Способы противодействия вирусным угрозам

На сегодняшний день компьютерные вирусы остаются одной из наиболее опасных угроз информационной безопасности автоматизированных систем (АС). Одним из подтверждений этого являются статистические данные ассоциации mi2g, согласно которым в 2004 году суммарный ущерб, нанесённый вирусами, составил 184 млрд. долл. Это почти в два раза превышает аналогичный показатель 2003 года (см. табл. 1).

Таблица 1
Ущерб в млрд. долл. США в 1999-2004 гг. (по данным mi2g)

Год	Вирусы	Спам	Фишинг	ИТОГО
1999	2	1	0	21
2000	9	3	0	26
2001	6	3	0	37
2002	11	72	0	119
2003	92	65	16	239
2004	184	154	47	525

Необходимо также отметить, что по данным исследований Института компьютерной безопасности и Федерального бюро расследований США в 2004-м году более 78% организаций были подвержены вирусным атакам [1]. При этом у 97% из них были установлены межсетевые экраны, а 96% компаний использовали антивирусные средства. Сказанное выше говорит о том, что существующие подходы к защите от вредоносного ПО не позволяют в полной мере решить задачу обеспечения антивирусной безопасности. Однако прежде чем приступить к описанию недостатков традиционных методов защиты от компьютерных вирусов рассмотрим основные виды вирусных угроз, которые могут представлять опасность для АС организаций.

Типы вирусных угроз безопасности

Как правило, вирусные угрозы могут существовать на одном из четырёх этапов своего жизненного цикла (рис. 1).

Основным условием первого этапа жизненного цикла вирусной угрозы в АС является наличие уязвимости, на основе которой потенциально могут быть проведены вирусные атаки [3]. Уязвимости могут быть связаны с недостатками организационно-правового, либо программно-аппаратного обеспечения АС. Первый тип уязвимостей связан с отсутствием определённых нормативных документов, в которых определяются требования к антивирусной безопасности АС, а также пути их реализации. Так, например, в организации может отсутствовать политика информационной безопасности, учитывающая требования к антивирусной защите. Примерами уязвимостей программно-аппаратного обеспечения являются ошибки в ПО, отсутствие средств защиты, неправильная конфигурация программного окружения, наличие нестойких к угадыванию паролей и др.

Уязвимости могут возникать как на технологическом, так и на эксплуатационном этапах жизненного цикла АС. Технологические уязвимости могут проявляться на стадиях проектирования, разработки и развертывания АС. Эксплуатационные уязвимости связаны с неправильной настройкой программно-аппаратного обеспечения, установленного в АС.

Второй этап жизненного цикла вирусной угрозы предполагает использование вирусом имеющейся технологической или эксплуатационной уязвимости для инфицирования ресурсов АС. На данном этапе вирус заражает один из хостов, входящих в состав АС. В зависимости от типа уязвимости АС применяются различные методы для их использования.

Недостатки существующих подходов к обеспечению антивирусной безопасности

В настоящее время во многих компаниях существует миф о том, что для эффективной защиты АС от вредоносного ПО достаточно установить антивирусные продукты на всех рабочих станциях и серверах, что автоматически обеспечит нужный уровень безопасности. К сожалению, практика показывает, что такой подход не позволяет в полной мере решить задачу защиты от вредоносного кода. Обусловлено это следующими основными причинами:

Далее приводится описание комплексного подхода к защите от вирусных угроз, который позволяет избежать вышеперечисленных недостатков.

Комплексный подход к защите от вирусных угроз

Комплексный подход к защите от вредоносного кода предусматривает согласованное применение правовых, организационных и программно-технических мер, перекрывающих в совокупности все основные каналы реализации вирусных угроз. В соответствии с этим подходом в организации должен быть реализован следующий комплекс мер:

Важно понимать, что эффективная реализация вышеперечисленных мер на предприятии возможна только при условии наличия нормативно-методического, технологического и кадрового обеспечения антивирусной безопасности.

Нормативно-методическое обеспечение антивирусной безопасности предполагает создание сбалансированной правовой базы в области защиты от вирусных угроз. Для этого в компании должен быть разработан комплекс внутренних нормативных документов и процедур, обеспечивающих процесс эксплуатации системы антивирусной безопасности. Состав таких документов во многом зависит от размеров самой организации, уровня сложности АС, количества объектов защиты и т.д. Так, например, для крупных организаций основополагающим нормативным документом в области защиты от вредоносного кода должна быть концепция или политика антивирусной безопасности. Для небольших компаний достаточно разработать соответствующие инструкции и регламенты работы пользователей, а также включить требования к обеспечению антивирусной защиты в состав политики информационной безопасности организации.

В рамках кадрового обеспечения антивирусной безопасности в компании должен быть организован процесс обучения сотрудников по вопросам противодействия вирусным угрозам. Программа обучения должна быть направлена на минимизацию рисков, связанных с ошибочными действиями пользователей, приводящих к реализации вирусных атак. Примерами таких действий являются: запуск приложений с непроверенных внешних носителей, использование нестойких к угадыванию паролей доступа, закачка ActiveX-объектов с недоверенных Web-сайтов и др. В процессе обучения должны рассматриваться как теоретические, так и практические аспекты антивирусной защиты. При этом программа обучения может составляться в зависимости от должностных обязанностей сотрудника, а также от того к каким информационным ресурсам он имеет доступ.

Технологическое обеспечение должно быть направлено на создание комплексной системы антивирусной защиты (КСАЗ), которая помимо антивирусов дополнительно должна включать в себя такие подсистемы, как защита от спама, обнаружение и предотвращение атак, выявление уязвимостей, сетевое экранирование и подсистема управления.

Подсистема выявления компьютерных вирусов является базовым элементом КСАЗ и предназначена для обнаружения различных типов компьютерных вирусов на уровне рабочих станций пользователей, серверов, а также сетевых шлюзов. Для обнаружения вирусов подсистема должна использовать как сигнатурные, так и эвристические методы анализа. В случае обнаружения вируса подсистема должна обеспечивать возможность оповещения пользователя и администратора безопасности, а также удаления выявленных вирусов из инфицированных файлов. Для обеспечения эффективной защиты от вирусов подсистема должна базироваться на антивирусных ядрах различных производителей [4]. Это позволит существенно повысить вероятность обнаружения вируса за счёт того, что каждый файл или почтовое сообщение будет проверяться различными ядрами. Ещё одним преимуществом использования многоядерных антивирусов является более высокая надёжность работы КСАЗ. В случае, если в одном из сканирующих ядер КСАЗ произойдёт сбой, то оно всегда может быть заменено другим активным антивирусным ядром. Примером программного продукта, который может использоваться для реализации КСАЗ, является система Antigen компании Microsoft, предназначенная для антивирусной защиты серверов Exchange, SharePoint, SMTP-шлюзов и другого прикладного ПО. Данный продукт может включать в себя до восьми антивирусных ядер различных производителей.

Подсистема сетевого экранирования предназначена для защиты рабочих станций пользователей от возможных сетевых вирусных атак посредством фильтрации потенциально опасных пакетов данных. Подсистема должна обеспечивать возможность фильтрации на канальном, сетевом, транспортном и прикладном уровнях стека TCP/IP. Как правило, данная подсистема реализуется на основе межсетевых и персональных сетевых экранов. При этом межсетевой экран устанавливается в точке подключения АС к сети Интернет, а персональные экраны размещаются на рабочих станциях пользователей.

Подсистема выявления и предотвращения атак предназначена для обнаружения несанкционированной вирусной активности посредством анализа пакетов данных, циркулирующих в АС, а также событий, регистрируемых на серверах и рабочих станциях пользователей. Подсистема дополняет функции межсетевых и персональных экранов за счёт возможности более детального контекстного анализа содержимого передаваемых пакетов данных. Данная подсистема включает в себя следующие компоненты:

Подсистема выявления уязвимостей должна обеспечивать возможность обнаружения технологических и эксплуатационных уязвимостей АС посредством проведения сетевого сканирования. В качестве объектов сканирования могут выступать рабочие станции пользователей, серверы, а также коммуникационное оборудование. Для проведения сканирования могут использоваться как пассивные, так и активные методы сбора информации. По результатам работы подсистема должна генерировать детальный отчёт, включающий в себя информацию об обнаруженных уязвимостях, а также рекомендации по их устранению. Совместно с подсистемой выявления уязвимостей в АС может использоваться система управления модулями обновлений общесистемного и прикладного ПО, установленного в АС. Совместное использование этих систем позволит автоматизировать процесс устранения выявленных уязвимостей путём установки необходимых обновлений на узлы АС (service pack, hotfix, patch и др.).

Подсистема защита от спама направлена на блокирование почтовых сообщений рекламного характера. Для этого подсистема должна поддерживать возможность работы со списками RBL (Real-Time Black Lists), а также реализовывать собственные сигнатурные или поведенческие методы выявления спама. Подсистема устанавливается таким образом, чтобы все входящие почтовые сообщения, поступающие из сети Интернет, вначале проходили через её контекстный фильтр, а затем попадали на корпоративный почтовый сервер.

Подсистема управления антивирусной безопасностью, предназначенная для выполнения следующих функций:

Общая схема размещения подсистем защиты, входящих в состав комплексной системы антивирусной безопасности в АС показана на рис. 3.

Внедрение такой комплексной системы антивирусной защиты представляет собой сложный многоступенчатый процесс, который включает в себя следующие этапы (рис. 4):

Состав этапов, а также их длительность зависит от размерности защищаемой АС, а также от масштабов внедрения КСАЗ. Работы, связанные с внедрением и эксплуатацией СОА могут проводиться как собственными силами предприятия, так и с привлечением внешних организаций, специализирующихся на предоставлении услуг в области информационной безопасности. При этом некоторые этапы могут объединяться или проводиться одновременно. Так, например, разработка технорабочего проекта и обучение персонала предприятия могут осуществляться параллельно.

Заключение

Компьютерные вирусы являются в настоящее время одной из наиболее значимых угроз информационной безопасности, о чём свидетельствуют многочисленные данные по ежегодным финансовым потерям компаний в результате воздействий вирусных атак. При этом традиционные меры борьбы с вредоносным программным обеспечением, основанные на простой установке антивирусных средств защиты на рабочих станциях и серверах, оказываются недостаточно эффективными. Поэтому использование комплексного подхода в противодействии вирусным атакам, рассмотренного в данной статье, позволит повысить эффективность тех мер, которые используются компаниями в настоящее время.

Многоуровневая схема защиты данных и ПО с использованием решений по ИТ-безопасности дают возможность снизить риски кибернападений на бизнес до минимума и тем самым исключить непредвиденные затраты на устранение последствий.

Услуга анти-DDoS призвана предотвратить перебои в работе онлайн-сервиса и возникновение простоя по причине кибератак на канал связи или непосредственно на ресурс компании.

План аварийного восстановления данных призван снизить риски, связанные с недоступностью данных компании, приводящих к замедлению бизнес-процессов.

Для снижения риска потери корпоративной информации можно воспользоваться услугой резервного копирования данных и хранения их в облачных сервисах на базе крупных дата-центров.

Обеспечить комфортные условия работы и, следовательно, надежную защиту компании — означает в том числе найти оптимальные IT-решения с учетом особенностей бизнес-сферы клиента.

Что такое информационная безопасность и почему системы ее обеспечения так важны

Так что же такое информационная безопасность? Обычно под ней понимают защищенность информации и всей компании от преднамеренных или случайных действий, приводящих к нанесению ущерба ее владельцам или пользователям. Обеспечение информационной безопасности должно быть направлено прежде всего на предотвращение рисков, а не на ликвидацию их последствий. Именно принятие предупредительных мер по обеспечению конфиденциальности, целостности, а также доступности информации и является наиболее правильным подходом в создании системы информационной безопасности.

Любая утечка информации может привести к серьезным проблемам для компании — от значительных финансовых убытков до полной ликвидации. Конечно, проблема утечек появилась не сегодня, промышленный шпионаж и переманивание квалифицированных специалистов существовали еще и до эпохи компьютеризации. Но именно с появлением ПК и интернета возникли новые приемы незаконного получения информации. Если раньше для этого необходимо было украсть и вынести из фирмы целые кипы бумажных документов, то сейчас огромные объемы важных сведений можно запросто слить на флэшку, помещающуюся в портмоне, отправить по сети, прибегнув к использованию семейства руткитов, троянов, бэкдоров, кейлоггеров и ботнетов, либо просто уничтожить посредством вирусов, устроив диверсию.

Случается и так, что утечка приносит вред компании через несколько месяцев или лет после того, как она произошла, попав в руки конкурентам или журналистам. Именно поэтому защита должна быть комплексной. Не стоит делить информацию на очень важную и менее важную. Все, что касается деятельности компании и не предназначено для опубликования, должно оставаться внутри компании и быть защищено от угроз.

Аналитический центр InfoWatch опубликовал данные по утечке данных в России за 2016 год. Согласно исследованию, СМИ обнародовали 213 случаев утечек информации из российских госорганов и компаний, что составляет 14% от общемирового количества утечек.

Самые частые случаи — это утечка платежной информации и персональных данных — 80%. В 68% случаев виновными оказываются сотрудники организаций, и только в 8% — руководство. По сравнению с 2015 годом количество утечек выросло на 89%. На сегодня Россия занимает второе после США место в списке стран, наиболее сильно страдающих от утечек информации [2] .

Но из-за чего чаще всего возникают угрозы информационной безопасности?

1. Невнимательность и халатность сотрудников. Угрозу информационной безопасности компании, как ни странно, могут представлять вполне лояльные сотрудники и не помышляющие о краже важных данных. Непредумышленный вред конфиденциальным сведениям причиняется по простой халатности или неосведомленности работников. Всегда есть возможность того, что кто-нибудь откроет фишинговое письмо и внедрит вирус с личного ноутбука на сервер компании. Или, например, скопирует файл с конфиденциальными сведениями на планшет, флэшку или КПК для работы в командировке. И ни одна компания не застрахована от пересылки невнимательным сотрудником важных файлов не по тому адресу. В такой ситуации информация оказывается весьма легкой добычей.

2. Использование пиратского ПО. Иногда руководители компаний пытаются сэкономить на покупке лицензионного ПО. Но следует знать, что нелицензионные программы не дают защиты от мошенников, заинтересованных в краже информации с помощью вирусов. Обладатель нелицензионного ПО не получает технической поддержки, своевременных обновлений, предоставляемых компаниями-разработчиками. Вместе с ним он покупает и вирусы, способные нанести вред системе компьютерной безопасности. По данным исследования Microsoft, в 7% изученных нелицензионных программ было найдено специальное программное обеспечение для кражи паролей и персональных данных [3] .

Обычно подобные атаки используются в ходе конкурентной борьбы, шантажа компаний или для отвлечения внимания системных администраторов от неких противоправных действий вроде похищения денежных средств со счетов. По мнению специалистов, именно кражи являются основным мотивом DDoS-атак. Мишенью злоумышленников чаще становятся сайты банков, в половине случаев (49%) были затронуты именно они.

4. Вирусы. Одной из самых опасных на сегодняшний день угроз информационной безопасности являются компьютерные вирусы. Это подтверждается многомиллионным ущербом, который несут компании в результате вирусных атак. В последние годы существенно увеличилась их частота и уровень ущерба. По мнению экспертов, это можно объяснить появлением новых каналов проникновения вирусов. На первом месте по-прежнему остается почта, но, как показывает практика, вирусы способны проникать и через программы обмена сообщениями, такие как ICQ и другие. Увеличилось и количество объектов для возможных вирусных атак. Если раньше атакам подвергались в основном серверы стандартных веб-служб, то сегодня вирусы способны воздействовать и на межсетевые экраны, коммутаторы, мобильные устройства, маршрутизаторы.

В последнее время особенно активны стали так называемые вирусы-шифровальщики. Весной и летом этого года миллионы пользователей пострадали от атак вирусов WannaCry, Petya, Misha. Эпидемии показали, что жертвой вирусной атаки можно стать, даже если не открывать подозрительные письма. По информации Intel вирусом WannaCry заразились 530 тысяч компьютеров, а общий ущерб компаний составил более 1 млрд долларов [5] .

5. Угрозы со стороны совладельцев бизнеса. Именно легальные пользователи — одна из основных причин утечек информации в компаниях. Такие утечки специалисты называют инсайдерскими, а всех инсайдеров условно делят на несколько групп:

6. Законодательные перипетии. Государственные органы в России наделены правом конфисковать в ходе проверок оборудование и носители информации. Поскольку большая часть важных данных компании хранится в электронном виде на серверах, то в случае их изъятия компания на какое-то время просто останавливает свою деятельность. Простои при этом никто не компенсирует, а если проверка затягивается, большие убытки могут привести к прекращению деятельности фирмы. Изъятие оборудования — одна из острейших проблем современного бизнеса, при этом поводом для него может послужить все что угодно — от решения следователя до решения суда в рамках какого-либо уголовного дела.

Хотя количество угроз постоянно растет, появляются все новые и новые вирусы, увеличивается интенсивность и частота DDoS-атак, разработчики средств защиты информации тоже не стоят на месте. На каждую угрозу разрабатывается новое защитное ПО или совершенствуется уже имеющееся. Среди средств информационной защиты можно выделить:

Итак, защита информации должна осуществляться комплексно, сразу по нескольким направлениям. Чем больше методов будет задействовано, тем меньше вероятность возникновения угроз и утечки, тем устойчивее положение компании на рынке.

О выборе эффективных инструментов обеспечения информационной безопасности мы поговорили с Олегом Анатольевичем Наскидаевым, директором по развитию бизнеса компании DEAC, специализирующейся на предоставлении услуг по защите информации.

«Количество и изощренность угроз информационной безопасности ежегодно растет. Несмотря на то, что индустрия услуг по защите информации развивается, злоумышленникам иногда все же удается быть на шаг впереди. И происходит это не потому, что нет эффективных средств защиты или квалифицированных консультантов, способных решить проблему. Скорее, это происходит от того, что руководители компаний не до конца понимают необходимость защиты информационных ресурсов. Недостаточно просто установить антивирусные программы и ограничить доступ к тем или иным данным. Чтобы обеспечить максимальную конфиденциальность информации, придется создать многоуровневую систему ее защиты, и далеко не всегда с этой задачей может справиться собственный IT-отдел фирмы. В таком случае на помощь приходят специализированные компании, профессионально занимающиеся именно защитой информационных ресурсов.

Уже более 15 лет наша компания предлагает комплекс эффективных решений по защите данных. Во-первых, это резервное копирование данных Backup-as-a-Service (BaaS) и их хранение в облаке DEAC на базе одного или нескольких дата-центров. Мы гарантируем полную сохранность информации, а при возникновении у нашего клиента форс-мажорных обстоятельств резервные копии помогут в максимально короткие сроки восстановить жизненно важные для компании данные и избежать убытков.

Во-вторых, высокий уровень защиты данных, расположенных на инфраструктуре DEAC, вне зависимости от их расположения — как в России, так и в Европе — достигается дополнительно при помощи системы защиты от DDoS-атак. Это система, автоматически определяющая и блокирующая все известные виды DDoS-атак. Применение системы гарантирует непрерывность работы сети клиента и обеспечивает быстрое время отклика на запросы реальных пользователей даже непосредственно во время атаки.

Для защиты от вредных программ и компьютерного мошенничества существуют и применяются различные методы борьбы с ними. Это методы юридические (полицейские), образовательные и технические.

Во всех компьютеризированных странах приняты законы, запрещающие создание и распространение вирусов и прочих типов вредоносных программ. К тому же часто действия интернет-преступников попадают под совершенно некомпьютерные статьи уголовных кодексов — например, мошенничество, вымогательство, неправомерный доступ к конфиденциальной информации и т.д. Данные законы регулярно применяются на практике. Так, за 2004-2006 годы за совершение преступлений с применением компьютерных технологий во всем мире было арестовано несколько сот человек. Однако следует признать, что часто подобные преступления совершаются техническими грамотными специалистами, и это достаточно серьёзно затрудняет расследование преступления. Плюс к тому большинство криминальных атак остаются вне поля зрения полиции — по причине их относительной незначительности. По этим причинам исключительно юридическими методами можно снизить общий уровень компьютерной преступности — но полностью победить нельзя.

Вторым важным методом защиты от компьютерных злоумышленников является образование пользователей, уяснение и строгое следование основным правилам поведения в сети. Всего есть три основных правила, которые верны как для домашних, так и для корпоративных пользователей:

Обязательное использование антивирусной защиты. Если вы не являетесь экспертом по компьютерной безопасности, то лучше всего вас защитит надёжная антивирусная защита и защита от сетевых атак (сетевой экран) — доверьте свою безопасность профессионалам. Большинство современных антивирусных программ защищают от самых разнообразных компьютерных угроз — от вирусов, червей, троянских программ и рекламных систем. Интегрированные решения по безопасности также ставят фильтр против спама, сетевых атак, посещения нежелательных и опасных интернет-ресурсов и т.д.
Не следует доверять всей поступающей на компьютер информации — электронным письмам, ссылкам на веб-сайты, сообщениям на интернет-пейджеры. Категорически не следует открывать файлы и ссылки, приходящие из неизвестного источника. Даже если сообщение получено из источника известного (от знакомого или коллеги по работе), но присланный файл или ссылка приходит для вас неожиданно, — лучше переспросить о подлинности сообщения, поскольку обратный адрес в электронной почте легко подделывается. Интернет — достаточно опасное место, где следует вести себя осторожно.

запрет на использование интернет-пейджеров;
доступ только к ограниченному числу веб-страниц;
физическое отключение внутренней сети предприятия от интернета и использование для выхода в интернет выделенных компьютеров;
и так далее.

К сожалению, жёсткие ограничительные меры могут конфликтовать с пожеланиями каждого конкретного пользователя или с бизнес-процессами предприятия, — в таких случаях надо искать баланс, причём в каждом отдельно взятом случае этот баланс может быть различным.

Следует обращать достаточно внимания на информацию от антивирусных компаний и от экспертов по компьютерной безопасности. Обычно они своевременно сообщают о новых видах интернет-мошенничества, новых вирусных угрозах, эпидемиях и т.п. — уделяйте больше внимания подобной информации.

Примером успешного отражения злоумышленных атак является история с почтовым червём LoveLetter и многочисленными его клонами. Сразу после эпидемии червя практически всеми антивирусными компаниями были опубликованы рекомендации по защите от почтовых червей подобного типа — просто не открывать вложения с расширением имени файла VBS (именно так распространялся этот червь). В результате, несмотря на многочисленные клоны этого червя и другие вариации на тему VBS-червей, ни один из них не вызвал эпидемии, сравнимой по масштабу с LoveLetter.

Коротко приведённые выше три правила компьютерной гигиены можно перечислить так: обязательно защищаться, никому не верить, но антивирусным компаниям — можно (с оговорками). И про антивирусную защиту — подробнее.

Что такое информационная безопасность и почему системы ее обеспечения так важны

Но из-за чего чаще всего возникают угрозы информационной безопасности?

Читайте также: