Корпоративных конечных пользователей ожидает целый ряд опасностей, таящихся в сети, — от вредоносного кода до социального инжиниринга. Защитив своих пользователей, вы тем самым защитите и компанию.

Oбеспечивая безопасность корпоративных конечных пользователей, администраторы традиционно полагаются на механизмы сетевого уровня. Брандмауэры и антивирусные шлюзы отделяют ПК в локальной сети от непредсказуемого и опасного Internet.

Однако распространение мобильных устройств и рост числа их пользователей пошатнули понятие периметра сети. «Пять лет назад мобильной связью пользовались 5% населения, а сегодня эта цифра превысила уже 50%. Это застало администраторов врасплох», — сетует Стейси Лам, исполнительный директор Info-Express, разработчика продуктов информационной защиты.

Фактически граница сети потеряла смысл даже для пользователей корпоративной сети. Критические деловые приложения — электронная почта и Web — могут создать неприятности даже при плотном заслоне. Почтовые сообщения проникают через строго охраняемые шлюзы SMTP. Программы обмена файлами и немедленного обмена сообщениями (Instant Messaging, IM) делают бессмысленной работу брандмауэров.

Любая грамотная система безопасности помимо заграждения на уровне сети должна быть дополнена решениями для защиты отдельных ПК и конечных пользователей. Множество подобных продуктов поставляется в виде клиентского ПО, но одной из наиболее эффективных методик является обучение.

ЗАЧЕМ АТАКОВАТЬ ПК?

Злоумышленники атакуют ПК конечных пользователей по нескольким причинам. Создатели вирусов хотят получить доступ к почтовому клиенту и адресной книге, так как каждый зараженный компьютер — еще одна «звезда на фюзеляже».

ПК — это потенциальный «хост-зомби», т. е. он в любое время может быть вовлечен в атаку для осуществления распределенного отказа в обслуживании (Distributed Denial of Service, DDoS). ПК также может быть использован для хранения краденой информации, например номера кредитных карт или подборки порнографии.

Наконец, возможно, самая важная причина — злоумышленники воспринимают ПК как стартовую площадку для более серьезных вторжений.

«Пользовательские компьютеры хранят множество паролей, дающих доступ к серверам и другим частям корпоративной системы, — напоминает Джон Пескатор, вице-президент компании Gartner Group по исследованиям. — Захватить их намного легче, чем напрямую атаковать корпорацию».

Эту точку зрения разделяют и другие эксперты. «Хосты обычно защищают не так тщательно, как серверы, поскольку считается, что они хранят меньше ценной информации, — говорит Стюарт Макклюр, президент и технический директор Foundstone. — Но из них можно извлечь огромное количество данных, необходимых для проникновения в другие, более чувствительные и защищенные системы, при этом риск быть обнаруженным немного меньше».

ОБРАЗ ХАКЕРА

Наиболее эффективные инструменты злоумышленника — деловой костюм и телефон.

Согласно распространенному заблуждению, хакер — это длинноволосый, татуированный, асоциальный тип, питающийся гамбургерами и не следящий за собой. Если бы такой человек подошел к вам и попросил пароль или попробовал последовать за вами в охраняемое место, у вас неминуемо возникли бы подозрения.

Ну а когда вежливый господин в деловом костюме скажет, что забыл карту доступа и попросит впустить его, вы согласитесь? Судя по словам злоумышленников, проделывавших такое, чаще всего ответ звучит как «да».

«Если вы имеете презентабельный вид профессионала, то люди сделают для вас поистине удивительные вещи», — утверждает Брайан Келли, президент и генеральный директор компании iDefense, занятой в области безопасности.

По словам Келли, во время проверки, устроенной для клиента, ему достаточно было просто подождать около двери информационного центра с кодовым замком. Кроме костюма и галстука у Келли не было каких-либо идентифицирующих знаков. Вскоре подошел один из сотрудников и спросил, не может ли он чем-то помочь. Келли пожаловался, что забыл пароль, на что ему был дан ответ: «А, пароль — 5213». Все! Физический доступ к наиболее ценным ресурсам компании был получен.

Это пример социального инжиниринга, или попросту обмана. Он основан на изначальном стремлении людей оказать помощь другим. Социальный инжиниринг — наименее техническое, но и наиболее эффективное средство в арсенале злоумышленника.

По словам Макклюра, пользоваться подобными приемами настолько легко, что результаты теста на проникновение, выполненного с их помощью, оказались удивительными: «Это абсолютно тривиально. В любой компании, где работает более 100—150 человек, легко получить от кого-либо намного больше информации, чем он вправе предоставить».

Находится в офисе, чтобы воспользоваться социальным инжинирингом совсем не обязательно. Вполне хватит и телефонного звонка. Наиболее распространенная тактика — позвонить кому-нибудь и назваться сотрудником отдела ИТ. Во многих случаях вам назовут имя пользователя и пароль.

Опытные злоумышленники могут даже уговорить сотрудников атаковать другие компьютеры. Макклюр говорит, что один из членов его команды проникновения убедил помощника администратора запустить атаку по методу «грубой силы» против компьютера соседа. Выдавая себя за администратора, проверяющий попросил его попытаться подобрать пароли к другому компьютеру, владельцем которого был финансовый директор.

Создатели вирусов и «червей» также используют разные виды социального инжиниринга. Один из методов — создание привлекательного заголовка почтового сообщения с вирусом. Например, вирусы Naked Wife и Anna Kournikova эксплуатировали интерес к порнографии. Другие вирусы спрятаны в программах-шутках, анимационных роликах и даже антивирусных обновлениях.

Как же остановить социальный инжиниринг? «Цена вопроса — 64 млн долларов, — замечает Макклюр. — Единственным успешным методом противодействия является обучение». Конечных пользователей следует информировать о правильных действиях, в особенности в случае телефонных звонков. Например, научить их проверять, что звонят действительно из отдела ИТ, или объяснить, что администратор никогда не станет узнавать пароли по телефону (если это соответствует политике безопасности).

Что касается физического доступа, пользователей надо предупредить о недопустимости пропускать за собой незнакомых людей — зачем же тогда проход в здание защищается картами или осуществляется по пропускам. В таких случаях сотрудники должны направлять людей без идентификационных карт в специально отведенное место, например в приемную при входе.

Такие меры могут помочь, но Макклюр предупреждает, что все равно «инженеры душ» могут преуспеть в своем деле: «Эта угроза никогда не исчезнет, так как опытный злоумышленник все равно сможет проникнуть за большинство преград. Но основная масса взломщиков будет отсеяна».

ПОВЫСИМ СОЗНАТЕЛЬНОСТЬ

Так и напрашивается представить пользователя потенциальной жертвой хакера. И если вы не примете мер, так оно и будет.

«Мы должны четко определить роль пользователя в обеспечении достойного уровня безопасности, — замечает Келли. — Наше внимание постоянно занято технологиями, будь то брандмауэры, системы обнаружения вторжения или PKI. Но без участия людей система всегда будет уязвимой».

Первый шаг — повысить важность безопасности в глазах сотрудников. Вы не сможете этого добиться, просто предоставив всем информацию о вирусах. Даже ознакомившись с ней, пользователи вряд ли изменят свое ежедневное поведение. Необходимо позаботиться о соответствующем подкреплении. Оно может быть двух типов: негативное и позитивное. Негативное означает наказание за проступок в отношении соблюдения мер безопасности. Например, если во время проверки оказалось, что сотрудник прилепил лист с паролем на монитор, то ему будет сделан выговор. Если кто-либо оставил свой ноутбук включенным, то проверяющий заберет его, вынудив владельца прийти и получить его снова.

Другой метод — «привязать» заботу о безопасности к годовому отчету о деятельности сотрудника, что заставляет понять ее важность. «В конце концов, ответственность за безопасность ложится на каждого», — подчеркивает Келли.

Негативное подкрепление может иметь место в корпоративной среде, в особенности для предотвращения серьезных нарушений, например установки неавторизованной точки доступа или модема. Однако, если программа предусматривает только наказания, это может возыметь обратный эффект, создавая противостояние «мы против них» между отделом безопасности и пользователями.

Позитивное подкрепление обеспечивает большую кооперацию, воодушевляя сотрудников на заботу о безопасности. Например, вместо прочесывания офиса в поиске нарушителей политики, сотрудникам отдела безопасности можно дать более приятное поручение — установить, кого из пользователей следует поощрить за точное следование инструкциям.

Келли рассказал историю одной проверки в финансовой компании. Вместе с сотрудником отдела безопасности они зашли в здание напротив, вооружившись парой биноклей, и, заняв место около окна, просматривали информацию о пользователях по мере ее появления на экранах мониторов. По словам Келли, один из сотрудников компании заметил их и тут же связался с отделом безопасности.

Вместо обычной похвалы Келли порекомендовал немедленно выдать этому сотруднику чек на 500 долларов, что и было сделано. «Один лишь этот эпизод возымел большое действие, по мере того как история обошла компанию», — вспоминает Келли.

Воспитывать сознательность помогают и обучающие программы, но администраторам не следует полагаться на проводимые раз в год презентации. «Это должен быть постоянный процесс с вовлечением сотрудников, — советует Келли. — Эффекта добиваются в тех компаниях, где к заботе о безопасности подходят творчески».

Неплохим уроком послужит демонстрация хакерских методов, взлома паролей, социального инжиниринга. Это интересней, чем сухие факты, изложенные в официальном документе, и лучше отложится в сознании людей. Еще одно простое решение — рассылка сообщений на тему безопасности всем пользователям. Такие компании, как PentaSafe и iDefense, предоставляют средства ежедневной или еженедельной рассылки.

При создании обучающих программ отдел безопасности может сотрудничать с кадровым отделом. Согласовать деятельность отделов непросто, но, по словам Келли, специалисты по работе с персоналом более чувствительны к проблемам пользователей и привычны к проведению обучающих программ.

По окончании обучающей программы вам, возможно, захочется оценить ее эффективность. Самый простой способ — провести исследование в рамках компании. PentaSafe предлагает пакет программ для регулярного тестирования сотрудников на предмет знаний правил безопасности. Администраторы могут отслеживать результаты тестов во времени. Другой способ — организовать справочную службу. Возможно, пользователи чаще будут обращаться по поводу подозрительных файлов или задавать вопросы на тему безопасности.

Вне зависимости от методов обучения, наиболее важно обеспечить взаимодействие. «Корпорации тратят много времени и денег на разработку политики, которую они размещают на сайтах Web, но не удосуживаются организовать грамотную обратную связь с сотрудниками», — говорит Келли. Такую возможность терять нельзя, так как большинство пользователей с предпочитают придерживаться правил, если только знают, как следует поступать.

СРЕДСТВА ЗАЩИТЫ ПК

Как правило, пользователи не причиняют ущерб намеренно, они просто не знают о привносимом ими риске. (Обратите внимание на разницу между теми, кто неумышленно подвергает сеть опасности, и нарушителями, сознательно пытающимися украсть информацию или причинить ущерб. В данной статье внимание уделяется первым.)

«Суть проблемы в том, что большинство конечных пользователей имеют слишком большой контроль над установкой ПО на компьютеры, — полагает Пескатор. — Они имеют привычку загружать программы и проверять их в действии на месте даже в самых консервативных компаниях».

Подобная склонность чревата множеством неприятностей: случайной загрузкой «троянца», например BackOrifice или SubSeven, или брешью в брандмауэре вследствии установки системы обмена сообщениями.

У компаний есть два выбора при контроле устанавливаемого пользователями ПО: настроить ПК так, чтобы запретить всякую установку, или добавить ПО, предотвращающее опасность.

У каждого из методов свои недостатки. Ограничение пользователей в установке ПО, по словам Пескатора, может привести к увеличению нагрузки на службу технической поддержки: «Пользователям зачастую необходимо загрузить новый подключаемый модуль или приложение. Из-за того, что для этого нужны права администратора, они вынуждены обращаться в отдел поддержки».

И наоборот, при установке новых программ администратору придется работать с каждым ПК компании. К этому стоит добавить капитальные затраты на само ПО.

Для тех, кто выбирает второй метод, приводится подборка решений, которые можно использовать для защиты отдельных машин.

Необходимые средства

Антивирусные программы. На каждом ПК и ноутбуке должна быть установлена антивирусная программа. Сигнатуры вирусов должны регулярно обновляться. При этом автоматическое обновление предпочтительнее пользовательского. Это поможет избежать ситуаций, когда сотрудники забывают загружать новые сигнатуры и подвергают сеть опасности.

Клиенты VPN. Сеть VPN обеспечивает целостность и конфиденциальность данных дистанционных и мобильных пользователей. Клиенту VPN предоставляется шифрованный туннель в корпоративную сеть через Internet, защищающий данные от любопытных глаз. VPN включает цифровой сертификат для аутентификации устройства, но необязательно пользователя, получающего доступ к сети.

К сожалению, если злоумышленнику удастся установить «троянца» на удаленную машину, то он сможет либо проследить за текущим сеансом, либо инициировать свой, получив все права пользования в сети. Это называется «захват VPN». По словам экспертов, такой захват сложно осуществить, но администраторы должны быть осведомлены о недостатках туннелей VPN.

Каждый грамотно созданный брандмауэр включает функции VPN. Такие решения поставляются компаниями Check Point Software Technologies, Net-Screen, Cisco Systems, WatchGuard Technologies, Nokia (использующей ПО Check Point), Symantec, SonicWall и Secure Computing.

Альтернативой клиентам VPN является протокол защищенных сокетов (Secure Sockets Layer, SSL). Используя те же протоколы, что применяются для защищенных интерактивных покупок, мобильные пользователи могут получать доступ к сети по шифрованному каналу. Не привязывая к конкретным устройствам с клиентом VPN, методы доступа на базе SSL дают возможность получить доступ к корпоративной сети через браузер Web.

Check Point поддерживает бесклиентные VPN для удаленных пользователей посредством SSL, а Neoteris — удаленный доступ по SSL наряду с системой Instant Virtual Extranet (IVE). Кроме того, компания Aspelle запускает службу Aspelle Everywhere для предоставления удаленного доступа на базе технологии Microsoft .NET и SSL помимо прочих протоколов.

Персональные брандмауэры. Персональные брандмауэры представляют собой «настольные» версии серверного ПО и осуществляют те же функции. Что самое важное, такие программы ограничивают доступ к ПК извне, следя за входящим и исходящим трафиком и запрещая все соединения через неавторизованные порты.

Персональные брандмауэры полезны для обнаружения проникающих в ПК «троянцев». Они позволяют централизованно администрировать систему в целях соблюдения корпоративной политики безопасности.

Обратите внимание, что персональные брандмауэры надежны на 100%. Порты 80 и 443 обычно открыты, поэтому как зловредные, так и обычные, но незащищенные программы работают поверх HTTP. Персональные брандмауэры можно дополнить антивирусным ПО, блокираторами поведения и сканерами для контроля за программами наподобие клиентов обмена сообщениями или файлами.

В число персональных брандмауэров входят Zone Labs, InfoExpress, Internet Security Systems, Network-1 и Sygate. Кроме того, Symantec недавно анонсировала решение Client Security, совмещающее персональный брандмауэр, антивирусную программу и сканер IDS. Наконец, 3Com предлагает ПК, поддерживаемые централизованным сервером политики.

Рекомендуемые средства

Смарт-карты/токены. Смарт-карты и токены решают проблему кражи паролей с помощью двойной аутентификации, т. е. пользователю для входа в систему необходимо иметь карту или токен. В таком случае невозможно будет воспользоваться украденным паролем без сопутствующего устройства.

Двойная аутентификация обеспечивает на порядок более надежную защиту, чем просто пароли, но все имеет свою цену. На ПК должны быть установлены устройства чтения карт, а это предполагает значительные капитальные затраты. Для токенов такие устройства не нужны, но сами по себе они дороже, чем карты. И смарт-карты, и токены требуют создания серверной инфраструктуры и могут увеличить затраты на поддержку в случае их утери пользователями.

В число поставщиков смарт-карт входят Crypto-Card, DataKey, GemPlus, RSA Security и SchlumbergerSema. Жетоны поставляют Rainbow Technologies, RSA, Secure Computing и Vasco.

Блокираторы поведения. Зловредный код в виде вирусов, «червей» или «троянцев» постоянно угрожает ПК. Несмотря на то что антивирусные средства способны предотвратить большинство заражений, между выпуском вируса и созданием для него сигнатуры проходит некоторое время.

Блокираторы поведения решают эту проблему, поскольку им не нужны сигнатуры. Вместо этого специальные клиенты следят за исполняемым кодом. Обнаруженная попытка несанкционированного действия немедленно пресекается. Подобные решения носят превентивный характер по отношению к зловредному коду.

С другой стороны, блокираторы поведения могут вмешиваться в работу обычных приложений, нарушая рабочий процесс и, возможно, приводить к волне обращений в службу поддержки. Администраторы должны позаботиться о создании правил для обеспечения безопасности без нарушения рабочего процесса.

Лидеры рынка блокираторов поведения — Finjan, Okena, Aladdin, Pelican Software и Trend Micro.

Агенты аудита. Многие администраторы пользуются устройствами аудита для сканирования мобильных ПК перед разрешением доступа в корпоративную сеть. Обычно проверяют, установлена ли на ПК последняя версия антивирусной программы или нужная версия браузера, а также отсутствуют ли запрещенные приложения. Если машина не удовлетворяет требованиям, то пользователя переадресуют на сайт Web для загрузки необходимой «заплаты» или к администратору за дальнейшими указаниями.

Агенты аудита предоставляются Info-Express, создателем CyberGatekeeper, Sygate, разработчиком пакета Sygate Secure Enterprise, и Check Point, включившей возможности аудита в новейший клиент VPN-1. Кроме того, Patchlink и Big Fix выпускают ПО для проверки систем на наличие последних «заплат».

Эндрю Конри-Мюррей — редактор отдела бизнеса Network Magazine. С ним можно связаться по адресу: amurray@cmp.com.


? CMP Media LLC


Мгновенная неразбериха

Самыми известными приложениями являются системы немедленного обмена сообщениями (IM) и обмена файлами (или peer-to-peer). Наиболее популярные клиенты IM предлагают AOL, MSN и Yahoo!. Программы обмена файлами включают Napster, Kazaa и Morpheus.

Подобные системы быстро распространились как бизнес-инструменты. Сочетая мгновенность телефонного звонка и удобство электронной почты, они способствуют сотрудничеству и ускоряют общение между коллегами, партнерами и даже покупателями.

К сожалению, клиенты IM имеют массу уязвимостей, каковыми грех не воспользоваться. Дмитрий Шапиро, директор по стратегическому планированию компании Akonix, выделяет проблемы, связанные с наличием клиентов IM в сети компании. (Akonix выпускает шлюз-посредник, с помощью которого администраторы могут задавать политику безопасности для клиентов IM и программ обмена файлами.)

Во-первых, весь трафик клиентов IM проходит через Internet в явном виде. Следовательно, деловые переговоры не защищены от любопытства тех, кто оснащен анализатором пакетов. Во-вторых, клиент IM способен создать брешь в пограничных системах защиты и механизмах контроля правил. Если администраторы блокируют стандартные порты клиентов IM, то серверы IM могут просто направить трафик через порт 80. Наконец, клиент IM поддерживает передачу файлов, открывая новый канал для вирусов, «червей» и другого вредоносного кода. Ввиду того, что клиенты IM могут взаимодействовать через порт 80, их трафик проходит без контроля со стороны антивирусного сканера на шлюзе. «Вот, что действительно пугает менеджеров ИТ», — уверяет Шапиро.

Но, по крайней мере, клиент IM имеет какую-то деловую ценность, в то время как приложения обмена файлами — это не что иное, как ящик Пандоры, полный проблем. Наиболее очевидная из них — непроизводительная трата пропускной способности на загрузку музыки или видео. Кроме того, другие подобные программы ищут машины со скоростными соединениями, каковые зачастую находятся в корпоративной сети.

Далее, программы обмена файлами требуют от пользователей выбрать каталог для хранения файлов, после чего тот становится видимым другим пользователям, что превращает ПК в сервер. Если конечный пользователь поместит такой каталог на общем диске, то другие файлы также могут оказаться открыты. Как и клиенты IM, программы обмена файлами открывают путь для проникновения вирусов и «червей». Например, «червь» Backdoor.K0wbot работает на платформе Kazaa. Он устанавливает «троянца», дающего злоумышленнику привилегии владельца ПК.

Более того, по словам Шапиро, обмен файлами может нарушать авторские права. Если конечные пользователи обмениваются файлами, защищенными авторским правом, с корпоративного ПК, то компанию могут признать виновной в нарушении закона.

Для предотвращения неприятностей, исходящих от клиентов IM и соответствующих программ, существует несколько решений. Во-первых, блокирование общих портов брандмауэрами, хотя это и не дает 100-процентного эффекта. Агенты аудита, настроенные на подобное ПО, могут помочь администраторам отслеживать недобросовестных пользователей и устранять приложения, несущие риск. Наконец, решения, наподобие выпускаемых Akonix, позволяют администраторам применять политику безопасности, включая шифрование и обнаружение вирусов.

Поделитесь материалом с коллегами и друзьями