Сегодня наиболее опасной формой распространения вредоносного кода становится Интернет и автоматическая загрузка файлов без ведома пользователя. Поэтому ИТ-администраторам и сотрудникам предприятий следует пересмотреть список инструментов и приемов, применяемых для защиты компьютеров и данных. Это особенно важно в связи с тем, что известные Web-сайты, работающие на законных основания, превращаются в основной источник распространения вредоносного кода.
Мы знаем, что киберпреступники используют два способа. Первый заимствован из области фишинга. Авторы вредоносного кода создают новые домены и Web-сайты так быстро, что средства фильтрации URL-адресов и базы данных вирусных сигнатур за ними просто не успевают. Цель заключается в том, чтобы найти некоторое количество жертв прежде, чем компании, занимающиеся обеспечением безопасности, обновят сигнатуры. Второй способ – взлом Web-сайтов. Сами сайты работают как обычно, но внесенные изменения приводят посетителей к вредоносному контенту.
Примером сочетания этих двух типов Интернет-угроз является сеть зомбированных компьютеров Asprox. Первоначально она была создана для фишинга – попыток заразить компьютеры ничего не подозревающих пользователей с помощью создаваемых на короткое время Web-сайтов. Но за последние несколько месяцев Asprox трансформировалась в средство атак на легитимные сайты с помощью ввода SQL-запросов. Через Google злоумышленники автоматически находят и взламывают Web-сайты, на которых используются уязвимые сценарии на базе Active Server Pages, и вставляет в них объект IFrame, который перенаправляет посетителей к вредоносному коду.
Согласно некоторым источникам, большинство содержащих такой код Web-страниц размещено сейчас на легитимных сайтах. В отчете об угрозах безопасности за июль 2008 г. (July 2008 Security Threat Report Update) исследовательской лаборатории компании Sophos утверждается, что 90% зараженных Web-страниц, обнаруженных ею в первой половине этого года, принадлежит сайтам, работающим на законных основаниях, но тем или иным образом взломанным. В отчете говорится также, что в этот период лаборатория ежедневно находила в среднем свыше 16 тыс. новых инфицированных страниц.
Изменения в характере распространения вредоносного кода требуют от ИТ-администраторов поиска новых способов обеспечения безопасности корпоративных активов и рекомендаций, которых от них ждут рядовые пользователи.
Поскольку регулярно посещаемые пользователем легитимные сайты, например принадлежащие банкам, магазинам или социальным сетям, уже не являются гарантированно «чистыми», старое правило противодействовать вирусным атакам, просто не щелкая мышкой по ссылкам в электронных сообщениях, уже не работает.
Действительно, если главным рассадником вредоносного кода становится легитимный сайт, о котором неизвестно, заслуживает ли он доверия, необходимо найти технический способ, позволяющий решить этот вопрос и вселить в пользователя определенную уверенность, что в момент посещения сайта тот вполне безопасен, причем не пять месяцев назад, не часом раньше, а именно в данную минуту.
Поставщики средств безопасности экспериментируют с различными новыми технологиями, пытаясь найти средства борьбы с современными Интернет-угрозами. Ведь используемый сейчас в антивирусных платформах метод распознавания файлов на основе базы сигнатур оказывается неэффективным против новых видов атак.
Современные технологии, применяемые для расширения возможностей браузера, проверяют репутацию Web-сайта, производят потоковое сканирование трафика и блокировку скриптов. А разработчики антивирусов включают в свои платформы дополнительные функции эвристического и поведенческого анализа.
Большинство этих надстроек над браузерами призвано навести порядок на «диком Западе», с которым можно сравнить принадлежащие частным лицам ПК под управлением Microsoft Windows. Корпоративные пользователи сегодня в меньшей степени страдают от Интернет-угроз, поскольку ИТ-администраторы организовали крепкую линию обороны, защищающую как сети, так и сами ПК.
Например, специальное оборудование для предотвращения вторжений или шлюзовое устройство для анализа потока Интернет-данных могут обнаружить и заблокировать исходящий Web-трафик, если он имеет сходство с активностью зомбированных компьютеров, и входящий трафик, если он содержит вредоносный код. Однако решения для защиты на уровне сети не защитят пользователей, которые применяют мобильные устройства за пределами офисов.
Разработчики корпоративных решений в области безопасности внесли значительные усовершенствования во встроенные системы обнаружения вторжений и анализа Интернет-трафика. Решение принимается после анализа поведения кода или обнаружения его сходства с уже известными угрозами, и в случае малейших подозрений код блокируется до его попадания в файловую систему.
Существуют различные подходы, которые администраторам необходимо проанализировать перед началом развертывания соответствующего ПО. Одни продукты подключаются к браузеру, чтобы целенаправленно изучать поведение таких элементов, как ActiveX и JavaScript. Другие производят более полное сканирование передаваемого по протоколу HTTP трафика и определяют, от кого исходит направленный в Интернет запрос – от браузера, приложения электронной почты или из иного источника. Бывают и продукты, встраиваемые в корпоративную платформу безопасности.
Некоторые компании, специализирующиеся на обеспечении защиты, меняют способ выявления вредоносного кода. Trend Micro, например, переходит от рассылки сигнатур (когда сигнатуры периодически обновляются во всей корпоративной сети) к выдаче информации о наличии угрозы по запросу прямо через Интернет (на современном ИТ-языке – «из облака»).
Поток исправлений
Корпоративные ИТ-службы могут поддаться искушению и внедрить для защиты удаленных работников инструменты, предназначенные для индивидуальных пользователей. Однако подобные эксперименты весьма опасны. В большинстве продуктов такого рода не предусмотрено централизованное управление, поэтому в каждом конкретном случае обновление должно производиться индивидуально. Кроме того, такие продукты различаются по степени поддержки различных браузеров, поэтому они могут конфликтовать с устаревшими, но еще важными корпоративными Web-приложениями.
Полезные советы
Мы обратились к представителям ведущих производителей антивирусов с просьбой порекомендовать ИТ-администраторам, как им инструктировать пользователей относительно защиты от Интернет-угроз (конечно, помимо внедрения средств защиты). ·
- Устанавливайте исправления и обновления, поддерживайте операционную систему в актуальном состоянии и используйте новейшие версии каждого из имеющихся у вас браузеров. Установите «заплатки» для браузеров и не забудьте обновить все плагины и приложения. ·
- Используйте встроенные антифишинговые функции новых браузеров, чтобы не ввести по ошибке личные данные в поля на подставном сайте. ·
- Не щелкайте мышкой по ссылкам, содержащимся в электронных сообщениях, и не загружайте прикрепленные файлы, если отправитель вам не известен.
Если вам показалось, что вы уже где-то слышали нечто подобное, вы правы. Но всегда было непросто заставить конечных пользователей соблюдать правила, и, похоже, дальше будет еще сложнее. «Я не думаю, что для решения проблемы достаточно просто сказать конечным пользователям, как им следует изменить свое поведение, – заявил Кен Биэ, директор корпорации Trend Micro, специализирующейся на Интернет-безопасности. – Когда главную опасность представлял спам, можно было ограничиться парой основных советов, чтобы люди перестали щелкать мышкой по ссылкам. Теперь же, когда создатели вредоносного кода взламывают легитимные сайты, не очень понятно, как с этим бороться».
Источник: eWeek Labs.
Лучший практический совет, какой я способен дать вне зависимости от того, какая компания разработала используемые вами средства безопасности, звучит так: своевременно устанавливайте обновления и «заплаты», чтобы избежать Интернет-угроз. Я имею в виду операционную систему, браузер и его надстройки, а также приложения. Однако, как уже отмечалось, иногда обновления браузера могут приводить к несовместимости с имеющимися Web-приложениями.
Сама система обеспечения безопасности может даже стать наказанием для его производителя, если он не поддерживает ее на современном уровне. Например, один из моих любимых инструментов для проверки Web-сайтов и сканирования трафика – автономная версия программы LinkScanner Pro компании AVG – все еще не поддерживает Firefox 3.0, хотя прошло уже больше месяца после выхода этой новой версии браузера Mozilla.
В подобных случаях администраторам следует решить, чему отдать предпочтение – передовому инструменту безопасности или повышению своей производительности, которую обеспечивает проверенное приложение. Как правило, выбор делается в пользу второго варианта. Но если точно известно, что производитель приложения долго вносит в свой продукт изменения, связанные с усовершенствованием браузеров, наверное, не следует выбирать его продукт для использования в корпоративном секторе на постоянной основе.