Системы предотвращения вторжений как эффективный метод борьбы с организованной киберпреступностью
В последнее время среди специалистов по информационной безопасности идет активное обсуждения изменений, происходящих в среде компьютерного андерграунда, и, возможно, появление там организованных преступных групп. Конечно, данный процесс не является бесспорным, и в настоящее время единственно правильного ответа на вопрос «как покончить с виртуальными преступными группировками», вероятно, не существует. Поэтому мы не будем обсуждать наличие или отсутствие криминала в этой среде, а тем более уровень его проникновения в компьютеры пользователей и сети компаний. Мы рассмотрим другой вопрос: если этот криминал есть, можно ли с ним бороться.
Если рассмотреть изменения, произошедшие за последний год, то станет очевидным, что с точки зрения противодействия киберпреступности большинство компаний в индустрии IT безопасности ничего нового не предложили. Действительно, файерволы и антивирусы, постоянно эволюционируя, существовали и ранее. При этом используемые ими технологии известны давно и в большинстве продуктов доведены до состояния, близкого к совершенству. Однако именно это и заставляет задуматься: если эти технологии и продукты действительно совершенны, то каким образом они смогут обеспечить информационную безопасность пользователей и корпоративных сетей в условиях бурного, как пишут многие, роста компьютерного организованного криминала.
Для ответа на этот вопрос необходимо ответить на другой: а чем организованный криминал отличается от злостного компьютерного хулиганства, которое существует уже более 10 лет? Ответ, на мой взгляд, достаточно прост: эти два явления преследуют совершенно разные цели. Компьютерное вредительство никогда не стремилось к незаметности, широта распространения вирусов и общественный резонанс были критериями успеха. Поэтому усилия производителей защитного ПО были направлены на максимально быстрое и эффективное устранение хорошо известных проблем.
Для организованной преступности вообще, в киберпространстве в частности, стремление к публичности, как правило, несвойственно. Знаменитые малиновые пиджаки начала перестройки в России - это скорее исключение из правил. Таким образом, производители защитного ПО сталкиваются с неожиданной проблемой: как получить информацию о новых средствах и механизмах проникновения в компьютеры, если это всячески маскируется. Более того, современные программные технологии позволяют легко и с минимальными затратами модифицировать программы при их запуске в корпоративных сетях разных компаний. Особенно, если речь идет о промышленном, да и не только, шпионаже.
С другой стороны, распространение и интеграция информационных систем уже стали необходимым условием успешного функционирования компаний и государственных органов. Организационные методы защиты, физическое ограничение доступа из Интернета, выделенные для этого специальные компьютеры, как правило, приводят к росту временных затрат на выполнение сотрудниками своих обязанностей, а следовательно к снижению эффективности работ и росту расходов. В современных условия экономическая эффективность становится краеугольным камнем успеха как в бизнесе, так и в государственной сфере.
Таким образом, необходимым условием эффективной работы систем защиты для противодействия подобным угрозам должна стать возможность выполнения защитных функций при отсутствии образцов вредоносного ПО и с минимальными дополнительными расходами на функционирование сотрудников. Одними из наиболее перспективных технологий борьбы с киберпреступностью в современных условиях становятся технологии поведенческого анализа и контроля активности приложений в корпоративной сети. Это так называемые решения класса Host-based intrusion prevention systems (системы предотвращения вторжений). Однако, в настоящее время готовые программы данного класса, миновавшие не только стадию разработки, но и стадию тестирования, а также имеющие доработанные с учетом пожеланий пользователей версии, можно пересчитать по пальцам одной руки!
«Старожилом» в этой области (более 1 года на рынке!) является лишь проактивная система защиты Safe’n’Sec®, разработанная российской компанией StarForce. Перехватывая системные вызовы, Safe’n’Sec® анализирует действия приложений на предмет потенциальной опасности. В случае угрозы Safe’n’Sec® блокирует вредоносную программу прежде, чем системе будет нанесен какой-либо ущерб. Системы класса Host-based intrusion prevention systems (HIPS), и программа Safe’n’Sec® в частности, обладают по сравнению с традиционными решениями по информационной безопасности рядом существенных преимуществ, о которых стоит поговорить подробнее.
Антивирусные программы, как сигнатурные, так и эвристические, способны противостоять лишь известным вирусам или в лучшем случае типам вирусов, которые единожды или многократно уже нанесли вред компьютерам пользователей. Выпуск же производителями антивирусов сигнатур не всегда оперативен. Потеря драгоценного времени также происходит на этапе тестирования обновлений. Программный продукт Safe’n’Sec® предлагает проактивную защиту ПК в том числе и от ранее неизвестных вирусов, отслеживающую и блокирующую любые несанкционированные действия, прежде чем они нанесут какой-либо вред. Кроме того, антивирусная программа-эвристик в каждом случае предназначена для одной определенной среды, следовательно, в отличие от Safe’n’Sec® не универсальна. Разработка компании StarForce в области проактивной защиты обеспечивает организациям надежную, контролируемую и эффективную защиту от шпионского ПО, вирусов червей, троянов, фишинг-атак, ошибок неопытных пользователей и т.д.
Сетевые файерволы в качестве элемента технологии Network Intrusion DetectionPrevention являются защитным барьером на пути информационных потоков между внутренней информационной системой и внешними сетями. Network Intrusion Detection-системы позволяют установить защиту по периметру сети (на входе в неё) и анализировать данные для всех хостов одновременно. Однако сетевые файерволы не контролируют активность на каждой конкретной рабочей станции. Проблема защиты сети от внутрипользовательских угроз с успехом решается программным продуктом Safe’n’Sec®.
Персональные файерволы на первый взгляд успешно восполняют пробел системных, контролируя трафик на конкретном ПК. Однако контролируя и анализируя информационные потоки по периметру компьютерной информационной системы, файервол тем не менее не способен контролировать активность внутри самого компьютера. Единожды пропустив вредоносную программу в компьютерную среду или будучи пройденным злоумышленником, файервол, в отличие от программ класса HIPS, уже не сможет контролировать последующую активность внутри системы.
Семейство продуктов Safe’n’Sec®, и, прежде всего, версия Enterprise способны эффективно противостоять вирусным эпидемиям, хакерским атакам, шпионским утилитам и попыткам несанкционированного доступа в систему на всех входящих в сеть ПК. И более того – Enterprise обеспечивает организациям надежную защиту корпоративной информации от утечки в результате умышленных или неосторожных действий персонала. Safe’n’Sec® Enterprise позволяет контролировать весь спектр потенциально опасных приложений, что делает его незаменимым и подчас безальтернативным решением проблем безопасности крупных предприятий с разветвленной корпоративной сетью. Наличие мобильной консоли централизованного управления позволяет в несколько раз снизить временные затраты на развертывание системы безопасности крупного предприятия, значительно облегчает администрирование многотысячной корпоративной сети, что в свою очередь позволяет существенно экономить бюджет компании и людские ресурсы. Safe’n’Sec® Enterprise бесконфликтно функционирует на любой рабочей станции, вне зависимости от специфики отраслевого программного обеспечения предприятия. Таким образом, Safe’n’Sec® помогает сохранить конфиденциальные данные, репутацию заказчика, минимизировать финансовые риски, связанные с их утратой и привести информационную систему в соответствие с национальными и международными законами и стандартами.