Цель - корпоративный сектор
Если 10 лет назад вирусы и прочие вредоносные программы создавались просто для развлечения школьниками и студентами, то теперь это уже не хулиганство, а способ зарабатывать серьезные деньги криминальным путем. В 1995 году 70% вирусов были написаны хулиганами, а 30% - мошенниками, в 2004 - только10% созданы хулиганами, а 60% - мошенниками и 30% - кибер-преступниками. А в 2005, по словам Евгения Касперского, руководителя антивирусных исследований "Лаборатории Касперского", доля вредоносных программ, созданных кибер-преступниками, достигнет уже 75% (рис. 1). И ущерб, наносимый этими вредоносными программами, весьма и весьма велик. Так, по данным Computer Economics, в 2004 году вредоносные программы нанесли макроэкономике ущерб в 18 млрд долл. И прежде всего эта тотальная криминализация Интернета направлена против корпоративных ИТ-ресурсов.
То и дело приходят сведения о группах хакеров, которые сумели снять десятки миллионов долларов с банковских счетов. Делается это с помощью программ-троянов, которые в странах, где распространен Интернет-банкинг, передают своим "хозяевам" номер кредитной карточки владельца зараженного компьютера. Ущерб наносится и другими способами. Например, сначала злоумышленники приобретают акции определенной компании, а потом зараженные хакерами компьютеры рассылают спам с фальшивыми положительными новостями о ней, что вызывает рост стоимости акций, после чего они сбрасываются мошенниками.
Такие же группы зараженных компьютеров все чаще используются, чтобы целенаправленно атаковать сайт определенной компании, а потом эту компанию шантажируют, предлагая прекратить атаку в обмен на деньги. Раньше атакам подвергались в основном локальные пользователи, а сейчас главными жертвами нападений становятся корпоративные пользователи и предприятия.
Разрабатываются даже специальные троянские программы для атаки конкретных бизнес-процессов. Злоумышленники знают, что любая корпоративная сеть защищена антивирусами, и с учетом наличия антивирусов создаются вирусы, способные "пробить" эту защиту. Причем миллионы компьютеров для подобных атак не нужны, нужно всего несколько тысяч. Поэтому глобальные вирусные эпидемии сменились локальными (рис. 2).
Заражение компьютеров сегодня все чаще происходит не с помощью электронной почты, а с помощью комбинации технологий заражения: E-mail + Web, или только с помощью Интернет.
Мобильность - враг безопасности
Прогнозы разработчиков антивирусов неутешительны. Впереди - дальнейшая криминализация, войны вирусописателей и хакеров и появление в их рядах признаков организованной структуры. Кроме того, по мнению специалистов "Лаборатории Касперского", объектами вирусных атак станут КПК и смартфоны.
Сейчас эти устройства не так активно подвергаются нападениям не потому, что технически это невозможно. Просто пока их количественно еще недостаточно для проведения масштабного воровства информации и мошенничеств. Но как только критическая масса станет большой и смартфонами будет пользоваться не несколько процентов всех пользователей мобильных телефонов, а половина, нас ждут и кражи конфиденциальной информации, и спам, и прочие традиционные элементы ИТ-криминала. Более того, по мнению Евгения Касперского, ситуация будет намного хуже нынешней, так как, хотя пользователей компьютеров много, они все-таки в основной массе понимают необходимость защиты от вирусов, а в корпоративном секторе этими вопросами озабочены соответствующие технические службы. В то же время КПК и смартфонами, как и мобильными телефонами, будут пользоваться гораздо более массово самые неискушенные пользователи.
Не лучше обстоит и ситуация с технологией "Умный дом", подразумевающей, что все устройства современного офисного здания и квартиры подключены к сети. Вирусы для таких систем могут быть намного опаснее, чем для обыкновенного компьютера, поскольку через Интернет будут управляться системы обеспечения жизнедеятельности людей в здании, лифты, автоматические двери и все оборудование.
Однако в сложившейся ситуации винить некого. Операционные системы, сети и Интернет небезопасны по своей архитектуре, так как создавались в условиях, когда не было угроз от "соседа", а поэтому не требовалось и защиты от внутренних угроз. Принципиально менять эту архитектуру никто не станет, поэтому единственным выходом остается защита от вредоносного ПО.
Комплексная защита предприятияЕсть несколько несложных правил, которые могут существенно повысить уровень защищенности корпоративной сети. Во-первых, необходимо максимально быстро устанавливать обновления по безопасности и отказаться от тех продуктов по безопасности, которые уже больше не поддерживаются.В-вторых, нужно разработать комплексную систему антивирусной защиты и выбрать поставщиков антивирусных решений и ПО. В выборе поставщика главное — знать, насколько он может обеспечить поддержку, и понять, есть ли у него решения для всех платформ и типов устройств корпоративной сети вашей компании. Необходимо создать методику испытаний и провести сравнительные испытания антивирусных продуктов разных производителей для вашей среды — ваших приложений и ПО. При этом нужно привлекать к такому тестированию специалистов компаний-производителей. Остановиться можно на двух-трех продуктах разных производителей, которые использовать для разных участков защиты ИТ-инфраструктуры. В любом случае важно, чтобы получившийся комплекс зашиты был единым. Если в нем окажутся слабые места, то считать ИТ-инфраструктуру защищенной будет нельзя. |
Идеальный антивирус
Каким должен быть идеальный антивирус? Он должен обнаруживать 100% вредоносных и потенциально вредоносных программ, при этом не имея ложных срабатываний. Важно, чтобы его работа была незаметна - он должен обладать удобным интерфейсом, не должен использовать ресурсы процессора, занимать оперативную память и задавать вопросы пользователю.
С известными вредоносными программами все антивирусы справляются на отлично, используя сигнатурный поиск. Главная проблема в том, что вирусов становится все больше, и новые появляются буквально каждый час. Для обнаружения новых экземпляров нужно использовать эвристические анализаторы, которые пытаются эмулировать действие программы и понять, осуществляет ли она вредоносные действия. Generic - детектирование, основанное на анализе кода уже известных версий "червей" и поиске аналогичных функций в иных файлах, - позволяет обнаруживать похожие, однотипные вирусы. Но все это по отдельности не помогает защититься от вредоносного ПО на 100%. Комплексно это может сделать система проактивной защиты.
Защищаться проактивно
Проактивная защита дает возможность обнаружить вредоносное ПО, созданное после самой системы проактивной защиты. Другими словами, проактивная защита создана, чтобы обнаруживать еще не известное вредоносное ПО. По словам Андрея Никишина, начальника отдела стратегического развития и аналитических исследований "Лаборатории Касперского", существует шесть инструментов проактивной защиты. Это эвристический анализатор, безопасность на основе политик, система обнаружения вторжений Intrusion Protection System (IPS), защита от переполнения буфера (Buffer Overrun protection), поведенческие блокираторы и статистические методы.
Эвристический анализатор - известная и хорошо зарекомендовавшая себя технология, не требующая частого обновления. Однако у таких систем невысокий уровень обнаружения вирусов (25-30%) и при этом высокий уровень ложных срабатываний при повышении уровня детектирования. Это похоже на работу радиолокатора. Можно сделать его настолько чувствительным, что он будет обнаруживать помимо опасных объектов и все остальное, но это не даст возможности выявить опасность. Кроме того, эвристические анализаторы требуют больших затрат процессорного времени.
Политики безопасности могут быть использованы в любой компании. Грамотная политика позволяет практически без финансовых затрат в разы снизить риски от IT-угроз, она не зависит от типа используемого оборудования и ПО. Можно запретить сотрудникам открывать вложения в письмах, ограничивать доступ к электронной почте и Интернет-сайтам и т. д. Однако при этом подходе невозможно подсчитать уровень обнаружения вредоносного ПО, а подход некоторых фирм не является проактивным методом. В сущности, жесткий набор политик, которые нужно постоянно обновлять и менять, аналогичен сигнатурному методу программ-антивирусов. Но только если база данных по вирусам может обновляться сколь угодно часто, то постоянно менять правила работы сотрудников - вряд ли удачное решение.
У системы предотвращения вторжений IPS есть свой плюс: это хорошая технология для защиты от атак хакеров и бесфайловых вирусов, но IPS неприменима для обнаружения других типов вредоносного ПО и требует обновления сигнатур атак. Однако эта технология отлично себя зарекомендовала в продуктах для защиты рабочих станций и Интернет-шлюзов.
Защита от переполнения буфера на 100% предотвращает ущерб от вредоносного ПО, использующего уязвимости "переполнение буфера". Она не требует обновления, здесь практически исключены ложные срабатывания. Однако ее нельзя использовать для обнаружения других типов вредоносного ПО. Все современные процессоры поддерживают эту технологию на аппаратном уровне. Она востребована для защиты рабочих станций, Интернет-шлюзов и других серверов, которые имеют прямой выход в Интернет.
Поведенческие блокираторы имеют довольно высокий уровень обнаружения (до 60-70%) и могут обнаруживать любой тип вредоносного ПО, не требуя больших затрат процессорного времени и других ресурсов. Однако у них бывают ложные срабатывания, так как существует много программ, похожих по своим действиям на вирусы. Поведенческие блокираторы задают много вопросов пользователям с просьбой принимать решения, и для них требуется иметь функцию "откат" (восстановление изменений, сделанных обнаруженным вредоносным кодом, до момента детектирования на этапе сбора информации). Они применимы только на рабочих станциях, когда возможно исполнение подозрительной программы. На почтовых, файловых серверах и шлюзах подозрительные программы не должны запускаться в принципе, и поведенческий блокиратор не будет востребован там, где идет постоянный трафик.
На основании различной статистики и анализа почтовых сообщений можно остановить эпидемию в самом начале. Признаки опасности - массовая рассылка или прием одинаковых вложений, одинаковых писем с различными вложениями, наличие двойного расширения у вложений.
Не выбор, а кооперация
Проактивные методы часто противопоставляют сигнатурным. Однако и у тех и у других есть свои плюсы и минусы. В таблице приведено сравнение этих методов. Понятно, что ни одна из технологий в одиночку не дает оптимального уровня обнаружения вредоносных программ без ложных срабатываний. Только комплексный подход и объединение различных технологий дадут необходимый результат. Поэтому нужно строить антивирусную защиту не по принципу "сигнатуры или поведенческий блокиратор", а по системе "сигнатуры и поведенческий блокиратор".
Таблица. Сравнение проактивных и сигнатурных методов
Сигнатуры | "Проактивные методы" |
Требуют частого обновления | Не требуют частого обновления |
100%-ное обнаружение вредоносных программ | Не 100%-ное обнаружение вредоносных программ |
Практически не дают ошибок | Есть ошибки и ложные срабатывания |
Необходимо от 10 до 40 минут на добавление новой сигнатуры | Необходимо несколько часов (дней) на изменение алгоритмов |
Невозможно обмануть | Можно обмануть |
Не ловят новые вредоносные программы | Ловят новые вредоносные программы |