Один в поле не воин

[kps]

Один в поле не воин: межсетевые экраны и антивирусы - братья на веки!
Олег Сыч
[email protected]
http://www.unasoft.com.ua/

В наш век информационных технологий компьютер просто обязан быть подключенным в глобальную или, в крайнем случае, локальную вычислительную сеть. Без этого компьютер превращается или в печатную машинку, или в калькулятор. Сети - это источник информации, а ведь вычислительная техника сегодня применяется именно для получения и переработки информации.

Но как только пользователь выходит в сеть он сталкивается с проблемами сетевой безопасности, с хакерами, вирусами, ошибками ПО, способными повлечь утечку ценной информации. И тут уж пользователь сталкивается с огромным спектром программного обеспечения, защищающего его от всяких напастей: антивирусными продуктами, межсетевыми экранами разных классов и мощностей, с тонкостями настройки браузеров, почтовых клиентов, с дисциплиной в сети (этого не закачивай, того не запускай, туда не ходи и т.п.).

Firewall - не панацея. Защита должна быть комплексной!
И вот пользователь (или администратор сети) решился себя защитить. Поставил себе на рабочую станция (сервер) межсетевой экран (Firewall), научился им пользоваться (а я должен заметить, что это очень непростой класс программ, требующий от пользователей некоторых знаний), настроил его, создал все необходимые правила. Но и этого мало. Допустим от прямых хакерских атак, DoS-атак, Backdoor-программ и какой то разновидности Троянских программ вы в какой то мере защищены, но ведь это далеко не всё! Защита от хакеров более актуальна для серверов, оказывающих какие либо услуги (хранение информации и предоставление её пользователям, доступ к глобальной сети Internet и т.п.). Конечным же пользователем межсетевой экран может применяться для разграничения доступа различных приложений к ресурсам сети.

Наиболее актуальной проблемой для конечного пользователя остаются вирусы, черви и троянские программы. По статистике антивирусных компаний более 95% всех вредоносных программ, распространяющихся в глобальной сети, являются Сетевые черви, и 99% из них составляют почтовые черви.

В связи с тем, что почтовые черви распространяются по электронной почте - практически все межсетевые экраны оказываются неэффективны. Откуда Firewall'у знать: это пользователь отправляет письмо, или червь себя рассылает. Некоторыми администраторами почтовых серверов применяются кардинальные меры по борьбе с вирусами: почтовый сервер не пропускает файлы, имеющие запускные расширения (EXE, COM, PIF, BAT, CMD, SCR и т.п.). Но ведь это тоже не выход. Так, сетевой червь I-Worm.Lentin отправляет свои копии в ZIP-архиве (неужели теперь и архивы резать будем).

Кроме того, чаще всего пользователи сами находят проблемы на свою голову: открывают файлы, приходящие по электронной почте невесть откуда (в которых нередко за двойными расширениями прячутся тела червей), посещают сомнительные WEB-сайты, закачивают и запускают разнообразные "ускорители интернета" или новые хранители экрана. Ведь не зря же говорят: самое узкое звено в любой системе безопасности - это человек.

Некоторые межсетевые экраны имеют возможность запоминания информации о приложении в момент создания правила для его доступа к ресурсам сети. При каждом повторном доступе приложения к сети производится проверка соответствия этой информации. Таким образом, в случае изменения приложения или используемых им модулей Firewall выдаст предупреждение вроде этого: "Приложение : было модифицировано. Разрешить ему установить соединение?". Такая возможность может оказаться очень полезной для конечного пользователя и при правильном использовании должна препятствовать доступу "троянизированных" приложений к ресурсам сети.

Все эти факторы расширяют возможности межсетевых экранов до следующих:

защита от DoS атак;
ограничение возможностей удалённого доступа к системным ресурсам компьютера;
разграничение доступа приложений к ресурсам сети;
детектирование почтовых и сетевых червей, создающих для распространения собственное соединение с удалённым ресурсом;
детектирование троянских программ, создающих собственное соединение для передачи данных;
детектирование Backdoor-программ (приложений для удалённого доступа) использующих прямое соединение;
блокирование доступа "троянизированных" приложений к ресурсам сети.

Не антивирусом единым
Думаю не надо никого убежать в необходимости использования антивирусных продуктов. Вирусы, черви, троянские программы сопровождают электронно-вычислительную технику повсюду, даже независимо от наличия или отсутствия подключения к сети. И люди уже привыкли более-менее часто пользоваться антивирусами. В конце концов, пользователь не может (да и не должен знать) особые приметы и тонкости работы десятков тысяч вредоносных программ, которые уже детектируются и нейтрализуются антивирусными продуктами. Мы не будем сейчас обсуждать: какие антивирусы хорошие, а какие плохие, не в этом цель данной статьи. Если человек пользуется любым более-менее качественным антивирусным продуктом, обладающим необходимым набором модулей, регулярно его обновляет - это уже неплохо.

Существуют два принципиально разных метода детектирования вредоносных программ антивирусными продуктами:

поиск известных вирусов по присутствующим в антивирусных базах вирусным сигнатурам;
поиск неизвестных вирусов по характерным для вирусов участкам кода.

Суть первого метода (поиск по сигнатурам) заключается в том, что антивирусные компании анализируют каждый (!) поступивший к ним вирус и добавляют соответствующую сигнатуру, которая будет обнаруживать только этот вирус. Для похожих вирусов (семейств) выделяются также универсальные сигнатуры, которые способны обнаружить также и новые модификации данных вирусов. Для каждой антивирусной записи делается свой модуль лечения, благодаря которому антивирус сможет исцелить зараженный файл.

Преимущества данного метода очевидны: он практически не даёт ложных срабатываний антивируса (при условии качественного добавления антивирусной записи), определяет каждый конкретный вирус и может его обезвредить (насколько это возможно в принципе). Но отсюда же выплывают и недостатки: невозможность обнаружения новых вирусов, необходимость постоянного обновления антивирусных баз.

Кардинально отличается от сигнатурного метода метод эвристического поиска. Эвристические анализаторы различных продуктов могут работать по-разному. Фактически каждый из эвристических анализаторов это Ноу-Хау той или иной компании. Но вся их работа сводится к одному: поиск последовательностей кода (исполняемых команд) характерных для того или иного типа вирусов.

Основной сложностью при реализации алгоритмов эвристического поиска является отсеивание ложных срабатываний. Вроде бы при детектировании вирусов всё просто: если программа размножается, значит это вирус. Остаётся только написать модуль, который сможет проанализировать предоставляемый код и с высокой долей вероятности определить, что код обладает "подозрительными" функциями. С троянскими программами всё намного сложнее. Зачастую даже специалисту по информационной безопасности, бывает тяжело сказать: является данная программа троянской или нет. По какому критерию программа относится к троянской: "если программа делает что то такое, чего не знает и не желает выполнять пользователь", или "если программа нарушает логику работы компьютера". Согласитесь - очень расплывчатые определения. А как же с этой проблемой справиться модулю эвристического поиска, не имеющему человеческого опыта и интеллекта?

Именно из-за описанных выше проблем эвристические анализаторы способны обнаруживать далеко не все вредоносные программы. Для некоторых типов вирусов этот показатель близок к ста процентам, для других может колебаться в пределах 30-60% (для троянских программ этот показатель всегда ниже, чем для вирусов). Кроме того, эвристические анализаторы способны иногда ошибаться и обзывать вполне мирные, привычные нам программы, вирусами, что называется ложным срабатыванием.

Антивирусные продукты, как правило, используют оба метода поиска вирусов, что несколько замедляет их работу, но увеличивает количество детектируемых вирусов.

Все описанные достоинства и недостатки определяют возможности антивирусных продуктов:

обнаружение и нейтрализация огромной базы известных вирусов и вредоносных программ (десятки тысяч);
обнаружение средствами эвристического поиска подозрительных файлов;
нейтрализация/изолирование зараженных и подозрительных файлов;
обращение повышенного внимания пользователя на подозрительные вирусы файлы.

Давайте дружить семьями
Итак, подводим итоги. Одно средство защиты не способно перекрыть все секторы безопасности. Обычный рядовой пользователь, не обладающий коммерческой или государственной тайной, при разумном подходе может довериться антивирусным продуктам и целиком на них положиться. Но с корпоративными вычислительными сетями, берегущими свою информацию, картина совсем другая. Вирус или вредоносная программа может быть написана специально для них. Учитывая то, что злоумышленник может знать, какими антивирусами пользуется компания, он может использовать те же программы, чтобы определить: обнаруживается написанный им вирус, или нет. Если вирус обнаруживается, то злоумышленник продолжает вносить в него необходимые изменения до тех пор, пока он не перестанет детектироваться. Таким образом, всегда остаётся ненулевая вероятность попадания на ваш компьютер троянской программы или вируса, не обнаруживаемого установленным у вас антивирусом.

Теперь что касается межсетевых экранов. Можете ли вы, работая в глобальной сети Internet или в вашей локальной сети и, защищаясь только межсетевым экраном, быть уверенны, что от вас не уходит ценная информация? Однозначно нет. Зачастую вредоносные программы пересылают злоумышленнику похищенную информацию теми же каналами и протоколами, которые вы сами обычно используете при обмене данными:

отправив письмо используемым Вами почтовым клиентом;
открыв WEB-страницу на специальном сайте, используемым Вами браузером, и передав туда информацию;
отправив данные через IRC, ICQ или другие средства связи.

Какую же картину мы наблюдаем? Средства защиты обязательно должны комбинироваться. Каждый продукт должен отвечать за свой сектор комплексной системы защиты информации. Антивирусы пусть обнаруживают уже известные вирусы и обращают внимание пользователя на подозрительные файлы. Межсетевые экраны пусть разграничивают доступ приложений к локальным и глобальным сетям, а также отслеживают попытки "чужих" приложений обратиться к сети. Пользователь же, работающий с вычислительной системой, должен соблюдать основные принципы безопасной работы, придерживается рекомендаций специалистов по информационной безопасности и помогает программам, защищающим его систему: обновляет их, следит за их работоспособностью, внимательно следит за поступающими сообщениями о подозрительных действиях. Администраторы, в свою очередь, обязаны максимально ограничивать возможность пользователя активизировать инфицированный или подозрительный файл.

Для корпоративных сетей система защиты информации ещё более усложняется. В основном это происходит из-за необходимости защиты не только и не столько рабочих станций, а и серверов различного назначения (почтовых, файловых, WEB, внутренних баз данных и др.).


Антивирусная защита локальной сети крупной организации является сложной проблемой, которая не сводится к простой установке программных средств защиты информации. Как правило, требуется создание отдельной организационно-технической системы. В техническом плане при решении данной проблемы особое внимание следует уделить тестированию всего устанавливаемого ПО. Программные средства должны удовлетворять возложенным на них задачам, техническим возможностям защищаемых ПК, грамотности пользователей в вопросах антивирусной/сетевой защиты.

Источник: http://www.getinfo.ru/article410.html