McAfee Security Day

19 ноябрь, 2007 - 12:46Леонід Бараш

Сегодня пользователи и организации во всем мире сталкиваются с угрозами в области IT, которые могут привести к дестабилизации бизнеса. Для их предотвращения необходимо развернуть всестороннее комплексное решение, способное эффективно защитить бизнес и уменьшить риски. Как это сделать, можно было узнать на конференции, чье название вынесено в заголовок.

Абсолютная защита (слева направо): Торалв Дирро, Ренске Галема, Роберт Желязо, Евгений Бадах и Доминик Сумовски

Известный производитель продуктов в области информационной безопасности компания McAfee при участии «БАКОТЕК», официального дистрибьютора лицензионного ПО, 30 октября в отеле «Опера» провела конференцию, на которой познакомила с текущей ситуацией и тенденциями в сфере IT-безопасности, а также со спектром продуктов, обеспечивающих всестороннюю защиту информационных систем.

Открывая конференцию, директор «БАКОТЕК» Евгений Бадах отметил заслуги McAfee в данной области, а также напомнил присутствующим, что эта компания первой в мире разработала антивирусную программу. Однако было бы неправильным рассматривать McAfee как производителя только антивирусного ПО. Она поставляет на рынок широкий спектр продуктов в области IT-безопасности, которые обеспечивают комплексную защиту как сетевой инфраструктуры, так и информации. Ее решениями пользуются 80% фирм, входящих в список Fortune 100.

Что касается «БАКОТЕК», то она не только продает продукты McAfee на украинском рынке, но и оказывает техническую поддержку заказчикам, проводит обучение их персонала.

Тему возможностей продуктов McAfee продолжила региональный директор компании Ренске Галема (Renske Galema). Сегодня они позволяют не просто защитить аппаратные средства, такие как шлюзы, серверы и настольные ПК, но и обеспечивают сохранность данных, клиентской информации, электронных таблиц, в общем, любых документов, представляющих ценность для организации. С этой целью в портфель был добавлен Data Loss Prevention, предотвращающий утечку данных. Выступающая также оповестила о приобретении компании SafeBoot, решения которой гармонично дополнят линейку продуктов McAfee.

Неподдельный интерес вызвала презентация Торалва Дирро (Toralv Dirro), стратега по безопасности из McAfee Avert Labs, посвященная актуальным IT-угрозам для бизнеса. Докладчик обратил внимание участников на то, что если раньше существовали лишь единичные проблемы, вызванные, к примеру, вирусами или «червями», то в течение нескольких последних лет ситуация изменилась. Перемены произошли как в мотивации авторов угроз, так и в их типах. Многие из них направлены не на обычный ПК, как это было раньше. Злоумышленники пытаются подключиться к онлайновым счетам, учетным записям своих жертв, чтобы снять деньги. Поведение их также стало другим – участилось использование руткит-программ, скрывающих действия вредоносного кода. Кроме того, происходит сдвиг атак в сторону увеличения фишинга, с помощью которого злоумышленники пытаются получить личную информацию субъекта.

Значительно увеличилось количество программ-роботов (bots), расширились области их использования. Сегодня сеть, созданную подобными роботами, можно продать, например, для рассылки спама. Таким образом, то, что было игрой, превращается в довольно крупный бизнес. Если раньше при обнаружении уязвимостей ПО третьей стороной информация об этом сообщалась производителю, то теперь возник рынок уязвимостей с довольно большим оборотом.

Сегодня атаки выполняются двумя способами. Первый заключается в применении «грубой силы», когда роботы пытаются установиться с веб-сайта, используя имеющиеся уязвимости. Второй – с помощью социального инжиниринга, когда вместо последних применяются психологические приемы, основанные на слабостях человеческой натуры. Докладчик привел примеры некоторых атак по захвату личной информации и, в целом, поддерживал в аудитории постоянное внимание.

Далее последовал ряд докладов ведущих специалистов McAfee, в которых они представили комплексные решения компании в таких областях, как управление рисками в безопасности (Security Risk Management), защита корпоративной сети от атак, спама и вредоносного кода (Total Protection for Enterprise), предотвращение утечки данных (Data Loss Protection), а также программно-аппаратные комплексы по контролю доступа к Интернету, защите сети от атак и вторжений (Security Internet Gateway, IntruShield & Foundstone).

IT-угрозы меняют методы и цели

Торалв Дирро отвечает за исследования и разработки антивирусного ПО в McAfee Avert Labs и владеет практически полной информацией в этой области. Поэтому мы не упустили возможности задать ему несколько вопросов, ответы на которые, надеемся, будут интересны нашим читателям.

Если рассмотреть краткую историю IT-угроз, то как они изменились?

Вирусы и «троянские» программы появились еще где-то в 1986 г. С тех пор их число возрастало, и это происходило примерно до 2003–2004 гг. Затем стало значительно увеличиваться количество программ с вредоносным кодом. Часто это было повторное использование старых вирусов и «троянцев», которые с помощью различных средств несколько изменялись и перекомпилировались. Сейчас ежемесячно появляются чуть ли не сотни тысяч различных вариаций программ с вредоносным кодом, однако в них часто можно узнать старых знакомых, как-то иначе упакованных и закодированных. Цель этого в том, чтобы обойти традиционные методы антивирусной защиты, основанные на сигнатурах. Кстати, в наших продуктах реализованы новые технологии, позволяющие расшифровать результат работы упаковщика и определить оригинальный источник.

Что касается качественных изменений, то они также произошли примерно три года назад. Если раньше создание такого рода программ было своеобразным хобби «вундеркиндов», стремящихся просто произвести впечатление на окружающих, то теперь это профессиональные разработки групп программистов, за которыми может стоять организованная преступность или, скажем, финансовая группа с какими-то особыми интересами. Кроме того, для ряда «троянцев» или роботов исходный код является общедоступным, и любой может им воспользоваться, модифицировав соответствующим образом для своих целей. Еще одно качественное изменение, отмечавшееся в течение последних десяти лет, касается темпов выхода программ, подтверждающих наличие уязвимостей (exploits). Раньше между обнаружением уязвимостей и созданием использующего их кода проходили месяцы. Причем для того, чтобы применить данный код для реальной атаки, нужно было быть приличным программистом. Сегодня часто можно видеть, что exploits появляются через один-два дня после того, как выпущен бюллетень по безопасности, где описывается какая-нибудь уязвимость. Теперь имеются средства, к примеру Metasploit Project, которые позволяют практически при отсутствии опыта программирования использовать этот программный код для проверки наличия уязвимостей в собственной сети либо вторгнуться в чужую. И последний вызывающий всеобщее беспокойство аспект связан с тем, что все больше для распространения «троянских» программ или другого вредоносного ПО применяются так называемые zero day exploits. Это означает, что такой код появляется еще до того, как опубликована соответствующая заплатка.

Какова, на ваш взгляд, должна быть стратегия корпорации относительно защиты своей информации?

Один из основных моментов стратегии заключается в том, чтобы прежде всего определить, где хранятся данные, нуждающиеся в защите, какие элементы IT-инфраструктуры наиболее важны для обеспечения бизнеса. Такие компьютеры и участки сети должны быть максимально защищены с помощью как технических, так и организационных средств. В последнем случае необходимо обеспечить защиту от несанкционированного доступа к критическим данным, а в техническом плане нужно использовать имеющиеся системы безопасности, такие как защита от вторжений, предотвращение утечки данных и т. п. Ну и конечно, в сети корпорации должен поддерживаться высокий уровень общей безопасности, который достигается, к примеру, механизмом фильтрования IP-адресов, установкой антивирусных программ на каждой рабочей станции и т. п. Важнейшим аспектом является также обеспечение возможности управления всей системой безопасности, позволяющей осуществлять постоянный мониторинг событий в сети.

Как вы оцениваете роль и возможности методов искусственного интеллекта при создании систем безопасности?

Некоторые из этих методов, например самообучающиеся системы, уже используются для борьбы со спамом. Этого сложнее добиться для противостояния вирусам. Здесь более успешно применяются эвристические методы, которые базируются на анализе особенностей поведения той или иной программы. Правда, они это делают на основе жестко заданных правил, а не самообучения. Проблема здесь, в частности, состоит в том, что на отдельно взятом компьютере, как правило, не находится достаточного для самообучения количества вирусов.

Можно ли заметить некоторые тенденции в технологиях разработки и создания IT-угроз?

Сегодня наблюдается тенденция к использованию более сложных «троянских» программ, при разработке которых применяется ряд технологий и программных средств, скрывающих последствия взлома (rootkit). К примеру, «троянская» программа может активироваться только в момент посещения пользователем банковского сайта, и она записывает лишь информацию, интересующую взломщика. Некоторые из таких угроз портируются на мобильные устройства. Правда, нельзя сказать, что сегодня это представляет серьезную проблему, однако через несколько лет ситуация может в корне измениться.