Mydoom, Nachi, Klez, Lovesan, Sobig и BugBear — вот лишь неполный список самых распространенных червей и вирусов, которые в последнее время поражали корпоративные информационные системы. У них есть одна общая черта: соответствующие заплаты были созданы до того, как вирусы успели нанести серьезный вред. Так почему же до сих пор эти монстры продолжают сеять страх и разрушения?

Сегодня процесс установки заплат во многих компаниях оставляет желать лучшего. Это объясняется тем, что заплат выпускается очень много, а времени, чтобы их установить, всегда не хватает. Кроме того, с каждым разом вредоносные программы, использующие тот или иной обнаруженный дефект программного обеспечения, появляются все быстрее. Blaster (он же Lovesan), к примеру, появился в Сети через 26 дней после того, как Microsoft объявила об изъянах в своих программах, которые в итоге и стали побудительным мотивом для написания этого вируса.

Компании совершают серьезную ошибку, оставляя без внимания организацию таких процессов, как тщательный контроль за появлением новых заплат, а также их детальная оценка, тестирование, установка и проверка. Этим должна заниматься как вся созданная для данных видов работ группа в целом, так и каждый из ее членов в отдельности

Есть и еще одна причина. Клиентские машины, которые становятся целью таких атак в не меньшей степени, чем серверы, способствуют быстрому распространению вирусов. При этом сохраняется опасность повторного инфицирования систем при подключении к сети компьютеров мобильных сотрудников.

Бреши в программах Microsoft — не единственная цель вирусных атак. Несмотря на то что Windows по-прежнему сохраняет за собой статус скопища различных дефектов, которые используются вирусописателями, и остается объектом негодования пользователей, атаки, организуемые хакерами, направлены также на маршрутизаторы, коммутаторы, межсетевые экраны, системы под управлением Unix и Linux.

Многие эксперты считают, что необходимость в установке заплат не исчезнет никогда.

«Установка заплат — организационный процесс, — подчеркнул Джеймс Уильямс из RBC Centura Bank. — И этим процессом нужно управлять, для чего необходима определенная структура».

В этой компании существует группа из 11 человек, которые в составе подразделения компьютерной безопасности поддерживают то, что Уильямс называет «очень систематичным и четко организованным» процессом установки заплаток. В этом процессе используются средства инвентаризации, управления изменениями в программах и автоматической установки заплаток, реализованные с помощью инструментальных средств от Ecora, IBM/Tivoli и других компаний.

«Возможно, такого количества специалистов недостаточно, но у нас налажены процессы, которые помогают решать эту задачу», — отметил Уильямс.

Как это делается

«Зачастую на предприятиях считают, что необходим инструментарий, который мог бы устранить все имеющиеся проблемы, но на самом деле следует организовать процесс в целом, а не только приобрести соответствующие инструменты», — считает Фелиция Никастро, ведущий консультант по сетевым системам компании International Network Services, которая прошлой осенью приступила к организации службы установки заплат. Никастро утверждает, что компании совершают серьезную ошибку, оставляя без внимания организацию таких процессов, как тщательный контроль за появлением новых заплат, а также их детальная оценка, тестирование, установка и проверка. Этим должна заниматься как вся группа в целом, так и каждый из ее членов в отдельности.

«Как правило, это задача не для одного человека. Необходимо, чтобы в ее решении принимали участие группа защиты, операционная группа и разработчики, — отметила она. — Нехватка ресурсов может серьезно усложнить процесс установки заплат».

Никастро считает, что компания должна создать несколько элементов общей структуры, прежде чем можно будет внедрять процесс установки заплат. В частности, необходимо организовать службы инвентаризации и контроля за изменениями, вносимыми в программное обеспечение, начать использовать системы управления конфигурациями различных решений, управления программными активами, а также хранения формализованных записей, оценки затрат и определения принципов расстановки приоритетов. Помимо этого следует также подготовить планы поддержки и обмена информацией.

Вначале составляется реестр используемых программ, т. е. собирается информация о том, на какой из машин какая из них работает. «Возможно, это будет сложнее всего, — отметила Никастро. — Обычно создание такого реестра занимает достаточно много времени».

Реестр используется в управлении активами, изменениями и конфигурациями программного обеспечения. «Если вы следите за конфигурациями, тогда вам известно, что изменилось и что поможет при установке последующих заплат», — сказала она.

Процесс, по словам Никастро, начинается с поиска новых уязвимых мест и выяснения, есть ли необходимые заплаты для тех программ, которые указаны в реестре. Как только уязвимые места обнаружены и определена степень угрозы, группе специалистов, в состав которой должны входить ИТ-менеджеры, специалисты, работающие с данными, и специалисты по операциям, следует начать утвержденную процедуру подготовки заплат к установке. Для этой процедуры необходимо определить последовательность и график действий, предусматривающих в том числе тестирование заплат в лабораторных условиях.

«Очень часто у компании нет денег на поддержку лабораторных работ или некой дублирующей среды. Но таким компаниям как минимум необходимо стараться дублировать хотя бы критически важные системы, скажем Web-сервер с основной базой данных», — подчеркнула Никастро.

После тестирования нужно распространить заплаты, установить, проконтролировать эффективность их работы и подготовить соответствующие отчеты.

Программное обеспечение для этих целей предлагают такие компании, как Altiris, BigFix, Computer Associates, ConfigureSoft, Ecora, Hewlett-Packard, IBM, Loudcloud, Microsoft, Novell, PatchLink, Shavlik Technologies и др.

Никастро отметила, что, когда установка заплат выполняется в срочном порядке, прежде всего специалисты компании должны изолировать червь или вирус. Затем установить заплаты в соответствии с утвержденной процедурой.

Процесс пошел

В Centura Bank в соответствии с принятыми правилами каждому из обнаруженных уязвимых мест присваивается уровень опасности: критический, высокий, средний или низкий.

«Если уровень критический, каждый менеджер нашей группы компьютерной защиты должен в течение 24 часов начать действовать в соответствии со своей инструкцией, — отметил Уильямс. — С помощью реестра, где указано все, что есть в сети (у нас она состоит из 250 серверов и 1800 настольных систем), специалисты определяют, на каких именно системах могут отразиться обнаруженные дефекты. Реестр, кстати, обновляется каждую неделю».

Как только менеджеры группы компьютерной защиты приняли решение о необходимости установки заплат, в Centura в действие вступает специальная формальная процедура, состоящая из пяти этапов. На первом этапе разрабатывается процесс внесения изменений, который затем документально оформляется и проверяется в рамках второго этапа. Серия тестов выполняется на третьем этапе и, если результаты неадекватны, процесс начинается сначала. Если все тесты пройдены успешно, на четвертом этапе заплаты устанавливаются на всех системах. Пятый этап предусматривает проверку того, что все закончено и работает нормально.

В необходимости таких организационных мер уверен и Джон Ингейтс, директор по технологиям компании Rackspace Managed Hosting, которая имеет распределенные центры обработки данных в Сан-Антонио (шт. Техас), Херндоне (шт. Вирджиния) и Лондоне. В этой компании используется 4000 Windows-серверов, столько же серверов под управлением ОС Unix или Linux, 50 маршрутизаторов и 500 межсетевых экранов.

«ПО никогда не будет идеальным. Необходимо всегда быть начеку, а для этого нужны хорошие практические решения, позволяющие обеспечить надежную защиту», — подчеркнул Ингейтс.

Он сказал, что для устранения уязвимых мест на маршрутизаторах и межсетевых экранах, как правило, устанавливаются обновленные версии программного обеспечения. Для этого существует формальный процесс, который инициируется сетевыми инженерами. В их обязанности входит слежение за конференциями и сайтами, посвященными вопросам защиты.

Как только появляется новая заплата, об этом сообщают ведущему инженеру. Если заплата предназначена для ликвидации критически важного изъяна, уведомление направляется напрямую вице-президенту по инжинирингу, который решает, нужна ли эта заплата и, в случае необходимости, дает добро на процесс ее установки.

Если заплата предназначена для маршрутизаторов, ведущий инженер выполняет план по ее внедрению — от обращения к нужным специалистам до создания сценариев автоматической установки.

Заплата тестируется в лаборатории Rackspace, где имеется упрощенная модель сети компании.

«Продолжительность тестирования, как правило, зависит от размеров самой заплаты», — сказал Ингейтс. После прохождения тестов специальная группа инженеров выполняет последующее сопровождение заплаты, собирая данные об изменениях в программном обеспечении, вносимых при ее установке, и отслеживая процесс в целом.

«Если мы считаем, что есть серьезная опасность, то объявляем о начале периода экстренных мер и готовим заплаты к установке в ускоренном режиме», — пояснил он.

Если говорить о серверах, то Ингейтс считает, что в этом случае процесс имеет свои особенности, поскольку доля работ по установке заплат, которую должны выполнять сами заказчики, в данном случае, как это ни парадоксально, увеличивается. Он отметил, что особенность Linux состоит в том, что для этой платформы не существует такого количества дружественных к пользователю инструментальных средств, как для Windows, хотя и инструментарий Microsoft тоже нельзя назвать целостным.

«Формально у нас просто нет средств управления конфигурациями для Linux. По сравнению с Windows здесь большую часть работы приходится делать вручную», — отметил Ингейтс, подчеркнув, однако, что в Windows-системах уязвимые места обнаруживаются чаще. При выявлении брешей в Windows-серверах в Rackspace инициируется процесс, аналогичный тому, который установлен для маршрутизаторов и межсетевых экранов. Тестирование продолжается как минимум 48 часов и выполняется для того, чтобы убедиться в отсутствии каких-либо проблем. Если же проблемы все-таки возникают, установка заплат откладывается и специалисты компании обращаются в главную службу поддержки Microsoft.

«Мы платим за такую услугу, и для нас очень важно поддерживать эти отношения», — сказал Ингейтс.

Окончательное решение об установке заплат принимает группа специалистов, занимающихся операционными системами, а для рассылки заплат по сети используется служба SMS от Microsoft.

«Мы поддерживаем внутреннюю базу знаний, где регистрируются изменения в программном обеспечении, а также все наши процессы и процедуры, поэтому мы не делаем ошибок», — подчеркнул он.

Сезон охоты на клиентов

Дэвид Джамбруно, директор компании Pitney Bowes по вопросам стратегической инфраструктуры и защиты информации, сказал, что самые серьезные трудности при установке заплат связаны с растущим объемом исправлений.

«За последние полгода с небольшим появились новые виды атак, рассчитанные именно на клиентские системы, — заметил он. — Серверы больше не являются единственной целью, и в силу этого выросли масштабы проблем».

В Pitney Bowes используется несколько тысяч серверов и клиентских машин, а также сотни маршрутизаторов и коммутаторов. Джамбруно сказал, что раньше установка заплат на ПК и рабочих станциях, как правило, выполнялась в рамках процедуры модернизации клиентских систем. Теперь это не так.

«Проблема связана со скоростью распространения червей. Мы не можем просто отключить порт 135 или другие сетевые порты, поскольку тем самым лишим пользователей возможности работать в сети», — заметил он. В момент начала активной атаки вируса Blaster/Lovesan специалисты Microsoft советовали отключить порт 135, чтобы предотвратить дальнейшее распространение червя. «Но если я буду отключать порты, это и будет равносильно успешной атаке, нацеленной на отказ в обслуживании», — сказал Джамбруно.

Он подчеркнул, что процессы автоматической установки заплат в ИТ-системе в его компании были расширены и теперь охватывают клиентские устройства.

В разгар эпидемии Blaster/Lovesan в компании было начато использование ПО фирмы BigFix, которое дало целостное представление обо всей сети Pitney Bowes, охватывающей 18 стран.

«Если кто-то отключит антивирусное программное обеспечение на своей настольной системе, BigFix включит его снова. Если оно не установлено, BigFix его установит», — сказал Джамбруно. Он считает, что автоматизированные процессы — единственный способ сократить затраты на установку заплат.

В Pitney Bowes разделили все активы на категории и установили их важность для компании. Клиентские настольные системы получили оценку риска от первого до пятого уровня (пятый присваивается машинам, которые должны быть защищены надежнее всего).

«Все, о чем мы сообщаем, должно быть сделано в обязательном порядке», — сказал Джамбруно. Например, на настольную систему, относящуюся к пятому уровню риска, заплата должна быть установлена в течение 24 часов.

В иерархическую структуру Pitney Bowes включено подразделение, отвечающее за установку заплат. При этом в состав его так называемой глобальной группы, которая занимается, в частности, разработкой организационных мер по работе с заплатами применительно ко всей компании в целом, входят представители аналогичных по назначению региональных групп.

Когда обнаружена брешь, в этом подразделении оценивают потенциальную опасность, определяя, какие системы являются уязвимыми, где они находятся и какие бизнес-процессы они поддерживают. После анализа глобальная или региональная группа, в зависимости от местоположения и значения уязвимых систем для всей компании, берет на себя ответственность за установку заплатки. Затем проходит тестирование и далее параллельно — собственно установка и документирование.

«Такой подход действительно оказался очень успешным», — сказал Джамбруно. По его словам, самые серьезные проблемы, касающиеся информационной безопасности, раньше требовали на исправление от 1000 до 1500 человеко-часов. Сейчас это время сократилось до 75, а в конечном итоге компания планирует снизить его до 20 человеко-часов.

Джамбруно считает, что успех обусловлен многими факторами, но самыми важными, по его мнению, являются поддержка со стороны высшего руководства компании, рост квалификации членов групп, выполняющих установку заплат, и тот факт, что сотрудники поверили в эффективность и правильность выбранного подхода.

Поделитесь материалом с коллегами и друзьями