Кто предупрежден, тот вооружен

Виды и источники информационных угрозОкружающая нас информационная среда c каждым днем становится все агрессивнее, а угрозы для сетей компаний все чаще приобретают коммерческий характер. Поэтому как никогда важным становится вопрос защиты корпоративных данных (как говорится, кто предупрежден, тот вооружен)

14.10.2008
16:39
Андрей Посадский

 

 

Сегодня основной угрозой безопасности компьютерных систем является вредоносное программное обеспечение и спам – незапрошенная электронная корреспонденция, которая из навязчивых, но безобидных электронных сообщений все чаще превращается в способ доставки вредоносных утилит и вирусов. Сюда же можно отнести и потенциально вредоносное программное обеспечение (как правило, рекламного или шпионского характера), неблагонадежные Интернет-ресурсы и электронную корреспонденцию, имеющую нежелательное содержание, но при этом не являющуюся спамом.

 

Все эти угрозы имеют ряд общих черт: они создаются вне корпоративной сети, используют ресурсы компьютера или приводят к их повреждению и обычно попадают на компьютер без согласия пользователя и его непосредственного участия. Однако в последние годы прослеживается «размывание» границ между ними. Во многих образцах вредоносного ПО соединяются признаки нескольких типов (как правило, «червя», «троянского коня» и программы удаленного доступа).

 

Троянские программы очень часто распространяются через классические спам-рассылки, а зараженные компьютеры в дальнейшем используются злоумышленниками для отправки спама. На интернет-страницах определенного содержания – как правило, порнографического или хакерского – практически всегда находятся те или иные версии вирусов или шпионского ПО.

 

Источники опасности

 

В категорию вредоносного программного обеспечения входят программы, наносящие заведомый вред компьютеру, на котором они запускаются, или другим компьютерам в сети.

 

Существует несколько видов вредоносного ПО. Классический вариант – файловые вирусы, представляющие собой исполняемый код, который присоединяется к программе-носителю. Вирусы распространяют свои копии по ресурсам локального компьютера с целью  последующего запуска кода при каких-либо действиях пользователя или последующего внедрения в другие ресурсы компьютера.

 

Следующий тип вирусов – троянские кони. Соответствуя своему названию, подобные программы внешне могут выглядеть безобидными исполняемыми файлами, часто маскируясь под служебные файлы операционных систем. Однако при запуске они выполняют неавторизованные действия (например, уничтожение или модификацию файлов), нарушают работоспособность компьютера или используют его в целях, определенных автором программы. Среди троянских программ выделяются программы удаленного доступа (backdoor), загрузчики (dropper) и программы для шантажа (ransomware).

 

Программы удаленного доступа открывают незаметный для пользователя доступ к ресурсам целевого компьютера, которые затем используют злоумышленники в своих целях.

 

Задача программ-загрузчиков – установка на компьютер и последующий запуск  вредоносного программного обеспечения.

 

Программы для шантажа производят обратимое ограничение доступа к тем или иным ресурсам целевого компьютера. Как правило, на зараженной машине происходит шифрование файлов документов, после чего от пользователя требуется плата за их расшифровку.

 

Существует и такой вид вредоносного ПО, как компьютерные черви – программы, основной задачей которых является распространение своих копий в локальных или глобальных сетях. Черви, в отличие от классических вирусов, не требуют наличия программы-носителя для распространения.

 

Программы распределенных атак на отказ в обслуживании (DDoS) реализуют распределенные атаки на различные ресурсы интернета (например, WEB и почтовые серверы) с разных компьютеров, без ведома пользователя зараженного компьютера.

 

Важное место среди угроз информации занимают различные хакерские утилиты: конструкторы вирусов, червей и троянских программ, программные библиотеки, разработанные для создания вредоносного ПО, и т.д.

 

«Слабые места»

 

Для распространения вредоносного программного обеспечения может применяться любой метод обмена информацией между компьютерами. Установка и запуск подобных программ практически всегда происходит без ведома и согласия пользователя. Так, по разным оценкам, от 60% до 90% всех вредоносных программ распространяются через  электронную почту. При этом рассылка может происходить как при помощи встроенных в такую программу механизмов, так и посредством спам-рассылок или легальной почты.

 

Другой источник вирусов - системы мгновенного обмена сообщениями, включая программы типа ICQ, MSN и интернет-чаты. Кроме того, черви часто распространяются через общие сетевые ресурсы, включая сетевые папки, диски, ресурсы на серверах групповой работы, системы корпоративного документооборота, файлоообменные сети. Многие сетевые черви содержат встроенные функции подбора несложных паролей, а также словари паролей для доступа к сетевым ресурсам, требующим аутентификации.

 

За последние годы для распространения троянских программ, шпионского и рекламного ПО все активнее используется интернет. При этом нередко подобный вредоносный код содержат и вполне легальные ресурсы, зараженные при использовании уязвимостей веб-сервера. Немалую опасность представляют также загружаемые из интернета «бесплатные» или взломанные программы, которые могут содержать вредоносный код.

 

Не потерял актуальности и способ проникновения в систему с помощью различных носителей информации – гибких и жестких дисков, CD и DVD дисков, карт флэш-памяти, устройств резервного копирования и др. Кроме того, многие вирусы и черви используют уязвимости операционных систем для распространения непосредственно через локальную или глобальную сеть.

 

Сегодня источниками распространения инфекции в корпоративных сетях все чаще становятся мобильные компьютеры – ноутбуки, ПДА, смартфоны: они часто работают вне пределов защищенной сети и плохо поддаются контролю по настройкам защиты и установленному ПО.

 

Кто предупрежден, тот вооружен

 

Итак, приняв во внимание все характерные особенности современного вредоносного кода, мы можем сформулировать концепцию защиты корпоративной сети от возможных угроз. Прежде всего, на все критические узлы в сети должно быть установлено специализированное программное обеспечение для защиты от вредоносного кода.

 

Эшелонированная система защиты должна состоять из нескольких уровней: защиты периметра корпоративной сети (почтового шлюза и веб-шлюза), защиты серверов (почтовых серверов, серверов групповой работы и файловых серверов), а также защиты рабочих станций и мобильных устройств (как на файловом, так и на сетевом уровне).

 

Кроме того, для управления системой защиты от вредоносного кода должно быть сведено к минимуму количество узлов администрирования – в идеальном случае вся система должна настраиваться и контролироваться из одной точки. Контроль за работоспособностью системы должен осуществляться в режиме, близком к режиму реального времени.