Реактивность или проактивность?

КРУГЛЫЙ СТОЛ

Борьба с внешними ИТ-угрозами на малых и средних предприятиях

Вопрос о том, какие методы укрепления ИТ-безопасности предприятия перспективнее - реактивные или проактивные, - уже обсуждался на страницах нашего еженедельника (см. PC Week/RE, N 32/2005, с. 35). Тогда, если помните, речь в основном шла о "тяжелых" решениях, предназначенных для охраны периметра крупных корпоративных сетей. Мы решили продолжить этот разговор, сделав теперь акцент на проблемах, возникающих у малых и средних предприятий при выборе средств защиты рабочих станций, а также настольных и блокнотных ПК.

Андрей Никишин: “Всем

известно, как работает

двигатель внутреннего

сгорания, но далеко

не все знают, как его

лучше всего изготовить”

Как известно, в нашей стране количество игроков этого сегмента рынка с каждым годом неуклонно увеличивается, что усложняет пользователю проблему выбора. Поэтому мы провели круглый стол на тему "Борьба с внешними ИТ-угрозами на малых и средних предприятиях: реактивность или проактивность?", пригласив на него ведущих специалистов антивирусных фирм-конкурентов и топ-менеджеров интеграторских компаний, специализирующихся на защите бизнеса от разного рода ИТ-угроз. Участниками нашего заседания стали директор направления сервисных решений "Лаборатории Касперского" Андрей Никишин, генеральный директор ООО "Доктор Веб" Борис Шаров, технический директор ЗАО "ДиалогНаука" Виктор Сердюк, генеральный директор российского представительства Eset Software Дмитрий Попович, генеральный директор компании StarForce Technologies Михаил Калиниченко, а также Эдуард Пройдаков - редакционный директор ИТ-группы издательства "СК Пресс".

Борис Шаров: “Многие

 термины, используемые

 поставщиками средств

 защиты, “локализованы”

очень неудачно, не

 соответствуют нормам

русского языка и

большинству

пользователей

 просто не понятны”

Из истории вопроса

В свое время практически единственным источником внешних ИТ-угроз были компьютерные вирусы, заражающие полезные - как исполнимые, так и неисполнимые - файлы и, грубо говоря, живущие в них.

Как утверждает "Вирусная энциклопедия Касперского", первые компьютерные вирусы появились примерно в середине 1970-х годов (для машин Univax 1108 и IBM 360/370; www.viruslist.com/ ru/viruses/encyclopedia?chapter= 152526517), а первая в истории действительно массовая эпидемия компьютерного вируса (для машин марки Apple II) произошла в 1981 г. (www.viruslist.com/ ru/viruses/encyclopedia?chapter= 156878515).

В 1986 г. была зарегистрирована первая глобальная эпидемия для IBM-совместимых компьютеров. Печально известный вирус Brain, заражавший загрузочные сектора дискет, в течение нескольких месяцев распространился практически по всему миру...

Тогда же (во второй половине 80-х) появились и первые борцы с этой напастью. В нашей стране наиболее известными из них были Олег Котик, Антон Чижов и Дмитрий Лозинский. К 1989 г. компьютерами были оснащены уже очень многие рабочие места, а антивирус Лозинского, использующий сигнатурный метод обнаружения вирусов, оказался наиболее популярным и распространенным. Двое же других авторов очень быстро перестали этим заниматься. Зато в октябре 1989-го за исследование зловредных кодов взялся выпускник Института криптографии, связи и информатики Евгений Касперский. В свободное от основной работы время он стал писать антивирусные программы. Непосредственным толчком к этому занятию послужил проникший на его ПК вирус Cascade. А в 1992 г. свой первый антивирусный пакет создал Игорь Данилов. В его основе лежала эмуляция процесса исполнения программ (прообраз многих нынешних несигнатурных технологий).

Итак, в нашей стране довольно долгое время выбор у пользователей ПК был невелик: либо легендарный Aidstest Дмитрия Лозинского, ныне работающего в компании "Доктор Веб", либо пакеты, созданные командами Игоря Данилова (Dr.Web) или Евгения Касперского (одно время они предлагались под торговой маркой AVP).

Уже в нынешнем веке большую известность в России получили пакеты зарубежных фирм - Panda, Symantec, Trend Micro и других. В январе 2005 г. (см. PC Week/RE, N 14/2005, c. 12) в нашей стране активно начала действовать компания Eset Software.

Прошлой осенью на российском рынке антивирусных средств для секторов SoHo и SMB появилась фирма Computer Associates (см. PC Week/RE, N 36/ 2005, с. 2). В начале этого года активные действия в нашей стране развернула Kerio, предлагающая корпоративный межсетевой экран Kerio WinRoute Firewall 6.2, рассчитанный на 10-500 пользователей.

Богатый ассортимент антивирусных средств ставит пользователя перед проблемой: какое средство выбрать для себя или для своей компании? Эта проблема усугубляется еще и тем, что стоимость всех имеющихся на рынке антивирусных продуктов (для секторов SoHo и SMB) примерно одинакова. Как одинакова и их реклама, звучащая примерно так: наши продукты защитят вас от всех типов ИТ-угроз. При этом данное весьма спорное утверждение иногда подкрепляется списком этих самых ИТ-угроз, а иногда и нет.

Для справки: почти все согласны с тем, что классический вирус модифицирует файлы и создает в них свои (не обязательно похожие друг на друга) копии, а черви распространяются по компьютерным сетям и другим средствам коммуникаций, но файлов при этом не заражают и не модифицируют. А вот по поводу шпионящих программ (spy software) мнения расходятся: одни производители причисляют к ним все вредоносные коды, служащие для кражи конфиденциальной информации, слежения за интернет-привычками пользователей и т. д.; а другие понимают под ними лишь относительно безобидные "фиксаторы" интернет-привычек пользователей и рекламное ПО. При этом похитители паролей и различной банковской информации выделяются в отдельный класс вредоносных кодов. Под троянцами же обычно понимаются программы, проникающие на компьютер под видом вполне полезных утилит. А еще бывают боты (вирусы-роботы, управляемые в дистанционном режиме и используемые для проведения DoS-атак, кражи конфиденциальной информации и иных неблаговидных целей), "руткиты", "бэкдоры" и многие другие классы вредоносных кодов. Все их перечислить практически невозможно.

О терминах

Было бы очень заманчиво выработать единую классификацию внешних ИТ-угроз и затем построить обозримую (желательно - формата A4) табличку, содержащую "крестики-нолики" на пересечении столбцов-угроз со строками-продуктами. Таким образом, потребитель хотя бы в первом приближении мог бы себе представить, для борьбы с какими именно ИТ-угрозами то или иное средство предназначено.

Виктор Сердюк:

“Грамотныйсовет по

выбору средств

защиты от ИТ-угроз может

дать только специализиро

ванный системный

интегратор”

Однако наш круглый стол показал, что единой общепринятой классификации внешних ИТ-угроз на сегодня, увы, не существует. Более того, некоторые участники дискуссии выразили сомнение в том, что она вообще необходима. Их можно понять: ведь в настоящее время практически каждая антивирусная (в широком смысле) компания утверждает, что ее продукт (или комплекс продуктов) защищает пользователя практически от всех бед. Можно предположить, что каждая компания-производитель эти самые беды классифицирует так, чтобы именно ее решение на фоне данной классификации смотрелось исключительно хорошо.

Дмитрий Попович:

“Чем больше эвристики,

тем лучше!”

Впрочем, есть классификации "для себя" и "для народа". Андрей Никишин признается: "У нас в компании есть две классификации. Одну, очень простую, можно показать внешнему миру, а другую, внутреннюю, разработали для себя аналитики, она значительно сложнее и занимает три листа формата А3". При этом г-н Никишин считает, что по большому счету существуют два основных вида вредоносных кодов: Crimeware - программы, помогающие их автору (или "пользователю") получить какую-то финансовую выгоду, и Malware - созданные просто из хулиганских побуждений и без жажды наживы. При этом он, как, впрочем, и все участники круглого стола, отмечает, что удельный вес зловредных кодов второго типа во всем мире постоянно снижается.

Виктор Сердюк говорит: "Да, в ИТ-отрасли еще не сложилась четкая и понятная большинству пользователей единая классификация угроз информационной безопасности. Это осложняет работу системных интеграторов, стремящихся предложить своим клиентам комплексные решения. Но думаю, что такого рода классификация рано или поздно появится".

А вот Дмитрий Попович считает, что правильная классификация ИТ-угроз возможна лишь в том случае, когда ее составлением дружно займутся сами хакеры и вирусописатели. Относительно же позиций антивирусных компаний он сказал буквально следующее: "Каждая из них имеет не только сильные, но и слабые стороны. Бывает и так, что иногда эти компании не замечают те вещи, которые реально опасны, а выдумывают какие-то свои виртуальные угрозы, а поэтому единого мнения в части классификации ИТ-угроз, наверное, не будет никогда".

В то же время легко заметить, что в отсутствие единой классификации проводить сравнение антивирусных продуктов по функциональности практически невозможно, так как одни и те же термины каждая антивирусная фирма трактует несколько по-своему. Кроме того, некоторые компании в маркетинговых целях зачастую вводят новые термины для "старых" ИТ-угроз, утверждая, что с данной угрозой наиболее эффективно борется именно их продукт.

Еще Остап Бендер говорил, что чем мех дороже, тем он лучше. Аналогичная ситуация складывается и на рынке средств антивирусной защиты: чем они дороже, тем, как правило, многофункциональнее, надежнее, проще в эксплуатации и так далее.

Однако, как отмечает Андрей Никишин, рядовые покупатели (особенно розничные) ориентируются не столько на "вектор функционала" и технологические свойства продукта, сколько на его маркетинговую - в том числе чисто внешнюю - "упаковку". Он говорит: "Некоторые зарубежные антивирусные компании завоевали большую рыночную долю благодаря тому, что "закупили" в известных супермаркетах длинные и находящиеся на уровне глаз торговые полки и заполонили их яркими коробками со своей продукцией".

Да что там классификация ИТ-угроз! Большой спор среди участников круглого стола вызвал даже вопрос о том, какие методы борьбы с внешними ИТ-угрозами следует считать реактивными, а какие - проактивными.

Андрей Никишин считает, что реактивными методами следует называть те, которые требуют времени или вмешательства эксперта для обнаружения новой ИТ-угрозы, а проактивными - те, которые не требуют такого вмешательства.

По мнению же Бориса Шарова, проактивная технология - это та, которая перекладывает ответственность обнаружения угрозы на самого пользователя.

А вот Виктор Сердюк считает, что к проактивным следует относить все технологии, которые блокируют угрозу до того, как она нанесет какое-либо вредоносное действие. Поэтому, c его точки зрения, нельзя противопоставлять друг другу проактивный и сигнатурный подходы. Его мысль развивает Михаил Калиниченко: "Всем примерно понятно, что представляет собой сигнатурный метод, но огромный разброс мнений существует относительно того, какие методы нужно считать несигнатурными, проактивными, превентивными и т. д. Чтобы убедиться в этом многообразии, полистайте, к примеру, брошюрки, выпущенные к недавней выставке CeBIT’2006. Да и вообще сейчас, в эпоху криминализации Интернета, главную опасность представляют не сами программы (как бы их ни классифицировали), а люди, которые собирают украденные данные и используют их в корыстных целях".

Михаил Калиниченко: “Не

надо проводить

строгую грань между

внешними и внутренними

ИТ-угрозами”

Дальше г-н Калиниченко отмечает: "Любая классификация ИТ-угроз по внешним техническим признакам будет неустойчива, так как эти самые признаки очень быстро меняются. Если же в основу классификации положить тип ущерба, который может быть нанесен пользователю компьютера, то ситуация станет более стабильной, понятной и конкретной. В этом случае мы имеем лишь три вида ущерба - нарушение функционирования ОС или приложений, уничтожение либо искажение файлов данных, воровство той или иной информации. По большому счету кроме этих трех видов ущерба сложно что-либо придумать еще".

"Да, идти надо не от ИТ-угроз, а от вреда, который они могут принести. Задачу поставщика средств ИТ-безопасности я вижу в том, чтобы дать в руки интеграторов или конечных пользователей некий инструмент и объяснить им принцип его работы. А уж дальше они сами пусть решают, как и из каких кирпичиков строить систему информационной безопасности", - соглашается с ним Борис Шаров.

А Андрей Никишин добавляет: "Немаловажный аспект заключается в том, каково соотношение затрат на информационную безопасность и того потенциального вреда, который может быть нанесен компании. Если на компьютере пользователя стоит единственная любимая игрушка, то ему вообще не нужен антивирус. В случае чего гораздо проще и дешевле переустановить ОС и игру. Защита должна быть адекватна стоимости хранящейся на ПК информации. Аналогичная ситуация возникает при защите автомобиля: ведь никто не будет ставить на "мерседес" только механическую защиту руля, равно как никто не станет инсталлировать спутниковую противоугонную систему на "копейку" (первая модель "жигулей". - В. М.) двадцатилетней давности. В первом случае это хотя и дешево, но слишком ненадежно, а во втором - неоправданно дорого".

Михаил Калиниченко также предложил не противопоставлять внешние угрозы, обусловленные деятельностью "внешних врагов" - хакеров, вирусописателей и других "плохих парней" (интересно отметить, что среди сотен лиц, привлеченных за написание и распространение зловредных кодов, представительниц прекрасного пола пока не было), внутренним, т. е. тем, что вызваны халатностью или злым умыслом собственных сотрудников. Ход его мыслей весьма понятен: ведь "на сто процентов проактивный" продукт Safe’n’ Sec, предлагаемый компанией StarForce Technologies, базируется на технологии поведенческого анализа и позиционируется как средство борьбы не только с внешними, но и с внутренними угрозами. При этом г-н Калиниченко честно признается, что пакет Safe’n’Sec только противодействут ИТ-угрозам, но зараженных файлов не лечит. Для этой цели в линейке продуктов Safe’n’ Sec присутствует специальная версия, дополненная классическим антивирусным движком. В то же время он отмечает: "Вирус - это частный случай вторжения в ПК, и в таком смысле Safe’n’Sec может считаться антивирусным продуктом".

По мнению Андрея Никишина, в настоящее время эвристические анализаторы используются практически всеми антивирусными компаниями. Более того, он считает, что принцип их действия - вне зависимости от того, под какой торговой маркой данная технология продвигается, - более или менее одинаков. И дело тут в конкретной реализации. Правильность своих слов г-н Никишин также проиллюстрировал автолюбительским примером: "Все знают, как работает двигатель внутреннего сгорания, однако "хонда" снимает 140 лошадиных сил с литра объема двигателя, а "жигули" и сотни снять не могут. Принцип-то одинаковый, а детали разные! Аналогичная ситуация наблюдается и в мире проактивных технологий".

Или такой пример (опять же приведенный Андреем Никишиным): "Никто из производителей машин не рассказывает тонкостей своей системы управления газораспределением, Одни говорят, что у них VVT, а другие - что VVTI. Для обычного пользователя этих названий хватает. Точно так же и в антивирусах - производитель, скажем, говорит: "у нас есть эвристика третьего поколения". А уж как именно эта эвристика реализована, пользователей, как правило, совсем не волнует. Впрочем, у всех наверняка есть маркетинговые документы, в которых относительно доходчивым языком, без углубления в детали, объясняется, как примерно работает данная технология. И для большинства пользователей этих объяснений вполне хватает. О тонкостях никто не рассуждает. Но именно за счет этих тонкостей каждый из нас получает свое конкурентное преимущество".

Эдуард Пройдаков: “На

первой выставке SofTool

в 1991 г. я за три рубля

купил легальную версию

Aidstest’а Лозинского

и берегу её для музея”

На вопрос: "Откуда вы все это знаете?" - г-н Никишин отвечает так: "В свое время я сам делал эвристический анализатор (в терминах Бориса Шарова, это был поведенческий анализатор), который анализировал поведение программы во время эмуляции. С тех пор ничего принципиально нового не изобрели - либо эмуляция и анализ эмулированных действий во время эмуляции, либо поиск сигнатур как после эмуляции, так и без нее".

Независимое сравнение проактивных технологий - архисложная вещь, и в настоящее время ни одна тестовая лаборатория не берется делать такого рода проверки. В то же время процесс тестирования защитных пакетов на коллекциях уже известных вирусов отработан достаточно хорошо. Беда лишь в том, что актуальность этих коллекций у многих экспертов вызывает некоторые сомнения.

Между прочим, даже сам термин "ИТ-угроза" (который, по мнению Эдуарда Пройдакова, уже устоялся и потому может считаться общеупотребительным) далеко не всем участникам нашего круглого стола пришелся по душе. Некоторые из них считают, что более целесообразно оперировать понятиями "уязвимость", "атака", "объект атаки", "последствия атаки" и т. д. Ведь "атака" возможна лишь в том случае, если "объект атаки" (ПК или какое-либо другое устройство, подключенное к Сети, - Web-камера, холодильник, микроволновая печь и т. д.) имеет какую-либо "уязвимость" ("дыру"), на использовании которой и основываются замыслы злоумышленников.

Конкретные рекомендации

Однако термины терминами (в истории их происхождения должны разбираться не только специалисты по ИТ-безопасности, но и лингвисты), а что же делать пользователю, который не в силах понять, чей пакет лучше и как ему построить глубоко эшелонированную защиту от разного рода ИТ-напастей?

Общая рекомендация здесь такова: обращайтесь в независимые интеграторские фирмы, специализирующиеся на защите компаний от разного рода ИТ-угроз. С данным мнением согласился не только технический директор интеграторской "ДиалогНауки", но и представители практически всех антивирусных компаний. При этом они дружно отмечают: "Чем больше такой интегратор независим, т. е. чем больше вендоров-антивирусников в портфеле его предложений, тем лучше!". Заметим: лучше клиенту, но хуже интегратору. Ведь чем он "многовендорнее", тем больше экспертов должно быть в его штате и тем выше его расходы.

По поводу методов построения глубоко эшелонированной защиты вспоминается эпизод публичного антивирусного круглого стола, состоявшегося в апреле в рамках I международной конференции "Информационная безопасность в современных условиях" (www.avconf.ru). Во время его проведения один из представителей достаточно крупного заказчика воскликнул: "Наш бизнес сильно зависит от стабильности работы корпоративной сети, и вопросам защиты от различных ИТ-угроз мы уделяем огромное внимание. Не скрою, у нас есть любимый (надежный и проверенный временем) поставщик средств противодействия зловредным кодам. Но у меня порой складывается ощущение, что в процессе борьбы с этими ИТ-угрозами наши ИТ-ресурсы расходуются весьма неэффективно: сначала идет проверка трафика на уровне интернет-шлюзов (первая линия обороны), затем - на уровне почтовых серверов (вторая линия), файловых серверов (третья), рабочих станций, подключенных к сети (четвертая) и корпоративных ноутбуков, которые постоянно перемещаются из "глубокого тыла" (трижды проверенной локальной сети) на "передовую" (в зону действия зачастую никак не защищенных публичных беспроводных сетей). И заметьте: на всех этих линиях обороны работают практически одни и те же реактивные и проактивные технологии". В ответ на прозвучавшую реплику кто-то из зала тут же выкрикнул: "А вы не используйте на разных линиях обороны продукты одних и тех же вендоров, тогда шансы обнаружить и обезвредить зловредный код сильно увеличатся!".

А ведь автор этого замечания глубоко прав. Все участники нашего круглого стола признали, что ни одна из имеющихся на сегодня реактивных или проактивных технологий не обеспечивает 100%-ную защиту от всех видов ИТ-угроз. Хотя бы потому, что сами такие угрозы становятся настолько изощренными, что не поддаются никакой разумной классификации.

Некоторые специалисты считают, что бороться нужно не с "обезличенными" и плохо классифицируемыми ИТ-угрозами, а с конкретными "уязвимостями". Во-первых, их гораздо меньше, чем разновидностей вирусов, червей и троянцев. А во-вторых, практика показывает, что своевременное "латание дыр" (увы, многие пользователи, а порой и сисадмины этим занятием себя особо не утруждают) является очень эффективным средством профилактики (т. е. "проактивным").

Но опять же не панацеей: из девятого тома Internet Security Threat Report, отчета по вопросам интернет-безопасности, который раз в полгода выпускает Symantec, следует (см. http://pcweek.ru/ ?ID=510287), что в период с 1 июля по 31 декабря 2005 г. с момента обнаружения уязвимости до выпуска использующего ее зловредного кода проходило в среднем 6,8 суток (против 6,0 суток в предыдущий отчетный период). В то же время между обнаружением уязвимости и выпуском соответствующего исправления проходит в среднем 49 дней. Плюс ко всему даже своевременно поставленные "заплатки" не защищают пользователя от таких печальных явлений, как спам, фишинг и фарминг.

Нет нужды лишний раз говорить, что враг хитер и коварен. И если от стандартных распределенных атак еще есть надежда как-то защититься, то от умело проведенного "прицельного бомбометания" спастись практически невозможно. Андрей Никишин отмечает: "Если целевая атака проводится грамотным хакером, то перед ее началом тщательно исследуется, какие системы защиты стоят на объекте нападения, и, естественно, атака проводится так, чтобы системы не зафиксировали вторжение и никто ничего не заметил".

При этом в самом плохом положении находятся пользователи ноутбуков, часто выезжающие на "передовую". Ведь в силу несовместимости многих антивирусных продуктов они порой лишены возможности "вырыть" даже хотя бы две линии противовирусных "окопов". Широкое распространение мобильных устройств приводит также к тому, что широко разрекламированные мощные средства защиты периметра сети (в том числе программно-аппаратные) хотя и крайне необходимы, но уже не являются панацеей от всех бед, а средства индивидуальной защиты настольных и блокнотных ПК становятся все более актуальными.