Последние несколько лет на рынке информационной безопасности остро встал вопрос защиты от автоматизированных направленных атак, однако в общем понимании направленная атака в первое время представлялась как результат продолжительной и профессиональной работы организованной группой киберпреступников с целью получения дорогостоящих критичных данных. В настоящее время на фоне развития технологий, популяризации open-source форумов (напр. Github, Reddit) и Darknet, предоставляющих исходные коды вредоносного ПО и пошагово описывающих действия по его модификации (для невозможности его детектирования сигнатурным анализом) и заражению хостов, реализация кибератак значительно упростилась. Для реализации успешной атаки, сопровождающейся пагубными последствиями для владельцев автоматизированных и информационных систем, достаточно неквалифицированного пользователя и энтузиазма в разборе предоставленного в сети Интернет / Darknet материала.

Мотивом для осуществления подобной преступной деятельности является получение прибыли. Самым простым, и поэтому самым распространенным способом является заражение сетевых хостов вредоносным ПО типа Ransomware. За последние 2 года его популярность стремительно растет:

• за 2016 год количество известных типов (семейств) троянов-вымогателей увеличилось на 752%: с 29 типов в 2015 году до 247 к концу 2016 года (по данным TrendLabs);
• благодаря вирусам-вымогателям злоумышленники за 2016 год «заработали» 1 миллиард долларов США (по данным CSO);
• в 1 квартале 2017 года появилось 11 новых семейств троянов-вымогателей и 55 679 модификаций. Для сравнения, во 2-4 кварталах 2016 года появилось 70 837 модификаций (по данным Kaspersky Lab).

В начале 2017 года ведущие производители средств защиты информации (Kaspersky Lab, McAfee Labs, SophosLabs, Malwarebytes Labs, TrendMicro и др.) называли Ransomware одной из основных угроз безопасности информации для государственных и коммерческих организаций различных сфер деятельности и масштабов. И как показывает история, они не ошиблись:

• Январь 2017 г. Заражение 70% камер видеонаблюдения за общественным порядком в Вашингтоне накануне инаугурации президента. Для устранения последствий камеры были демонтированы, перепрошиты или заменены на другие;
• Февраль 2017 г. Вывод из строя всех муниципальных служб округа Огайо (США) более чем на одну неделю из-за массового шифрования данных на серверах и рабочих станциях пользователей (свыше 1000 хостов);
• Март 2017 г. Вывод из строя систем Капитолия штата Пенсильвания (США) из-за атаки и блокировки доступа к данным информационных систем;
• Май 2017 г. Крупномасштабная атака вируса-шифровальщика WannaCry (WanaCrypt0r 2.0), поразившая на 26.06.2017 более 546 тысяч компьютеров и серверов на базе операционных систем семейства Windows в более чем 150 странах. В России были заражены компьютеры и серверы таких крупных компаний, как Минздрав, МЧС, РЖД, МВД, «Мегафон», «Сбербанк», «Банк России». Универсального дешифратора данных до сих пор не существует (были опубликованы способы расшифровать данные на Windows XP). Общий ущерб от вируса по оценкам экспертов превышает 1 млрд долларов США;
• Крупномасштабная атака вируса-шифровальщика XData в мае 2017 года (через неделю после начала атаки WannaCry), использующая для заражения аналогичную WannaCry уязвимость (EternalBlue) в протоколе SMBv1 и поразившая в основном корпоративный сегмент Украины (96% зараженных компьютеров и серверов находятся на территории Украины), скорость распространения которого превышает WannaCry в 4 раза. В настоящий момент ключ шифрования опубликован, выпущены дешифраторы для жертв вымогателя;
• Июнь 2017 г. Обширной атаке Ransomware была подвержена сеть одного из крупнейших университетов мира – Univercity College London. Атака была направлена на блокирование доступа к общим сетевым хранилищам, автоматизированную систему студенческого управления. Выполнено это было в предэкзаменационный и выпускной период, когда студенты, хранящие свои дипломные работы на файловых серверах университета, вероятнее всего заплатят мошенникам с целью получения своей работы. Объем зашифрованных данных и пострадавших не раскрывается.

Случаев направленных атак с целью заражения Ransomware очень много. Основной целью злоумышленников являются системы на базе ОС семейства Windows, однако существуют различные версии Ransomware для ОС семейств UNIX/Linux, MacOS, а также мобильных платформ iOS и Android.

С развитием Ransomware появляются и средства противодействия им. В первую очередь это открытый проект No more Ransom! (www.nomoreransom.org), предоставляющий жертвам атак средства дешифрования данных (в случае вскрытия ключа шифрования), во вторую – специализированные open-source средства защиты от вирусов-шифровальщиков. Но и они либо анализируют поведение ПО по сигнатурам и не способны обнаружить неизвестный вирус, либо обеспечивают блокировку вредоносного ПО после его воздействия на систему (шифрования части данных). Специализированные Open-source решения применимы интернет-пользователями на личных / домашних устройствах, крупным организациям, обрабатывающим большие объемы информации, в том числе критичной, необходимо обеспечивать комплексную проактивную защиту от направленных атак.

Проактивная защита от направленных атак и Ransomware

Рассмотрим возможные векторы доступа к защищаемой информации, находящейся на сервере или автоматизированном рабочем месте пользователя:

• Воздействие на периметр локальной вычислительной сети из интернета возможно через:
• корпоративную электронную почту;
• веб-трафик, в том числе веб-почту;
• периметровый маршрутизатор / межсетевой экран;
• сторонние (некорпоративные) шлюзы доступа к интернету (модемы, смартфоны и т. д.);
• системы защищенного удаленного доступа.
• Воздействие на серверы, рабочие места пользователей по сети:
• загрузка вредоносных программ на конечные точки / серверы по запросу от них же;
• использование недокументированных возможностей (уязвимостей) системного/прикладного ПО;
• загрузка вредоносов по шифрованному VPN-каналу, неконтролируемому службами ИТ и ИБ;
• подключение к локальной сети нелегитимных устройств.
• Прямое воздействие на информацию на серверах, рабочих местах пользователей:
• подключение внешних носителей информации с вредоносом;
• разработка вредоносных программ прямо на конечной точке / сервере.

Для уменьшения вероятности реализации угрозы для каждого типа доступа к защищаемой информации необходимо обеспечивать выполнение комплекса организационно-технических мер по защите информации, перечень которых отражен на рисунке (см. Рисунок 1)

Рисунок 1. Проактивные меры защиты от направленных атак и Ransomware

Организационные меры защиты от направленных атак и Ransomware

К основным организационным мерам проактивной защиты от направленных атак и Ransomware относятся:

• Повышение осведомленности сотрудников в области ИБ.
  Необходимо регулярно проводить обучение сотрудников и информировать их о возможных угрозах ИБ. Минимальной и необходимой мерой является формирование принципов работы с файлами и почтой:
  o не открывать файлы с двойным расширением: настроить для пользователей отображение расширений, чтобы идентифицировать вредоносные файлы с двойными расширениями (например, 1СRecord.xlsx.scr);
  o не включать макросы в недоверенных документах Microsoft Office;
  o проверять адреса отправителей почтовых сообщений;
  o не открывать ссылки на веб-страницы, почтовые вложения от неизвестных отправителей.
• Оценка эффективности защиты как внутри организации, так и с привлечением внешних специалистов.
  Оценивать эффективность обучения персонала необходимо при помощи моделирования атак, как внутренних, так и с участием внешних специалистов - проводить тесты на проникновение, в т. ч. с использованием метода социальной инженерии.
• Регулярное обновление системного ПО (Patch Management).
  Для предотвращения атак вредоносного ПО на целевые системы через известные уязвимости необходимо обеспечить своевременное тестирование и установку обновлений системного и прикладного ПО с учетом приоритизации по степени критичности обновлений.
• Систематизация резервного копирования данных.
  Необходимо регулярно выполнять резервное копирование критически важных данных серверов информационных систем, систем хранения данных, рабочих мест пользователей (если предполагается хранение критичной информации). Резервные копии должны храниться на ленточных библиотеках системы хранения данных, на отчуждаемых носителях информации (при условии, что носитель информации не подключен постоянно к рабочей станции или серверу), а также в облачных системах резервирования данных, хранилищах.

Технические меры защиты от направленных атак и Ransomware

Технические мероприятия проактивной защиты от направленных атак и Ransomware предпринимаются на уровне сети и на уровне хоста.

Меры проактивной защиты на уровне сети

• Использование систем фильтрации электронной почты , обеспечивающих анализ почтового трафика на наличие нежелательных писем (spam), ссылок, вложений, в том числе вредоносных (например, блокировка файлов JavaScript (JS) и Visual Basic (VBS), исполняемые файлы (.exe), файлы заставки (SCR), Android Package (.apk) и файлы ярлыков Windows (.lnk)).
• Использование систем контентной фильтрации веб-трафика , обеспечивающих разграничение и контроль доступа пользователей к интернету (в т.ч. путем разбора SSL-трафика с помощью подмены сертификата сервера), потоковый анализ трафика на наличие вредоносных программ, разграничение доступа пользователей к содержимому веб-страниц.
• Использование систем защиты от целенаправленных атак , атак нулевого дня (Sandbox, песочница), обеспечивающих эвристический и поведенческий анализ потенциально опасных файлов в изолированной среде перед отправкой файла в защищаемые информационные системы. Системы защиты от направленных атак должны быть интегрированы с системами контентной фильтрации веб-трафика, фильтрации электронной почты для блокирования вредоносных вложений. Также системы защиты от направленных атак интегрируют с информационными системами внутри периметра сети для обнаружения и блокировки сложных атак на критичные ресурсы, сервисы.
• Обеспечение контроля доступа к корпоративной сети на уровне проводной и беспроводной сети с помощью технологии 802.1x. Такая мера исключает несанкционированное подключение нелегитимных устройств в корпоративную сеть, обеспечивает возможность выполнения проверки на соответствие корпоративным политикам при доступе в сеть организации (наличие антивирусного ПО, актуальные сигнатурные базы, наличие критических обновлений Windows). Контроль доступа к корпоративной сети с помощью 802.1x обеспечивается системами класса NAC (Network Access Control).
• Исключение прямого взаимодействия внешних пользователей с ресурсами корпоративных информационных систем с помощью промежуточных шлюзов доступа с наложенными корпоративными средствами защиты информации (терминальный сервер, система виртуализации рабочих столов VDI), в том числе с возможностью фиксации действий внешних пользователей с помощью видео или текстовой записи сессии. Мера реализуется с помощью систем терминального доступа, систем класса PUM (Privileged User Management).
• Сегментирование сети по принципу необходимой достаточности для исключения избыточных разрешений сетевого взаимодействия, ограничения возможности распространения вредоносных программ в корпоративной сети в случае заражения одного из серверов / рабочих мест пользователей / виртуальных машин. Возможна реализация такой меры с помощью систем анализа политик межсетевого экранирования (NCM / NCCM, Network Configuration (Change) Management), обеспечивающих централизованный сбор политик межсетевого экранирования, настроек межсетевых экранов и дальнейшую их обработку с целью автоматизированной выдачи рекомендаций по их оптимизации, контроль изменений политик межсетевого экранирования.
• Выявление аномалий на уровне сетевых взаимодействий с помощью специализированных решений класса NBA & NBAD (Network Behavior Analysis, Network Behavior Anomaly Detection), позволяющих осуществить сбор и анализ сведений о потоках данных, профилирование трафика для каждого сетевого хоста для выявления отклонений от «нормального» профиля. Данный класс решений позволит выявить:

  O сканирование зараженным хостом своего окружения;
  o вектор заражения;
  o состояние хоста:«просканирован», «заражен и сканирует других»;
  o однонаправленные потоки;
  o аномальные потоки;
  o вирусные эпидемии;
  o распределенные атаки;
  o картину существующих потоков.

• Отключение зараженных хостов (автоматизированных рабочих мест, серверов, виртуальных машин и пр.) от сети. Эта мера применима в случае заражения хотя бы одного из хостов в корпоративной сети, однако необходима для локализации и предотвращения вирусной эпидемии. Рабочие места от сети можно отключить как силами администрирующего персонала ИТ и ИБ, так и автоматизировано при обнаружении признаков угрозы на защищаемом хосте (путем корреляции событий безопасности, настройки автоматизированных действий по блокировки всех сетевых активностей на хосте / отключению хоста от сети на уровне коммутатора и пр.).

Меры проактивной защиты на уровне хоста

• Обеспечение защиты от несанкционированного доступа рабочих мест, серверов, виртуальных машин путем усиленной аутентификации пользователей, контроля целостности операционной системы, блокировки загрузки системы с внешних носителей для исключения заражения корпоративной сети нарушителями внутри периметра сети. Эта мера реализуется решениями класса СЗИ от НСД / Endpoint Protection.
• Обеспечение антивирусной защиты на всех сетевых узлах организации. Антивирусное ПО должно обнаруживать факты вирусного заражения оперативной памяти, локальных носителей информации, томов, каталогов, файлов, а также файлов, получаемых по каналам связи, электронных сообщений на рабочих местах, серверах, виртуальных машинах в реальном времени, лечить, удалять или изолировать угрозы. Сигнатурные базы антивирусного ПО должны регулярно обновляться и находиться в актуальном состоянии.
• Обеспечение мониторинга и контроля действий ПО на защищаемых хостах путем контроля запускаемых служб и сервисов, эвристического анализа их функционирования. Такая мера реализуется решениями класса HIPS (Host Intrusion Prevention).
• Обеспечение контроля подключения внешних устройств , блокировки неиспользуемых портов на защищаемых хостах для исключения подключения к защищаемым хостам несанкционированных устройств: как носителей информации с потенциально вредоносными программами, так и внешних шлюзов доступа к интернету (например, 4G-модем), обеспечивающих неконтролируемый и незащищенный канал доступа в интернет. Эта мера реализуется решениями класса СЗИ от НСД / Endpoint Protection.
• Обеспечение продвинутой защиты хостов с помощью поведенческого анализа функционирования процессов на защищаемых хостах, машинного обучения, эвристического анализа файлов, контроля приложений, защиты от эксплойтов для выявления и блокировки неизвестных угроз (угроз нулевого дня) в режиме реального времени. Данная мера реализуется решениями класса NGEPP (Next Generation Endpoint Protection).
• Использование агентских решений по защите от вымогателей , шифрующих данные на зараженном хосте. К ним относятся:
  o Продуктивные системы защиты от направленных атак, атак нулевого дня с клиент-серверной архитектурой. Клиентское ПО устанавливается на защищаемый хост, защищает в реальном времени от угроз нулевого дня, вирусов, шифрующих данные в системе, расшифровывает зашифрованные вредоносом данные (в случае наличия агента - до попытки заражения), удаляет троян-вымогатель, защищает от фишинговых атак. Клиентское ПО обеспечивает контроль всех каналов доступа к хосту: веб-трафик, отчуждаемые носители информации, электронная почта, доступ по локальной сети, вредоносные программы в зашифрованном трафике (VPN).
  o Клиентские системы защиты от угроз нулевого дня (песочницы) в открытом доступе (sandboxie, cuckoo sandbox, shadow defender и др.).
  o Клиентские системы защиты от угроз нулевого дня на базе микровиртуализации (Bromium vSentry), обеспечивающие поведенческий анализ потенциально вредоносных файлов в аппаратно изолированной среде (микровиртуальной инфраструктуре).
• Обеспечение межсетевого экранирования на уровне хоста с помощью программных межсетевых экранов для разграничения доступа к ресурсам корпоративной сети, ограничения распространения вредоноса в случае заражения хоста, блокировки неиспользуемых сетевых портов, протоколов.

Другие меры защиты от вирусов-вымогателей

Дополнительно к вышеперечисленным мерам предотвратить направленную атаку в корпоративной сети поможет следующее:

• Обеспечение регулярного анализа защищенности ИТ-инфраструктуры - сканирование узлов сети для поиска известных уязвимостей в системном и прикладном ПО. Эта мера обеспечивает своевременное обнаружение уязвимостей, позволяет их устранить до момента их использования злоумышленниками. Также система анализа защищенности решает задачи по контролю сетевых устройств и устройств, подключенных к рабочим станциям пользователей (например, 4G-модем).
• Сбор и корреляция событий позволяет комплексно подойти к обнаружению вымогателей в сети на основе SIEM-систем, поскольку такой метод обеспечивает целостную картину ИТ-инфраструктуры компании. Эффективность SIEM заключается в обработке событий, которые отправляются с различных компонентов инфраструктуры, в том числе ИБ, на основе правил корреляции, что позволяет оперативно выявить потенциальные инциденты, связанные с распространением вируса-вымогателя.

Приоритезация мер защиты от вирусов-вымогателей

Надежная комплексная защита от направленных атак обеспечивается комплексом организационно-технических мер, которые ранжируются в следующие группы:

• Базовый набор мер, необходимый для применения всем организациям для защиты от направленных атак и вредоносов-вымогателей.
• Расширенный набор мер, применимый для средних и крупных организаций с высокой стоимостью обработки информации.
• Продвинутый набор мер, применимый для средних и крупных организаций с продвинутой ИТ- и ИБ-инфраструктурой и высокой стоимостью обрабатываемой информации.

Рисунок 2. Приоритизация мер защиты от трояна-вымогателя

Меры защиты от Ransomware для конечных пользователей

Угроза заражения вирусом-вымогателем актуальна и для конечных пользователей Интернет, для которых также применимы отдельные меры по предотвращению заражения:

• своевременная установка обновлений системного ПО;
• использование антивирусов;
• своевременное обновление баз сигнатур антивирусов;
• использование доступных в свободном доступе средств защиты от вредоносных программ, шифрующих данные на компьютере: RansomFree, CryptoDrop, AntiRansomware tool for business, Cryptostalker и др. Установка средств защиты данного класса применима, если на компьютере хранятся критичные незарезервированные данные и не установлены надежные средства антивирусной защиты.

Уязвимость мобильных устройств (Android, iOS)

«Умные» мобильные устройства (смартфоны, планшетные компьютеры) стали неотъемлемой частью жизни: с каждым годом увеличивается количество активированных мобильных устройств, мобильных приложений и объем мобильного трафика. Если раньше мобильные телефоны хранили только базу контактов, то сейчас они являются хранилищами критичных данных для пользователя: фото, видео, календари, документы и пр. Мобильные устройства все активнее используются и в корпоративном секторе (ежегодный прирост 20-30%). А потому растет интерес злоумышленников и к мобильным платформам, в частности, с точки зрения вымогания денег с помощью троянов. По данным Kaspersky Lab, в 1 квартале 2017 года вымогатели занимают 16% от общего числа вредоносов (в 4 квартале 2016 года это значение не превышало 5%). Наибольший процент троянов для мобильных платформ написан для самой популярной мобильной операционной системы - Android, но для iOS также существуют подобные.

Меры защиты для мобильных устройств:

• Для корпоративного сектора:
  o использование систем класса Mobile Device Management (MDM), обеспечивающих контроль установки обновлений системного ПО, установки приложений, контроль наличия прав суперпользователя;
  o для защиты корпоративных данных на мобильных устройствах пользователя - системы класса Mobile Information Management (MIM), обеспечивающих хранение корпоративных данных в зашифрованном контейнере, изолированном от операционной системы мобильного устройства;
  o использование систем класса Mobile Threat Prevention, обеспечивающих контроль разрешений, предоставленных приложениям, поведенческий анализ мобильных приложений.
• Для конечных пользователей:
  o использование официальных магазинов для установки приложений;
  o своевременное обновление системного ПО;
  o исключение перехода по недоверенным ресурсам, установки недоверенных приложений и сервисов.

Выводы

Простота реализации и низкая стоимость затрат организации кибератак (Ransomware, DDoS, атаки на веб-приложения и пр.) приводит к увеличению числа киберпреступников при одновременном снижении среднего уровня технической осведомленности атакующего. В связи с этим резко увеличивается вероятность реализации угроз безопасности информации в корпоративном секторе и потребность в обеспечении комплексной защиты.

Поэтому мы в компании «Информзащита» фокусируемся на современных вызовах информационной безопасности и обеспечиваем защиту инфраструктуры клиентов от новейших, в том числе неизвестных угроз. Создавая и реализуя комплексные адаптивные модели противодействия угрозам информационной безопасности, мы знаем, как прогнозировать, предотвращать, обнаруживать и реагировать на киберугрозы. Главное - делать это своевременно.

Включить защиту NetBIOS

Блокирует трафик NetBIOS, поступающий с внешнего шлюза.

Эта опция позволяет использовать совместный доступ к папкам и принтерам локальной сети в сетевом окружении, одновременно обеспечивая защиту компьютера от NetBIOS-атак из любой внешней сети. Она блокирует пакеты NetBIOS, отправленные с IP-адресов, которые не входят в диапазоны заданных внутренних адресов ICANN. Внутренние диапазоны адресов ICANN включают в себя адреса 10.x.x.x, 172.16.x.x, 192.168.x.x и 169.254.x.x, за исключением подсетей 169.254.0.x и 169.254.255.x. Пакеты NetBIOS включают UDP 88, UDP 137, UDP 138, TCP 135, TCP 139, TCP 445 и TCP 1026.

Разрешить трафик Token Ring

Разрешает доступ к сети компьютерам клиентов, которые подключаются через адаптер Token Ring (независимо от правил брандмауэра, настроенных в клиенте).

Если эту опцию отключить, в корпоративную сеть не будет передаваться любой трафик с компьютеров, использующих адаптер Token Ring. Брандмауэр не поддерживает фильтрацию трафика Token Ring. Он либо разрешает весь трафик Token Ring, либо блокирует его полностью.

Включить защиту от имитации MAC-адреса

Разрешает входящий и исходящий трафик ARP (Address Resolution Protocol, протокол разрешения адресов) только при адресации ARP-запроса на данный конкретный хост. Весь остальной трафик ARP блокируется и регистрируется в журнале безопасности.

Некоторые хакеры используют технику имитации MAC-адреса для подмены сеанса связи между компьютерами. MAC-адреса - это аппаратные адреса, идентифицирующие компьютеры, серверы, маршрутизаторы и другие устройства. Если компьютеру A требуется подключиться к компьютеру B, он может отправить ему пакет ARP.

Защита от имитации MAC-адреса позволяет предотвратить сброс таблицы MAC-адресов с другого компьютера. Если компьютер отправляет сообщение ARP REQUEST, то клиент разрешает прием ответного сообщения ARP RESPOND в течение 10 секунд после отправки запроса. Клиент блокирует все сообщения ARP RESPOND, отправленные не в ответ на запрос.

Разрешить отслеживание сетевых приложений

Разрешает клиенту отслеживание изменений сетевых приложений, работающих на клиентском компьютере.

Сетевые приложения принимают и отправляют данные. Клиент отслеживает изменения содержимого приложения.

Блокировать весь трафик, когда брандмауэр не работает

Блокирует весь исходящий и входящий трафик на компьютере клиента, когда брандмауэр по какой-либо причине не работает.

Компьютер не защищен:

• в промежутке между включением компьютера клиента и запуском службы брандмауэра;

  в промежутке между завершением работы службы брандмауэра и выключением компьютера клиента.

В эти небольшие отрезки времени безопасность не обеспечивается, и возможен несанкционированный обмен данными. Данная настройка позволяет запретить приложениям несанкционированно подключаться к другим компьютерам.

Разрешить начальный трафик DHCP и NetBIOS

Разрешает начальный обмен данными, необходимый для установления соединения с сетью. Эти данные включают в себя начальный трафик DHCP и NetBIOS, позволяющий клиенту получить IP-адрес.

Выявлять отказы в обслуживании

Обнаружение отказов в обслуживании по типу относится к обнаружению вторжений. Если параметр включен, трафик клиента блокируется при обнаружении шаблона одной из известных сигнатур независимо от номера порта или типа интернет-протокола.

Выявлять сканирование портов

Отслеживает все входящие пакеты, блокируемые любым правилом безопасности. Если за короткий промежуток времени правило блокирует разные пакеты из разных портов, Symantec Endpoint Protection Small Business Edition создает запись в журнале безопасности. Обнаружение сканирования портов не блокирует пакеты. Для блокирования трафика в случае обнаружения сканирования портов необходимо создать политику безопасности.

Сегодня мы поговорим об основных правилах информационной безопасности. И сразу хотелось бы отметить, что 100% защиты просто не существует, кто бы, что не говорил. Даже локальные сети, полностью изолированные от внешней сети и сети Интернет подвержены угрозам, поскольку, так или иначе, информация попадает в эту сеть (флешки, диски и т.д.).

Угрозы информационной безопасности можно разделить на два типа: технические угрозы и человеческий фактор.

Технические угрозы информационной безопасности.

Ошибки в программном обеспечении

Самое узкое место любой сети. Программное обеспечение серверов, рабочих станций, маршрутизаторов и т. д. написано людьми, следовательно, оно практически всегда содержит ошибки. Чем выше сложность подобного ПО, тем больше вероятность обнаружения в нем ошибок и уязвимостей. Большинство из них не представляет никакой опасности, некоторые же могут привести к трагическим последствиям, таким, как получение злоумышленником контроля над сервером, неработоспособность сервера, несанкционированное использование ресурсов. Большинство таких уязвимостей устраняется с помощью пакетов обновлений, регулярно выпускаемых производителем программного обеспечения. Своевременная установка таких обновлений является необходимым условием безопасности сети.

DoS и DDoS-атаки

Denial Of Service (отказ в обслуживании) — особый тип атак, направленный на выведение сети или сервера из работоспособного состояния. При DoS-атаках могут использоваться ошибки в программном обеспечении или легитимные операции, но в больших масштабах (например, посылка огромного количества электронной почты). Новый тип атак DDoS (Distributed Denial Of Service) отличается от предыдущего наличием огромного количества компьютеров, расположенных в большой географической зоне. Такие атаки просто перегружают канал трафиком и мешают прохождению, а зачастую и полностью блокируют передачу по нему полезной информации. Особенно актуально это для компаний, занимающихся каким-либо online-бизнесом, например, торговлей через Internet.

Компьютерные вирусы, троянские кони

Вирусы — старая категория опасностей, которая в последнее время в чистом виде практически не встречается. В связи с активным применением сетевых технологий для передачи данных вирусы все более тесно интегрируются с троянскими компонентами и сетевыми червями. В настоящее время компьютерный вирус использует для своего распространения либо электронную почту, либо уязвимости в ПО. А часто и то, и другое. Теперь на первое место вместо деструктивных функций вышли функции удаленного управления, похищения информации и использования зараженной системы в качестве плацдарма для дальнейшего распространения. Все чаще зараженная машина становится активным участником DDoS-атак. Методов борьбы достаточно много, одним из них является все та же своевременная установка обновлений.

Анализаторы протоколов и «снифферы»

В эту группу входят средства перехвата передаваемых по сети данных. Такие средства могут быть как аппаратными, так и программными. Обычно данные передаются по сети в открытом виде, что позволяет злоумышленнику внутри локальной сети перехватить их. Некоторые протоколы работы с сетью (POPS, FTP) не используют шифрование паролей, что позволяет злоумышленнику перехватить их и использовать самому. При передаче данных по глобальным сетям эта проблема встает наиболее остро. По возможности следует ограничить доступ к сети неавторизированным пользователям и случайным людям.

Технические средства съема информации

Сюда можно отнести такие средства, как клавиатурные жучки, различные мини-камеры, звукозаписывающие устройства и т.д. Данная группа используется в повседневной жизни намного реже вышеперечисленных, так как, кроме наличия спецтехники, требует доступа к сети и ее составляющим.

Угрозы информационной безопасности связанные с человеческими факторами:

Уволенные и недовольные сотрудники

Данная группа людей наиболее опасна, так как многие из работающих сотрудников могут иметь разрешенный доступ к конфиденциальной информации. Особенную группу составляют системные администраторы, зачатую недовольные своим материальным положением или несогласные с увольнением, они оставляют «черные ходы» для последующей возможности злонамеренного использования ресурсов, похищения конфиденциальной информации и т. д.

Промышленный шпионаж

Это самая сложная категория. Если ваши данные интересны кому-либо, то этот кто-то найдет способы достать их. Взлом хорошо защищенной сети - не самый простой вариант. Очень может статься, что уборщица, моющая под столом и ругающаяся на непонятный ящик с проводами, может оказаться хакером весьма высокого класса.

Халатность

Самая обширная категория злоупотреблений: начиная с не установленных вовремя обновлений, неизмененных настроек «по умолчанию» и заканчивая несанкционированными модемами для выхода в Internet, - в результате чего злоумышленники получают открытый доступ в хорошо защищенную сеть.

Низкая квалификация

Часто низкая квалификация не позволяет пользователю понять, с чем он имеет дело; из-за этого даже хорошие программы защиты становятся настоящей морокой системного администратора, и он вынужден надеяться только на защиту периметра. Большинство пользователей не понимают реальной угрозы от запуска исполняемых файлов и скриптов и считают, что исполняемые файлы -только файлы с расширением «ехе». Низкая квалификация не позволяет также определить, какая информация является действительно конфиденциальной, а какую можно разглашать. В крупных компаниях часто можно позвонить пользователю и, представившись администратором, узнать у него учетные данные для входа в сеть. Выход только один - обучение пользователей, создание соответствующих документов и повышение квалификации.

Способы защиты от несанкционированного доступа

Какие мероприятия мы можем провести, чтобы минимизировать риск взлома нашей информационной сети? Для этого нужно:

1) В первую очередь необходимо обеспечить физическую безопасность . Доступы во все серверные и коммутационные комнаты должен быть предоставлен ограниченному числу сотрудников. Если используются точки доступа, они должны быть максимально скрыты что бы избежать к ним физический доступ. Данные должны иметь физические резервные копии Утилизация жёстких дисков должна проходить под строгим контролем. Ведь получив доступ к данным, последствия могут быть печальными.

2) Позаботится о внешней безопасности . Первый «защитник сети», выступает farewall или межсетевой экран, обеспечивающий защиту от несанкционированного удалённого доступа.

Сеть можно разделить на подсети для ограничения серверов от пользователей. Использование фильтрующего маршрутизатора, который фильтрует исходящие и входящие потоки. Все устройства подключение к сети буду иметь доступ в интернет, а обратно доступ к устройствам из Интернета блокируется.

3) Разграничения в ролях администраторов и пользователей

Доступ к серверам не должен иметь рядовой пользователь;

Доступ управления конфигурацией компьютеров должен иметь только администратор;

Доступ к сетевым ресурсам должны иметь каждый там, где ему это необходимо для выполнения должностных обязанностей;

Трафик всех сотрудников должен фильтроваться, и в этом поможет прокси-сервер;

Каждый пользователь должен устанавливать сложный пароль, и не должен не кому его передавать. Даже IT специалисты его не знают.

4) Антивирусная защита является главным рубежом защиты корпоративной сети от внешних атак. Комплексная антивирусная защита минимизирует проникновения в сеть вирусов. В первую очередь необходимо защитить сервера, рабочие станции, шлюзы и систему корпоративной почты

5) Установка актуальных обновлений программного обеспечения.

6) Защита сети через виртуальные частные сети VPN . В связи со спецификой работы организаций, как показывает практика, многие сотрудники осуществляют рабочую деятельность удалённо, в связи с этим необходимо обеспечить максимальную защиту трафика, а реализовать это помогут шифрованные туннели VPN, о которых мы рассказывали в статье «Как настроить VPN соединение для Windows? Настройка VPN сервера »

7) Безопасность корпоративной почты . Компании, которые обрабатывают большое количество электронной почты, в первую очередь подвержены фишинг атакам. Чтобы решить данную проблему рекомендуется использовать следующие методы:

Анализ вложения письма (должен осуществляться анализ не только текста, но и самих вложений)

Определение массовости письма (большинство почтовых серверов имеют такую функцию, можно посмотреть, кому в почтовые ящики упали письма)

8) Никакая система не защитит от человеческого фактора . Все сотрудники компании, вне зависимости от должности должны понимать и главное соблюдать правила информационной безопасности. Любые посторонние файлы, скаченные из сети или из почты могут быть опасны и нести в себе угрозу, а так же внешние накопители информации, которые не относятся к рабочему процессу.

Договориться, чтобы перед информированием сотрудника об увольнении, сначала сообщили вам, а вы продумали ряд мероприятий, для защиты рабочих документов данного сотрудника от кражи или порчи.

А так же повышать квалификацию работников в области информационной безопасности и компьютерной грамотности!

Это основные аспекты защиты информации в корпоративной сети, которые действенны, и используются почти в каждой компании. Выбор комплекса защиты зависит от самой структуры корпоративной сети. Не забывайте использовать защиту комплексно.

Смартфоны, планшеты, компьютеры - мы считаем их основным элементом нашей действительности. Мы используем их в работе, для игр, для учебы, управления банковскими счетами, мы платим по счетам, мы проверяем электронную почту, делаем покупки ...

Можно так перечислять практически бесконечно, но всё сводится к одному - с их помощью мы передаем целый ряд важных данных, которые, если попадут в чужие руки, могут привести к критической ситуации.

Потеря памятных фотографий или копии научной работы, в этом случае наименьшая из наших проблем. Если под удар попадают наши сбережения или электронный ящик, с помощью которой мы передаем важную корреспонденцию, то угроза приобретает более зловещий характер. И хотя россияне понимают, что в сеть интернет кишит от угроз, часто они не принимают никаких мер, чтобы должным образом защитить себя .

По данным исследования, проведенного по просьбе Intel, только каждый пятый пользователей использует платную, расширенную защиту и это несмотря на то, что до 93% из нас становились жертвой компьютерного вируса .

Даже в случае смартфонов, где осознание опасности очень высоко (96%), до ⅓ опрошенных не имели даже понятия, установлен ли на их устройстве какой-либо пакет защиты, учитывая, что 55% интернет-пользователей подключается к сети с помощью смартфонов, это воспринимается очень удивительным.

Тот факт, что мы боимся сетевых угроз (82% опрошенных), редко когда выливается в конкретные действия. Многое указывает на то, что мы просто не обращаем достаточного внимания на сохранение конфиденциальности собственных данных... а ведь надо. Ибо список угроз очень длинный.

Вредоносные программы - угроза для компьютера

Безусловно, вредоносные программы наиболее часто упоминались среди всех сетевых опасностей. И не без оснований - в конце концов, это самая популярная „форма действий“ среди людей, желающих навредить другим пользователям.

Правильная защита требует постоянного обновления антивирусной программой базы данных - новые типы вредоносных программ, возникают практически каждый день. От обычных удаленных средств управления оборудования, передающих контроль над компьютером другому человеку, и заканчивая бесчисленным множеством вирусов и троянский программ. А к этому следует добавить черви, руткиты или клавиатурных шпионов, которых часто невозможно обнаружить традиционными методами.

Пароли сохраненные в браузере

Одна из самых полезных функций веб-браузеров также представляет угрозу. Учитывая удобство и значительную экономию времени, ей пользуются практически все, но в ситуации, когда телефон или компьютер попадет в чужие руки, у нас появляются серьёзные проблемы, а вор, без каких-либо усилий, может войти на наш почтовый ящик или аккаунт социальной сети.

Означает ли это, что безопаснее было бы вообще не использовать запоминание паролей? Конечно, нет - достаточно иметь надежный менеджер паролей , который сам по себе является дополнительным средством безопасности.

Фишинг и фарминг - угроза для доверчивых

Фишинг - это всё более популярный тип интернет-мошенничества, с помощью которого пытаются получить конфиденциальные данные от пользователей, чтобы затем использовать, например, для получения контроля над банковским счетом.

Попытки вытянуть ключевую информацию очень часто принимают форму поддельных писем - от почты России, банка или другой организации, которой большинство пользователей доверяет. С угрозами этого типа имели в своей жизни дело почти 60% пользователей. Те, кто не могут отличить поддельные сообщения от реальных (по данным исследования Intel до 15% российских интернет-пользователей) очень падки на такого рода действия.

А что с фармингом? Это, в свою очередь, более развитая и часто труднее различимая форма фишинга, использующая подлинные адреса учреждений, но перенаправляющая на поддельные копии страниц.

Единственным полностью надежной защитой в этом случае будет актуальная база вирусов в вашем программном обеспечении и самостоятельная проверка сертификации сайта.

Спам - информационная угроза

В этом случае гораздо реже речь идет о прямой угрозе для данных на смартфоне или компьютере (хотя в некоторых случаях, конечно же, она существует), а более разочарование, которым сопровождается использование электронной почты.

Почтовые сервисы Интернета, конечно, имеют основные фильтры, но все равно иногда что-то попадает в ящик. 80% интернет-пользователей регулярно использует почтовый ящик и ни одного из них не нужно, наверное, убеждать, сколь вреден спам.

Проблема исчезает, если мы используем передовые защитные пакеты, а также имеем лицензию на его мобильную версию.

Сети ботнет

Это тип опасности, о которой мы часто даже не отдаем себе отчета. Его присутствие практически незаметно, он не вредит, ибо имеет совершенно другую задачу. Он использует вычислительные мощности зараженных компьютеров, например, для рассылки спама или атак на выбранные сервера.

Надежная защита

Список опасностей гораздо больше и что ещё хуже - постоянно расширяется. Каждая из них представляет собой, однако, действительно серьезную угрозу, которая из-за невнимательности пользователя может привести к ситуации, в которой он теряет доступ к критически важным данным.

Самое важное, в любом случае, использование технологий и решений, дающих нам уверенность, что хранящиеся на дисках или сети данные надежно защищены. Хотя даже самый полный пакет не освобождает нас от необходимости сохранения здравого смысла при работе в сети интернет.

Которые вынуждены ждать создания физического файла на компьютере пользователя, сетевая защита начинает анализировать входящие потоки данных, поступающие на компьютер пользователя через сеть, и блокирует угрозы прежде, чем они попадают в систему.

Основными направлениями сетевой защиты, которые обеспечивают технологии Symantec, являются:

Загрузки методом drive-by, веб-атаки;
- Атаки типа «Социальной инженерии»: FakeAV (поддельные антивирусы) и кодеки;
- Атаки через социальные сети наподобие Facebook;
- Обнаружение вредоносных программ, руткитов и зараженных ботами систем;
- Защита от усложненных угроз;
- Угрозы Нулевого дня;
- Защита от неисправленных уязвимостей ПО;
- Защита от вредоносных доменов и IP-адресов.

Технологии Сетевой защиты

Уровень "Сетевая защиты" включает в себя 3 различные технологии.

Network Intrusion Prevention Solution (Network IPS)

Технология Network IPS понимает и сканирует более 200 различных протоколов. Он интеллектуально и точно «пробивается» сквозь двоичный и сетевой протокол, попутно ища признаки вредоносного трафика. Этот интеллект позволяет обеспечить более точное сетевое сканирование, при этом обеспечивая надежную защиту. В его «сердце» находится движок блокировки эксплойтов, который обеспечивает открытые уязвимости практически непробиваемой защитой. Уникальной особенностью Symantec IPS является то, что никакой настройки этот компонент не требует. Все его функции работают, как говорится, «из коробки». Каждый пользовательский продукт Norton , а также каждый продукт Symantec Endpoint Protection версии 12.1 и новее, обладают данной критичной технологией, включенной по умолчанию.

Защита Браузера

Этот защитный движок располагается внутри браузера. Он способен обнаруживать наиболее сложные угрозы, которые ни традиционный антивирус, ни Network IPS не способны определить. В наше время, многие сетевые атаки используют методы обфускации во избежание обнаружения. Поскольку Защита Браузера работает внутри браузера, она способна изучать пока еще не скрытый (обфускацированный) код, во время того, как он выполняется. Это позволяет обнаружить и заблокировать атаку, в случае, если она была пропущена на нижних уровнях защиты программы.

Un-Authorized Download Protection (UXP)

Находящаяся внутри слоя сетевой защиты, последняя линия обороны помогает прикрыть и «смягчить» последствия использования неизвестных и неисправленных уязвимостей, без использования сигнатур. Это обеспечивает дополнительный слой защиты от атак Нулевого дня.

Ориентируясь на проблемы

Работая вместе, технологии сетевой защиты решают следующие проблемы.

Загрузки методом Drive-by и наборы инструментов для веб-атак

Используя Network IPS, Защиту Браузера, и UXP-технологию, технологии сетевой защиты компании Symantec блокируют загрузки Drive-by и, фактически, не позволяют зловреду даже достичь системы пользователя. Практикуются различные превентивные методы, включающие использование этих самых технологий, включая технологию Generic Exploit Blocking и инструментарий обнаружения веб-атак. Общий веб-инструментарий обнаружения атак анализирует характеристики распространенной веб-атаки, не зависимо от того, какой именно уязвимости касается эта атака. Это позволяет обеспечить дополнительной защитой новые и неизвестные уязвимости. Самое лучшее в этом типе защиты - это то, что если вредоносный файл смог бы «тихо» заразить систему, он все равно был бы проактивно остановлен и удален из системы: ведь именно это поведение обычно пропускается традиционными антивирусными продуктами. Но Symantec продолжает блокировать десятки миллионов вариантов вредоносного ПО, которое обычно не может быть обнаружено другими способами.

Атаки типа «Социальной инженерии»

Поскольку технологии компании Symantec наблюдают за сетевым трафиком и трафиком браузера во время его передачи, они определяют атаки типа «Социальной инженерии», на подобии FakeAV или поддельных кодеков. Технологии предназначены блокировать подобные атаки до того, как они отобразятся на экране пользователя. Большинство других конкурирующих решений не включает в себя этот мощный потенциал.

Symantec блокирует сотни миллионов подобных атак при помощи технологии защиты от сетевых угроз.

Атаки, нацеленные на социальные медиа-приложения

Социальные медиа-приложения в последнее время стали широко востребованы, поскольку они позволяют мгновенно обмениваться различными сообщениями, интересными видео и информацией с тысячами друзей и пользователей. Широкое распространение и потенциал подобных программ, делают их объектом внимания №1 для хакеров. Некоторые распространенные трюки «взломщиков» включают в себя создание поддельных аккаунтов и рассылку спама.

Технология Symantec IPS способна защитить от подобных методов обмана, зачастую предотвращая их до того, как пользователь успеет кликнуть на них мышкой. Symantec останавливает мошеннические и поддельные URL, приложения и другие методы обмана с помощью технологии защиты от сетевых угроз.

Обнаружение вредоносного ПО, руткитов и зараженных ботами систем

Правда было бы неплохо знать, где именно в сети располагается зараженный компьютер? IPS-решения компании Symantec предоставляют эту возможность, также включая в себя обнаружение и восстановление тех угроз, возможно которым удалось обойти другие слои защиты. Решения компании Symantec обнаруживают вредоносов и ботов, которые пытаются совершить автодозвон или загрузить «обновления», чтобы увеличить свою активность в системе. Это позволяет IT-менеджерам, у которых есть четкий лист систем для проверки, получить гарантию того, что их предприятие находится в безопасности. Полиморфные и сложные скрытые угрозы, использующие методы руткитов наподобие Tidserv, ZeroAccess, Koobface и Zbot, могут быть остановлены и удалены при помощи этого метода.

Защита от «запутанных» угроз

Сегодняшние веб-атаки используют комплексные методы усложнения атак. Browser Protection компании Symantec «сидит» внутри браузера, и может обнаружить очень сложные угрозы, которые зачастую не способны увидеть традиционные методы.

Угрозы «Нулевого дня» и неисправленные уязвимости

Одним из прошлых, добавленных компанией защитных дополнений, является дополнительный слой защиты против угроз «Нулевого дня» и неисправленных уязвимостей. Используя безсигнатурную защиту, программа перехватывает вызовы System API и защищает от загрузок вредоносного ПО. Эта технология называется Un-Authorized Download Protection (UXP). Она является последним рубежом опоры внутри экосистемы защиты от сетевых угроз. Это позволяет продукту «прикрыть» неизвестные и непропатченные уязвимости без использования сигнатур. Эта технология включена по умолчанию, и она находится во всех продуктах, выпущенных с момента дебюта Norton 2010.

Защита от неисправленных уязвимостей в ПО

Вредоносные программы зачастую устанавливаются без ведома пользователя, используя уязвимости в ПО. Сетевая защита компании Symantec предоставляют дополнительный слой защиты, именуемый Generic Exploit Blocking (GEB). Независимо от того, установлены ли последние обновления или нет, GEB «в основном» защищает основные узявимости от эксплуатации. Уязвимости в Oracle Sun Java, Adobe Acrobat Reader, Adobe Flash, Internet Explorer, контролях ActiveX, или QuickTime сейчас повсеместно распространены. Generic Exploit Protection была создана методом «обратного инжиниринга», выяснив, каким образом уявимость могла быть использована в сети, предоставляя при этом специальный патч на сетевом уровне. Одна-единственная GEB или сигнатура уязвимости, способна предоставить защиту от тысяч вариантов зловредов, новых и неизвестных.

Вредоносные IP и блокировка доменов

Сетевая защита компании Symantec также включает в себя возможность блокировки вредоносных доменов и IP-адресов, при этом останавливая вредоносно ПО и трафик от известных вредоносных сайтов. Благодаря тщательному анализу и обновлению базы веб-сайтов отделом STAR, Symantec предоставляет защиту от постоянно меняющихся угроз в режиме реального времени.

Улучшенное сопротивление к Уклонению

Была добавлена поддержка дополнительных кодировок, чтобы улучшить эффективность детекта атак при помощи техник шифрования, таких как base64 и gzip.

Обнаружение сетевого аудита для применения политик использования и идентификации утечки данных

Сетевой IPS может быть использован для идентификации приложений и инструментов, которые могут нарушить корпоративную политику использования, или для предотвращения утечки данных через сеть. Является возможным обнаружить, предупредить или предотвратить трафик на подобии IM, P2P, социальных медиа, или другого «интересного» вида трафика.

STAR Intelligence Communication Protocol

Технология сетевой защиты сама по себе не работает. Движок обменивается данными с другими сервисами защиты при помощи протокола STAR Intelligence Communication (STAR ICB). Движок Network IPS соединяется с движком Symantec Sonar, а затем с движком Внутренней Репутации (Insight Reputation). Это позволяет предоставить более информативную и точную защиту.

В следующей статье мы рассмотрим уровень "Поведенческий анализатор".

По материалам Symantec

Нашли опечатку? Выделите и нажмите Ctrl + Enter