Подобно настоящим живым организмам, сетевые черви постоянно видоизменяются и эволюционируют. Поэтому, несмотря на все усилия, направляемые на борьбу с ними, маловероятно, что когда-нибудь они будут уничтожены полностью

Вспомните, что творилось в сетевом сообществе прошлым летом. Казалось, что непрерывным сетевым атакам не придет конец никогда. Появлялись все новые сетевые черви и прочие вредоносные программы, работа корпоративных ИТ-систем постоянно находилась под угрозой. Многие компании в этой ситуации оказались беспомощными и барахтались в трясине незакрытых уязвимостей и мутном потоке почтовых сообщений, которые беспечно открывались их собственными сотрудниками.

Нашествие сетевых червей принесло с собой не только лишние траты сил и нервов. Многие организации, начиная от ВМФ США и заканчивая CSX, одной из крупнейших транспортных компаний мира, оказались временно не в состоянии продолжать свою работу.

Потом ситуация несколько успокоилась, частота появления новых червей снизилась. Однако это вовсе не означает, что опасность прошла стороной. Вирусологи предупреждают: опасность остается, даже усиливается.

На первый взгляд кажется, что при встрече с сетевыми червями остается только признать свое поражение и развести руками. Но это — неверный подход. Столкнувшись с червями, вам нужно выстоять в борьбе с ними, поэтому необходимо отслеживать новые технологии и разработки в области противодействия вредоносным программам. Лучшая подготовка к защите от них — постоянное обновление антивирусного ПО в сочетании с установкой новых заплаток. Все это нужно делать непрерывно и постоянно, а вопросам обеспечения информационной безопасности следует уделять повышенное внимание не на бумаге, а на деле.

Черви атакуют

Они делают свое черное дело быстро, и с каждым разом у них это получается все быстрее. Показательно, что во время одной из тестовых сессий в октябре прошлого года незащищенный сервер в Лаборатории передовых сетевых вычислений Гавайского университета был поражен вирусом Nachi менее чем за 12 минут. Хуже того, судя по развитию событий, фиксируемых с помощью программы Deep Sight компании Symantec, наблюдается четкая тенденция роста количества попыток вторжений. Не является ли все это предвестником скорого появления новых червей?

Тенденции, которые выявляет Deep Sight, действительно настораживают. Эксперты согласны с тем, что ранее ничего подобного не наблюдалось. «Это выглядит все хуже и хуже, — прямо заявляет Вэй Лу, технический директор компании Permeo Technologies. — Теперь это похоже на соревнование между авторами червей».

«Появление действительно опасных червей становится все более частым явлением, — отмечает Карти Кастальди, вице-президент компании Mazu Networks. — Приемы, используемые их авторами, становятся все изощреннее». Такая усиливающаяся изворотливость приводит к тому, что черви начинают применять новые методы распространения, а эффективность их вредительских действий повышается.

Иэн Хэмерофф, специалист по стратегиям построения информационной защиты из компании Computer Associates, согласен с этим мнением. «Новые типы червей, появившиеся недавно, опасны и представляют собой реально существующую угрозу, — сказал он. — То, что пока они оказывались не такими уж деструктивными по отношению к данным, — не более чем временное и случайное явление».

Как и другие эксперты, Хэмерофф обеспокоен тем, что создатели червей могут начать комбинировать методы быстрого распространения с деструктивными действиями. Черви, например, могут начать передавать информацию частного и служебного характера во внешний мир, модифицировать или даже уничтожать ее. Хэмерофф заметил, что «время между раскрытием информации об уязвимости продуктов их создателями и появлением вредоносных программ, использующих эти бреши, постоянно уменьшается». В полном соответствии с законом Мэрфи, в будущем от авторов червей стоит ждать только еще более быстрых и изощренных действий.

Планируем строительство крепости

К сожалению, простых способов удержать современных вандалов и создаваемые ими творения в рамках законности еще не придумано. Поэтому лучше всего — продолжать будничную работу по защите информации. Но делать это нужно с удвоенной бдительностью. Необходимо регулярно выявлять уязвимости, устанавливать обновления программ и программные заплаты.

Конечно, это процесс трудоемкий. «Постоянная установка заплаток требует наличия большого количества людских ресурсов», — заявляет Кен Тыминский, глава службы информационной безопасности компании Prudential Financial. При этом, по его словам, в данной компании проводится «весьма агрессивная политика установки заплат».

«Когда обнаруживается какая-либо уязвимость, все работы на время прекращаются и начинается процесс установки программных заплат для всех продуктов, бреши в которых должны быть исправлены, — рассказывает Тыминский. — Решение об этом было принято сознательно. Мы считаем, что должны быть на шаг впереди возможных неприятностей, поэтому устанавливаем заплаты сразу же, как только информация о них становится доступной». С точки зрения временных затрат постоянная установка заплат обходится недешево. Однако Тыминский считает проведение в жизнь такой политики абсолютно необходимой мерой защиты, учитывая все более деструктивный характер поведения сетевых червей.

В Prudential Financial, по его словам, внедрена не простая система регулярной установки заплат, а целая стратегия, усиливающая положение компании в войне против сетевых червей. Такой же стратегии, с моей точки зрения, должны придерживаться и другие компании. Заметьте, что в Prudential Financial заботятся об установке заплат, только если уязвимость касается используемых ими программ. Установка заплаток на программное обеспечение, которое вы не используете, может привести к нестабильности и проблемам с другими связанными компонентами, так что лучше ставить заплаты только на то программное обеспечение, которое действительно вам нужно для работы.

Перед тем как проводить повсеместную установку заплат, выдерживается некоторое время на проведение их тестирования. «У нас есть нечто вроде сита», — поясняет Тыминский, добавляя, что его сотрудники моделировали сценарии развития различных типов атак. Одна из преследовавшихся при этом целей — определить, насколько быстро требуется устанавливать обновления на серверы.

Бастион за шесть шагов

Несомненно, все те рекомендации, о которых шла речь выше, выглядят как призывы к постоянной монотонной работе, и, за некоторым исключением, это действительно так. Но эта работа в смысле необходимости сравнима с запиранием входных дверей на ночь или хранением важных документов в сейфе.

Хороший уровень информационной безопасности, особенно в условиях постоянной угрозы нападения со стороны сетевых червей и вирусов, означает проведение инструктажа сотрудников компании, обеспечение физической безопасности, а также внесение ряда необходимых изменений в общую политику ведения дел компании. Только в этом случае технологии обеспечения информационной безопасности дадут максимальный эффект от их применения.

По словам Хэмероффа, представляющего точку зрения CA, для того чтобы ваша компания не имела проблем с сетевыми червями, необходимо сделать всего лишь шесть шагов, затрагивающих, впрочем, как технические, так и организационные вопросы.

Во-первых, необходимо собрать информацию об уязвимостях. Ее можно получать из разных источников, от официальных публикаций производителей об уязвимостях, обнаруженных в их продуктах, до простой болтовни в форумах на хакерских Web-сайтах. С помощью специализированных программных средств мониторинга уязвимостей эту информацию можно получать уже в обработанном виде.

Во-вторых, следует проверить достоверность имеющейся информации. Всегда существует риск столкнуться с ложными сведениями, касающимися действий сетевых червей и различных прорех в информационной безопасности. Поэтому до тех пор, пока вы сами не убедились в достоверности этих данных, нет нужды предпринимать активные действия. Конечно, не стоит затягивать с проверкой, так как здесь вы тоже рискуете — сверьтесь с надежным источником информации, например с разработчиком продукта. Это поможет в борьбе с реально существующими угрозами.

В-третьих, у вас должен быть план действий по устранению уязвимостей. Как поясняет Хэмерофф, это может означать установку соответствующих обновлений, изменение настроек аппаратного и программного обеспечения, возможно, внесение изменений в политику обеспечения безопасности.

В-четвертых, необходимо провести инвентаризацию корпоративной ИТ-системы — вы должны точно знать, что у вас есть в наличии, прежде чем устанавливать заплаты. К тому же в будущем это поможет вам определить, где именно находятся уязвимости, и своевременно их устранить.

«Пятый шаг заключается в проведении анализа связей между активами вашей компании и информацией об уязвимостях», — заявляет Хэмерофф. По его словам, здесь вам помогут специализированные программные пакеты.

И наконец, на шестом шаге необходимо непосредственно устранить проблемы, а затем проверить, что вы сделали это корректно.

Что дальше?

Своевременная установка программных заплат, безусловно, очень важна. Однако несомненно и то, что это — не панацея в борьбе с сетевыми червями. Следует отметить, что счет времени между обнаружением новой уязвимости и появлением вредоносных программ, активно использующих эти бреши, сейчас идет на сутки и обычно занимает два-три дня. Поэтому у крупных компаний, даже применяющих самую агрессивную политику информационной безопасности, может просто не хватить времени на установку всех необходимых заплат.

Компаниям, использующим межсетевые экраны, не стоит почивать на лаврах, считая собственную информационную защиту безупречной. Межсетевые экраны всего лишь проверяют информационные пакеты при их попадании в корпоративную сеть, поэтому они имеют некоторые ограничения. Конечно, они помогают снизить вероятность причинения ущерба, но все атаки (в том числе большинства типов сетевых червей) остановить не в состоянии.

«Интеллектуальный потенциал подобных решений ограничен», — считает Лу. Он полагает, что настоящее решение проблемы борьбы с червями лежит в области анализа поведения приложений. «Заметьте, что обычно в компаниях для работы используется не такое уж большое количество программ, — поясняет он. — Поэтому достаточно легко провести замеры и понять, какое их поведение следует считать нестандартным. Выход за рамки обычных показателей работы и будет являться признаком активности сетевого червя».

С ним согласен Кастальди, который считает, что в будущем искусство ведения сетевых войн с червями будет включать построение статистических моделей поведения приложений. «При обнаружении необычного поведения программы этот факт можно использовать для распознания червя и направления его движения», — поясняет он. Даже простое наблюдение за приложением может сказать многое о том, что происходит в вашей сети.

Все говорит о том, что сетевых червей в 2004 году будет еще больше, а их деструктивность — выше того уровня, что мы наблюдали ранее. Большинство экспертов в области безопасности склоняются к тому, что черви злополучного августа прошлого года были всего лишь пробным шаром — своеобразной первой попыткой понять, что может быть предпринято против таких атак.

Следующим шагом в этой необъявленной войне является создание сетевых червей, направленных на кражу идентификационных сведений, ведение промышленного шпионажа, воровство финансовой информации и других закрытых данных.

Представьте только тот хаос, который может возникнуть в случае, если червь будет всего лишь производить поиск в базе данных и заменять во всех записях поля, обозначенного как SSN (так называемый Social Security Number, номер социального страхования, основной идентификатор личности для любого постоянно проживающего в США. — Прим. ред.), одну цифру на случайно выбранную.

Подобно настоящим живым организмам, сетевые черви постоянно видоизменяются и эволюционируют. Поэтому, несмотря на все усилия, направляемые на борьбу с ними, маловероятно, что когда-нибудь они будут уничтожены полностью.

Нет никаких сомнений, что корпоративные пользователи ограничатся борьбой с угрозами по мере их появления, вместо того чтобы заниматься тотальной борьбой с ними. Однако при использовании «правильных» инструментов (и, заметим, «правильных» подходов) эту опасность можно контролировать.

Согласитесь, что держать этот вопрос под контролем сейчас — это лучше, чем подсчитывать ущерб от неконтролируемого распространения сетевых червей в будущем. Свидетелями подобного неприятного развития событий мы уже были.


Семь правил

Опасного заражения червями можно избежать, соблюдая несколько простых профилактических правил. Конечно, в полной безопасности вы вряд ли себя почувствуете, но тем не менее следование им поможет вам приблизиться к этому состоянию. Причем не останавливайтесь на однократном выполнении соответствующих мероприятий; ключевым фактором успеха является постоянная бдительность.

  • Никогда не подключайте к Internet компьютер, на котором нет современной системы безопасности.
  • Всегда отделяйте свою корпоративную сеть от Internet межсетевым экраном. Активно применяйте эти средства для разграничения отдельных частей своей сети, а там, где это возможно, устанавливайте программные межсетевые экраны на каждой машине.
  • Обучайте пользователей. Многие грамотно построенные сети пострадали именно из-за беспечности пользователей, которые открывали инфицированные электронные письма, посещали зараженные Web-сайты или подключали к корпоративной сети пораженные вирусами устройства, принесенные извне.
  • Регулярно обновляйте ПО своих компьютеров. Да, это лишние хлопоты, и помимо непосредственно обновления вам придется изыскивать время на тестирование. Но все же обновлять программы проще и дешевле, чем бороться с проникнувшими в систему червями.
  • Установите на каждой машине современные антивирусные пакеты. Антивирусные программы помогают защититься и от червей.
  • Создавайте, укрепляйте и проверяйте политики безопасности. Определите правила, которые должны выполняться всеми пользователями. Следите за четкостью соблюдения правил и оказывайте сотрудникам квалифицированную помощь.
  • Почаще проверяйте корпоративную сеть на наличие уязвимых мест. Используйте сканеры, которые можно скачать из Internet. Если вам приходится обслуживать большую сеть, вкладывайте деньги в механизмы автоматического поиска уязвимых мест. Новые уязвимые места и черви, пытающиеся проникнуть через них, появляются постоянно. Не зная об их существовании, вы не сможете обезопасить свои компьютеры.

Проверьте вашу операционную систему

Любой, кто имел дело с обновлением Windows, хорошо знает, как часто обнаруживают в этой ОС новые уязвимые места. Некоторые из них открывают хакерам доступ к системе, некоторые просто повышают уязвимость при DoS-атаках. Обычно в Microsoft в срочном порядке разрабатывают заплаты, которые закрывают обнаруженные бреши. Но давайте будем честными до конца. В проблемах пользователей виновата не только корпорация из Редмонда, часть вины лежит и на нас самих.

Многие уязвимости возникают из-за плохого обслуживания информационных систем, халатности системных администраторов, неправильных или неудачно выбранных настроек. Подобные проблемы характерны не только для Windows, но и для Unix, Linux и других операционных систем. Кроме того, уязвимы и приложения, работающие под управлением этих ОС.

Ниже приведен список уязвимых компонентов некоторых операционных систем. Конечно, он далеко не полон. Но все же этот список позволяет оценить, насколько ваши системы потенциально уязвимы, и при необходимости принять соответствующие меры.

Microsoft Windows

Data Access Components. Уязвимость связана с доступом к базам данных Microsoft. Можно установить заплату либо вообще отключить эти компоненты. Проблема присутствует во всех версиях Windows, кроме Windows Server 2003.

Internet Information Server. Во всех версиях IIS, кроме самых последних, обнаружены дыры, и соответственно для них требуется установка заплат. IIS входит во многие версии Windows (кроме новейших), часто устанавливается по умолчанию. Если вы не используете IIS, просто удалите его.

Remote Access. До недавнего времени в Windows по умолчанию разрешались несколько различных методов удаленного доступа. Для того чтобы закрыть обнаруженные бреши, необходимо отключить этот компонент вручную и установить все необходимые заплаты.

Windows Scripting Host. В новых версиях Windows сервер сценариев устанавливается по умолчанию. Ряд программ использует сценарии, поэтому, хотя отключение или удаление Windows Scripting Host возможно, это создаст определенные трудности. Проблема решается установкой обновленной версии.

Novell NetWare

NetWare Enterprise Server. Если вы используете NetWare 5.1 не установив заплат, злоумышленник может удаленно инициировать выполнение команд на вашем компьютере, используя специально подобранные недействующие URL-адреса.

NetWare NFS. Взломщики могут получить права администратора (root) за счет ошибок, связанных с обработкой флага «Только для чтения» (read only). Обновите NFS либо отключите совсем, если не используете.

Remote Web Administration Utility. Взломщики могут вызвать ошибки, связанные с переполнением буфера. Обновите программу либо удалите ее, если не используете.

Unix/Linux

Apache. Web-сервер Apache входит практически во все версии Unix и Linux, часто устанавливается по умолчанию. Для обеспечения безопасности старые версии требуют установки заплат. Существуют версии Apache и для других операционных систем, включая Windows и NetWare, с ними могут возникать аналогичные проблемы.

BIND. Этот DNS-сервер входит во многие версии Unix и Linux. В старых версиях был обнаружен ряд уязвимых мест. Следует использовать его только на тех серверах, где он необходим, и только последнюю версию.

Службы RPC (Remote Procedure Call). Присутствуют в большинстве версий Unix и Linux, часто устанавливаются по умолчанию. Отключите их и не включайте без крайней необходимости. Если все же включаете их, установите все заплаты и обновления.

Sendmail. В старых версиях могли возникать ошибки, связанные с переполнением буфера. Обновите Sendmail.

Поделитесь материалом с коллегами и друзьями