Антивирусы – одна из первых технологий, которая до сих пор востребована рынком. Но если на заре активного развития вычислительных сетей широкое распространение получили антивирусы, лечившие традиционные файловые и загрузочные вирусы, которые распространялись через дискеты и файловые серверы, то сейчас их практически не существует. Сегодня в списках топ- вирусов лидируют троянцы и черви, распространяющиеся не от файла к файлу, а от компьютера к компьютеру.
Вирусные вспышки превратились в настоящие эпидемии, ущерб от них измеряется десятками миллиардов долларов. Вирусописательство стало прибыльным бизнесом. Зараженные компьютеры являются вычислительным ресурсом, который злоумышленники успешно сдают в аренду другим не очень чистоплотным пользователям, например, для рассылки спама.
Первые антивирусы защищали только отдельные компьютеры. Ни о какой защите сети, а тем более о централизованном управлении и речи быть не могло, что, разумеется, затрудняло использование этих решений на корпоративном рынке. И сегодня разработчики антивирусов уделяют централизации управления далеко не первостепенное внимание, концентрируясь преимущественно на пополнении базы сигнатур вирусов. Исключением являются лишь некоторые зарубежные фирмы (TrendMicro, Symantec, Sophos ), заботящиеся и о корпоративном пользователе в плане централизации управления. Российские же производители, не уступающие своим иностранным коллегам по качеству и количеству обнаруживаемых вирусов, пока проигрывают им по части централизованного управления. Хотя, например, компания «Доктор Веб» в своих корпоративных решениях активно развивает систему централизованного управления антивирусными продуктами в рамках Dr.Web Enterprise Security Suite.
Говоря о перспективах развития антивирусных систем, стоит отметить ряд моментов. Во-первых, раньше использовались преимущественно реактивные (сигнатурные) технологии, которые обладают рядом недостатков. Например, повышенным потреблением системных ресурсов, так как возникает необходимость в защите всех ИТ-компонентов. Антивирусная система исследует каждый байт запускаемого приложения в целях поиска вредоносного кода. И, главное, сигнатурный анализ не сможет определить вирус, который изменил собственный код. Обнаружить его удастся только после внесения в базу новой сигнатуры.
В последнее время все больше развиваются проактивные технологии, которые анализируют поведение программы, используя такие средства, как эвристика, виртуализация, песочница. Так увеличивается эффективность обнаружения и отпадает необходимость использования сигнатур.
Еще одним направлением развития антивирусных продуктов являются облачные технологии [1].
Системы контроля содержимого и антиспама
Если говорить о средствах защиты веб-трафика от нежелательных почтовых рассылок, то здесь на первый план выходят решения, контролирующие всю входящую и исходящую электронную корреспонденцию, а также разрешающие доступ к различным сайтам и загрузку с них (и на них) файлов (в том числе видео- и аудиофайлов). Учитывая, что количество зараженных веб-ресурсов растет, а пользователи несильно утруждают себя проверкой ссылок, соответствующие модули должны быть обязательны в каждом антивирусе.
Это активно развивающееся направление в области информационной безопасности. Если раньше решения по борьбе со спамом строились на лингвистическом анализе текста письма, то сейчас широко распространены системы, анализирующие репутацию отправителя. При установке SMTP-соединения IP-адрес отправителя проверяется на принадлежность к черным спискам спамеров, пулам динамически выдаваемых адресов, а также спискам зараженных машин, исходя из результатов проверки принимается решение об установке соединения и получения почты от данного отправителя.
Репутационные технологии имеют ряд преимуществ, так как не требуется нагружать свои почтовые серверы анализом содержимого почтовых сообщений, нет лишнего трафика в канале связи. Думаю, что репутационные технологии будут получать все большее развитие.
В качестве примера можно привести систему Cisco SensorBase. Это сеть мониторинга угроз, которая принимает телеметрические данные с огромного числа устройств и сервисов Cisco, работающих по всему миру. С помощью Cisco SensorBase была успешно блокирована ботнет-сеть Waledac сразу после ее активации, в результате чего никто не пострадал.
Чтобы обеспечить потребителя новейшими технологиями по умеренной цене, разработчики средств безопасности стали предлагать защиту почтовых сервисов и проверку ссылок как услугу [2].
Межсетевые экраны
Развитие межсетевых экранов шло совершенно иначе, чем антивирусов. Если последние двигались от персональной защиты к защите целых сетей, то первые – с точностью до наоборот. Изначально межсетевые экраны применялись только для защиты сетевых сегментов, но с увеличением количества персональных компьютеров, подключенных к Интернету, стала актуальной задача защиты отдельно стоящих узлов, что и породило технологию персональных МСЭ, активно развиваемую в настоящее время. Некоторые производители пошли еще дальше, предложив потребителю межсетевые экраны приложений, защищающие не сети и даже не отдельные компьютеры, а программы, запущенные на них. Например, ModSecurity, анализирующие к веб-серверу, или GreenSQL-FW к СУБД.
Системы межсетевого экранирования станут развиваться как в корпоративном, так и в частном сегментах. В корпоративном сегменте межсетевые экраны будут направлены на блокирование атаки в зародыше, в то время как персональные МЭ станут хорошим дополнением, особенно полезным для мобильных пользователей и домашних компьютеров.
Межсетевые экраны научатся анализировать трафик. Если сейчас набор протоколов уровня приложений, которые умеют проверять МСЭ, ограничен, то в будущем этот список будет расширяться.
Отдельная тема – защита виртуальных систем, но о ней мы еще поговорим.
Авторизация и разграничение доступа
По статистике от 51 до 83% всех компьютерных инцидентов в компаниях происходит по вине их собственных сотрудников [1]. Поэтому возникает необходимость в системах аутентификации и разграничения доступа, определяющих, кому, к какому ресурсу и в какое время можно получить доступ.
Одним из направлений защитных технологий данного класса является аутентификация, которая позволяет сопоставить вводимые пользователем пароль и имя с информацией, хранящейся в базе системы защиты. При совпадении вводимых и эталонных данных разрешается доступ к соответствующим ресурсам. Надо отметить, что, кроме пароля, аутентификационной информацией служат и другие уникальные идентификаторы, которые может иметь пользователь, – смарт-карты, токены, одноразовые пароли. Такая технология получила название двухфакторной аутентификации. Как пример можно привести использование смарт-карт, которые подключаются к компьютеру, одноразовых паролей, которые генерируются при каждом сеансе подключения, сканирование отпечатков пальцев, сетчатки глаза и других уникальных для каждого человека идентификаторов.
Перспективой развития данных технологий является дальнейшее внедрение систем многофакторной аутентификации. Защита с использованием логина и пароля уже давно не является стопроцентной гарантией безопасности, поэтому у описанных средств защиты большое будущее.
Сканеры безопасности
Технологии выявления и анализа угроз требуют от информационной системы наличия определенных интеллектуальных функций. Она должна самостоятельно получать информацию о возможных угрозах. Сегодня такие системы уже широко внедряются в крупных корпоративных сетях, где имеется большое количество различных серверов и рабочих станций, работающих под управлением разных операционных систем, СУБД и других приложений. Все эти сложные гетерогенные ресурсы необходимо постоянно проверять на наличие уязвимых мест. Несмотря на то что за выполнение некоторых задач отвечают политики ИБ, все равно необходимо регулярное сканирование на соответствие политикам, в том числе и на наличие критических обновлений. Обычно для этого серверы системы выявления и анализа взаимодействуют с сайтом разработчика того или иного приложения, на котором публикуются сведения о выявленных уязвимостях и обновлениях, с помощью которых можно устранить данные уязвимости.
Процесс установки критических обновлений безопасности в приложениях, в крупных сетях, как правило, производится вручную – администраторы самостоятельно принимают решение о том, какое обновление и куда устанавливать. Причина – осторожность администраторов, не желающих рисковать работоспособностью своих ресурсов.
Однако в перспективе предполагается, что и установка всех критических обновлений будет производиться автоматически, по аналогии с тем, как это сейчас делается системой WSUS, осуществляющей централизованное получение обновлений к целому ряду продуктов Microsoft, и их последующую раздачу посредством групповых политик каталога Active Directory.
Самозащищающиеся сети
Другим перспективным направлением в области информационной безопасности являются самозащищающиеся сети. Их задача – защитить конечные станции, контролировать доступ, обнаруживать аномалии, ограничить область заражения. Типичным примером такого решения является Cisco Network Admission Control (NAC) или же реализованная в Windows 2008 – Network Access Protection (NAP). Суть технологии заключается в следующем. Когда компьютер подключается к корпоративной сети, специальный агент, работающий на данной машине, сообщает об установленных на ней обновлениях безопасности, наличии антивирусного ПО и актуальности баз, наличии межсетевого экрана и других параметрах. В зависимости от того, какой ответ получен, система принимает решение, пускать ли данную машину в корпоративную сеть. Если состояние компьютера удовлетворяет не всем критериям, то ему дается доступ в карантинную зону, где ему доступен только сервер с обновлениями, с которого можно установить необходимые средства защиты. Если на машине не установлено агентское ПО, она также помещается в карантинную сеть, где пользователь должен установить агента и обновиться до требуемого уровня безопасности.
Такая технология позволяет не пускать в корпоративную сеть потенциально небезопасную машину. Техническим недостатком NAC является отсутствие реализации под платформы, отличные от Windows.
Еще одной разновидностью (или скорее даже еще одним слоем) самозащищающихся систем являются SIEM-решения (Security Information Event Management), интегрированные со средствами предотвращения вторжений. Как это работает на практике? Различное оборудование и прикладные системы производят генерацию событий информационной безопасности, таких как ввод неверного пароля, обращение к закрытому порту, обнаружение вируса и другие события. Система SIEM проверяет данные события на соответствие заданным правилам ИБ и в случае положительного результата передает в систему предотвращения вторжений команду на блокировку узла или подсети, из которых исходит угроза. Этот подход реализован в ПО ArcSight ESM и аппаратном модуле ArcSight TRM, которые в связке позволяют автоматизировать предотвращение угроз.
Плюсом использования этих решений является то, что появляется возможность построения полностью автоматизированной системы защиты корпоративных ресурсов. В крупных компаниях с сотнями серверов и активных сетевых устройств такие системы позволяют существенно автоматизировать анализ и выявление угроз. При этом существенно экономится время специалистов по информационной безопасности организации, так как отпадает необходимость в ручном мониторинге событий и инцидентов.
Главными недостатками SIEM являются высокая стоимость внедрения и возможность ложных срабатываний. Так, например, за мою практику бывали случаи, когда связка ArcSight ESM&TRM успешно блокировала узел – источник угрозы, отключая порт на коммутаторе Juniper, однако включить обратно данный порт в автоматическом режиме так и не получилось, поэтому пришлось вмешиваться администратору.
Виртуальные и облачные технологии
Системы виртуализации, обладая целым рядом преимуществ, привнесли новые проблемы с безопасностью. В виртуальной среде зачастую для заражения десятков серверов не нужно передавать по сети ни одного пакета. Вместо этого вредоносному коду достаточно заразить физическую машину (гипервизор), и далее вредоносный код сможет поразить все виртуальные машины на нем. И хотя сегодня реализаций таких вирусов замечено не было, но в будущем они могут стать вполне реальными.
Также для виртуальных машин более вероятна ситуация, когда долгое время отключенный сервер после включения какой-то период работает с устаревшими средствами защиты. Например, после восстановления виртуальной машины из резервной копии или клонирования из старого образа.
Еще одним недостатком, связанным с виртуальной средой, может стать обмен данными, осуществляющийся между виртуальными машинами. Если сетевой обмен идет по внутренней виртуальной сети, этот трафик не попадает на сетевую карту и не будет зафиксирован на межсетевых экранах, списки доступа также не будут к нему применены, что может привести к утечке данных, взлому или вирусному заражению.
Приведенные угрозы предъявляют новые требования к существующим средствам защиты, о которых я писал выше. В частности, межсетевые экраны в виртуальной среде должны уметь обрабатывать пакеты, передаваемые между виртуальными машинами, и блокировать вредоносный контент. Задача антивируса обеспечивать актуальность вирусных баз в любой момент времени даже для отключенных виртуальных машин.
Облачные технологии являются перспективным направлением, на которое будут направлены усилия всех крупных игроков рынка информационной безопасности в ближайшие годы.
Системы защиты от утечки информации
Средства защиты от утечки информации (DLP, Data Leak Prevention) пока только начинают внедряться в крупных компаниях, хотя разработаны они были еще несколько лет назад. Предназначение данных систем – борьба с инсайдерами. По статистике наибольший урон ИБ наносят именно они. Внедрение DLP не позволяют конфиденциальным данным покинуть защищенный периметр, а если такое произошло, то иметь все данные для расследования. Для этого контролируются все интерфейсы компьютера, исходящий трафик и вывод на печать.
Задача службы управления правами Active Directory (AD RMS), которая входит в состав Windows Server 2008, не позволить читать документы тем, кому они не предназначены. По сути, документ хранится в зашифрованном виде и автоматически расшифровывается при открытии пользователем, внесенным в разрешающий список.
Недостатком таких систем является сложность их внедрения, связанная с большим количеством ложных срабатываний и проблем с установкой агентов на большое число рабочих мест. Однако за этими технологиями будущее, так как слишком велики ежегодные убытки от инсайдеров, и компании будут стремиться всячески защитить свои ресурсы.
Что еще влияет на технологии ИБ?
Любая серьезная защитная технология появляется только в ответ на какую-либо технологическую новинку. Более того, ни одна технологическая новинка не требует обязательной разработки адекватной защиты, поскольку подобные работы ведутся только в случае их финансовой целесообразности. Например, разработка защитных механизмов для клиент-серверной СУБД необходима, так как это непосредственно влияет на количество пользователей данной системы. А вот защитные функции в мобильном телефоне пока не востребованы, ибо объемы продаж никак не зависят от защищенности телефонов [3]. Практически аналогична ситуация с защитой VoIP, атаки и уязвимости известны, но они редки, а значит, соответствующие продукты пока не востребованы рынком.
Еще одним критерием, который оказывает существенное влияние на развитие технологий ИБ, являются хакеры. В тех областях ИТ, к которым злоумышленники проявляют свой интерес, сразу же начинают двигаться вперед и средства информационной безопасности. В качестве примеров можно привести антивирусные системы, межсетевые экраны, защиту беспроводных сетей.
На выбор технологий информационной безопасности влияет и размер корпоративной сети. Масштаб сети диктует свои правила – как по причине нехватки денег на приобретение нужных средств защиты информации, так и из-за отсутствия необходимости в последних. Ведь для одного компьютера, подключенного к Интернету, не нужны системы контроля утечки конфиденциальной информации, а для сети среднего масштаба подобные системы жизненно необходимы. К тому же в небольших сетях не столь остро стоит проблема централизованного управления средствами информационной безопасности, а в сетях крупных предприятий без таких средств вообще не обойтись. Даже традиционные средства защиты меняются под влиянием масштаба сети и дополняются новыми функциями: интеграцией с системами сетевого управления, эффективной визуализацией событий, расширенной генерацией отчетов, иерархическим и ролевым управлением.
Таким образом, направления развития систем ИБ задаются как самой отраслью ИТ, так и злоумышленниками, «работающими» в ней. Также важным критерием является бюджет организации, стремящейся защитить свои информационные ресурсы. Все эти факторы станут определяющими в развитии технологий ИБ на ближайшие годы.
***
Итак, я привел основные виды средств защиты ИТ-среды, их достоинства и недостатки. Сюда не вошли средства криптографической защиты и PKI. На мой взгляд, это уже достаточно устоявшиеся технологии, и развиваться они будут скорее по горизонтали, то есть по числу установок, чем по вертикали, то есть технологически.
Следует отметить, что технологии защиты сегодня больше сосредоточены на задачах защиты и предотвращения и борьбы или фиксации последствий, чем выявления и анализа. Насколько это плохо, сказать трудно. Дело в том, что некоторые решения по своей сути направлены на реактивную защиту (межсетевые экраны, системы предотвращения вторжений SIEM, антивирусы). Они реагируют на угрозу, принимая защитные меры постфактум. Так, например, антивирусная система обнаруживает вредоносный код по факту его выполнения, когда он пытается заразить систему, обращаясь к системным файлам и библиотекам. При этом бывают ситуации, когда система содержит некоторую уязвимость – червь проникает в нее, антивирус обнаруживает и удаляет. Однако система по-прежнему уязвима, и при следующей попытке заражения ситуация повторяется. И так происходит до тех пор, пока не поставят соответствующее обновление. Это еще один важный недостаток реактивных систем защиты.
В то же время для некоторых систем проблемы выявления и анализа становятся все более актуальными. Например, для проактивных решений. Если вернуться к примеру с антивирусом, то такие решения не должны давать вредоносному коду возможности выполнения в системе. Сегодня практической реализацией такой системы является так называемая песочница – некоторая область памяти, куда помещается подозрительный код и где производится его выполнение, при этом контролируются все попытки обращения данного кода к потенциально опасным разделам памяти и другим объектам операционной системы.
- 1. Яремчук С. Антивирус как сервис. Поставщики: кто, что и почем. //«Системный администратор», приложение «Облачные вычисления», №1(4), 2011 г. – С.10-15 (http://samag.ru/archive/article/1217).
- 2. Бирюков А. Security as a Service. Безопасность как услуга. //«Системный администратор», приложение «Облачные вычисления», №1(4), 2011 г.– С.16-20 (http://samag.ru/archive/article/1218).
- 3. Статья Алексея Лукацкого, посвященная перспективам технологий информационной безопасности – http://www.compress.ru/article.aspx?id=10465&iid=429.