Rambler's Top100
Статьи ИКС № 3 2008
Галина БОЛЬШОВА  07 марта 2008

Угрозы можно предотвратить…если захотеть

Защитники информации, похоже, никогда не останутся без работы. Регулярно появляются новые угрозы ИБ, оставляя «вчерашние» в старом списке. О тенденциях в противостоянии атакам и угрозам ведущих производителей средств ИБ рассказывает Денис БАТРАНКОВ, консультант по ИБ подразделения IBM Internet Security Systems.

Денис Батранков– Изменилась ли в 2008 г. структура угроз?

– Исследования аналитиков IBM ISS показали, что угрозы, вышедшие в 2007 г. на первое место, до сих пор (на начало 2008 г. – Ред.) актуальны. Среди «призеров» – угрозы Web 2.0: при совместном создании контента часть «соавторов» этот контент заражает. Кроме того, благодаря технологиям Web 2.0 злонамеренная работа зараженного контента совершенно незаметна для посетителя сайта.

Следующая опасность – заражение рабочих станций. Хакеры неустанно повышают свой уровень, для них эта деятельность стала средством зарабатывания денег. Им уже не интересно уничтожить что-то и уйти, важно – заразить надолго. И чем дольше мы не знаем, что заражены, тем больше денег заработают злоумышленники. А сидеть незаметно злоумышленники умеют. Например, в прошлом году появилась впечатляющая новость про магазин eBay, Linux-серверы которого, как выяснилось, четыре года были заражены руткитами.

«Вход» для злоумышленника обеспечивают приложения, которые есть на каждой рабочей станции. В частности, веб-браузер, ставший сегодня почти полноценной ОС, позволяет выполнять программы не на сервере, а на клиенте. И хакеры этим пользуются, формируя специальный код (в зашифрованном либо в специально скрытом виде), который проходит незамеченным сквозь системы защиты, а на рабочей станции расшифровывается и запускается.

Постоянная мишень для атак – электронная почта. В прошлом году на первое место здесь вышли штормовые черви. Среди хакеров по-прежнему актуальны уязвимости, в том числе в jpg- и ani-файлах.

Популярные сегодня технологии VoIP и виртуализации тоже в списке «критичных». Уже найдены ошибки в реализации протоколов VoIP (в том числе и SIP). И дело не в плохом программировании – RFC, описывающий SIP, один из самых больших. Его реализация – это сотни кодов, а чем больше объем, тем выше вероятность ошибок.

Все шире используются виртуальные сети между виртуальными ОС, появляются и системы управления виртуализацией. А в очень популярном сегодня «движке» VMware уязвимости уже найдены.

– Есть ли различия в наборах особо опасных угроз для России и других стран?

– Все мы объединены одной сетью Интернет, а потому – все равны. Но есть один нюанс. На сам подход к ИБ среднего россий-ского пользователя сильно влияет наш менталитет («авось, пронесет», «будем надеяться, что это нас не коснется» и т.п.). Передовые технологии и лучшие решения используются в России активнее, чем во многих странах, но часто пользователи совершенно забывают о безопасности, пытаются на ней сэкономить, считая ее некой второстепенной вещью. Поэтому «наши» угрозы чаще всего связаны именно с недостаточным вниманием к вопросам ИБ.

– Что же предлагают мировые производители для противодействия этим угрозам?

– На мой взгляд, надо ориентироваться на превентивные средства защиты. Такие продукты существуют для защиты и рабочих станций, и сети, и электронной почты (от спама и атак через нее), и веб-сайтов. Так, для защиты рабочих станций предназначена система SiteProtector, управляющая всеми средствами защиты сети одновременно (антивирус, брандмауэр, IPS или иное), причем не только IBM, но и других фирм, в частности Cisco. В паре с ней работает программно-аппаратная система поведенческого контроля за сетью Anomal Detection System, способная «вычислить» инсайдеров: получая данные от маршрутизаторов и коммутаторов, она выстраивает картину взаимодействия в сети и передает SiteProtector информацию о нетипичном поведении.

Интересно решение Virtual Patch: ОС, где есть, но не исправлены уязвимости, защищается им до тех пор, пока администратор не установит обновление, либо до выпуска последнего. Другая линейка IBM – Rational – позволяет проверять уязвимости веб-приложений.

Хотелось бы еще раз заметить, что наши пользователи не готовы платить за безопасность. Так, большой популярностью на Западе пользуется услуга «чистый трафик». Провайдер устанавливает средство безопасности, скажем IPS, и предлагает своим клиентам канал без DOS-атак, атак на уязвимости протоколов и вирусов. Конечно, за такой трафик клиент платит немного больше, но зато он – чистый.

Еще один важный сервис, который могут обеспечить провайдеры с помощью средств защиты, – веб-фильтрация. Выпуская ребенка в Интернет, не хотелось бы, чтобы он до достижения определенного возраста посещал некоторые сайты. Например, Web Filter способен категоризировать сайты: этот – порнография, тот – оружие, здесь – «гнездо хакеров», а тут – новости. Такая услуга, думаю, будет востребована и в нашей стране.
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!