Как уберечься от вирусной атаки

Денис Зенкин
denis@аvр.гu

Business Online, №9 2001

На заре компьютерной эры, когда вычислительные машины были достоянием лишь секретных правительственных организаций, все было тихо и спокойно. Инженерам и в голову не приходило заниматься такими глупостями, как, например, создание вирусов, — и без этого хватало работы. Однако уже в конце 70-х компьютеры начинают активно проникать в жизнь все более широких слоев населения, и к середине 90-х они становятся обязательным атрибутом чуть ли не каждой современной компании, а компьютерная грамотность стала в ряд с умением читать и писать. К компьютерам получают доступ сотни миллионов людей со всего мира, а Всемирная паутина, именуемая Интернетом, связывает их невидимыми каналами связи. Наивно было бы полагать, что эта орава пользователей в своей работе с компьютерами преследует благие цели составления бухгалтерских отчетов, ведения складского хозяйства или просто испытывает желание «утонуть» в увлекательной компьютерной игре. Сегодня десятки тысяч хакеров самых разных возрастов и убеждений рыскают по всемирному киберпространству, взламывают компьютерные системы, крадут конфиденциальную информацию, опустошают банковские счета, уничтожают данные. Наиболее распространенным инструментом для достижения этих целей стали компьютерные вирусы.

Многочисленные вирусные атаки ставят под угрозу нормальное функционирование глобальной экономики в целом. По данным аналитического центра издательства Information Week, в 2000 году потери мирового хозяйства, вызванные вирусной и хакерской активностью, составили 1,6 трлн. долл. Другая американская исследовательская организация — Forrester Research — прогнозирует, что к 2003 году компании увеличат расходы на информационную безопасность в 3 раза, для того чтобы сохранить свою способность противостоять усиливающимся вирусным атакам на компьютерные системы. Прогноз, надо сказать, не из приятных для российской экономики, особенно если учитывать, что у многих отечественных предприятий не хватает средств даже на выплату зарплаты. Как сократить расходы и одновременно повысить эффективность защиты? Ответ на этот вопрос состоит в понимании проблемы и проведении четкой и продуманной корпоративной политики компьютерной безопасности.

Что такое вирус?

Благодаря многочисленным голливудским блокбастерам понятие «вирус» в глазах публики приобрело демонический оттенок и устойчиво ассоциируется чуть ли не со злым внеземным разумом, проникшим на Землю. Необоснованный страх тем более опасен, что лишает пользователей способности трезво рассуждать, когда на компьютере действительно появляется вирус: часто в панике они наносят компьютерам больший ущерб, чем мог бы сделать сам вирус. В действительности вирус — это самая обычная компьютерная программа, которая обладает свойством незаметно для пользователя создавать свои копии и внедрять их в другие программы или секторы дисков. Совсем даже не страшно, правда?

Другое заблуждение большинства пользователей состоит в распространении понятия «вирус» на все остальные типы вредоносных программ, такие как сетевые черви и троянские программы. «Черви» в отличие от вирусов не имеют способности «размножаться», но умеют автоматически рассылать себя по электронной почте, сетевым ресурсам и другим каналам передачи данных. «Троянцы» не умеют ни того, ни другого — они «вручную» засылаются жертве под видом какой-нибудь полезной утилиты и, будучи запущенными, производят на компьютере самые разные нежелательные действия. Важно отметить, что сегодня уже трудно найти вредоносную программу которая была бы «чистым» вирусом, «червем» или «троянцем». Современные компьютерные жучки — это в подавляющем большинстве сложные многокомпонентные программы, которые сочетают характерные черты двух или даже всех трех типов.

Как защитить сеть?

Вряд ли стоит говорить, что компьютерная сеть предприятия даже небольшого масштаба — это сложный организм, требующий от системного администратора несравненно больших знаний и умения, нежели защита настольного компьютера домашнего пользователя.

Структура обычной сети включает такие элементы, как рабочие станции (мобильные и стационарные), файловые серверы и серверы приложений (физические и логические), почтовые шлюзы и web-серверы. Вместе с тем продуманная система антивирусной защиты сети — это не просто установка специализированного антивирусного ПО. Более того, такой подход к проблеме может привести к неправильному или неэффективному функционированию вычислительных мощностей предприятия. В результате может снизиться производительность сети в целом и даже лучший в мире антивирус пропустит «заразу», последствия чего вообще трудно предсказать.

Итак, как же правильно использовать антивирусные программы? Здесь необходим комплексный подход, при котором защита от вирусов сегментов сети работала бы как совокупность взаимосвязанных и взаимодополняющих элементов. Наш взгляд на проблему сводится к необходимости контроля мест хранения данных и каналов их передачи, а также равномерному распределению нагрузки на элементы корпоративной сети. Давайте рассмотрим это подробнее.

 

 

Рабочие станции являются наиболее уязвимым местом в защите корпоративной сети, поскольку управляются наименее опытными в плане «вирусоустойчивости» пользователями. Сегодня, когда рабочее место буквально каждого сотрудника современного предприятия оборудуется компьютером, нередко подключенным к Интернету, уровень защиты корпоративной сети автоматически многократно понижается. Сквозь эту «лазейку» проникает до 95% всех вредоносных программ. Как показывает практика, должный результат в образовании рядовых пользователей не всегда достигается даже долговременным и целенаправленным просвещением: они все также открывают присланные неизвестно откуда «картинки» с изображениями любимых теннисисток, актрис, певиц. В этой связи важно максимально исключить человеческий фактор и установить соответствующее антивирусное ПО. «Соответствующее» означает, во-первых, антивирусный монитор, проверяющий все используемые на компьютере объекты в масштабе реального времени, т. е. в момент попытки их запуска. В случае попытки выполнения зараженного файла монитор автоматически сообщит об инциденте пользователю и системному администратору, которые смогут своевременно принять необходимые меры. Во-вторых, ежедневно все локальные диски рабочих станций должны проходить всеобъемлющую проверку антивирусным сканером с максимальной глубиной поиска. Максимальная глубина поиска подразумевает применение эвристического анализатора кода (поиск неизвестных вирусов) и избыточного сканирования (для обнаружения вирусов, использующих необычные технологии внедрения в файлы). Обе технологии требуют больших затрат вычислительных ресурсов компьютера, однако вряд ли это будет принципиально, если сканирование проводится уже, например, по окончании рабочего дня.

Важно не забывать мобильных пользователей, которые, бывает, приносят целые «зоопарки» вредоносных программ на своих ноутбуках. В отношении их необходимо применять настоящие драконовские меры: проводить полную проверку дисков каждый раз при подключении к сети.

Часто рядовые пользователи страдают желанием отключить навязчивые антивирусные программы или изменить параметры их работы. При этом они плохо представляют себе последствия такой самодеятельности. Поэтому следующий важный совет системным администраторам — исключить возможность изменения параметров и отключения антивирусов локальными пользователями.

Системный администратор крупной сети может схватиться за голову: «Как же я буду все это делать на моих 500 станциях»? Действительно, неужели ему придется лично каждый день обегать всех своих подопечных для глубокого сканирования? Ответ очень прост: в передовые антивирусные комплексы уже интегрированы технологии, позволяющие проводить всю эту работу удаленно и в полностью автоматическом режиме. Например, в самой популярной российской программе «Антивирус Касперского» (www.kaspersky.ru) внедрена система управления «Сетевой Центр Управления», дающая возможность один раз консоли администратора задать порядок работы пакета на рабочих станциях, включить автопилот и забыть об этой головной боли.

Другим уязвимым элементом корпоративной сети является почтовый шлюз, через который проходит электронная корреспонденция предприятия. По данным «Лаборатории Касперского», в 2000 году более 80% всех зарегистрированных вирусных инцидентов произошло именно через электронную почту. Почему же она получила такую популярность среди создателей вредоносных программ?

Во-первых, электронная почта — это идеальный транспорт для компьютерных вирусов, обеспечивающий высочайшую скорость их распространения. Благодаря последним достижениям технологий связи, доставка электронного письма даже в противоположную точку земного шара требует нескольких минут, а в некоторых случаях даже нескольких секунд. Сравните со многими месяцами, необходимыми вирусу; чтобы добраться до другого города при помощи дискет. Исключительная популярность Интернета предопределила и бурное развитие электронной почты: в наши дни к ней имеют доступ сотни миллионов людей по всему миру. Более того, сегодня трудно и практически невозможно вести эффективный бизнес, управлять современным предприятием или организацией без использования электронной почты.

Вторым обстоятельством, предопределившим пристрастие компьютерного андеграунда к электронной почте, является простота ее использования в процессе разработки программ. Существует множество учебников и руководств, которые подробно описывают процедуру внедрения подпрограмм для взаимодействия с почтовыми клиентами. Таким образом, даже студент способен создать простейшую программу, умеющую рассылать письма по электронной почте.

Наконец, не стоит забывать и такой важный психологический момент. Одной из главных причин создания людьми компьютерных вирусов является их желание показать себя, сделать так, чтобы их запомнили, пусть даже на геростратовом поприще. Для достижения этой цели они готовы пойти на все, чтобы их создания нанесли как можно больший вред, стали как можно более известными. Лучший вариант для этого, чем использование электронной почты, придумать сложно.

Таким образом, сегодня антивирусная защита корпоративных почтовых систем является важнейшим аспектом политики безопасности предприятия в целом. Именно это направление в перспективе будет определять эффективность и устойчивость функционирования корпоративных вычислительных систем. Конечно, это не значит, что системный администратор должен просто установить на почтовый сервер антивирус с настройками «по умолчанию» и забыть о нем.

Основным правилом является защита всех узлов и установка многоуровневой системы фильтрации всей почтовой корреспонденции. Наиболее распространенной структурой размещения опорных пунктов антивирусной защиты является так называемая схема 2+1. Схема подразумевает установку антивирусного модуля на корпоративный почтовый сервер, который осуществляет первичную проверку поступающих сообщений. В связи с нагрузкой, которая ложится на почтовый сервер, рекомендуется настраивать антивирусный модуль на минимальное потребление системных ресурсов, т. е. отключать такие «тяжелые» функции, как избыточное сканирование, эвристический анализ, проверка архивированных и сжатых файлов.

Второй уровень защиты составляет специальное антивирусное ПО, устанавливаемое на рабочих станциях, подключенных к службе электронной почты. Оптимальным вариантом является использование антивирусных модулей, интегрированных в локальные почтовые клиенты. Здесь рекомендуется включить все имеющиеся инструменты защиты от вирусов: это будет несколько замедлять работу компьютера, однако никак не скажется на функционировании сети в целом. Существует альтернатива интегрированным антивирусным модулям — антивирусные мониторы, которые в масштабе реального времени проверяют все используемые объекты. Однако первый вариант все же является более предпочтительным, потому как проверяет все входящие и исходящие сообщения сразу же после их получения или отправления, в то время как мониторы способны распознать вредоносный код, только когда пользователь попробует его запустить. Кроме того, антивирусный модуль способен не только обнаруживать, но и успешно лечить зараженные сообщения.

В-третьих, необходимо использовать и классический антивирусный сканер, способный проверять сетевые и локальные диски. Это необходимо для проведения регулярных (не менее 1 раза в день) проверок почтовых баз, хранящихся на сервере и рабочих станциях. Данное обстоятельство накладывает определенные требования на используемый антивирус, а именно поддержку различных форматов почтовых баз. Иными словами, важно, чтобы антивирусный сканер мог проверять содержимое почтовых баз, а не рассматривать их как обычные файлы.

Опасным рассадником вирусов могут также стать файловые серверы и серверы приложений, совместно используемые сразу многими сотрудниками предприятия. Так, зараженная программа с одного компьютера, скопированная на сервер, может моментально попасть на другой компьютер, если его владелец проявит интерес к этой программе. На серверы, как и на рабочие станции, необходимо устанавливать антивирусные мониторы, проверяющие файлы «на лету», и регулярно проводить полномасштабную проверку антивирусным сканером. Как и в случае с почтовыми шлюзами, для оптимизации работы сервера мы рекомендуем отключать «тяжелые» инструменты борьбы с вирусами (эвристический анализатор и пр.) на уровне сервера и возлагать эту задачу на клиентские антивирусные программы.

В качестве дополнительного барьера на пути вирусов в сеть предприятия мы рекомендуем установить специальный антивирусный модуль на корпоративный межсетевой экран, который сможет проводить антивирусную фильтрацию всех входящих и исходящих потоков данных.

Наконец, не стоит забывать про корпоративный web-сервер. Здесь таится опасность даже большего масштаба, чем в случае с почтовыми шлюзами или рабочими станциями. Web-сервер является предметом открытого доступа, к которому могут обращаться не только сотрудники компании, но и любой желающий. Можете себе представить, какой ущерб репутации предприятия может нанести вирус в файле, хранящийся на web-сервере и открытый для публичной загрузки? История знает немало примеров, когда десятки тысяч пользователей загружали зараженные программы и запускали их на своих компьютерах, что приводило к сбоям и потере важной информации. Источниками «заразы» могут быть внутренние сетевые ресурсы и внешний взлом. Первая проблема решается реализацией описанной выше структуры антивирусной защиты. Что касается второго, то должен подтвердить — от хакерского взлома никто гарантированно не защищен. Причинами взлома могут быть недавно обнаруженные «дыры» в системах безопасности, перехват или простой подбор паролей доступа к web-серверу В результате хакер может, например, заменить какую-нибудь полезную программу на свое «творение», которое впоследствии скачают ваши потенциальные покупатели. Для исключения такой возможности можно использовать специализированные ревизоры изменений, такие как, например, Kaspersky WEB Inspector. Такие программы собирают со всех файлов web-сервера их уникальные «отпечатки» (CRC-суммы) и после в масштабе реального времени постоянно контролируют их соответствие оригиналам. В случае нарушения целостности информации ревизор мгновенно оповестит о произошедшем инциденте системного администратора и восстановит первоначальное содержимое сервера.

Описанная схема была бы малоэффективной, если бы не сопровождалась внимательным отношением к своевременному обновлению антивирусных баз всех задействованных в схеме модулей и программ. Как известно, антивирус способен распознать и удалить вирус только в том случае, если данные о нем присутствуют в базе данных программы. Современные алгоритмы распознавания неизвестных вирусов страдают недостаточной надежностью и высоким уровнем ложных срабатываний. Таким образом, чем чаще обновляется ваш антивирус, тем более оперативно вы можете противостоять атакам даже самых «свежих» вирусов. Идеалом являются real-time-обновления «Лаборатории Касперского», когда пользователь получает обновления сразу же после их производства и тестирования антивирусными экспертами.

В области антивирусной безопасности, как ни в какой другой, идеально работает известный закон Мэрфи, гласящий, что если какая-нибудь неприятность может произойти, то она обязательно произойдет. Можно понадеяться на авось и не «залатать» вовремя брешь в системе безопасности или забыть обновить используемое антивирусное программное обеспечение. Смею вас уверить, что последствия этой халатности не заставят себя ждать, и скоро системный администратор обнаружит в подведомственной ему сети нелегально копошащихся хакеров и настоящий вирусный «зоопарк». Как это ни шокирующе звучит, но крайний педантизм и легкая стадия паранойи — залог успешности в деле защиты компьютерных сетей. Но даже эти ценные качества человеческой натуры не способны обеспечить надежную защиту, если у всех сотрудников предприятия нет четкого понимания своего места и роли в борьбе с внешними вторжениями, если в компании не проводится жесткая и продуманная до мельчайших подробностей политика компьютерной безопасности. Надеюсь, мы помогли уважаемому читателю разобраться в основах этой политики. Удачи в борьбе с вирусами!