А. Собко (Доктор Веб) - Уязвимость защищенных: почему при наличии средств, специалистов и желания защитить в сетях не переводятся вирусы?

Editor's Notes

• #5: Статистика уязвимостей корпоративных систем (2013) Positive Technologies Недостатки защиты сетевого периметра • В 9 из 10 систем любой внешний нарушитель, действующий со стороны сети Интернет, способен получить доступ к узлам внутренней сети. При этом в 55% случаев внешний злоумышленник может развить атаку и получить полный контроль над всей инфраструктурой компании. • В среднем для преодоления сетевого периметра внешнему атакующему требуется осуществить эксплуатацию двух различных уязвимостей, при этом для проведения атаки в 82% случаев достаточно иметь среднюю или низкую квалификацию. • В 40% случаев вектор проникновения во внутреннюю сеть основывается на слабости парольной защиты. Так же, как и в предыдущие два года, данная уязвимость является самой распространенной, она была обнаружена на сетевом периметре 82% исследованных систем, причем в каждой из этих систем словарные пароли присутствовали в том числе и в веб-приложениях. В 67% компаний словарные пароли использовались для привилегированных учетных записей. • В каждой третьей системе доступ во внутреннюю сеть осуществляется через уязвимости веб-приложений. Так, уязвимости типа «Загрузка произвольных файлов» и «Внедрение операторов SQL» встречаются в 55% систем. В целом уязвимости веб-приложений были обнаружены в 93% исследованных систем. • По сравнению с 2011–2012 гг. средний уровень защищенности сетевого периметра понизился. На 17% выросла доля систем, где оказалось возможным получение доступа во внутреннюю сеть (с 74 до 91%). Для проведения атак внешнему злоумышленнику теперь требуется более низкая квалификация, преодоление периметра в среднем требует эксплуатации меньшего количества уязвимостей (2 против 3 в предыдущие два года). Сложившаяся картина свидетельствует о том, что используемые защитные меры развиваются медленнее современных методов атак и не могут обеспечить достаточно высокий уровень безопасности. Так, например, существенно возросла (с 10 до 64%) доля систем, где не установлены актуальные обновления безопасности на узлах сетевого периметра. • Во всех исследованных системах непривилегированный внутренний нарушитель, находящийся в пользовательском сегменте сети, может так или иначе расширить свои привилегии и получить несанкционированный доступ к критически важным ресурсам. При этом в 71% случаев внутренний нарушитель может получить полный контроль над всей информационной инфраструктурой организации. • Только в 17% случаев внутренний атакующий должен обладать высокой квалификацией для получения доступа к критическим ресурсам, тогда как в половине всех исследованных систем успешные атаки возможны со стороны любого неквалифицированного пользователя внутренней сети. В среднем при наличии доступа во внутреннюю сеть для контроля над критическими ресурсами злоумышленнику требуется эксплуатация пяти различных уязвимостей. • Наиболее распространенной уязвимостью ресурсов внутренней сети по-прежнему является использование слабых паролей, которые встречаются в 92% систем. Следующие по распространенности — недостатки фильтрации и защиты служебных протоколов (ARP, STP, CDP и др.), приводящие к перехвату и перенаправлению трафика, и хранение важных данных в открытом виде. Эти уязвимости обнаружены в 67% систем. • Уровень защищенности внутренних сетей понизился по сравнению с 2011–2012 гг. Получение полного контроля над важными ресурсами из внутренней сети теперь оказалось возможным для 100% рассмотренных систем, тогда как ранее подобный результат был получен в 84% случаев. Как и для атак со стороны внешнего злоумышленника, снизилось среднее количество уязвимостей, эксплуатация которых необходима для успешной атаки, — с 7 до 5. Требуемая квалификация злоумышленника также понизилась: для 50% атак достаточно низкой квалификации, тогда как ранее такая квалификация была достаточной для 40% атак. В целом, несмотря на некоторые улучшения в отдельных областях (повысился, к примеру, уровень антивирусной защиты), применяемых мер защиты недостаточно для противодействия современным атакам. • В 66% случаев в результате оценки осведомленности пользователей в вопросах информационной безопасности были обнаружены те или иные недостатки. В каждой третьей системе уровень осведомленности пользователей был оценен как низкий, в этих системах свыше 20% адресатов рассылки, эмулирующей фишинг, перешли по предложенным ссылкам и запустили предложенный файл или ввели свои учетные данные. • В среднем каждый десятый пользователь осуществлял переход по предлагаемой ссылке, при этом 3% пользователей попытались вступить в диалог, а 4% испытуемых загрузили исполняемые файлы либо ввели свои учетные данные в предлагаемой форме аутентификации. • Уровень осведомленности сотрудников в вопросах информационной безопасности повысился. В 2013 году в каждой третьей системе уровень осведомленности был оценен как приемлемый.
• #7:  http://live.drweb.com/ Уникальный ресурс, не имеющий аналогов среди других антивирусных компаний, который показывает работу антивирусной лаборатории «в живую». На данном сайте вы можете увидеть, как обрабатываются поступающие экземпляры вредоносного кода и какие вирусы на данный момент наиболее распространены в сети.
• #8: Каждая система безопасности настолько надежна, насколько она себя контролирует. Примеры взлома защищенных систем (java, защищенные среды исполнения) постоянно освещаются в новостях. Полагаясь на систему управления, компоненты которой не защищены от модификации или подмены, администратор может в один прекрасный момент увидеть совсем не то, что происходит в сети. Обновления антивируса должны доставляться мгновенно и поэтому нагружают сеть. Штатные системы обновления операционных систем не так оперативны. Напомним, что время хищения – менее трех минут.
• #9: (дата на момент написания статьи) 2012-04-09 Trojan.Carberp.14(4) Trojan.Carberp.15 Trojan.Carberp.276(11) Trojan.Carberp.29(60) Trojan.Carberp.33(2) Trojan.Carberp.339 Trojan.Carberp.340(5) Trojan.Carberp.381 Trojan.Carberp.382 Trojan.Carberp.383 Trojan.Carberp.384 Trojan.Carberp.385 Trojan.Carberp.386 Trojan.Carberp.388 Trojan.Carberp.389 Trojan.Carberp.390 Trojan.Carberp.391 Trojan.Carberp.392 Trojan.Carberp.393 Trojan.Carberp.394 Trojan.Carberp.395 Trojan.Carberp.396 Trojan.Carberp.397 Trojan.Carberp.398 Trojan.Carberp.399 У ZeuS появились аналоги для open-source систем. С конца прошлого года вирусописатели выпустили более пяти новых версий банковского троянца с различным функционалом. Как сообщили представители IT-компании Seculert, после публикации в 2011 году исходного кода ZeuS злоумышленники воспользовались им с целью разработки банковского троянца для open-source систем. На протяжении последних нескольких недель вышло несколько вариаций троянца ZeuS, получивших общее название Citadel. По данным экспертов Seculert, вирусописатели основали новый цикл разработки троянской программы. Представители IT-компании Seculert сообщают, что ведущие разработчики вируса также создали форум, на котором покупатели Citadel могут вносить изменения.
• #13: Ситуация требует кардинального изменения подхода к антивирусной защите: Используемое антивирусное решение должно иметь систему самозащиты, не позволяющую неизвестной вредоносной программе нарушить нормальную работу антивируса – используемое антивирусное решение должно нормально функционировать до поступления обновления, позволяющего пролечить заражение. Используемое антивирусное решение должно иметь систему сбора информации, позволяющую максимально быстро передавать в антивирусную лабораторию всю необходимую для решения проблемы информацию. Должна быть исключена ситуация, когда в каждом случае заражения необходимую информацию нужно собирать вручную – в том числе и на удаленных рабочих станциях и серверах. Как система управления, так и система обновления антивирусного решения должны быть независимы от соответствующих механизмов, используемых в операционных системах, и включены в систему самозащиты антивируса, что позволяет исключить возможность перехвата системы обновления вредоносной программой. Система управления антивирусной защитой должна обеспечивать максимально быстрое получение обновлений защищаемыми рабочими станциями и серверами – в том числе по решению администратора в ущерб общей производительности защищаемой локальной сети. Минимизация времени получения обновления должна в том числе обеспечиваться минимизацией размера самих обновлений, а также постоянным соединением защищаемых рабочих станций и серверов с сервером обновлений. Используемое антивирусное решение должно уметь лечить не только поступающие (неактивные) вредоносные программы, но и уже запущенные – ранее неизвестные. Используемое антивирусное решение должно иметь возможность применения дополнительных (кроме сигнатурных и эвристических) механизмов для обнаружения неизвестных вредоносных программ. Такие механизмы, как правило, реализуются на уровне серверных систем защиты, что в свою очередь требует внедрения антивирусных решений на почтовых серверах и шлюзах. Так, например, внедрение защиты на уровне почтового сервера позволит не только более эффективно фильтровать почтовые сообщения, но и очищать почтовые базы от вирусов, неизвестных на момент попадания, что в свою очередь исключает их случайную отправку получателю. Также серверные решения для защиты почтовых серверов и шлюзовых решений позволяют реализовать фильтрацию по используемым форматам данных, предельным размерам файлов и другим критериям. Использование серверных решений необходимо также в связи с требованиями СТР-К по организации безопасного взаимодействия по равнозащищенности всех мест, на которых производится обработка информации. Используемое антивирусное решение должно проверять все поступающие из локальной сети файлы до момента получения их используемыми приложениями, что исключает использование вредоносными приложениями неизвестных уязвимостей данных приложений. Используемое антивирусное решение должно дополняться: - персональным брандмауэром, обеспечивающим невозможность сканирования локальной сети, а также защиту от внутрисетевых атак; - системой ограничения доступа к сменным носителям и внутрисетевым ресурсам.
• #14: Лицензирование для каждого защищаемого объекта (т. е. продукта) производится отдельно. С этой целью для каждого защищаемого объекта нужно выбрать базовую лицензию и, если это необходимо, дополнительные компоненты защиты. Так, например, базовыми лицензиями для рабочих станций являются Антивирус и Комплексная защита (в обе лицензии входит брандмауэр), в дополнение к которым можно выбрать криптограф. Центр управления лицензируется отдельно — как в составе комплексного продукта Dr.Web Enterprise Security Suite, так и при покупке лицензии для отдельного продукта Dr.Web. ЦУ лицензируется бесплатно. Также бесплатен Антиспам для Dr.Web Mobile Security Suite.
• #16: За счет модуля Офисного контроля вы получаете дополнительную возможность обезопасить корпоративные данные и важную информацию от удаления или похищения злоумышленниками. С его помощью можно запретить использование сотрудниками переносных хранилищ информации (флеш-дисков, USB-устройств), сетевых устройств, а также отдельных файлов и каталогов. Это дает возможность исключить большинство путей проникновения вирусов в систему, особенно такой распространенный, как флешки.
• #17: В версии 8.0 в рамках Антируткита Dr.Web (Anti-rootkit API, arkapi) реализована подсистема фонового сканирования и нейтрализации активных угроз. Данная подсистема постоянно находится в памяти и осуществляет поиск активных угроз в следующих критических областях Windows: объекты автозагрузки, запущенные процессы и модули, эвристики системных объектов, оперативная память, MBR/VBR дисков, системный BIOS компьютера. При обнаружении угроз данная подсистема может оповещать об опасности пользователя, осуществлять лечение и блокировать опасные воздействия.
• #19: Современные вредоносные программы распространяются в основном через флеш-накопители и зараженные веб-сайты. Для защиты от вирусов, которые распространяются через флешки, Dr.Web предлагает режим запрета выполнения автозапуска – опцию компонента SpIDer Guard. Просто включите опцию «Блокировать автозапуск со сменных носителей», и компьютер защищен. Преимущество такой защиты в том, что можно продолжать использование флеш-накопителей в случаях, когда отказ от их использования затруднен.
• #20: С помощью модуля Офисного контроля администратор может установить дополнительные параметры блокирования нежелательных ресурсов (например, запретить посещение социальных сетей и т. п.). База нежелательных ресурсов обновляется автоматически. Предусмотрена возможность создания черных и белых списков адресов.
• #23: Сокращение стоимости сопровождения системы защиты В Dr.Web Enterpise Suite 10.0 существенно расширены возможности по взаимодействию с системами Active Directory и LDAP: добавлены как возможность поиска рабочих станций в Active Directory и LDAP, так и возможность автоматической синхронизации групп станций (включая возможность изменения первичной группы при автоматическом подтверждении доступа станций к антивирусному серверу). В Dr.Web Enterpise Suite 10.0 была существенно расширена уже имевшаяся в предыдущей версии возможность авторизации на основе информации, хранящейся в Active Directory, LDAP и RADIUS, – администраторы сети получили функцию тестирования настройки авторизации внешних администраторов. Для администраторов сетей на основе Unix была добавлена поддержка PAM-авторизации. Dr.Web Enterpise Suite 10 получил новую систему оповещений, включающую поддержку SNMP. Система заданий Dr.Web Enterpise Suite 10 также была расширена за счет поддержки однократно выполняемых заданий.
• #24: Новая система обновлений В Dr.Web Enterpise Suite 10.0 получил возможность загрузки системой обновления только изменившихся файлов, имеющихся в репозитории, что существенно облегчает работу системы обновления при плохих каналах связи. При этом администратор теперь имеет возможность как проверки обновлений на выбранных администратором компьютерах/группах перед распространением их на все клиентские компьютеры, так и выбора тех обновлений, которые будут устанавливаться, отката обновлений, установки обновлений в указанное время; а по итогам обновления – возможность просмотра информации о результатах обновления антивирусного ПО на станциях сети. Для получения обновлений администратор может выбрать использование ближайших серверов ВСО. Сам репозиторий антивирусного сервера получил возможность резервного копирования, настраиваемую из Центра управления. В том случае, если Dr.Web Enterpise Suite 10.0 установлен внутри сети и не имеет выхода в Интернет для получения обновлений, теперь нет необходимости по установке внешнего сервера Dr.Web Enterpise Suite – или получения баз для переноса их внутрь сети иными путями – администратор может использовать утилиту автономной загрузки репозитория Dr.Web Сервера из ВСО. Также Dr.Web Enterpise Suite 10.0 получил возможность групповых (Multicast) обновлений, возможность обновления самого антивирусного сервера через Центр управления.
• #25: Полное использование возможностей современных решений Dr.Web Enterpise Suite 10.0 включает в себя новую сетевую подсистему Dr.Web Сервера, которая позволяет ему работать с большим числом станций без заметных потерь производительности. В связи с этим также переработана система отображения станций (дерева групп) для удобной работы при большом числе отображаемых станций. В Dr.Web Enterpise Suite 10.0 существенно расширены возможности по использованию различных баз данных – добавлены новые клиенты баз данных, появилась возможность управления базой данных через Центр управления, возможность выполнения произвольных SQL-запросов непосредственно из Центра управления. Добавлена встроенная внутренняя база данных SQLite3, используемая по умолчанию при установке новой версии антивирусного сервера. Добавлен новый клиент БД Oracle. В ES 10 имеется возможность использования клиента БД Oracle, установленного в системе. Добавлен встроенный драйвер внешней базы данных PostgreSQL под ОС Windows в связи с имевшими утечками памяти в libpq. Добавлена возможность использования ODBC-драйвера для подключения внешних баз данных под ОС семейства UNIX. Добавлена проверка ODBC-соединения при установке Dr.Web Сервера. Внимание! Прекращена поддержка MS SQL CE в качестве внешней базы данных.
• #28: В отличие от большинства конкурирующих решений программные продукты Dr.Web имеют сертификаты соответствия ФСТЭК России и ФСБ России, что дает возможность их использования в организациях с повышенными требованиями к уровню безопасности. Dr.Web сертифицирован Министерством обороны Российской Федерации. Dr.Web полностью соответствует требованиям закона о защите персональных данных, предъявляемым к антивирусным продуктам, и может применяться в сетях, соответствующих максимально возможному уровню защищенности.
• #29: В онлайн-режиме IТ-специалисты могут приобрести знания в следующих областях: * Администрирование Dr.Web Enterprise Security Suite * Администрирование Dr.Web для файловых серверов и рабочих станций Windows * Администрирование Dr.Web AV-Desk * Администрирование Dr.Web для MS Exchange Server Полученные знания позволят IТ-специалисту эффективно управлять системой информационной безопасности, построенной на базе антивирусных продуктов Dr.Web.
• #30: Позвонив по телефону 8-800-333-7932, вы получите ответы на любые вопросы, связанные с использованием антивирусных продуктов Dr.Web, а также помощь, необходимую чтобы разобраться в функциях и настройках программ. По номеру можно звонить круглосуточно как с мобильных, так и стационарных телефонов абсолютно бесплатно. Кстати, такой номер выбран не случайно! На цифровых кнопках телефонных аппаратов написан ряд букв, и это делает возможным записать номер как 8-800-33-DRWEB. Так что запомнить новый номер «Доктор Веб» очень просто.