Прикладная вирусология

Наибольшую угрозу для безопасности корпоративных информационных систем представляют вредоносное ПО и спам, использующийся в качестве средства рассылки деструктивного кода. Но в то же время в значительной мере угрозой безопасности сетей является человеческий фактор. Современная политика защиты корпоративных сетей предполагает, что проблемами безопасности наряду с сотрудниками IT-службы должны быть озадачены и сотрудники компании, обязанные соблюдать известные меры предосторожности.

Компания Trend Micro Inc., один из ведущих разработчиков систем защиты от вредоносного ПО, опубликовала результаты длившегося почти год исследования о причинах уязвимости систем безопасности корпораций. Итог оказался неутешительным и в некоторой мере шокирующим — у 100% компаний IT-инфраструктура в той или иной степени инфицирована активными вредоносными программами. "Результаты тестирования показали, что по мере того, как угрозы становятся все многочисленнее и изощреннее, традиционным системам безопасности (антивирусы на конечных точках, защищенные шлюзы для доступа в интернет и пересылки электронной почты, решения IPS) становится все труднее справляться со своей задачей",— отмечает менеджер по маркетингу Trend Micro в России и странах СНГ Екатерина Синица.

Впрочем, использование в компании даже самых современных средств защиты не всегда способно предотвратить угрозу. "Абсолютной защиты нет. Весной этого года на борьбу с эпидемией нового вируса, попавшего к нам с зараженной USB-флэшки одного из клиентов, мы потратили несколько дней, несмотря на то что используем самое современное антивирусное программное обеспечение одного из ведущих российских разработчиков,— говорит начальник IT-отдела Подольского районного отделения Госказначейства в Киеве Владимир Устенко.— И новые угрозы безопасности возникают достаточно регулярно, хотя такие крупные эпидемии, как наша весенняя 'лихорадка', случаются, к счастью, все же довольно редко".

Методы проникновения и защиты

Наибольшую угрозу для безопасности корпоративных информационных систем представляют вредоносное ПО и спам, который, в свою очередь, часто используется как средство рассылки вредоносного кода. Изготовители данного программного кода считают, что для его распространения все средства хороши и применяют любые методы обмена информацией между компьютерами. По разным оценкам, от 60% до 90% всех вредоносных программ распространяются при помощи электронной почты. Рассылка деструктивных программ может осуществляться как непосредственно, в надежде, что пользователь сам запустит исполняемый код программы по какой-либо причине, так и завуалировано. В последнем случае часто используют двойные расширения файлов, когда невинная jpg-открытка оказывается исполняемым файлом с замаскированным длинной чередой пробелов истинным расширением. Электронное письмо может просто содержать ссылку на вредоносное ПО, и в этом случае гораздо выше вероятность того, что антивирусный сканер пропустит почту.

Источником вирусов служат и системы мгновенного обмена сообщениями типа ICQ, а также интернет-чаты, содержащие ссылки на вредоносный код или даже передающие его в виде файлов.

Доступ во всемирную сеть интернет — еще один объемный источник проникновения деструктивных программ в корпоративные информационные системы. Одна из проблем — сайты с вредоносными вставками кода. Это может быть как взломанный легитимный сайт, так и сайт, специально распространяющий вредоносное ПО. Другой серьезной проблемой является наличие в интернете множества программ, например взломанных официальных продуктов, содержащих нежелательное ПО, а то и вирусы.

Потенциальным источником угрозы являются носители информации — USB-флэш и внешние жесткие диски, флэш-карты, а также мобильные телефоны и фотоаппараты. Часто корпоративную сеть пополняют вредоносными программами инфицированные ноутбуки и КПК сотрудников.

Для защиты от таких программ, распространяемых по электронной почте, устанавливаются антивирусы на почтовом сервере. Ограничить интернет-угрозы возможно блокировкой доступа к определенным сайтам, что прописывается на уровне политики безопасности. В целях защиты от деструктивных кодов, внедренных в web-страницы, устанавливаются регулярные обновления операционной системы и браузера.

Средства защиты от распространения вредоносных программ на носителях информации традиционны. На компьютерах сотрудников устанавливается антивирусная защита, анализирующая поведение ПО в режиме реального времени. В особых случаях практикуется введение запрета на использование оптических приводов и USB-носителей. В целом же для инфраструктуры корпоративной сети применяется комплексная система защиты.

Линия защиты

Ведущие разработчики антивирусного ПО предлагают массу продуктов для эффективной защиты корпоративных сетей. Наиболее заметными игроками на этом рынке являются Dr. Web, GFI Software, Panda Software, Symantec, Safe`n`Sec, Trend Micro, "Лаборатория Касперского".

Dr. Web имеет в своем арсенале довольно приличный запас защитных средств. Наиболее комплексное из них — Dr. Web Enterprise Suite — набор средств безопасности с системой централизованного управления защитой рабочих станций корпоративной сети под управлением Microsoft Windows (цена примерно $8 в год за один ПК). Предназначен для предприятий любого масштаба.

Dr. Web Security Space решает проблему комплексной защиты пользовательских компьютеров от интернет-угроз: вирусов, руткитов, червей, хакерских утилит, компьютерных мошенников, спама, фишинговых сообщений (вылавливания паролей), зараженных интернет-страниц. Продукт обеспечивает комплексную защиту рабочих станций под управлением 32-битных систем Microsoft Windows 2000/XP/Vista (цена — $28 в год за каждый компьютер).

Можно добавить, что у Dr. Web имеется обширный набор специализированных программ для защиты почтовых серверов под Unix или MS Exchange. А антивирус Dr. Web существует в вариантах для серверов Windows, Unix и NovellNetWare, предоставляя защиту от вирусов, руткитов, шпионского и рекламного ПО. Существует даже версия антивируса Dr. Web для Windows Mobile, обеспечивающая дополнительную защиту для компаний, сотрудники которых используют в работе КПК. Защита мобильных устройств обойдется примерно в $13 в год за один КПК.

GFI Software предлагает GFI MailSecurity for Exchange/SMTP — это решение устраняет все типы угроз, связанных с электронной почтой. В свою очередь, GFI WebMonitor, приложение для Microsoft ISA Server, дает возможность в реальном времени контролировать просматриваемые сотрудниками сайты и загружаемые ими файлы. Продукт способен блокировать доступ к нежелательным веб-ресурсам и выполнять антивирусное сканирование загружаемых файлов.

GFI LANguard Network Security Scanner (N.S.S.) предназначен для обнаружения, оценки и устранения уязвимостей в сети ($6 в год за рабочее место). Наконец, GFI EndPointSecurity ($15 за инсталляцию на один компьютер) контролирует потоки данных через запоминающие устройства (включая USB-накопители, iPod, карты памяти, PDA, мобильные телефоны, компакт-диски и дискеты), позволяя воспрепятствовать получению кем-либо конфиденциальных данных или вводу вирусов с накопителя в сеть.

Panda Security for Business/for Business with Exchange/for Enterprise предлагает полноценную защиту для рабочих станций, файловых и exchange-серверов для предприятий малого и среднего бизнеса. Существуют решения как для ОС Windows, так и для Linux, а также систем, использующих IBM Lotus Domino. Мелким компаниям целесообразно ограничиться Panda Security for Desktops, это решение дает полноценную защиту от спама, шпионских программ, опасного и незапрашиваемого веб-содержимого, хакерских атак, фишинга и обойдется в $9 за компьютер в год.

Symantec Multi-Tier Protection — решение по защите узлов сети и почтовых шлюзов от вредоносного программного обеспечения. Symantec Network Access Control контролирует доступ к сети. Symantec Endpoint Protection (примерно $35 за одну лицензию) объединяет в одном агенте Symantec AntiVirus и средство предотвращения угроз, обеспечивая защиту от опасных программ для ноутбуков, настольных ПК и серверов. Symantec On-Demand Protection for Outlook Web Access предоставляет защищенную виртуальную рабочую среду для доступа к почтовым ящикам, календарям и файлам Outlook. Превентивную защиту хостов от вторжений, действующую на основе контроля поведения, обеспечивает Symantec Critical System Protection. Управлять системами обмена мгновенными сообщениями и контролировать безопасность для аудио- и видеофайлов, VoIP и других коммуникационных возможностей помогает Symantec IM Manager.

Symantec Mobile Security 4.0 for Symbian защищает от угроз смартфоны. Она выявляет и удаляет вирусы и спам в устройствах на платформе Symbian S60 и S80, включая модели Nokia и других ведущих производителей. Обновления защиты способны загружаться по беспроводному соединению, а встроенный брандмауэр блокирует попытки несанкционированного доступа к устройству.

Программный продукт Safe`n`Sec Enterprise Suite защищает корпоративную сеть от внешних угроз, таких как хакерские атаки, целенаправленные вторжения вредоносного кода, а также от внутренних угроз — злонамеренных действий инсайдеров или некомпетентных сотрудников. Имеется также возможность аудита активности пользователей в корпоративной сети.

Trend Micro OfficeScan (примерно $30 за рабочее место в год) обеспечивает защиту рабочих станций, ноутбуков и серверов от сложных смешанных угроз и веб-атак. Trend Micro Intrusion Defense Firewall для OfficeScan Client Edition — система защиты от вторжений, в которой можно создавать и применять различные политики защиты важной информации, приложений, отдельных ПК и сегментов сети.

Trend Micro Client Server Suite (стоимость — от $600) сочетает многоуровневую защиту от вирусов и деструктивного кода с возможностью удаленной настройки и управления и подходит для любой организации. Trend Micro ServerProtect for File Server реализует всестороннюю антивирусную защиту сети и работает на платформах Windows, NetWare и Linux. Trend Micro PortalProtect for SharePoint — защита от вирусов для Microsoft SharePoint Server 2003/2007 или Microsoft Windows SharePoint Service 2.0/3.0.

Trend Micro ScanMail Suite for Microsoft Exchange обеспечивает модульную защиту от спама и фильтрацию от вирусов, "троянских коней", червей и другого деструктивного ПО для серверов Microsoft Exchange. Существует аналог Trend Micro ScanMail Suite для Domino.

Trend Micro InterScan Messaging Security Suite (стоимость — от $240 в год) — это расширяемая платформа обеспечения безопасности почтовых сообщений для шлюзов. Она позволяет противостоять атакам с несколькими угрозами за счет координации защиты от вирусов, спама и обеспечения политик безопасности информации.

Trend Micro Client Server Messaging Suite (от $240 в год) — средство многоуровневой защиты почтовых и файловых серверов и рабочих станций от вирусов и вредоносного кода. Instant Messaging Security for LCS — компонент решения Trend Micro Communication and Collaboration Security, предназначенный для защиты электронной почты, информационных порталов и коммуникационных сред Instant Messaging.

Trend Micro InterScan VirusWall (ориентировочно $40 за клиентскую лицензию в год) обеспечивает безопасность, блокируя вирусы, шпионские программы, спам и другие угрозы на шлюзе интернет. Trend Micro InterScan Web Security Suite блокирует различные типы атак из интернета на шлюзе, являясь форпостом сетевой обороны.

Комплекс защит Kaspersky Open Space Security призван организовать централизованную защиту рабочих станций и смартфонов в корпоративной сети и за ее пределами от всех видов современных сетевых угроз: вирусов, шпионских программ, хакерских атак и спама. Существует в вариантах Kaspersky Work Space Security/Business Space Security/Enterprise Space Security и Total Space Security — для целостной защиты корпоративных сетей любого масштаба и сложности.

"Лаборатория Касперского" также выпускает продукты для защиты отдельных узлов сети. "Антивирус Касперского" оберегает рабочие станции и серверы под управлением Windows, NetWare и Linux. Kaspersky Security for Mail Server решает вопросы защиты почтовых серверов и серверов совместной работы от вредоносных вложений и спама. Продукт работает со всеми популярными почтовыми серверами: Microsoft Exchange, Lotus Domino, Sendmail, Qmail, Postfix и Exim, а также дает возможность организовать выделенный почтовый шлюз.

"Антивирус Касперского для MIMESweeper" в режиме реального времени осуществляет антивирусную проверку и лечение почтовых сообщений, проходящих через Clearswift MIMESweeper.

Безопасный доступ к интернету для всех компьютеров компании обеспечивает Kaspersky Security for Internet Gateway (от $16 за один ПК), автоматически удаляя вредоносные и потенциально опасные программы из потока, поступающего в сеть по протоколам HTTP/FTP.

Kaspersky Administration Kit — мощный инструмент для создания единой системы комплексной защиты IT-инфраструктуры на основе решений "Лаборатории Касперского". Administration Kit дает возможность проводить централизованное управление системой защиты в сложных компьютерных сетях размером в несколько десятков тысяч узлов, с поддержкой всех удаленных офисов и мобильных пользователей.

Не выносить сор

Впрочем, большинство вышеперечисленных продуктов не обеспечивают защиту от такой опасности, как инсайдерские атаки. Нередко недовольные политикой компании сотрудники выносят ценную информацию, используя доступные им мобильные носители данных. С этой проблемой призвана бороться DLP-защита — средство от утечек данных и внутренних угроз. В области DLP-защиты активно работают компании InfoWatch, Safenet, Safe'n'Sec, Symantec.

InfoWatch Traffic Monitor представляет собой специализированную систему контроля для обнаружения и предотвращения пересылки конфиденциальной информации по электронной почте или через интернет-сервисы (веб-почту, форумы, чаты и др.). Также обеспечивается контроль над копированием документов или их частей на всевозможные носители.

Safenet ProtectDrive способен осуществлять полное, побайтное шифрование жестких дисков настольных, мобильных компьютеров и серверов, защищая файлы. Safenet ProtectFile шифрует файлы и папки, обеспечивая безопасный авторизованный доступ пользователей и групп к защищенной информации. ProtectServer Gold предназначен для быстрой обработки криптографических процессов защиты в системах, где работают приложения, требующие высокой производительности. ProtectServer External подключается с использованием TCP/IP к отдельному компьютеру или сети для выполнения внешних функций шифрования. ProtectHost White и улучшенная система ProtectHost EFT реализуют высокий уровень криптографической обработки функций систем электронного перевода средств, осуществляют безопасную обработку платежей, обслуживания платежных карт и позволяют выполнять банковские операции используя интернет.

Safe`n`Sec DLP Guard осуществляет постоянный мониторинг сетевой активности пользователей, имеющих доступ к закрытой информации. Возможность скрытной установки обеспечит постоянное присутствие программы без возможности ее обнаружения и удаления.

Symantec Data Loss Prevention не дает возможности копировать или передавать конфиденциальную информацию, заблокирована также распечатка секретных данных или их отправка по факсу. Эти новые возможности дополняют модули, предотвращающие копирование данных на USB-устройства и оптические диски.

О конкретной стоимости решений DLP-защиты необходимо договариваться с компанией-интегратором такого ПО.