования к системным ресурсам;
• усложнение управления различными технологиями защиты удаленных рабочих мест требует больших усилий. Разрозненные же технологии оказываются малоэффективными и трудоемкими;
• растущее число новых и неизвестных угроз. Для отражения новых атак недостаточно лишь антивирусного ПО. Требуется многоуровневое решение, которое может оказаться дорогостоящим и трудным в управлении.
Для каждой угрозы требуется особая технология защиты, что приводит к появлению на предприятиях множества разрозненных решений. Так, антивирусы отражают атаки вирусов, вредоносного ПО и троянских коней; антишпионские программы выявляют руткиты и шпионское ПО; в качестве щита от червей применяют межсетевой экран; противостоять атакам с целью переполнения буфера и нераспознаваемым эксплойтам можно посредством систем предотвращения вторжений; с кражей идентификационных данных борются путем контроля за устройствами; рабочие места, не соблюдающие правила безопасности, можно отключать с помощью системы управления доступом к сети… и так далее.
 |
Для удаленных рабочих мест Symantec предлагает систему Endpoint Protection, которая содержит технологии антивируса, защиты от шпионских программ и сетевых угроз, а также средства контроля рабочей среды ПО. Она объединяет пять важных технологий безопасности, которые обеспечивают высокий уровень превентивной защиты от известных и неизвестных угроз.
Очень много внутренних врагов?
ИТ-угрозы со стороны сотрудников или подрядчиков — одна из наиболее сложных проблем, с которыми сталкиваются современные компании, излишне доверяющие собственным работникам. По разным оценкам, до 80% угроз имеют сугубо внутренние источники, способные причинить непоправимый ущерб данным, системам и репутации учреждения.
Исследование, проведенное в 2006 году Секретной службой США, показало, что внутренние взломы компьютеров и сетей редко бывают импульсивными. В большинстве случаев злоумышленники планируют их заранее, что дает возможность подготовленным и внимательным сотрудникам заблаговременно заметить признаки готовящейся атаки.
Вот некоторые интересные результаты упомянутого исследования:
• 80% работников, организовавших атаки против своих компаний, проявляли недоброжелательность перед инцидентом;
• в 92% случаев инциденту предшествовало негативное для злоумышленника событие: понижение в должности, перевод, предупреждение или уведомление об увольнении;
• 59% виновников инцидента когда-то работали в компании или были ее подрядчиками, тогда как 41% по-прежнему оставались в штате;
• из бывших сотрудников 48% были уволены, 7% — временно, 38% вышли в отставку;
• 86% работали на технических должностях, из них 38% –системными администраторами, 21% — программистами, 14% — инженерами и 14% — специалистами по ИТ;
• в 96% случаев хакерами были мужчины;
• менее трети виновников имели судимость;
• 57% выражали признаки раздражения;
• большинство злоумышленников взламывали, создавали несанкционированные тайные или использовали коллективные учетные записи;
• атаки преимущественно организовались через удаленный доступ;
• чаще всего в качестве мотива хакеры называли месть.
Для того чтобы обезопасить компанию от собственных же сотрудников, необходим контроль за доступом к сети, а также решения для обеспечения безопасности конечных ее точек и базы данных. Symantec предлагает ряд специализированных продуктов для решения этой задачи:
• Symantec Network Access Control гарантирует, что каждое рабочее место, подключенное к сети, отвечает правилам безопасности и политике доступа учреждения;
• Symantec Endpoint Protection заблаговременно анализирует поведение приложений и сетевые коммуникации, выявляя и блокируя атаки. Руткиты или шпионские программы, которые рассерженный сотрудник попытается применить на своем компьютере, будут обнаружены заранее. Защита блокирует также команды чтения/записи/исполнения, поступающие со сменных дисков, и предотвращает исполнение неавторизованных приложений в защищенных системах;
• Symantec Database Security обнаруживает вредоносную деятельность с базами данных легитимных пользователей и ведет историю всех действий. Интеллектуальная технология автоматически изучает «нормальный» характер их работы и предупреждает администраторов о подозрительных операциях.
Следует отметить, что исключительно техническими методами решить проблему внутренних угроз сложно. Необходим комплекс мер, в том числе и постоянная планомерная работа с персоналом. Например, стоит обязать сотрудников соблюдать общепринятые правила безопасности (пользоваться антивирусными программами, средствами против спама, сетевыми экранами, блокираторами панели инструментов и т.д.) и запретить предоставлять конфиденциальную информацию, не убедившись в легитимности запроса.
Защита портативных устройств
Повсеместное применение мобильных устройств в учреждениях вынуждает рассматривать их в качестве абсолютно нового типа конечных точек сети, таких же, как и настольные ПК. Большинство ИТ-менеджеров уже привыкли к тому, что определенное число пользователей работает за пределами сети компании. Однако в последние годы количество мобильных сотрудников постоянно возрастает. Все большее распространение получают корпоративные ноутбуки, владельцы которых неизбежно начинают носить их с собой и использовать вне офиса.
Такое повышение мобильности — рай для потенциальных злоумышленников. Ведь корпоративная защита по периметру сети «расползается» на сотни или тысячи отдельных и небывало уязвимых клиентских конечных точек. И поскольку перекрывающие друг друга системы защиты периметра сети, как правило, предусматривают единственную точку входа, злоумышленники получают более широкое поле для поиска слабых мест.
Мобильные ПК подключаются к главной корпоративной сети случайным и непредсказуемым образом. Нерегулярные подсоединения затрудняют ИТ-персоналу установку на мобильные компьютеры последних обновлений ПО защиты, операционных систем и приложений. Стоит ли говорить, что системы, работающие с устаревшим ПО, значительно более уязвимы для атак?
В результате многие компании начали строить стратегию защиты конечных точек сети, основанную не только на антивирусе и межсетевом экране, но и на технологиях, непосредственно связанных с управлением всей корпоративной инфраструктурой и ее защитой. Например, технологии управления доступом к сети Symantec обеспечивают широкий охват управляемых и неуправляемых устройств как подключенных к корпоративной сети, так и автономных. Эти технологии становятся все более необходимыми директорам по ИТ для реализации стратегии, состоящей из трех элементов, успех которой зависит от способности сети защитить трафик, входящий из конечных точек и поступающий в них. Такая стратегия:
1) использует сетевую технологию для предотвращения проникновения угроз в машину;
2) фильтрует файловую систему с целью недопущения записи вредоносного кода не жесткий диск;
3) препятствует внесению изменений любыми неизвестными или нераспознаваемыми средствами, прошедшими первый и второй заслоны.
В конечном итоге такая стратегия помогает гарантировать, что все подсоединенные устройства соответствуют правилам безопасности. Прежде чем предоставить доступ к сети несоответствующим устройствам, ПО Symantec обновляет их, автоматически устанавливая программное обеспечение и заплатки. Взломанные или зараженные мобильные устройства автоматически «излечиваются» или не допускаются в сеть.
Атаки через мобильные сети
Рост интенсивности угроз для мобильных устройств сопровождается фундаментальным сдвигом в сфере интернет-безопасности, на который недавно обратили внимание специалисты Symantec. Сегодня черви или трояны созданы для каждой популярной мобильной операционной системы, в том числе Windows Mobile, Symbian и Palm.
В «Отчете об угрозах интернет-безопасности Symantec» (Symantec Internet Security Threat Report) отмечается, что новыми векторами деятельности спамеров и фишеров становятся службы SMS и MMS. «Происходит логичный переход от e-mail к использованию SMS и MMS в качестве транспортных механизмов спама и фишинговых атак. Отчасти это вызвано тем, что технологическая и процедурная защита устройств, применяемых для этих услуг, не так хорошо разработана или не так широко развернута, как на других платформах. Кроме того, пользователи мобильных устройств обычно рассматривают сообщения SMS и MMS как более личные, чем сообщения по e-mail, поступающие на настольный компьютер. В результате они больше доверяют таким сообщениям и реагируют на них», — утверждают авторы этого документа. Для обозначения подобных угроз в отрасли даже появился новый термин: “SmiShing”. Существует уже даже ряд интернет-шлюзов SMS, которые позволяют злоумышленнику подставить фальшивые номер или имя отправителя, которые можно применять для рассылки спама.
Исследователи Symantec отмечают, что выбор SMS и MMS в качестве мишеней дает злоумышленникам значительное преимущество по сравнению с целенаправленными атаками на определенные мобильные операционные системы. Поэтому интенсивность фишинга и спама на базе SMS и MMS будет увеличиваться.
Выводы
Ответом на все более изощренные и узконаправленные атаки могут стать лишь комплексные меры, обеспечивающие многоуровневую защиту. Такие средства комбинируют разные технологии и противодействуют взломам на всех уровнях — начиная от ядра сети и заканчивая мобильными терминалами сотрудников компании. Применение комплексных решений позволяет гарантировать защиту корпоративных данных как от внешних, так и от внутренних атак независимо от того, какие технические средства использует злоумышленник.
