Книга: Как противостоять хакерским атакам. Уроки экспертов по информационной безопасности
Назад: Информация о Гари Макгроу
Дальше: Информация о Сьюзен Брэдли

Защита от вредоносных программ

Существует много средств защиты от вредоносных программ, большинство из которых также хороши и против нескольких других форм взлома.

Вовремя пропатченное программное обеспечение

Полностью пропатченная система гораздо сложнее для проникновения вредоносных программ, чем устаревшая. В наши дни наборы эксплойтов размещаются на скомпрометированных веб-сайтах, и, когда пользователь их посещает, набор эксплойтов будет искать одну или несколько незакрытых уязвимостей, прежде чем пытаться обмануть пользователя и принудить запустить троянского коня. Если система не пропатчена, вредоносная программа может быть тайно выполнена без ведома пользователя.

Обучение

Полностью пропатченную систему трудно скомпрометировать без участия конечного пользователя. В тех случаях, когда вредоносное ПО или набор эксплойтов не находят незакрытую уязвимость, они обычно прибегают к какому-либо трюку социальной инженерии. Обычно он включает в себя указание конечному пользователю, что ему нужно запустить или открыть что-то, чтобы получить некий полезный результат. Обучение пользователей противостоять распространенным методам социальной инженерии – отличный способ снизить шансы успеха вредоносных программ.

Антивирусные программы

Антивирусное ПО необходимо использовать практически в каждой компьютерной системе. Даже лучший антивирус может пропустить вредоносную программу, и ни одна программа не гарантирует 100 %-ную защиту от них, но запуск компьютерной системы без нее – это как езда на машине без тормозов. Вы можете работать в такой системе некоторое время, но в итоге катастрофа все-таки случится. В то же время никогда не верьте обещаниям разработчиков антивирусов о 100 %-ной защите. Это ложь.

Программы контроля запуска приложений

Программы контроля запуска приложений (также известные как программы «белых» или «черных» списков) отлично подходят для блокировки вредоносных программ при использовании в режиме «белого» списка. В этом режиме разрешен запуск только определенных и легитимных программ. Такой подход останавливает большинство вирусов, червей и троянов. Программы контроля запуска приложений могут быть трудны в реализации в оперативном плане, потому что по своей природе каждая программа и исполняемый файл должны быть предварительно одобрены для запуска. И не каждый тип вредоносных программ или действия хакера могут быть предотвращены, особенно те, которые используют встроенные легитимные программы и инструменты сценариев. Тем не менее программы контроля запуска приложений – эффективный инструмент, который постоянно совершенствуется. Лично я думаю, что любая система, которая считается достаточно безопасной, должна иметь активную и определенную программу «белых» списков.

Инструменты пограничной защиты

Брандмауэры и другие типы локальных и сетевых инструментов пограничной защиты (например, виртуальные ЛВС, маршрутизаторы и т. д.) хорошо защищают компьютерное устройство от вредоносного ПО. Большинство операционных систем имеют встроенные локальные брандмауэры, но многие из них не настроены и не включены по умолчанию. Внедрение брандмауэра может значительно снизить риск быть скомпрометированным, особенно при наличии незакрытой уязвимости. Мы рассмотрим их более подробно в главе 17.

Обнаружение вторжений

Сетевая (NID/P) и хостовая (HID/P) системы обнаружения/предотвращения вторжений в программное обеспечение и устройства могут использоваться для распознавания и остановки вредоносных программ в сети или на локальном хосте. Обнаружение вторжений описано в главе 14. Но, как и традиционные антивирусные программы, сетевые и хостовые системы не гарантируют 100 %-ную защиту, и не следует доверять только им.

Вредоносные программы уже давно стали частью угроз информационной безопасности и всегда будут оставаться главной из них. Еще в конце 1990-х годов, с развитием антивирусных технологий, я был уверен, что они уйдут в прошлое к 2010 году. В те времена у нас были лишь сотни вредоносных программ. Теперь, сталкиваясь с сотнями миллионов различных вариаций, я понимаю, как был наивен.

Главы 10 и 11 посвящены Сьюзен Брэдли и Марку Руссиновичу, которые успешно борются с вредоносными программами на протяжении десятилетий.

10. Профиль: Сьюзен Брэдли

Я познакомился со Сьюзен Брэдли более 15 лет назад, когда получил статус одного из наиболее ценных профессионалов Microsoft (MVP, Most Valuable Professionals). Как известно, этот статус присваивается независимым лидерам сообщества, которые демонстрируют совершенное владение одной или несколькими технологиями Microsoft и активно взаимодействуют с конечными пользователями, например ведут блог, рассылку или колонку в СМИ. С самого начала было ясно, что Брэдли – одна из лучших MVP-экспертов. Она очень умна, трудолюбива и всегда готова помочь не только конечным пользователям, но и другим MVP-экспертам (которые тоже являются конечными пользователями). Статус MVP был впервые присвоен Сьюзен в 2000 году в связи с выпускавшимся в то время продуктом Microsoft Small Business Server (SBS), однако ее глубокие технические знания этим не исчерпывались и охватывали в том числе систему Windows. С тех пор она продолжает получать статус MVP-эксперта каждый год (https://mvp.microsoft.com/ru-ru/PublicProfile/7500?fullName%20=Susan%20Elise%20Bradley), но теперь этот статус относится к категории Cloud and Datacenter Management.

Если вы не знаете, что такое Small Business Server, просто возьмите самые главные и сложные продукты Microsoft (например, Active Directory, Exchange, SQL, Outlook и т. д.), объедините их в одну программу для малого бизнеса и скажите, что ее легко использовать. Я заработал кучу денег, консультируя клиентов, которые быстро поняли, что это совсем нелегко. Брэдли оказала мне техническую поддержку, когда я столкнулся с проблемой, которую не смог решить самостоятельно. Мы периодически встречались на национальных конференциях, посвященных ИБ, на которых выступали, и немного сблизились на почве общего бухгалтерского прошлого. Мы оба – сертифицированные бухгалтеры (CPA), правда в настоящее время я уже не работаю в этой области, а она остается партнером в бухгалтерской фирме. Брэдли имеет сертификат SANS Global Information Assurance Certification (GIAC), стала автором отдельных глав к нескольким книгам, а также соавтором рассылки Windows Secrets (https://www.askwoody.com/author/sb/).

На мой вопрос о том, как она попала в сферу ИБ, Брэдли ответила: «Сфера бухгалтерского учета, в которой я начинала свою карьеру, по определению связана с деньгами и конфиденциальностью. А обеспечение безопасности транзакций, на которые мы полагаемся, имеет непосредственное отношение к информационной безопасности. Мы должны убедиться в том, что данные, введенные с клавиатуры (а теперь еще и с помощью голосового ввода, точек данных, датчиков и т. д.), попадут в целевой репозиторий в неискаженном виде. Я начала обращаться к представителям малых предприятий и другим людям по вопросам установки патчей. У меня был серверный продукт, состоящий из различных программ, которые мне нужно было пропатчить, а простого способа сделать это тогда не существовало. В те времена люди практически не устанавливали исправления в свои продукты. Затем [в 2003 году] появился червь SQL Slammer, оказавший на мир огромное влияние. Самое интересное, что исправление для соответствующей уязвимости было выпущено за шесть месяцев до его появления. Но сам процесс установки патча был слишком сложным. Я научилась делать это в своих продуктах, а затем поняла, что мой опыт может оказаться полезным и другим предпринимателям. Так я пришла к тому, чем занимаюсь сейчас».

Брэдли по-прежнему взаимодействует с представителями малого бизнеса, а также помогает людям защищаться от программ-вымогателей и восстанавливаться после соответствующих атак. На мой вопрос о том, что именно она рекомендует своим клиентам, она ответила: «За несколько лет стало очевидно, что программы-вымогатели представляют собой большую проблему не только для потребителей, но и для малых предприятий. Учитывая то, насколько сложно бывает отыскать нужную информацию, три года назад мы с моей подругой и MVP-экспертом [с 2006 года] Эми Бабинчак создали набор Ransomware Prevention Kit (https://www.thirdtier.net/product/ransomware-prevention-kit-policies/). Он содержит всю необходимую информацию и инструменты для защиты от программ-вымогателей, включая параметры групповой политики и скрипты, а теперь еще и видео. Это не бесплатно. Минимальная цена продукта составляет 25 долларов. Первоначально все полученные от продажи средства шли в женский стипендиальный фонд (www.thirdtier.net/women-in-it-scholarship-program/). Тетя Эми одолжила ей необходимую сумму для получения первого сертификата, и Эми считает, что без этого столь необходимого кредита ей не удалось бы достичь успеха. Так она пытается вернуть долг. Стипендиальный фонд возмещает женщинам стоимость IT-экзаменов в случае их успешной сдачи. Изначально Эми поставила цель собрать для фонда 10 000 долларов, и они были собраны за девять месяцев. Сегодня в этот фонд поступает уже не все, а только часть средств от продажи набора Ransomware Prevention Kit. На обновление продукта уходит огромное количество времени, но Эми изо всех сил старается сделать так, чтобы по мере обновления каждый покупатель получал актуальную копию, а это требует огромных усилий».

Я спросил Брэдли о том, что, по ее мнению, является главной проблемой в сфере информационной безопасности, на что она ответила: «Мы отвлекаемся на следствия, вместо того чтобы докапываться до первопричин. Возьмем, к примеру, наблюдаемое сегодня безразличие к утечкам данных. Поскольку эти утечки не сильно затрагивают бизнес, мы полагаем, будто достаточно обеспечить соответствие стандартам PCI (см. главу 37 «Политики и стратегия»), и сосредоточиваем внимание на пунктах чек-листа, вместо того чтобы задуматься о повышении безопасности потоков данных. Отчасти сложность заключается в том, что технологии постоянно меняются. Однако основополагающая проблема остается прежней. Когда-то (очень давно) мы использовали мейнфреймы, затем появились ПК, серверы и сети (распределенная модель ПК). В то время люди просто устанавливали серверы, не задумываясь об их защите. Сегодня мы переходим к использованию облачной модели. Практически все мигрируют в облако, но допускают при этом те же ошибки. Люди переносят туда свои серверы или используют облачные сервисы для ведения бизнеса, но не понимают, как все это защитить. Мы совершаем те же ошибки, только теперь все усложняется тем, что клиент не всегда может повлиять на безопасность, и расследовать преступления становится труднее. Иногда кажется, что мы стоим на месте. Нам следует сосредоточиться на решении основополагающих проблем, потому что технологии постоянно меняются». Если вы хотите в совершенстве освоить Microsoft Windows, обязательно прочитайте то, что пишет Сьюзен Брэдли.

Назад: Информация о Гари Макгроу
Дальше: Информация о Сьюзен Брэдли