Как справиться с растущим потоком предупреждений о новых компьютерных вирусах
Если бы сетевые администраторы и специалисты по безопасности из Управления малого бизнеса (Small Business Administration, SBA, Вашингтон) поддавались панике после каждого предупреждения о появлении нового опасного вируса или обнаружении потенциально уязвимых мест в программных пакетах, то у бизнесменов, получающих через SBA кредиты и другую помощь, жизнь была бы весьма несладкой.
Баррет из SBA: "Фильтрация предупреждений с
невысокой потенциальной опасностью позволяет
избежать снижения производительности"
Компьютерную сеть SBA, к которой подключено 3500 рабочих станций на базе Windows и 120 серверов (в основном на платформе Unix), расположенных в разных точках страны, пришлось бы то и дело останавливать, пока эксперты по безопасности не отыщут очередную “заплату” или способ исправления ПО.
К счастью для клиентов, в SBA разработали систему, позволяющую быстро определить, какие предупреждения говорят о серьезной угрозе, а какие нет. Благодаря этому специалисты SBA способны предотвратить крупную опасность вроде недавней эпидемии вируса Love Bug за каких-нибудь три часа. В то же время к вещам малоопасным они относятся спокойно, не отнимая время ИТ-специалистов и не мешая нормальной работе организации.
“Мы разработали общий подход к решению проблемы вирусов и устранения уязвимых мест ПО с помощью "заплат", - говорит Говард Болден, менеджер программы обеспечения компьютерной безопасности SBA. - Поскольку для каждой ситуации мы сумели выработать адекватные меры и должным образом их автоматизировали, реагировать на потенциальную угрозу стало гораздо проще”.
Умение реагировать на поток предупреждений об опасностях, ежедневно получаемых многими организациями, становится важнейшим профессиональным качеством ИТ-специалистов и менеджеров по компьютерной безопасности. В связи с тем что ПО усложняется и все больше людей как с хорошими, так и с дурными намерениями активно работает в Интернете, число предупреждений превысило все мыслимые пределы. Одних лишь сообщений об уязвимых местах ПО, рассылаемых по подписке Bugtraq, NTBugtraq, CERT, SANS, FedCIRC и массой различных организаций, сегодня набирается 75 в месяц, тогда как в 1998 г. их было не более 25. Эти данные приводит Питер Мелл, специалист по компьютерам, работающий над проектом поисковой системы ICAT Metabase в Национальном институте по технологическим стандартам (National Institute for Standards in Technology, Гейзерсбург, шт. Мэриленд).
Растущее число предупреждений прибавляет и забот о том, как на них реагировать. Если организация впадет в крайность и станет часто закрывать свою сеть, то это, по мнению экспертов, отрицательно отразится на продуктивности всей ее работы. А если не принять достаточных мер, в системе защиты организации останутся потенциально опасные бреши. Возьмите, к примеру, корпорацию Microsoft, недавно пострадавшую из-за появления сообщений о том, что она слишком вяло реагирует на угрозы хакерских атак.
Как же сделать так, чтобы реакция была адекватна реальной опасности? Прежде всего, считают эксперты, специалисты любой организации должны заранее выстроить иерархию потенциальных угроз и выработать стандартные правила реагирования на каждую из них в зависимости от занимаемого в иерархии места. Приняв первые меры предосторожности, следует провести анализ на предмет возможности улучшения системы реагирования. И наконец, не нужно пренебрегать помощью сторонней консалтинговой фирмы, специализирующейся на вопросах безопасности. Между прочим, в последнее время такие фирмы много внимания уделяют быстрой оценке серьезности поступающих предупреждений.
К сожалению, те же эксперты отмечают, что большинство организаций еще не имеют сложившегося представления о том, как надо реагировать на растущий поток предупреждений об угрозах. Как правило, компании ограничиваются полумерами, вместо того чтобы серьезно планировать политику безопасности, считает Брюс Шнайер, главный технолог фирмы Counterpane Internet Security (Сан-Хосе, шт. Калифорния), предоставляющей услуги в сфере защиты компьютерных сетей и данных.
Большинству компаний слишком трудно делать все так, как надо, отмечает он. И вряд ли их можно в чем-либо винить, ведь сигналы тревоги раздаются все чаще. Однако если они не выработают структурированного подхода к реакции на угрозы, то очень скоро погрязнут в заботах по починке и латанию дыр. Этот подход начинается с того, что Шнайер называет “управляемым мониторингом безопасности”: вы не только ставите замок на свою входную дверь, но и оборудуете ее, как и все, что находится внутри вашего дома, системой сигнализации. Теперь вам нужно следить за датчиками. Если какой-то из них сработает или поступит сигнал опасности со стороны, вы должны быстро оценить потенциал угрозы и затем действовать согласно заранее составленному плану.
Основная сложность, по мнению экспертов, заключается в том, чтобы адекватно реагировать на предупреждения или провалы в защите, не грозящие фатальными последствиями. Легко принять решение об изоляции сети и всех настольных систем при атаке вируса вроде Melissa. Но как быть, если вирус может повредить лишь одной группе пользователей, или если он не опасен для данных и грозит только мелкими неприятностями? В SBA считают, что нужно заранее продумать и определить свою реакцию с учетом ее негативного воздействия на продуктивность организации, ограничения нормального доступа клиентов к электронным службам, а также риска уронить престиж компании, если ее специалисты не справятся с ситуацией. Как и большинство организаций, SBA не проводит формального анализа возврата инвестиций, чтобы оценить эффективность вложения средств, выделяемых на предотвращение угроз разного типа. Однако с учетом возможного ущерба для компании и ее клиентов агентство смогло выработать ряд строгих и обязательных для исполнения протоколов реагирования, набор сценариев, помогающих оценить последствия угрозы, и методики расчета издержек в случае принятия или непринятия мер.
“У нас есть стандартный подход к оценке угрозы и возможных потенциальных последствий ее проявления, - заявил Лоуренс Барретт, CIO SBA. - Однако теперь мы выходим на тот уровень, когда накопленный объем информации позволяет начать разработку специфических предохранительных мер для каждого конкретного типа угроз”.
Столкнувшись с новым вирусом, SBA старается отнести его к уже известному классу, чтобы применить разработанные для него общие меры защиты. Так, вирусы подразделяются на группы в соответствии с тем, грозят ли они мелкой неприятностью или заключают в себе серьезную опасность, чреватую порчей или разрушением файлов. Возглавляют список наиболее опасных угроз, требующих немедленного реагирования, атаки, блокирующие систему обслуживания клиентов, и признаки несанкционированного доступа. В эту категорию, например, попал вирус Melissa, вынудивший SBA быстро изолировать всю свою сеть от Интернета и войти в контакт с поставщиком средств обеспечения безопасности, корпорацией McAfee.com, для укрепления защиты. (Официальные лица SBA не пожелали уточнить, как много предупреждений они относят к разряду серьезных, но сказали, что агентство вынуждено принимать те или иные меры в среднем один-два раза в три недели.)
Однако бывают случаи, когда не так-то просто оценить реальную степень опасности. Хотя в ряде мест публикуемые предупреждения об опастности сопровождаются подробными описаниями вирусов и их поведения, многие источники ограничиваются лишь элементарными сведениями о них. SBA, как и другие организации, пользуется целым рядом доступных источников предупреждающей информации, включая производителей ОС и антивирусного ПО, группу по чрезвычайным ситуациям и информационные каналы FedCIRC правительственного центра анализа компьютерной безопасности. Поскольку сведения из таких источников зачастую не согласованы между собой, сетевым администраторам SBA нередко приходится оценивать потенциальную опасность самостоятельно. Иными словами, они пытаются уравновесить меры по усилению безопасности сети и последствия вирусных атак или несанкционированного проникновения в сеть через бреши в системе защиты.
Учитывая рост числа и частоты поступления предупреждений об угрозах, эксперты рекомендуют при оценке потенциальных последствий прибегать к помощи извне. Консультационные компании, специализирующиеся на вопросах безопасности, такие, как PGP Security (Санта-Клара, шт. Калифорния), дочернее предприятие фирмы Network Associates, поставляющей решения для защиты компьютерных систем, начинают заниматься деятельностью, направленной на то, чтобы помочь клиентам разобраться в потоке предупреждений. Помимо аутсорсинговых услуг по выявлению внешних атак PGP и ряд других компаний готовят и рассылают ИТ-менеджерам и руководителям ИТ-служб бюллетени с концентрированной информацией об угрозах. По словам Джима Магдича, менеджера PGP по исследованиям в сфере безопасности, они удобнее и требуют меньше времени для просмотра, чем обычные рассылочные листы.
В отличие от SBA многие компании в вопросах безопасности полагаются на личный опыт сетевых администраторов, которым приходится оперативно реагировать на те или иные опасности. Например, в фирме Collective Technologies (Остин, шт. Техас), специализирующейся на консультациях и услугах для э-бизнеса, за поступающими сигналами непрерывно следят целых три группы менеджеров. После идентификации опасности специально выделенный менеджер определяет меры защиты и осуществляет контроль за их реализацией.
“Конкретный план зависит от уровня опасности, - пояснил Джефф Тайлер, глава ИТ-служб Collective Technologies. - Мы не можем, например, сказать: откройте книгу на странице 14 и следуйте пунктам X, Y и Z”.
Тому же принципу - наблюдать и реагировать - следует и фирма Ecampus.com (Лексингтон, шт. Кентукки), виртуальный книжный магазин для колледжей. Круглосуточно дежурящий ее персонал следит за отчетами и оперативными предупреждениями системы мониторинга NetProwler (фирмы Axent Technologies), предназначенной для выявления злоумышленных действий. И если, скажем, сигнал об угрозе или внешнем вторжении чреват потерей данных, то вопрос о защите рассматривают главные инженеры. Они решают, надо ли изолировать зондируемый хакером сервер или нужно принять более радикальные меры.
Если говорить об Ecampus, то ее менеджеры не видят возможности автоматизировать процесс. “Мы хотели бы иметь инструмент, который подсказал бы: здесь нет ничего серьезного, ступай и ложись спать, но увы”, - посетовал главный технолог фирмы Брент Таттл. Однако на сегодняшний день подход Ecampus, похоже, оправдывает себя. Хотя сайт подвергается атаке не реже пяти раз в неделю, мало кому удается попасть за его брандмауэр.
Недавно вирус все же проник в систему; это произошло после того, как младший администратор перезагрузил сервер электронной почты Exchange, но забыл восстановить переключатель для удаления всего подозрительного. “Нам пришлось остановить работу почтового сервера почти на шесть часов, пока мы не привели его в порядок, - признался Таттл. - Это был случай из ряда вон”. Теперь в компании ежедневно проверяют установку этого ключа.
Таттл не стал говорить, во сколько обошелся фирме шестичасовой простой, и лишь отметил, что “+когда выходит из строя ответственный компонент системы, а тремстам работникам и тысячам клиентов приходится ждать своей почты, это безобразие”. Компания ведет журналы регистрации событий, и их анализ помогает руководству определять направления атак. Основываясь на этой информации, сетевые администраторы совершенствовуют ПО, устанавливая “заплаты” в брандмауэр и систему оповещения о вторжениях.
Не только Ecampus анализирует данные об имевших место атаках. В фирме Open Market (Берлингтон, шт. Массачусетс), разрабатывающей ПО для э-бизнеса, каждый из полутора десятков системных администраторов получает сообщения с предупреждениями об угрозах и отвечает за отбор сведений, важных как для всей компании, так и для его непосредственного участка работы. Внутренние предупреждения затем рассылаются в заинтересованные подразделения; помимо этого Open Market выпускает ежемесячный бюллетень со сводкой своих дел в области безопасности.
Дэниел Ким, отвечающий за защиту Web-сайта, просматривает не менее 20 предупреждений в день, отфильтровывая то, что не имеет отношения к делу, оставшееся сортируя по приоритетам. “Мы оцениваем степень потенциальной опасности и возможность повреждения данных, - рассказал он. - При этом исследуем то, что уже известно и что может произойти. В этом состоит практический подход”.
Позволяет ли такой подход, основанный на мнении экспертов, судить об адекватности мер, принимаемых э-компаниями в ответ на внешние угрозы безопасности? Вряд ли. Однако компании обычно стараются застраховать себя и считают целесообразным заделать все бреши в системе защиты, невзирая на высокие издержки. Перестраховаться, считает Тайлер из Collective Technologies, иной раз тоже не помешает: “Лучше перестараться и пойти на определенные потери, чем проснуться и увидеть, что все дела встали”.
Несколько лет назад Тайлеру буквально в считанные секунды пришлось привести в действие крайние меры защиты. “Мне позвонил системный администратор из Нью-Йорка, и я ему крикнул, чтобы они немедленно выдернули штепсель, - вспоминает он. - Они так и сделали”.
Дело было в том, что утилита для обнаружения взломов Tripwire одноименной фирмы в течение четверти часа сигнализировала о несанкционированном проникновении через брешь в сетевой инфраструктуре Collective Technologies. Злоумышленник пробрался через сервис-провайдера Интернета, воспользовавшись паролем с пустым текстом. Это было еще до того, как Тайлер настоял на использовании системы SecurID фирмы RSA Security с одноразовыми паролями для доступа к электронной почте, Web и другим службам.
“Выдернутый штепсель” отрезал компанию, занимающуюся созданием сетей и консалтингом, от Интернета, но это было первый и последний раз. Хотя компания приостановила работу на целых три часа, показавшиеся Тайлеру самыми длинными в его жизни, он не сожалел о решении, принятом во время минутного разговора. Он никогда не оценивал издержки этого инцидента, однако сказал: “Электронная почта - это наша жизнь, и мы живем и умрем на своем оборудовании. Когда система выходит из строя, бизнес стоит на месте”.
Хотя SBA применяет более структурированный подход, порой и в этой организации грешат перестраховкой. Наверное, это неудивительно, если учесть все увеличивающееся число внешних и внутренних предупреждений, ежедневно бомбардирующих ИТ-отделы.
“Бывает, я оглядываюсь назад и думаю, что, может быть, не стоило идти на такие крайние меры, как отключение электронной почты, - поделился своими мыслями Баррет. - Но в случае опасности занесения вирусов, которые могут передаваться другим пользователям, очень важно себя как можно скорее изолировать. Мы не хотим прослыть распространителем инфекции”.
Лайза Козан - внештатный автор и редактор из Массачусетса. С ней можно связаться по адресу: lkosan@mediaone.net.
Списки, списки, списки+
Не так-то просто уследить за всеми публикуемыми предупреждениями об уязвимых точках систем или новых вирусах. Приведем ряд наиболее популярных и полезных списков, рассылаемых через Web, и адреса, где можно их найти:
- Bugtraq - обработанный список слабых мест ПО, потенциальных видов атак и способов защиты от них. Адрес: www.securityfocus.com;
- NTBugtraq - обработанный список, ориентированный на пользователей корпоративных ОС Microsoft. Адрес: www.ntbugtraq.com;
- CVE - список обновлений в перечне Common Vulnerabilities and Exposures, составляемом корпорацией MITRE. Адрес: www.cve.mitre.org/cve;
- CERT - список с рекомендациями по вопросам безопасности и информацией о приобретении “заплат”, предлагаемых Carnegie Mellon Software. Адрес: www.cert.org;
- SANS - еженедельный бюллетень с информацией о “заплатах”, новых способах укрепления слабых мест в системе защиты и новостях в области безопасности. Адрес: www.sans.org.
Источник: eWeek.
CVE: как их называть?
Пару лет назад Стив Кристи начал искать средство, которое помогло бы ему находить слабые места в защите сети корпорации Mitre (Бедфорд, шт. Массачусетс), насчитывающей около 11 тысяч узлов. Эта работа вылилась в создание прообраза справочного пособия для всех, кто обязан следить за безопасностью сетей.
По инициативе Кристи корпорация Mitre в сентябре прошлого года приступила к составлению списка из 321 согласованного термина для описания характерных особенностей и недостатков операционных систем, ПО и аппаратуры, которые должны учитываться при создании надежной системы защиты, получившего название CVE (Common Vulnerabilities and Expogures - Общий перечень уязвимых и слабых мест). Сегодня этот перечень содержит уже 1077 согласованных имен, и еще 850 терминов ждут утверждения.
Согласованием терминов занимается редакционный совет CVE Editorial Board, представляющий около 30 компаний, производственных фирм, а также правительство и академические группы.
”Мы пытаемся создать канонизированную терминологию, чтобы все могли использовать ее для ссылок”, - говорит Кристи, ведущий инженер Mitre по информационной безопасности. Группа стремится к тому, чтобы терминология CVE употреблялась в бюллетенях, издаваемых другими организациями и содержащих информацию по проблемам безопасности. “Это попытка решить проблему вавилонской башни, - говорит он. - Иными словами, мы стараемся упростить использование сведений, об уязвимых местах ПО, которые содержатся в различных базах данных и необходимы производителям средств защиты”.
Если публикуемые предупреждения будут опираться на терминологию CVE, то пользователям проще будет находить нужную информацию о способах защиты в CVE-совместимых базах данных, считает Кристи.
Перечень CVE помогает ИТ-менеджерам не только разобраться в потоке предупреждений о потенциально уязвимых местах и имевших место происшествиях, но и строить планы защиты. “Поняв, о чем следует заботиться в первую очередь, они смогут расставлять приоритеты”, - говорит Пит Таскер, директор отделения Security and Information Operations корпорации Mitre. Наиболее серьезные опасности требуют установки “заплат” и исправления ПО, а в иных случаях следует хорошенько взвесить степень риска и затраты по усилению защиты.
Сайт CVE (www.cve.mitre.org) предлагает простой пользовательский интерфейс и терминологический перечень по образцу словаря; еженедельно он регистрирует около пяти тысяч IP-адресов посетителей. Помимо этого текущие извещения CVE сегодня рассылаются 250 подписчикам. Пользователи могут просматривать весь HTML-список, запускать поиск, причем не только по операционной системе, например Unix, но и по названиям конкретных приложений, а также копировать список на своем ПК.
Сведения по каждому уязвимому месту включают его согласованное наименование, краткое описание и ссылки на первоисточник сообщения и другую опубликованную информацию. CVE не приводит подробностей о происшествиях или информации о методах защиты. Вместо этого список содержит гиперссылки на уже существующие базы данных, равно как и соответствующие словарным единицам CVE альтернативные термины, используемые производителями или другими сайтами по компьютерной безопасности.
Цель инициативы - создание общеупотребительной терминологии, благодаря которой десять различных имен одного и того же слабого места будут заменены одним стандартным названием и все смогут говорить на одном языке.
Быстрая реакция
Что делать, если пользователь или системный администратор компании получил предупреждение об угрозе безопасности сети? Приводим перечень действий, которые, по мнению экспертов, помогут снизить общий уровень уязвимости ваших систем и создадут основу для последующего анализа ситуации.
- Сообщите о случившемся вашему координатору или специалистам, отвечающим за предупреждение чрезвычайных происшествий.
- Оцените последствия происшествия.
- Найдите упущения, приведшие к происшествию.
- Разработайте и реализуйте контрмеры.
- В любом случае известите о происшедшем соответствующие органы правопорядка.
- Если вы не хотите привлекать органы правопорядка, проведите собственное, внутреннее расследование.
- Известите о случившемся ваших клиентов и другие заинтересованные лица.
- Соберите и зарегистрируйте факты.
- Присвойте происшествию обозначение и категорию.
- Вернитесь к анализу упущений и скорректируйте меры защиты.
- Разработайте и осуществите технические мероприятия.
- При необходимости сохраните контакт с органами правопорядка.
- Произведите ретроспективный анализ происшедшего.
- Проведите восстановительные мероприятия.
- Составьте и сохраните объективные отчеты.
Источник: Резюме материалов выступлений Джима Дункана из фирмы Cisco Systems и консультанта Рика Фарроу на конференции USENIX 2000 Security Conference, составленное фирмой Collective Technologies.