2002 год
Вирусной атаке подверглись 13 узловых интернет-серверов, обеспечивающих работоспособность Глобальной сети. Специалисты бьют тревогу. Активно развиваются средства сетевой безопасности, включающие в себя не только антивирусное ПО, но и брандмауэры. Кроме того, в большинстве стран объявлена настоящая война авторам компьютерных вирусов. Их наказания становятся все более и более жесткими. В частности, Девид Смит, создатель вируса Melissa, приговорен к крупному штрафу и 20 месяцам тюремного заключения.
2003 год
Время активного развития сетевых "червей". Интернет периодически сотрясают эпидемии. Вновь оказываются побитыми рекорды распространения вируса. На этот раз отличился "червь" Slammer, который в течение всего 10 минут заразил 75 тысяч компьютеров, среди которых оказались даже машины Госдепартамента США. В результате консульства Америки на полдня остались без работы, поскольку осуществлять процесс выдачи виз было невозможно.
Ну а в общем год прошел без особых неожиданностей. Антивирусное ПО стало еще более совершенным, поэтому сегодня в распространении вирусов виноваты в большинстве случаев сами пользователи. Внимание общественности к зловредным программам привлекают не только печатные СМИ, но и радио и телевидение. Поэтому постепенно пользователи начинают приучать себя к соблюдению основных правил безопасности в Интернете, который на сегодняшний день и является основным источником вирусов.
Противодействие вирусам
Компьютерные вирусы остаются в настоящее время одной из наиболее опасных угроз информационной безопасности автоматизированных информационных систем (АИС). Одним из подтверждений этого являются статистические данные ассоциации mi2g (www.mi2g.com), согласно которым в 2004 году суммарный ущерб, нанесённый вирусами, составил 184 млрд долл. Это почти в два раза превышает аналогичный показатель 2003 года.
Необходимо также отметить, что, по данным исследований Института компьютерной безопасности и Федерального бюро расследований США, в 2004 году более 78 % организаций были подвержены вирусным атакам1. При этом у 97 % из них были установлены межсетевые экраны, а 96 % компаний использовали антивирусные средства. Сказанное выше говорит о том, что существующие подходы к защите от вредоносного ПО не позволяют в полной мере решить задачу обеспечения антивирусной безопасности. Однако, прежде чем приступить к описанию недостатков традиционных методов защиты от компьютерных вирусов, рассмотрим основные виды вирусных угроз, которые могут представлять опасность для АИС организаций. Кстати, общие сведения о защите АИС вы можете почерпнуть в предыдущих двух статьях цикла — в “БиК” № 1 и № 2 за 2007 год.
Типы вирусных угроз безопасности
Основными видами угроз антивирусной безопасности являются различные типы вредоносного ПО, способного нанести определённый вред АИС или её пользователям. Вредоносное ПО представляет собой компьютерные вирусы, а также программы типа “троянский конь”, adware, spyware и др.
Вирусы — это специально созданный программный код, способный самостоятельно распространяться в компьютерной среде2. В настоящее время можно выделить следующие типы информационных вирусов: файловые и загрузочные вирусы, “сетевые черви”, бестелесные вирусы, а также комбинированный тип вирусов. Каждый из этих типов отличается видом носителя, а также методом распространения в АИС.
Программы типа “троянский конь” (Trojan Horses) также относятся к вредоносному программному коду, однако, в отличие от вирусов, не имеют возможности самостоятельно распространяться в АИС. Программы данного типа маскируются под штатное ПО системы и позволяют нарушителю получить удалённый несанкционированный доступ к тем узлам, на которых они установлены.
Вредоносное ПО типа spyware предназначено для сбора определённой информации о работе пользователя. Примером таких данных может служить список интернет-сайтов, посещаемых пользователем, перечень программ, установленных на его рабочей станции, содержимое сообщений электронной почты и др. Собранная информация перенаправляется программами spyware на заранее определённые адреса в сети интернет. Вредоносное ПО данного типа может являться потенциальным каналом утечки конфиденциальной информации из АИС.
Основная функциональная задача вредоносных программ класса adware заключается в отображении рекламной информации на рабочих станциях пользователей. Для реализации этого они, как правило, выводят на экран пользователя рекламные баннеры, содержащие информацию о тех или иных товарах и услугах. В большинстве случаев эти программы распространяются вместе с другим ПО, которое устанавливается на узлы АИС. Несмотря на то что программы adware не представляют непосредственную угрозу для конфиденциальности или целостности информационных ресурсов АИС, их работа может приводить к нарушению доступности вследствие несанкционированного использования вычислительных ресурсов рабочих станций.
Как правило, вирусные угрозы могут существовать на одном из четырёх этапов своего жизненного цикла.
Основным условием первого этапа жизненного цикла вирусной угрозы в АИС является наличие уязвимости, на основе которой потенциально возможно провести вирусные атаки3. Уязвимости могут проистекать из-за недостатков организационно-правового либо программно-аппаратного обеспечения АИС. Первый тип уязвимостей связан с отсутствием определённых нормативных документов, в которых определяются требования к антивирусной безопасности АИС, а также пути их реализации. Так, например, в организации может отсутствовать политика информационной безопасности, учитывающая требования к антивирусной защите. Примерами уязвимостей программно-аппаратного обеспечения являются ошибки в ПО, отсутствие средств защиты, неправильная конфигурация программного окружения, наличие нестойких к угадыванию паролей и др.
Уязвимости могут возникать как на технологическом, так и на эксплуатационном этапах жизненного цикла АИС. Технологические уязвимости проявляются на стадиях проектирования, разработки и развёртывания АИС. Эксплуатационные уязвимости связаны с неправильной настройкой программно-аппаратного обеспечения, установленного в АИС.
Второй этап жизненного цикла вирусной угрозы предполагает использование вирусом имеющейся технологической или эксплуатационной уязвимости для инфицирования ресурсов АИС. На данном этапе вирус заражает один из хостов (серверов, задача которых — обеспечивать доступ к сетевым ресурсам), входящих в состав АИС. В зависимости от типа уязвимости АИС применяются различные методы для их использования.
На третьем этапе жизненного цикла вирус выполняет те действия, для которых он был предназначен. Так, например, вирус может установить на инфицированный компьютер программу типа “троянский конь”, исказить информацию, хранящуюся на хосте, или собрать конфиденциальную информацию и передать её на определённый адрес в сети интернет. В ряде случаев вирусы также могут использоваться для нарушения работоспособности атакованной АИС.
На четвёртом этапе жизненного цикла происходит дальнейшее распространение вирусов в АИС посредством инфицирования других компьютеров, расположенных в одной ЛВС вместе с заражённым хостом. В большинстве случаев распространение вирусов осуществляется на основе тех же уязвимостей, которые использовались для первичного инфицирования АИС.
Недостатки существующих подходов
В настоящее время во многих компаниях бытует миф о том, что для эффективной защиты АИС от вредоносного ПО достаточно установить антивирусные продукты на всех рабочих станциях и серверах, что автоматически обеспечит нужный уровень безопасности. К сожалению, практика показывает, что такой подход не позволяет в полной мере решить задачу защиты от вредоносного кода. Обусловлено это следующими основными причинами:
· подавляющее большинство антивирусных средств базируется на сигнатурных методах выявления вредоносного ПО, что не позволяет им обнаруживать новые виды вирусов, сигнатуры которых отсутствуют в их базах данных;
· в ряде случаев в организациях отсутствуют нормативно-методические документы, регламентирующие порядок работы с антивирусными средствами защиты. Это может приводить к возможным нарушениям правил эксплуатации, а именно — несвоевременному обновлению сигнатурных баз, отключению компонентов антивирусов, запуску программ с непроверенных информационных носителей и т. д.;
· антивирусные средства защиты не позволяют выявлять и устранять уязвимости, на основе которых компьютерные вирусы могут проникать в АИС предприятий;
· антивирусы не обладают функциональными возможностями, позволяющими ликвидировать последствия вирусных атак.
Другим распространённым подходом к защите от вредоносного кода является использование в АИС антивирусных средств защиты только одного производителя, которые устанавливаются на серверы, рабочие станции и сетевые шлюзы. Недостатком такого метода является высокий уровень зависимости от продукции этого производителя. Это означает, что в случае если по какой-то причине будет нарушена работоспособность антивирусного ядра или вендор (производитель ПО) не сможет своевременно обновить свою базу данных, то под угрозой вирусной эпидемии окажется вся инфраструктура компании. Актуальность данной проблемы обусловлена тем, что антивирусные лаборатории по-разному реагируют на появляющиеся компьютерные вирусы. Иллюстрирует это пример, изображённый на рис. 2. Он показывает время реакции различных компаний-производителей на вирус Sober.P, который появился 2 мая 2005 года. Как видите, разница во времени реакции составляет до восьми часов, в течение которых АИС потенциально может быть успешно атакована злоумышленниками. Необходимо также отметить и разницу во времени реагирования компаний на тот или иной вирус: тот производитель, который сегодня первым отреагировал на появление вируса класса А, завтра может последним выпустить сигнатуру для вируса типа Б.