Обращайте внимание на внутренние и внешние угрозы, чтобы уменьшить возможный ущерб от нарушения системы безопасности
В 2001 г. лаборатория eWeek Labs концентрировала свои рекомендации по предотвращению информационных угроз на необходимости укрепления систем, обращенных во внешний мир. Сегодня, спустя шесть лет, защита от внешних угроз остается делом столь же актуальным и важным. Но теперь администраторам надо также обратить внимание на внутренние угрозы, чтобы уменьшить риски, создаваемые пользователями в самой компании.
Действительно, ведь спектр угроз существенно изменился по сравнению с упомянутым 2001-м. В значительной мере ушли в прошлое изощренные черви, создававшиеся с расчетом на то, чтобы вызвать много шума и вывести из строя системы, дабы создать возможность для проведения более замаскированных атак. Им на смену приходят все более тщательно продуманные вторжения с целью кражи данных для получения финансовых выгод. Атакующие обнаружили, что обман пользователей - это высокоэффективный способ проникновения в сети как ради создания промежуточных плацдармов для последующих атак, так и ради откровенного использования данных в мошеннических целях.
Шаг второй:превентивные меры
Многие организации соответствующим образом переориентировали свои программы обучения пользователей в области безопасности, но допустить ошибку все еще очень легко. Для этого достаточно открыть безобидный на вид вложенный файл, установить какую-нибудь выглядящую совершенно невинно, но вредоносную программку или даже просто щелкнуть не на той ссылке. Поэтому в действительности ключом к обеспечению безопасности является минимизация ущерба, который могут нанести пользователи, совершающие ошибки по неведению.
В первую очередь необходимо лишить пользователя прав администратора в отношении локальной системы. Оценить важность этого шага вы сможете, если повнимательнее приглядитесь к выпущенному Microsoft в декабре 2006 г. “винегрету" исправлений. В сообщении о характере уязвимостей, для ликвидации которых выпущены три важнейших обновления (по одному в Internet Explorer, Visual Studio 2005 и Windows Media Player), говорится следующее: “Атакующий, успешно использовавший эти уязвимости, может получить те же права, что и локальный пользователь. Пользователи, в чьих учетных записях предусмотрены ограниченные права по управлению компьютером, будут затронуты меньше, чем те, кому предоставлены права администратора". Такого рода сообщения весьма характерны для уязвимостей, обнаруживаемых в продуктах Microsoft.
В Vista функция UAC позволяет ограничить полномочия пользователей.
Но администраторы могут сделать это и на клиентских компьютерах
с Windows XP или Windows 2000
Конечно, существуют тактические приемы и эксплойты, которыми может воспользоваться атакующий для расширения прав доступа к взломанному хосту. Тем не менее ограничение прав пользователей по крайней мере затруднит ему решение этой задачи. Компании, без необходимости предоставляющие пользователям права администратора локальных систем, иначе как беспечными не назовешь. Microsoft открыто признает данный факт. В Windows Vista функция управления учетной записью пользователя (User Account Control, UAC) призвана изначально ограничить права пользователя. При совершении действий, которые рассматриваются как потенциально опасные для системы, она требует или подтверждения со стороны пользователя, или дополнительной аутентификации. Подобное ограждение от пользователей возможно и в клиентских системах с Windows XP или Windows 2000.
Главным препятствием на пути к подходу предоставления пользователю минимально необходимых прав (Least-Privileged User Account, LUA) остается невозможность заставить скверно написанные приложения работать должным образом. Но такие инструменты, как Microsoft Standard User Analyzer, помогают выявить, в каких случаях приложения вступают в конфликт с требованием LUA. Есть и другие инструменты, способные помочь администраторам свести права пользователей к требуемому минимуму и повышать уровень пользовательских привилегий только тогда, когда это совершенно необходимо. Privilege Manager компании BeyondTrust является лишь одним из таких решений.
Конечно, атакующий с привилегиями пользования по-прежнему представляет собой проблему, поскольку созданный им плацдарм может служить отправной точкой для новых атак. Поэтому компаниям следует и далее проводить и даже рационализировать эффективную стратегию установки исправлений, затрагивающих не только операционную систему, но также приложения и драйверы других производителей.
В настоящее время установка исправлений представляет собой реакцию на появление угроз. Однако на протяжении минувшего года характер взаимосвязей между обнаружением уязвимости, появлением эксплойта и выпуском исправления необратимо изменился. Администраторы, вероятно, уже привыкли к следующей стандартной “процедуре": Microsoft выпускает “заплатку" и дает при этом описание уязвимости; затем исправление подвергается обратному инжинирингу для создания кода эксплойта, и начинается его бесконтрольное распространение, которое оставляет лишь несколько дней для тестирования и установления “заплатки". Но по мере все более глубокого изучения системы безопасности продуктов Microsoft (такие исследования проводятся как “белыми", так и “черными" программистами) сведения об уязвимости и код эксплойта все чаще можно встретить задолго до выпуска самого исправления. Это фактически сводит на нет промежуток времени, необходимый для установления “заплатки". Поэтому администраторам необходимо активно поработать над тем, чтобы ускорить процесс тестирования и внесения исправлений.
Кроме того, теперь на администраторов ложится задача отслеживания списков известных неисправленных уязвимостей (подобные списки можно найти по адресу: research.eeye.com/html/alerts/zeroday/ index.html). Администраторам следует оценить потенциальный ущерб, который может быть нанесен сети такими уязвимостями, и взвесить затраты и преимущества, связанные с временным использованием альтернативных решений.
Утрата данных, хранящихся на мобильных устройствах, также остается одной из главных проблем. Мы видим это на примере многочисленных случаев потери и кражи ноутбуков, содержащих тысячи или миллионы записей о конкретных людях. Применение систем шифрования (например, Pointsec компании Check Point Software Technologies или набора SafeGuard производства Utimaco Safeware) остается наиболее очевидным путем ограждения файлов, папок или целых томов от посторонних лиц в случае, если устройство попадет не в те руки. Но шифрование представляет собой паллиатив, игнорирующий более общий вопрос системного характера: может ли потенциальный рост производительности труда в результате предоставления сотрудникам права получать доступ к конфиденциальным данным в любом месте и в любое время перевесить связанные с таким доступом риски? И если да, то существуют ли более надежные способы борьбы с утечками подобной информации?
Передовой опыт: предотвращение угроз - Ограничьте привилегии пользователей. Эксплойтам, использующим обнаруженные уязвимости, придется проводить атаки на более узком участке, а принятое пользователем неверное решение не будет иметь широких последствий. - Устанавливайте "заплатки". Крайне важно устанавливать исправления как для приложений, так и для операционной системы. Правда, к сожалению, остается все меньше времени для их тщательного тестирования перед установкой. - Следите за известными уязвимостями. Пышным цветом расцветают эксплойты, не оставляющие времени на разработку средств борьбы с ними (zero-day exploit environment). Поэтому администраторам необходимо внимательно следить за всем, что может отразиться на их сетях, и анализировать соотношение затрат и преимуществ, связанных с временным использованием альтернативных решений. - Разумно применяйте средства борьбы с вредоносным кодом. Антивирусные программы, несомненно, уже установлены в качестве реактивного средства. Администраторам нужно также подумать, не повысят ли средства борьбы со шпионским ПО, фишингом и спамом, инструменты для обнаружения руткитов и системы предотвращения вторжений (Intrusion Prevention Systems, IPS) уровень проактивной защиты компьютеров, или они лишь увеличат административную нагрузку. - Используйте средства защиты сети. Фильтрация веб-контента и вредоносного кода наряду с прокси-сервером сокращает количество спама и попыток фишинга и может уменьшить вероятность для пользователя попасть в неприятность. Источник: лаборатория eWeek Labs. |
Мы подозреваем, что наиболее популярной станет альтернативная стратегия, заключающаяся в том, чтобы предоставлять доступ к данным через высоконадежные веб-сервисы и контролировать, кто получает доступ, к каким именно данным и откуда. Сети должны еще пройти определенный этап в своем развитии, чтобы можно было реализовать такой сценарий. Но цель, к которой следует стремиться, - это наличие лишь нескольких основных точек доступа к важнейшим данным.