Комплексная защита от современных компьютерных угроз ("Финансовая газета", N 34, август 2005 г.)

Комплексная защита от современных компьютерных угроз

В настоящее время в сфере компьютерной безопасности происходят существенные изменения. Приведем сведения, взятые из отчета об опасностях Интернета, выпущенного компанией Symantec (отчет охватывает период с 1 января по 30 июня 2004 г.):

растет число атак, направленных против Интернет-магазинов. Электронная коммерция стала наиболее уязвимой отраслью. В первом полугодии 2004 г. на ее долю пришлось почти 16% нападений. Число атак в этой области возросло по сравнению с предыдущим полугодием в 4 раза. Подтверждением тому служат рост финансового мошенничества (так называемого фишинга), а также увеличение числа "шпионских" программ, цель которых - извлечь конфиденциальные сведения и передать их злоумышленникам;

сокращается время, отведенное для внесения исправлений. Время между первым сообщением об уязвимости и появлением соответствующего вредоносного кода резко сократилось. В первом полугодии 2004 г. оно составило в среднем 5,8 суток. Например, червь Witty был обнаружен всего лишь через два дня после публикации соответствующей уязвимости. Это означает, что после обнаружения бреши у предприятия остается меньше недели для ее устранения, в то время как совсем недавно в распоряжении системных администраторов было несколько месяцев, чтобы подготовиться к нападению;

интенсивно развиваются бот-сети. Бот (bot, сокращение от слова "робот") - программа, скрытно установленная на компьютере, являющемся объектом атаки. С помощью такой программы пользователь без соответствующих полномочий может дистанционно управлять зараженным компьютером, причиняя тем самым существенный вред. Злоумышленники нередко организуют большие группы управляемых роботами компьютеров - так называемые бот-сети. Подобные сети могут применяться для организации атак типа "отказ в обслуживании" (Denial of Service, DoS), рассылки спама и сообщений, связанных с фишингом, а также для мониторинга действий пользователей. Кроме того, бот-сети служат для распространения и обновления других видов вредоносного кода - вирусов, червей и троянских компонентов. За первое полугодие 2004 г. число ежедневно наблюдаемых ботов увеличилось с 2 тыс. до более чем 30 тыс.;

возрастает число серьезных и легкодоступных уязвимостей. За последний отчетный период зарегистрировано 1237 новых уязвимостей - в среднем 48 в неделю. 70% из них были признаны легкодоступными, в то время как доля уязвимостей, признанных серьезными или очень серьезными, составила 96%. Это означает, что каждой организации приходится сталкиваться в среднем с семью новыми уязвимостями ежедневно. Разумеется, постоянное появление уязвимых мест ведет к повышенной нагрузке на администраторов, отвечающих за безопасность, - им приходится прилагать неимоверные усилия, чтобы протестировать и укрепить защитные системы.

Несомненно, любой обзор положения дел в области компьютерной безопасности не может не затронуть серьезных изменений, которые произошли среди тех, кто эту безопасность нарушает. Назовем их новым сообществом сетевых мошенников. Если раньше хакеры взламывали или повреждали популярные веб-узлы в погоне за скандальной известностью, то теперь у них появился еще более мощный стимул - материальный. При этом их аферы все чаще финансируются извне, разрабатываются все более изощренные схемы мошенничества.

Разрозненные программные средства - слабая защита

Несмотря на рост угроз и уязвимостей, организациям требуются все более разнообразные и эффективные способы работы в Интернете. Новые приложения для электронной коммерции, системы управления взаимоотношениями с клиентами (Customer Relationship Management, CRM) и цепочками поставок обеспечивают повышение производительности, но при этом для них требуется больше серверов, что приводит к увеличению риска потери жизненно важных данных.

Одновременно организации обязаны выполнять законодательные требования, принятые во многих странах и направленные на то, чтобы они внедряли такие системы мониторинга, аудита, подготовки отчетности, управления бизнес-процессами, которые гарантируют подотчетность, прозрачность и соблюдение нормативов. Если они не соблюдаются, может возникнуть утрата доверия партнеров и клиентов, а также финансовая и юридическая ответственность.

Исторически сложилось так, что организации внедряли значительное число отдельных, не связанных между собой программных продуктов, которые были призваны помочь в выявлении, предотвращении и нейтрализации нарушений безопасности. Но в этом случае каждое программное средство необходимо устанавливать и обновлять также по отдельности, при этом администрирование превращается в настоящий кошмар. Понятно, что, чем больше у организации поставщиков, тем продолжительнее возможные простои.

Сегодня, когда корпоративная информация должна быть постоянно защищена и всегда доступна, подход, основанный на сочетании разрозненных программных продуктов, общедоступных данных, нечетко определенных средств управления и процессов, требующих участия пользователей, представляется в лучшем случае рискованным.

Комплексные средства безопасности

В компании Symantec считают, что организациям следует использовать упреждающий комплексный подход, который обеспечивает:

раннее оповещение о возникающих атаках. Компьютерная система оповещения должна предоставлять полезную информацию о том, как защитить вычислительную среду от надвигающейся угрозы, причем эти сведения должны быть тщательно отобраны, чтобы они относились именно к данной среде, и упорядочены, что позволяет немедленно принять меры защиты;

гарантию сохранности ключевых активов. Хотя ни одна отдельно взятая технология не в состоянии должным образом защитить от сегодняшних сложных угроз, комплексный подход к безопасности может помочь в устранении тех недостатков, которые характерны для разрозненных программных продуктов, и в создании более полного оборонительного решения. При этом основное внимание уделяется не только отдельным способам защиты, но и различным уровням системной архитектуры. Это означает, что выбор защитной технологии, применяемой на уровне шлюза, сервера приложений или клиента, становится важнее, чем выбор конкретного межсетевого экрана или сенсора для обнаружения вторжений. Такой подход позволяет создать "эшелонированную оборону";

план отражения атаки. Эффективный план защиты должен включать сбор сведений об атаке, меры по ее отражению и подробную информацию об устранении возможного ущерба. Нельзя обойтись и без круглосуточной технической поддержки жизненно важных систем безопасности. Сюда относится автоматическое обновление правил для межсетевых экранов, описаний вирусов и сигнатур вторжений;

тестирование, мониторинг, измерения. Необходимо быстро сопоставлять данные, упрощать их и выбирать правильный порядок действий. Особенно трудно решать задачи управления в средах, где используются разрозненные продукты различных разработчиков, - поскольку каждое устройство генерирует большое количество данных. Процессы обеспечения безопасности должны включать измерение различных количественных показателей, таких, как среднее время между сбоями (Mean Time Between Failure, MTBF), среднее время восстановления (Mean Time To Repair, MTTR) и среднее время отклика (Time To Respond, TTR).

В современном деловом мире, где активно используется Интернет, простои, связанные с нарушениями безопасности, могут означать миллионные потери доходов, санкции контролирующих органов, судебные иски, непоправимый ущерб репутации компании, поэтому комплексный подход к информационной безопасности весьма актуален. Он позволяет оперативно выявлять и блокировать новые угрозы на клиентском, сетевом и прикладном уровнях. Изощренность угроз постоянно растет, поэтому целесообразно приступить к внедрению этого подхода уже сегодня.

По материалам компании Symantec

"Финансовая газета", N 34, август 2005 г.