На сегодняшний день компьютерные вирусы остаются одной из наиболее опасных угроз безопасности информационных систем (ИС). Это, в частности, подтверждают данные ассоциации mi2g (http://www.mi2g.com), согласно которым в 2004 г. суммарный ущерб, нанесенный вирусами, составил 184 млрд долл., что почти в два раза превышает аналогичный показатель 2003 г. (см. таблицу).

Размеры ущерба ИС, вызванного различными факторами, в 1999-2004 гг.
(в млрд долл., по данным mi2g)

Год Вирусы Спам Фишинг Итого
1999 2 1 0 21
2000 9 3 0 26
2001 6 3 0 37
2002 11 72 0 119
2003 92 65 16 239
2004 184 154 47 525

Необходимо также отметить, что, по данным исследований Института компьютерной безопасности и Федерального бюро расследований США, в 2004 г. более 78% организаций подверглись вирусным атакам [1]. При этом в 97% этих организаций были установлены межсетевые экраны, а 96% компаний использовали антивирусные средства. Это говорит о том, что существующие подходы к защите от вредоносного ПО не позволяют в полной мере решить задачу обеспечения антивирусной безопасности. Однако прежде чем говорить о недостатках традиционных методов защиты, рассмотрим основные виды вирусных угроз, которые могут представлять опасность для ИС организаций.

Вирусные угрозы безопасности

Угрозу антивирусной безопасности создают различные типы вредоносного ПО, способного нанести определенный вред ИС или ее пользователям. Вредоносное ПО - это компьютерные вирусы и программы типа "троянский конь", "рекламное ПО" (adware), "шпионское ПО" (spyware) и т. д.

Вирусы - это специально созданный программный код, способный самостоятельно распространяться в компьютерной среде [2]. Сегодня можно выделить следующие типы компьютерных вирусов: файловые и загрузочные вирусы, сетевые черви, бестелесные вирусы, а также комбинированные типы. Все они различаются типом носителя и методом распространения в ИС.

Программы типа "троянский конь" (trojan horses) также относятся к вредоносному программному коду, однако, в отличие от вирусов, не способны самостоятельно распространяться в ИС. Программы данного типа маскируются под штатное или какое-то другое ПО и позволяют нарушителю получить удаленный несанкционированный доступ к тем узлам, на которых они установлены.

Вредоносное ПО типа spyware предназначено для сбора определенной информации о работе пользователя. Примерами таких данных могут служить список Web-сайтов, посещаемых пользователем, перечень программ, установленных на рабочей станции пользователя, содержимое сообщений электронной почты и т. д. Собранная информация перенаправляется программами spyware на заранее определенные адреса в Интернете. Вредоносное ПО данного типа может стать каналом утечки конфиденциальной информации из ИС.

Основная функциональная задача вредоносных программ класса adware заключается в отображении рекламной информации на рабочих станциях пользователей (как правило, они выводят на экран пользователя рекламные баннеры). В большинстве случаев эти программы распространяются вместе с другим ПО, которое устанавливается на узлы ИС. Хотя программы adware и не представляют непосредственной угрозы для конфиденциальности или целостности информационных ресурсов ИС, их работа может приводить к нарушению доступности вследствие несанкционированного использования вычислительных ресурсов рабочих станций.

Жизненный цикл вирусных угроз, как правило, состоит из четырех этапов (рис. 1).

Fig.1 Рис. 1. Жизненный цикл вирусной угрозы.

Основное условие первого этапа жизненного цикла вирусной угрозы в ИС - наличие уязвимости, на основе которой могут быть проведены вирусные атаки [3]. Уязвимости бывают связаны с недостатками организационно-правового либо программно-аппаратного обеспечения ИС. Первый тип уязвимостей вызван отсутствием определенных нормативных документов, в которых определяются требования к антивирусной безопасности ИС, а также пути их реализации. Так, в организации может отсутствовать политика информационной безопасности, учитывающая требования к антивирусной защите. Примеры уязвимостей программно-аппаратного обеспечения - это ошибки в ПО, отсутствие средств защиты, неправильная конфигурация программного окружения, наличие нестойких к подбору паролей и т. д.

Уязвимости могут возникать как на технологическом, так и на эксплуатационном этапе жизненного цикла ИС. Технологические уязвимости проявляются на стадиях проектирования, разработки и развертывания ИС. Эксплуатационные уязвимости связаны с неправильной настройкой программно-аппаратного обеспечения, установленного в ИС.

Второй этап жизненного цикла вирусной угрозы - использование вирусом имеющейся технологической или эксплуатационной уязвимости для инфицирования ресурсов ИС. На данном этапе вирус заражает один из хостов, входящих в состав ИС. В зависимости от типа уязвимости применяются различные методы для их использования.

На третьем этапе жизненного цикла вирус выполняет те действия, для которых он был предназначен. Так, вирус может установить на инфицированный компьютер программу типа "троянский конь", исказить информацию, хранящуюся на хосте, или собрать конфиденциальную информацию и передать ее на определенный адрес в Интернете. В ряде случаев вирусы также используются для нарушения работоспособности атакованной ИС.

На четвертом этапе жизненного цикла происходит дальнейшее распространение вирусов в ИС посредством инфицирования других компьютеров, расположенных в одной локальной сети с зараженным хостом. В большинстве случаев распространение вирусов происходит на основе тех же уязвимостей, которые использовались для первичного инфицирования.

Недостатки существующих подходов

Сегодня популярен миф о том, что для эффективной защиты ИС от вредоносного ПО достаточно установить антивирусные продукты на всех корпоративных рабочих станциях и серверах, что автоматически обеспечит нужный уровень безопасности. К сожалению, практика показывает, что такой подход не решает в полной мере задачу защиты от вредоносного кода. Обусловлено это следующими основными причинами. Во-первых, в подавляющем большинстве антивирусные средства базируются на сигнатурных методах выявления вредоносного ПО, соответственно не могут обнаруживать новые виды вирусов, сигнатуры которых отсутствуют в их базах данных. Во-вторых, антивирусные средства защиты не позволяют выявлять и устранять уязвимости, на основе которых компьютерные вирусы проникают в ИС предприятий, и не обладают функциональными возможностями для ликвидации последствий вирусных атак. Наконец, в ряде случаев в организациях отсутствуют нормативно-методические документы, регламентирующие порядок работы с антивирусными средствами защиты. Это может приводить к нарушениям правил эксплуатации, а именно: к несвоевременному обновлению сигнатурных баз, отключению компонентов антивирусов, запуску программ с непроверенных информационных носителей и т. д.

Другой распространенный подход к защите от вредоносного кода - использование в ИС антивирусных средств защиты только от одного производителя, которые устанавливаются на серверы, рабочие станции и сетевые шлюзы. Недостаток такого метода - высокий уровень зависимости от продукции данного производителя. Это означает, что если по какой-то причине будет нарушена работоспособность антивирусного ядра или вендор не сможет своевременно обновить свою базу данных, то под угрозой вирусной эпидемии окажется вся инфраструктура компании. Актуальность данной проблемы обусловлена тем, что антивирусные лаборатории по-разному реагируют на появляющиеся компьютерные вирусы. Иллюстрирует это рис. 2, где приведено время реакции различных компаний-производителей на вирус Sober.P, появившийся 2 мая 2005 г. Можно видеть, что разница во времени реакции достигала 8 ч, в течение которых ИС могла быть успешно атакована злоумышленниками. Необходимо подчеркнуть также, что производитель, сегодня первым отреагировавший на появление вируса класса "А", завтра может оказаться последним, кто выпустит сигнатуру для вируса типа "Б".

Fig.2 Рис. 2. Время реакции различных производителей на компьютерный вирус Sober.P
(по данным http://www.av-test.org).

Избежать перечисленных выше недостатков помогает комплексный подход к защите от вирусных угроз.

Комплексный подход к защите

Комплексный подход к защите от вредоносного кода предусматривает согласованное применение правовых, организационных и программно-технических мер, перекрывающих в совокупности все основные каналы реализации вирусных угроз. В соответствии с этим подходом в организации должен быть реализован следующий комплекс мер:

  • выявление и устранение уязвимостей, на основе которых реализуются вирусные угрозы, что позволит исключить причины возникновения вирусных атак;
  • своевременное обнаружение и блокирование вирусных атак;
  • выявление и ликвидация последствий вирусных угроз. Данный класс мер защиты направлен на минимизацию нанесенного ущерба.

Важно понимать, что эффективная реализация вышеперечисленных мер на предприятии возможна только при наличии нормативно-методического, технологического и кадрового обеспечения антивирусной безопасности.

Нормативно-методическое обеспечение антивирусной безопасности предполагает создание сбалансированной правовой базы в области защиты от вирусных угроз. Для этого в компании должен быть разработан комплекс внутренних нормативных документов и процедур, обеспечивающих процесс эксплуатации системы антивирусной безопасности. Состав таких документов во многом зависит от размеров самой организации, уровня сложности ИС, количества объектов защиты и т. д. Так, для крупных организаций основополагающим нормативным документом в области защиты от вредоносного кода должна быть концепция или политика антивирусной безопасности. Для небольших компаний достаточно разработать соответствующие инструкции и регламенты работы пользователей, а также включить требования к обеспечению антивирусной защиты в состав политики информационной безопасности организации.

В рамках кадрового обеспечения антивирусной безопасности в компании следует организовать обучение сотрудников противодействию вирусным угрозам. Программа обучения должна быть направлена на минимизацию рисков, связанных с ошибочными действиями пользователей. В качестве примеров таких действий назовем запуск приложений с непроверенных внешних носителей, использование нестойких к подбору паролей доступа, закачка объектов ActiveX с недоверенных сайтов и т. д. В процессе обучения необходимо рассмотреть как теоретические, так и практические аспекты антивирусной защиты. Программа обучения может составляться в зависимости от должностных обязанностей сотрудника, а также от того, к каким информационным ресурсам он имеет доступ.

Технологическое обеспечение должно быть направлено на создание комплексной системы антивирусной защиты (КСАЗ), в которую дополнительно следует включить такие подсистемы, как защита от спама, обнаружение и предотвращение атак, выявление уязвимостей, сетевое экранирование и подсистема управления.

Подсистема выявления компьютерных вирусов - это базовый элемент КСАЗ; она предназначена для обнаружения различных типов вирусов на уровне рабочих станций пользователей, серверов, а также сетевых шлюзов. Для обнаружения вирусов подсистема использует как сигнатурные, так и эвристические методы анализа. В случае обнаружения вируса она должна обеспечивать оповещение пользователя и администратора безопасности, а также удаление выявленных вирусов из инфицированных файлов.

Для эффективной защиты от вирусов лучше, чтобы подсистема базировалась на антивирусных ядрах различных производителей [4]. Это существенно повысит вероятность обнаружения вируса за счет того, что каждый файл или почтовое сообщение будет проверяться различными ядрами. Еще одно преимущество использования многоядерных антивирусов - более высокая надежность работы КСАЗ: если в одном из сканирующих ядер КСАЗ произойдет сбой, его всегда можно заменить другим активным антивирусным ядром.

Пример программного продукта, который можно использовать для реализации КСАЗ, - система Antigen компании Microsoft (http://www.antigen.ru), предназначенная для антивирусной защиты серверов Exchange, SharePoint, SMTP-шлюзов и другого прикладного ПО. Данный продукт может включать в себя до восьми антивирусных ядер различных производителей.

Подсистема сетевого экранирования предназначена для защиты рабочих станций пользователей от сетевых вирусных атак посредством фильтрации потенциально опасных пакетов данных. Подсистема должна обеспечивать фильтрацию на канальном, сетевом, транспортном и прикладном уровнях стека TCP/IP. Как правило, данная подсистема реализуется на основе межсетевых и персональных сетевых экранов. При этом межсетевой экран устанавливается в точке подключения ИС к Интернету, а персональные экраны размещаются на рабочих станциях пользователей.

Подсистема выявления и предотвращения атак предназначена для обнаружения несанкционированной вирусной активности посредством анализа пакетов данных, циркулирующих в ИС, а также событий, регистрируемых на серверах и рабочих станциях. Подсистема дополняет функции межсетевых и персональных экранов за счет возможности более детального контекстного анализа содержимого передаваемых пакетов данных. В нее входят следующие компоненты: сетевые и хостовые сенсоры, модуль выявления атак, модуль реагирования на них и модуль хранения данных.

Сетевые и хостовые сенсоры предназначены для сбора необходимой информации о функционировании ИС. Сетевые сенсоры реализуются в виде отдельных программно-аппаратных блоков и собирают информацию обо всех пакетах данных, передаваемых в рамках того сетевого сегмента, где установлен сенсор. Сенсоры этого типа устанавливаются во всех ключевых сегментах ИС, где расположены защищаемые узлы системы. Хостовые сенсоры устанавливаются на рабочие станции и серверы и собирают информацию обо всех событиях, происходящих на этих узлах системы. Они могут собирать информацию не только о пакетах данных, но и о других операциях, которые выполняются приложениями, запущенными на узле ИС.

Модуль выявления атак обрабатывает данные, собранные сенсорами, с целью обнаружения информационных атак. Он должен реализовывать сигнатурные и поведенческие методы анализа информации.

Модуль реагирования на обнаруженные атаки должен предусматривать варианты как пассивного, так и активного реагирования. Пассивное реагирование предполагает оповещение администратора о выявленной атаке, активное - блокирование попытки реализации атаки.

В модуле хранения данных содержится вся конфигурационная информация, а также результаты работы подсистемы.

Подсистема выявления уязвимостей должна обеспечивать обнаружение технологических и эксплуатационных уязвимостей ИС посредством проведения сетевого сканирования. В качестве объектов сканирования могут выступать рабочие станции пользователей, серверы, коммуникационное оборудование. Для сканирования могут применяться как пассивные, так и активные методы сбора информации. По результатам работы подсистема должна выдавать детальный отчет, содержащий информацию об обнаруженных уязвимостях и рекомендации по их устранению.

Совместно с подсистемой выявления уязвимостей в ИС может использоваться система управления модулями обновлений общесистемного и прикладного ПО. Совместное их использование позволит автоматизировать процесс устранения выявленных уязвимостей путем установки необходимых пакетов обновлений на узлы ИС.

Подсистема защиты от спама направлена на блокирование почтовых сообщений рекламного характера. Для этого подсистема должна поддерживать работу со списками RBL (Real-Time Black Lists), а также реализовать собственные сигнатурные или поведенческие методы выявления спама. Подсистема устанавливается таким образом, чтобы все почтовые сообщения, поступающие из Интернета, вначале проходили через ее контекстный фильтр, а затем попадали на корпоративный почтовый сервер.

Подсистема управления антивирусной безопасностью выполняет следующие функции:

  • удаленную установку и деинсталляцию антивирусных средств на серверах и рабочих станциях;
  • удаленное управление параметрами работы подсистем защиты, входящих в состав КСАЗ;
  • централизованный сбор и анализ информации, поступающей от других подсистем. Это позволяет автоматизировать процесс обработки поступающих данных и повысить оперативность реагирования на выявленные инциденты, связанные с нарушением антивирусной безопасности.

Общая схема размещения в ИС подсистем защиты, входящих в состав комплексной системы антивирусной безопасности, показана на рис. 3.

Fig.3
Рис. 3. Общая схема размещения средств защиты в ИС.

Внедрение такой комплексной системы антивирусной защиты представляет собой сложный многоступенчатый процесс, в котором можно выделить следующие этапы.

  1. Аудит информационной безопасности ИС, направленный на сбор исходной информации, необходимой для разработки плана внедрения КСАЗ.
  2. Формирование требований к КСАЗ, предназначенной для защиты ИС. На данном этапе формируется техническое задание на внедрение КСАЗ.
  3. Подготовка технорабочего проекта внедрения КСАЗ, содержащего описание проектных решений, схемы установки, параметры настройки КСАЗ и другие служебные данные.
  4. Обучение персонала организации, ответственного за администрирование КСАЗ.
  5. Пусконаладочные работы, связанные с развертыванием КСАЗ.
  6. Техническое сопровождение КСАЗ, в рамках которого решаются вопросы обслуживания системы в процессе ее эксплуатации.

Состав этапов и их длительность зависят от размеров защищаемой системы и от масштабов внедрения КСАЗ. Работы, связанные с внедрением и эксплуатацией КСАЗ, могут проводиться как собственными силами предприятия, так и с привлечением внешних организаций, специализирующихся на предоставлении услуг в области информационной безопасности. При этом некоторые этапы можно объединять или проводить одновременно. Например, подготовка технорабочего проекта и обучение персонала предприятия могут выполняться параллельно.

Заключение

Компьютерные вирусы - одна из наиболее значимых сегодня угроз информационной безопасности, о чем свидетельствуют цифры ежегодных финансовых потерь компаний в результате вирусных атак. При этом традиционные меры борьбы с вредоносным ПО, основанные на простой установке антивирусных средств защиты на рабочих станциях и серверах, оказываются недостаточно эффективными. Использование комплексного подхода к противодействию вирусным атакам позволит повысить эффективность тех мер, которые используются компаниями в настоящее время.

Источники дополнительной информации

  1. CSI/FBI Computer crime and security survey. Computer Security Institute. 2005. http://www.gocsi.com.
  2. ГОСТ Р 51188-98. Защита информации. Испытания программных средств на наличие компьютерных вирусов. Типовое руководство.
  3. В. А Сердюк. Ахиллесова пята информационных систем. "BYTE/Россия", № 4'2004.
  4. Microsoft Corporation. The Antivirus Defense-in-Depth Guide, 2004.