Какой быть идеальной системе защиты компьютера?
Все мы стремимся к идеалу идеалу в любви, в жизни, в работе, в бытовой технике, в средствах передвижения... Не стала исключением и отрасль высоких технологий, а точнее, область информационной безопасности, которой и посвящен этот номер журнала. Но оставим пока в стороне различные средства защиты сетевого уровня (межсетевые экраны, системы предотвращения атак, контроля содержимого, построения VPN и т.п.) и поговорим о том, что касается каждого из нас, о системе защиты компьютера. Именно она является последней линией обороны для угроз, преодолевших по разным причинам все остальные оборонительные рубежи. Нам всем хочется, чтобы эта последняя преграда отразила все то многообразие угроз, которым подвержены современные компьютеры, хочется, чтобы она была идеальной.
Praemonitus praemunitus
ынесенная в заголовок данного раздела латинская поговорка по-русски звучит так: «Кто предупрежден, тот вооружен». Но для того, чтобы превратить ваш персональный компьютер в своего рода персональный Форт-Нокс1, защищенный от атак хакеров, от червей, троянских коней и других вредоносных программ, надо сначала понять, что может ему грозить. Ведь компьютер не только игровая приставка, на нем хранятся все документы, начиная от конфиденциальной переписки с клиентами, партнерами и контрагентами и заканчивая финансовой документацией и планами развития компании. Потерять эти документы не самое страшное ведь любой здравомыслящий пользователь использует систему резервного копирования. Гораздо опаснее утечка этой информации, которая, попав в руки конкурентов или каких-либо злоумышленников, может очень сильно повредить бизнесу, ибо лишит его конкурентных преимуществ, что в современных условиях равносильно потере части доходов. Статистика свидетельствует о том, что утеря всего лишь 20% критичной для бизнеса информации приводит к банкротству компании в 60% случаев.
Весьма неприятно заражение компьютера каким-либо вирусом или червем, коими изобилует Интернет. Это может повлечь за собой начало эпидемии, которая, вырвавшись за пределы одной компании, обязательно навредит ее репутации. Менее вероятно, но не менее опасно наступление уголовной ответственности за утечку защищаемой законом информации (например, банковской тайны) или за нарушение правил эксплуатации средств вычислительной техники, «повлекшее за собой уничтожение, блокирование или модификацию охраняемой законом информации» (ст. 274 УК РФ).
Можно ли защититься от описанных выше напастей? Безусловно. Несанкционированный доступ к вашему компьютеру предотвратит персональный межсетевой экран (Personal Firewall). От вредоносных программ защитит антивирус, а утечку информации блокирует система контроля доступа к файлам. А теперь возьмем в руки калькулятор и подсчитаем итоговую цену: персональный экран около 40 долл. (автономный вариант без централизованного управления), антивирус примерно столько же, система защиты файлов около 100 долл. Это число надо умножить на количество защищаемых компьютеров. И не спешите выписывать счет, а задумайтесь над тем, справятся ли ваши ИТ-специалисты с управлением этим многообразием не связанных между собой продуктов. По каждому из них придется пройти курс обучения. За этим необходимо будет последовательное внедрение (а это время, также стоящее денег) трех независимых друг от друга систем на каждый компьютер, требующий защиты. В итоге совокупная стоимость владения таким защитным комплексом увеличится в два-три раза, при том, что ряд угроз останется за пределами внимания названных систем защиты переполнение буфера, перехватчики клавиатуры, использование уязвимостей и т.д.
Есть ли выход из сложившейся ситуации? Да, есть это интегрированные системы защиты, позволяющие предотвратить как вышеуказанные угрозы, так и многие другие. Такие решения становятся все более востребованными на рынке, являясь приближением к идеалу.
Один в поле не воин?
ачинается все, конечно, с антивируса. По статистике, 99% компаний используют в своих сетях этот тип защитных средств. А значит, он должен присутствовать в идеальной системе обеспечения компьютерной безопасности. Однако традиционные антивирусы не могут защитить от современных червей, троянцев и других типов вредоносных программ. Связано это с неспособностью так называемого сигнатурного подхода, реализованного в современных антивирусных системах, справляться с новыми угрозами. Поэтому первым компонентом идеальной системы защиты должен быть механизм контроля поведения, который следит за всеми действиями на защищаемом узле и своевременно обнаруживает все отклонения от нормального поведения. Преимущество данного метода заключается в его независимости от подсистемы обновления сигнатур, которая обязательно должна присутствовать и регулярно задействоваться при традиционном подходе.
Следующей подсистемой является так называемая песочница (термин взят из модели безопасности языка Java), которая контролирует все, что происходит с конкретным приложением: обращение к сетевым ресурсам, доступ к файлам и реестру и т.д. Эти действия проходят через специальный фильтр, который принимает решение об их правомочности. С помощью песочницы можно не только создать так называемую замкнутую программную среду, в которой могут выполняться только заданные администратором приложения, но и ограничить права этих приложений, то есть одним разрешить изменения реестра, другим только чтение, а третьим блокировать любой доступ к нему.
Расширением песочницы служит механизм контроля доступа к файлам и периферийным устройствам, позволяющий указать конкретные права доступа для выбранных приложений (чтение, модификация, удаление, запуск и т.д.). Это позволяет не только контролировать, кто и к какому файлу получал доступ, но и устранить утечку конфиденциальной информации через различные подключаемые устройства CD-R, дискеты, flash-карты, USB-диски, карты памяти и PCMCIA и т.д.
Наличие песочницы делает ненужным использование персонального межсетевого экрана, рынок которых активно развивался до недавнего времени. Зачем ограничивать взаимодействие узла с сетью, если можно предотвратить все несанкционированные действия с помощью механизма контроля приложений? Однако, указав в настройках персонального МСЭ список доверенных IP-адресов, невозможно полностью защититься от проникновения на защищаемый узел. Во-первых, злоумышленник может сфальсифицировать свои адреса, поменяв их на разрешенные; во-вторых, он сначала может взломать доверенный узел, а потом попытаться осуществить несанкционированный доступ с уже скомпрометированной площадки. В обоих случаях персональный МСЭ будет неэффективным, в отличие от песочницы.
Однако базовый для персональных МСЭ механизм контроль сетевого трафика всегда должен присутствовать в идеальной системе защиты, так как он позволяет блокировать такой тип угроз, как атаки «отказ в обслуживании». В частности, контроль числа соединений с защищаемым узлом и исходящего от него трафика позволяет не только отразить все DoS-атаки, но и сдержать их распространение, если защищаемый узел каким-либо образом был скомпрометирован.
На стыке песочницы и механизма контроля поведения находится подсистема обнаружения и предотвращения атак, которая идентифицирует и блокирует все то, что осталось незамеченным другими защитными мерами. Это дает возможность отразить очень широкий спектр нападений: сканирование портов, переполнение буфера, троянцы и черви, DoS-атаки и др. Кроме того, отказ от сигнатур в пользу контроля аномалий позволяет защитить компьютер от неизвестных атак, сигнатуры для которых пока не написаны и отсутствуют в базах традиционных средств защиты.
Все описанные компоненты предназначены для локальной защиты компьютера. Но время полностью автономных компьютеров уже прошло, а сетевые коммуникации переживают небывалый подъем. Следовательно, необходимо подумать и о сетевом взаимодействии, и эту задачу решает технология построения VPN. Учитывая особенности законодательства в разных странах мира, этот механизм может и не быть встроенным в систему персональной компьютерной безопасности, а встраиваться в ОС или подключаться как дополнительный модуль, что позволит обеспечить высокий уровень защиты трафика при соблюдении всех законодательных ограничений.
Отдельной задачей является инвентаризация ПО, установленного на защищаемом компьютере. Хотя эта задача и не относится к разряду защитных, но без ее решения очень сложно обеспечить высокий уровень защищенности компьютера. Без этого мы не будем знать, какие программы установлены, какие из них и как часто используются, установлены ли последние обновления и «заплаты» и т.д. Ведь всем известно, что многие пользователи самостоятельно загружают из Интернета или устанавливают с компакт-дисков программы, которые могут содержать различные скрытые возможности, нарушающие политику безопасности компании: рекламное и шпионское ПО (adware/spyware), троянцы и пр.
Последней по счету, но не по степени важности следует назвать подсистему интеграции с корпоративными средствами защиты, которые в совокупности составляют единое целое и позволяют построить практически непреодолимую линию обороны.
Управляй и властвуй
акими бы эффективными ни были методы защиты, идеальной систему делают механизмы ее управления, которые позволяют упростить и облегчить:
- анализ миллионов сигналов тревоги, поступающих от сотен и тысяч защитных агентов, разбросанных по корпоративной сети;
- распространение политики безопасности на все защитные агенты;
- дистанционное обновление всех защитных агентов;
- установку защитных агентов на новые компьютеры без участия их владельцев;
- интеграцию защитных агентов с другими системами обеспечения информационной безопасности, установленными в корпоративной сети.
Хотелось бы отдельно упомянуть еще один механизм, которым должна обладать идеальная система защиты, механизм создания политик безопасности. Представьте себе, что у вас есть несколько сотен приложений (только на моем компьютере их свыше 70), с десяток платформ (Windows 2000 Pro и Server, Windows XP, Windows 2003, Solaris, Linux и т.д.), несколько десятков ролей пользователей и т.д. Пересечение этих множеств дает практически неограниченное количество возможных комбинаций защитных настроек. Учесть их все, не пропустив ничего важного, задача, требующая внимания, времени и глубокого знания всех особенностей используемого ПО. Поэтому в идеальной системе защиты должен быть реализован автоматизированный механизм так называемого профилирования, который позволит просканировать все защищаемые узлы, идентифицировать используемое программное обеспечение и автоматически построить политику безопасности, которую в лучшем случае даже не потребуется модифицировать.
Заключение
пециалисты по информационной безопасности прекрасно знают, что стопроцентной защиты не бывает, но можно попытаться приблизиться к этому, используя идеальную систему защиты персонального компьютера, которая позволяет перейти от набора разрозненных и несвязанных между собой продуктов, ориентированных на отражение одной-двух угроз, к единому защитному решению. Более того, используемые механизмы предотвращения атак позволяют эффективно справляться даже с новыми и пока неизвестными другим средствам безопасности атаками. В отчете компании Gartner «Gartner Magic Quadrant for Intrusion Detection Systems, 2H03» так написано об одной из систем, приближающейся по своим свойствам к идеалу: «Она предлагает гораздо более эффективную защиту, чем традиционные хостовые системы обнаружения атак. На волне эпидемии червя MSBlast многие предприятия искали защиту для своих компьютеров. Система имярек одна из немногих, позволяющих решить эту задачу».