Аудит защищенности информационных систем или кто шпионит за "шпионом"?

На прошедшей недавно выставке ко мне подошла знакомая журналистка и посетовала на то, что использование Интернета даже для работы в редакции становится всё более и более лимитированным: закрывается доступ к icq, к блогам, а для скачивания программ или pdf-файлов теперь нужно обращаться к системному администратору. При этом на рабочих станциях установлены антивирусы, есть антиспам-система… А трафик растёт и пропорционально его объёмам возрастает его стоимость. Если так пойдёт и дальше – проще будет вообще отключить часть компьютеров от глобальной сети…или, может быть, просто пересмотреть политику информационной безопасности, а для начала провести аудит?

Описанная выше ситуация на самом деле достаточно типична, и если проецировать её на более масштабные сети, в которых, в отличие от примера с редакцией, автоматизированные рабочие места исчисляются сотнями и тысячами – финансовые риски становятся весьма ощутимыми. Но далеко не единственными. Так называемый "паразитный трафик" чаще всего является следствием активности вредоносных программ – таких как шпионские приложения (spyware), трояны, черви и другие типы активного злонамеренного контента, которыми изобилует сегодня среда Интернет.  За последний год (см. рис.1), зафиксирован экспоненциальный рост числа вредоносных программ, проникающих на компьютеры пользователей через web. По данным на 1 января 2007 года их число в 2 раза превысило число зафиксированных вирусов, распространяющихся более традиционными способами (по e-mail, локальной сети, на различных носителях).

На сегодняшний день, пожалуй, самой значимой и динамично развивающейся угрозой корпоративной информационной безопасности являются шпионские приложения. Хищение конфиденциальных данных, нарушение технологического процесса, выход рабочих компьютеров из строя, лишняя нагрузка на службу клиентской поддержки – и это далеко не полный список "сюрпризов" от spyware. Как известно, программы-шпионы могут отслеживать практически любую активность пользователя зараженного компьютера: контролировать  нажатия клавиш, читать почту, сканировать файловую систему на жестком диске, изменять параметры системы и реестра и т. д.  Подобные действия могут привести к искажению или краже данных, в том числе представляющих  собой личную или коммерческую тайну.

"Шпионы" имеют гораздо более сложную структуру, чем классические вирусы, и это одна из причин того, почему их сложно детектировать. Встраивание вредоносного кода в тело веб-страниц (в HTML или в код файлов изображений – JPEG, BMP и т. д.), использование JAVA Script, ActiveX, BHO (расширения браузера), эксплойтов, а также внешне безобидных и невидимых для пользователя фрагментов кода, вызывающих переход на зараженные сайты и т. д. Добавим к этому непрерывные сообщения о выявлении уязвимостей всех распространенных Web- браузеров, таких  как Internet Explorer, Firefox, Opera, Safari, "заплатки" для которых подчас появляются гораздо позже, чем ими успевает воспользоваться злоумышленник, - и мы получим достаточно полную картину современных web-угроз. 

Вредоносный код – это прямая угроза конфиденциальности информации и основной инструмент хищения и утечки корпоративных данных. Этот тезис подтверждает и рейтинг InfoWatch – (http://safe.cnews.ru/reviews/index.shtml?2007/09/12/265818), где на первом месте по масштабу ущерба от утечек корпоративных данных располагается атака, организованная при помощи троянской программы. В результате атаки злоумышленники получили доступ к базе вакансий сайтов Monster.com и USAjobs.gov  (1,8 млн. человек), нанеся ущерб в  244 млн. долларов. Таким образом, потеря или утечка критически важной информации вследствие проведения атаки с использованием вредоносного ПО – это реалии сегодняшнего дня.

Угрозы нужно знать "в лицо"

Чтобы понимать, как бороться – нужно знать с чем. Основной целью аудита является получение детальной статистики  по тем угрозам безопасности, которые сопряжены с активным использованием Интернет в рамках компании ее сотрудниками, а именно -  доступ к сайтам сомнительного содержания, загрузка  зараженных файлов, а также выполнение на компьютерах пользователей потенциально нежелательных приложений, таких как шпионское ПО, клиентов пиринговых сетей, Интернет-пейджеров и т. п. Для проведения такого аудита необходимы специальные инструменты, обладающие определенным набором функциональных возможностей. Рассмотрим эти возможности на примере eSafe WTA (Web Threats Analyzer) – аппаратно-программный комплекс от Aladdin, способный анализировать трафик любых по размеру сетей за относительно короткий срок (см. рис 2). Важнейшая и первичная функция продукта - полный анализ всего как входящего и исходящего трафика (HTTP, FTP и др.). Это позволяет выявить уже зараженные компьютеры, на которых действует шпионское или рекламное программное обеспечение, генерирующее подозрительный трафик, а также возможные источники заражения. Так, например, такое инспектирование позволяет определить попытки передачи конфиденциальной информации в Интернет или попытки удаленного управления компьютерами из глобальной сети. Также в процессе мониторинга должны определяться вредоносные скрипты, встроенные в веб-страницы, известные и неизвестные эксплойты, потенциально опасные фрагменты программного кода, проникшие через систему защиты.

В результате анализа этой информации можно сделать выводы о существующих уязвимостях. На основе ее эксперты, осуществляющие аудит системы ИБ, смогут выдать рекомендации по их устранению.

Второй важной функцией является анализ сетевых приложений, которые используют сотрудники во время своей работы. Ведь далеко не все ПО применяется для выполнения ими своих служебных обязанностей. Системы P2P, Skype, потоковые аудио и видео и др. Но это не главное. Такие приложения несут серьезную опасность для ИС предприятия, например, интернет-пейджер ICQ активно используется для распространения троянских коней. Поэтому использование потенциально опасных приложений обязательно должно быть выявлено и остановлено.

Следующая функция - анализ посещаемых сотрудниками компании сайтов. Дело в том, что сегодня многие современные сайты представляют собой серьезную опасность. С помощью эксплойтов они загружают на ПК посетителей троянских коней и другое вредоносное ПО, что ставит под угрозу безопасность всей корпоративной сети. Причем почти всегда такие веб-страницы относятся к одним и тем же категориям: сборники нелицензионных программ, веб-проекты "только для взрослых" и т.п. Таким образом, все сайты с подобным контентом являются потенциально опасными. Поэтому при аудите контент-безопасности компании обязательно должны быть составлены диаграммы, отображающие популярность разных категорий веб-проектов среди сотрудников.

Ну и, наконец, последняя обязательная функция - анализ сетевой активности всех сотрудников компании. Она заключается в определении используемых ими приложений, которые выходят в Интернет, посещаемых сайтов, характер передаваемой и получаемой информации и т.п. Это позволяет выявить потенциально опасные действия со стороны отдельных людей. Такой анализ позволяет исправить недочеты в корпоративной политике безопасности, а также выявить ее нарушителей.

Все перечисленные выше функции являются обязательными для инструмента, с помощью которого осуществляется аудит контент-безопасности. Если какая-то из них не будет реализована или реализована не полностью (например, будет отсутствовать проверка HTTP-трафика с помощью проактивных технологий), то ответственное за безопасность лицо компании или аудитор не смогут получить полной информационной картины.

Однако при выборе инструмента необходимо смотреть и на особенности технологической реализации инструментов для проведения аудита. Как мы уже говорили выше, установка "в разрыв" устройства для аудита ИБ сопряжена с определенным риском. Поэтому предпочтение следует отдавать продуктам, которые работают по принципу сниффера легко интегрируются в любую инфраструктуру и не требуют никаких изменений в работе сетевого оборудования и используемых сетевых приложений.

Это очень удобно, например, тогда, когда у компании есть несколько филиалов, в каждом из которых развернута собственная корпоративная сеть с уникальной инфраструктурой. В этом случае для проведения аудита можно приобрести только один продукт и поочередно интегрировать в каждую из существующих сетей, проводить ее аудит, после чего переходить к следующей. Такой "круговорот" обеспечивает регулярный аудит контент-безопасности, что является необходимым условием поддержания системы защиты в актуальном состоянии.