21.07.2008

Готовы ли мы к использованию Интернет?

Статья по материалам Aladdin, Аналитический банковский журнал №8

По данным Microsoft, озвученным в докладе Виртона Серта: из 600 млн. компьютеров, подключенных к Интернет, 100-150 млн. уже являются частью бот-сетей, управляемых извне без ведома их владельцев. То, что на сегодня spyware является основной угрозой для компьютеров корпоративных сетей и частных пользователей, не вызывает никаких сомнений. Это аксиома. Также не вызывает сомнений утверждение, что основным источником заражения является Web-браузинг. С помощью инструментальных средств компания Aladdin провела исследование качества потребляемого трафика среди различных организаций. В том числе – банковских. К сожалению, несмотря на обилие современных технологий для обеспечения защиты информационных ресурсов, большинство бизнес-структур по-прежнему остаются в зоне риска, источником которого является глобальная сеть Интернет.

Отчёт «Использование Интернет: уровень выявленных угроз и текущая эффективность средств и методов защиты. Aladdin - 2008» содержит результаты инспектирования потребляемого трафика самыми различными коммерческими структурами, различающимися не только отраслью или численностью штата, но и архитектурой сети, а также системой обеспечения информационной безопасности. Не претендуя на истину в последней инстанции, эти данные, тем не менее,позволили выявить одну общую для всех тенденцию. Независимо от технологий, систем и средств защиты, используемых в анализируемых сетях банков, ИТ-компаний, операторов связи – их входящий Интернет-трафик далек от идеала, с точки зрения чистоты. В каждом из случаев в ходе тестирования, мы столкнулись с той или иной угрозой (вредоносный код, наличие уязвимостей, потенциально опасные приложения и др.), проникающей вместе с трафиком, имеющим полезную нагрузку, в корпоративные сети компаний. Задайте себе вопрос: какую воду Вы предпочли бы пить: ту, что идёт из-под крана или профильтрованную, очищенную от возможных нечистот? Аналогичный вопрос стоит задать себе в контексте потребляемого Вашей компанией трафика.

Используемый инструментарий для анализа Web-трафика

При помощи уникального продукта компании Aladdin - eSafe Web Threat Analyzer (WTA), представляющего собой инструментальное средство анализа Интернет-трафика – был проведён аудит контент-безопасности ряда организаций, включая банковские структуры (всего 62). В течение 1 недели в каждой тестируемой организации производилось 100% инспектирование на уровне шлюза входящего и исходящего Интернет-трафика (http, ftp) на наличие вредоносного кода, нарушения принятых в организациях политик безопасности, атаки и другие инциденты в области информационной безопасности (см. рис 1.). Основные цели аудита:

  • Проверка и оценка уровня информационной безопасности (ИБ) организации при использовании ресурсов сети Интернет.
  • Оценка эффективности используемых средств защиты, оценка обнаруженных уязвимостей и выдача рекомендаций по их устранению.

Результаты исследований

Результаты исследований показали: абсолютно во всех тестируемых компаниях выявлено наличие основных типов Web-угроз, начиная от вредоносного контента и заканчивая скрытыми каналами утечки, используемыми для несанкционированного удаленного управления компьютером (см. таблицу №1). Заметим, что разница в третьем пункте таблицы, между банками и остальными организациями, принявшими участие в исследовании, объясняется тем, что в банках внутренние сегменты сети могут не иметь выхода в глобальную сеть. Требует небольших пояснений и пункт №6: нецеловое использование Интернет предполагает посещение сотрудниками компаний непрофильных сайтов (чаще развлекательного характера, спорт, видео, аудио и т.п.), а так же использование неразрешенных политиками безопасности банка приложений (например, icq).

В целом же, в силу специфики отрасли, а также благодаря активному использованию сети Интернет для предоставления сервисов на основе электронного банкинга, кредитно-финансовые организации по-прежнему обладают наиболее защищенной сетевой инфраструктурой. Однако и в банковских сетях наличие активного вредоносного кода немногим меньше, чем в других анализируемых компаниях, а ведь именно оно является инструментом для проведения большинства заказных целенаправленных атак по краже конфиденциальных данных.

Уровень выявленных угроз

Исходя из выявленных в ходе тестирования Web-угроз, характерных для всех без исключения, исследуемых компаний, можно сделать два ключевых вывода: относительно уровня угроз по степени подверженности им компаний и степени эффективности применяемых в организациях средств защиты.

Очевидно, что уровень успешно проведенных атак, идентифицированных eSafe WTA, а также уровень использования для этой и других целей скрытых каналов утечки информации - очень высоки и находятся в основной зоне риска для отечественных компаний (см. Рис.№2).

Зафиксированный уровень вредоносного контента, свободно проникающего через корпоративную систему защиты, тесно связан с посещением опасных и запрещенных сайтов, а также использованием неавторизованных приложений. Стоит пояснить, что передача и получение опасных файлов (пересылка по почте, передача на мобильных носителях) находится на наиболее низком уровне вследствие того, что с этой угрозой уже научились бороться: основной же фокус должен быть направлен в сторону Web-угроз. Из этого следует, что наименьшее внимание компании, принявшие участие в исследовании Aladdin, уделяют организации безопасной работы в сети Интернет (см. Рис.№3), в частности, методам контентной фильтрации, что самым плачевным образом отражается на общей эффективности технических средств защиты и выполнением сотрудниками установленных политик информационной безопасности (в частности, использованию потенциально опасных приложений, съемных носителей и др.)

Что происходит и почему?

Главными источниками проникновения spyware в сети компаний являются уязвимости Web-приложений. Результаты исследований, показанные на Рис.№4 свидетельствуют, что 93% сайтов российского сегмента Интернета имеют уязвимости средней степени риска, но больше половины – а именно 63% – классифицируются как имеющие критические для информационной безопасности уязвимости. Кроме того, статистика свидетельствует, что доля зараженного вредоносным кодом спама более чем в два раза (253%) превышает объем спама, лишенного вредоносной нагрузки (100%).

Благодаря новым возможностям, предоставляемым глобальной сетью Интернет, и в особенности повсеместному распространению социальных сетей, все большее количество не сведущих в вопросах информационной безопасности людей регулярно обращаются к Интернет-ресурсам и становятся жертвами все более изощренных атак, целью которых является как похищение конфиденциальных и персональных данных, так и "зомбирование" компьютеров с целью последующего использования их ресурсов злоумышленниками. Согласно исследованиям специалистов Aladdin, к концу 2007 года общий объём программ-шпионов в сети Интернет достиг показателя в 1 млн.

Причины изменения угроз

Очевидно, что произошла смена парадигмы угроз, которая в итоге привела к появлению ряда нелегальных типов Web-бизнеса. К таким видам деятельности сегодня можно отнести:

  • проведение распределенных адресных DDoS атак на заказанные объекты;
  • массовые электронные рассылки рекламных объявлений (спама);
  • кража денег с банковских счетов (продажа банковских account'ов);
  • продажа ПО, использующего уязвимости, и инструментария для организации Web-атак.

Одной из самых опасных тенденций сегодняшнего дня специалисты в области информационной безопасности считают постоянное удешевление стоимости подобных «заказов». Не смотря на то, что для реализации такого типа атак требуются мощные, распределенные вычислительные ресурсы, цена на разовую атаку сегодня уже менее $ 100.

«Человеческий фактор» или почему сложно бороться с бот-сетями?

Эффективная работа бот-сети определяется тремя составляющими, из которых она, условно, состоит:

  • программа загрузчик, задачей которой является распространение собственного кода и кода программы бота, собственно выполняющей полезную нагрузку;
  • программа бот, выполняющая полезную нагрузку (сбор и передача конфиденциальной информации, рассылка спама, участие в DDos-атаке и т. д.);
  • управляющий ботнет, собирающий информацию от ботов и рассылающий обновления и, при необходимости, новые конфигурационные файлы “перенацеливающие” боты.

Все перечисленные составляющие написаны, как правило, на достаточно высоком уровне, имеют в арсенале средства подавления антивирусных продуктов, персональных межсетевых экранов и бороться с ними в большинстве случаев совсем непросто.

Пресловутый «человеческий фактор» в данном случае вновь определяет степень защищенности всей сетевой инфраструктуры. Качество организации атак , с использованием, так называемых "платформ нападения", объединяющих трояна, бот-программу, червя, спам-машину и организатора DoS-атак (например, Storm) вышло на профессиональный уровень. Очевидно, что конечному пользователю бороться с такими угрозами, мягко говоря, не с руки.

Персональные решения для контентной фильтрации обладают рядом недостатков и уже проигрывают в борьбе с вредоносным кодом, поступающим через Web и почту. Они низкопроизводительны, редко обновляются (ответственность за это лежит на пользователе, что не гарантирует оперативность апдейтов) и задают слишком много вопросов. ИТ-квалификация среднестатистического пользователя с точки зрения настройки подобных систем опять же в большинстве случаев оставляет желать лучшего. «Шпионское» ПО проникает на рабочие станции пользователей в ходе посещения Web-ресурсов, получения писем от «доверенных» адресатов, загрузки данных со съемных носителей и ещё с помощью множества других менее очевидных способов. Должен ли за это нести ответственность сам пользователь? Нет, это работа профессионалов.

Основные выводы:

  • Обеспечивать защиту контента на уровне конечных устройств – это утопия.
  • Перекладывать ответственность на пользователей нельзя.
  • Без жесткого инструментального контроля за действиями пользователей политики информационной безопасности ими выполняться не будут.
  • Проблему очистки Интернет-трафика необходимо решать силами профессионалов, на уровне корпоративного шлюза или сетей провайдера.
  • Для минимизации риска утечки информации необходимо усилить контроль доступа пользователей, особенно при удалённой работе.

Новая парадигма защиты – новые технологии

Поскольку модель угроз изменилась, соответственно ей должна измениться и парадигма защиты. От объектной защиты необходимо переходить к обеспечению безопасности информационного взаимодействия. Основные технологии, лежащие в основе реализации новой парадигмы защиты сводятся к двум взаимосвязанным аспектам: защита от внутренних угроз, в частности, от инсайдеров, и защита от внешнего злонамеренного воздействия, основной проблемой в области являются современные Web-угрозы.

Таким образом, мы выделяем два направления для усиления защиты против перманентно растущего уровня угроз информационной безопасности. К ним относятся:

  • двухфакторная аутентификация пользователей при удаленном доступе пользователей и мобильной работе с информационными ресурсами организации;
  • контентная фильтрация и очистка входящего и исходящего трафика, что предполагает:
    • контроль 100% Web-трафика (HTTP, FTP, HTTPS) на шлюзе в Интернет;
    • блокирование вредоносного и нежелательного контента;
    • "вырезание" агрессивного и подозрительного контента при посещении опасных и "заряженных" вредоносным кодом Web-сайтов;
    • блокирование скрытых (неконтролируемых) каналов утечки (IM, ICQ, Skype и др. опасных приложений);
    • блокирование спама на шлюзе ("грязного" спама с ссылками на опасные сайты);
    • блокирование доступа сотрудников к социальным сетям (Одноклассники, Контакт и др.);
    • мониторинг деятельности пользователей (нарушений политик ИБ) и инструментальный аудит эффективности используемых средств ИБ.

Таким образом, концепция Aladdin, одного из технологических лидеров российского рынка ИБ, базируется на своего рода Инь & Ян информационной безопасности, и отвечает на два первостепенных вопроса: «Кто ты и как ты можешь доказать, что ты - это ты?» и «Какой трафик потребляется в твоей компании?».