В силу того что Internet стал неотъемлемой частью всех бизнес-процессов, значительную роль в организации выхода в Сеть стали играть Internet-приложения, получающие доступ к глобальной паутине из локальной сети офиса.
Internet-приложения или офисные клиентские программы, выходящие в Internet, гораздо более прогрессивны, чем традиционные приложения для настольных компьютеров: они обеспечивают мобильность пользователей, позволяют им легко взаимодействовать друг с другом в интерактивном режиме и оперативно получать доступ к любым необходимым ресурсам Internet. Традиционный набор офисных Internet-приложений, как правило, содержит браузер, почтовый клиент, программу обмена мгновенными сообщениями и приложение для VoIP-телефонии.
Перечень дополняют приложения, которые не входят в список необходимых для работы программ, однако часто произвольно устанавливаются сотрудниками на рабочей системе и впоследствии могут стать причиной уязвимости сети, нестабильной работы системы, потери или искажения информации, утечки конфиденциальных данных.
По статистике самыми широко используемыми офисными Internet-приложениями являются Opera, Mozilla Firefox и Internet Explorer в качестве браузеров; Microsoft Outlook, The Bat! в качестве почтовых клиентов; ICQ, Skype, Google Talk, AOL Instant Messenger или Microsoft Windows/MSN в качестве систем быстрого обмена сообщениями; различные программные телефоны для звонков посредством IP-телефонии.
Наряду с перечисленными приложениями доступ в Internet часто получают клиенты пиринговых или файлообменных сетей (P2P), FTP-клиенты, различные утилиты поиска и обновления программного обеспечения, службы удаленного управления и многие другие.
Риски от Internet-приложений
Разнообразие всевозможных Internet-приложений на рабочем месте, бесспорно, предоставляет пользователям широкий спектр возможностей. Однако не стоит забывать, что открытый выход любого приложения в Internet имеет и обратную сторону — такой же открытый вход в систему извне для злонамеренного программного обеспечения и хакеров. Бесконтрольное подключение к Internet неизбежно приведет к появлению новых потенциальных каналов утечки конфиденциальной информации и несанкционированного доступа к данным конечного хоста. Клиентский уровень локальной сети является одним из наиболее уязвимых, и заражение одного пользовательского компьютера может угрожать инфицированием всей корпоративной сети, включая важнейшие серверы и хранилища конфиденциальных данных.
По данным «Лаборатории Касперского», уязвимые места электронной почты и браузеров остаются основными каналами проникновения вредоносных программ в компьютеры, однако все большее распространение получают новые методы заражения. В частности, системы мгновенного сообщения (такие, как ICQ, AOL и MSN) числились среди наименее защищенных Internet-приложений (см. http://www.kaspersky.ru).
Компания SecurityLab, в свою очередь, информирует, что в 2008 году в клиентских приложениях было обнаружено 9 (1,82%) уязвимостей критической степени опасности, 228 (46,06%) уязвимостей высокой степени опасности, 99 (20%) — средней, и 159 (32,12%) — низкой степени опасности. При этом в серверных приложениях большинство уязвимостей низкой и средней степени опасности (45,42% и 44,32% соответственно), высокой — 10,26% и ни одной уязвимости критической степени опасности (http://www.securitylab.ru.).
Сложные угрозы, сочетающие в себе свойства вредоносных программ, вирусов, «троянцев», используют уязвимые места Internet-приложений для распространения инфекций и совершения атак.
Среди уязвимостей браузеров опасность представляют загрузка вредоносных JavaScript кодов на компьютер жертвы, после которой производится загрузка в систему различного вирусного программного обеспечения. Это грозит всевозможными последствиями, начиная от некорректной обработки документов и сценариев, произвольного запуска и завершения работы приложений и заканчивая предоставлением удаленного доступа к системе жертвы и повышением привилегий злоумышленника на инфицированной системе, а также обходом фильтров, передачей логинов и паролей и многим другим.
В 2008 году компания SecurityLab опубликовала 30 уведомлений безопасности в четырех популярных браузерах: Internet Explorer, Firefox, Opera и Safari (http://www.securitylab.ru/analytics/360135.php; см. рисунок).
По оценкам исследователей, больше всего уязвимостей обнаружено в Mozilla Firefox (37 уязвимостей). 5 из 20 уязвимостей, обнаруженных в Internet Explorer, и 2 из 19 уязвимостей в Safari в настоящее время не устранены.
Почтовые клиенты, в свою очередь, являются удобным средством общения между сотрудниками и позволяют передавать большие объемы информации, включая вложения любых форматов. Именно это сделало электронную почту такой благодатной средой для распространения инфекций, троянцев, вирусов и другого вредоносного программного обеспечения. За использованием электронной почты в офисе должен осуществляться тщательный контроль, чтобы избежать рисков и значительного финансового ущерба.
Использование служб быстрого обмена сообщениями (IM), а также пиринговых файлообменных сетей подвергает локальную сеть ежесекундным угрозам. Список рисков возглавляют протоколы, используемые этими приложениями, поскольку они же могут применяться для несанкционированной передачи конфиденциальных данных. Сами сообщения и передаваемые файлы также могут содержать вредоносный код и шпионское программное обеспечение, выявить которые достаточно сложно. Кроме того, риск кражи паролей и других персональных данных значительно возрастает с использованием IM и P2P. Также следует отметить, что использование клиентов мгновенных сообщений и файлообменников ведет к потере рабочего времени, сетевого трафика и средств компании.
Помимо описанных Internet-приложений, при отсутствии надлежащего контроля доступ в Internet самопроизвольно и беспрепятственно могут получать троянцы, черви и вредоносное программное обеспечение, занесенное на локальную систему при серфинге в Web или посредством съемных носителей. В данном случае обнаружить их крайне сложно, а риск очень велик.
Управление приложениями
Контроль и управление всеми приложениями, получающими доступ в Internet, позволят избежать значительной доли рисков и обеспечить дополнительную безопасность офисной локальной сети.
Процесс управления Internet-программами требует предварительного сбора информации о том, какие именно приложения получают доступ из периметра локальной сети. Это необходимо для того, чтобы выбрать стратегию управления Internet-приложениями. Решения комплексной сетевой безопасности (в качестве примера можно привести Entensys UserGate Proxy & Firewall) должны обеспечивать полный сбор информации об использовании Internet-приложений в локальной сети. Собранная таким решением статистика должна включать наименования используемых сотрудниками предприятия Internet-приложений, номера версий, а также количество принятых и переданных тем или иным приложением пакетов. На основе полученной информации администраторы смогут выявлять запрещенные для использования в соответствии с политиками информационной безопасности программы и принимать меры для их контроля.
Уже упоминавшийся UserGate предлагает два подхода к контролю приложений: принцип «белых листов», при котором запрещены все приложения, кроме тех, что попали в список разрешенных программ. Данный подход позволит гарантированно предотвратить запуск несанкционированных и потенциально опасных приложений с клиентских машин. Принцип «черных листов» по умолчанию разрешает выход в Internet всех приложений, кроме явно запрещенных.
Кроме того, UserGate позволяет ограничивать использование приложений по номеру версии. Если некое приложение более ранней версии уязвимо, UserGate может запретить его использование до выхода исправленной версии, отвечающей всем требованиям безопасности. Таким образом не только обеспечивается защита периметра сети, но и формируются корпоративные политики компании в отношении использования пакета разрешенных Internet-приложений, так что использование программ приводится в компании к единому стандарту.
Контроль приложений является одним из важнейших компонентов комплексной защиты локальной сети от внешних угроз, требующих качественного подхода. Количество вредоносного программного обеспечения неуклонно растет в геометрической прогрессии, вирусы и программы-шпионы технологически развиваются, что усложняет их обнаружение в системе. Именно поэтому необходимо предотвращать их появление, заблаговременно заботясь о соответствии программного обеспечения в локальной сети всем требованиям безопасности.
Алена Маркова (amarkova@ngs.ru)