Белые списки против темных делишек

В рубрику "Оборудование и технологии" | К списку рубрик | К списку авторов | К списку публикаций

Белые списки против темных делишек

Пять раз в неделю, приходя утром в офис, почти все мы прикладываем пропуск к валидатору или предъявляем его охраннику. Этот ритуал сопряжен с рядом неудобств – кто из нас ни разу не терял пропуск, не забывал его дома, не ломал смарт-карту, случайно присев на нее? Но несмотря на это, в необходимости контроля доступа на “режимные" предприятия сегодня не сомневается никто, кроме совсем уж идейных панков-анархистов. Давайте запомним эту мысль на будущее, а пока рассмотрим реалии и проблемы современного онлайн-мира.

Иван Якубович
Менеджер департамента технологического
лицензирования “Лаборатории Касперского"

Их не догонят

К началу 2015 г., по данным "Лаборатории Касперского", во всемирной сети ежедневно появляется более 325 000 новых образцов вредоносных программ всевозможных типов. Для сравнения: за весь 2006 г. их было обнаружено "всего" около 200 000 с небольшим. Выражение "экспоненциальный рост", хоть и изрядно заезженное, как нельзя более применимо к сложившейся ситуации.

Великое ограбление банков – 2015 В феврале этого года была обнаружена крупнейшая киберпреступная компания, получившая название Carbanak и специально нацеленная на онлайн-ограбление банков. Увлекательную историю развития событий, достойную увековечения мэтрами киберпанка вроде Уильяма Гибсона или Нила Стивенсона, можно прочитать здесь: https://securelist.ru/blog/issledovaniya/25106/bolshoe-bankovskoe-ograblenie-apt-kampaniya-carbanak/. Если вкратце: "международный интернационал" хакеров с помощью фишинговых писем внедрял трояна во внутреннюю сеть банков, сканировал сеть изнутри, получал доступ к ключевым системам банка, после чего выводил денежные средства всевозможными способами – от денежных переводов на подставные счета до прямой выдачи наличных через банкоматы банков-жертв.
В результате пострадали десятки банков России, Европы и Америки, а добычей преступников стали $300 млн (это только подтвержденная сумма, в то время как по подсчетам аналитиков речь идет о миллиарде долларов). В каждом случае для заражения было достаточно запуска на исполнение одного файла с трояном или одного перехода по фишинговой ссылке. Эти факты тоже стоит запомнить на будущее.

Основной удар этого интенсивного наступления "зловредов", как и в конце 80-х годов прошлого века, продолжают принимать на себя традиционные антивирусные решения. Антивирусные аналитики тем или иным способом обнаруживают новую угрозу, обучают решение эффективно распознавать и уничтожать ее, после чего обновления отправляются на компьютеры конечных пользователей. Разумеется, сегодня обновления доставляются не на 5-дюймовых дискетах, а по гигабитным интернет-каналам, да и реакция на возникновение новых "зловредов" сократилась с месяцев до минут, но одного только такого традиционного подхода уже давно недостаточно. К тому же, использование "голой" антивирусной защиты не решает проблемы так называемого окна уязвимости: за время между появлением новой угрозы и обновлением защитных решений вирус успевает найти своих жертв, которым, как и четверть века назад, остается только посочувствовать.

Более того, сегодня серьезные игроки на поле киберзлодейств все активнее переходят от массовых попыток заражения (таких как рассылки спама с вредоносными ссылками и т.п.) к узконаправленным, или таргетированным, атакам. В ходе подобных атак взломщики сначала собирают о жертве всю возможную информацию (ресурсы Интернета – в особенности социальные сети – оказывают им в этом неоценимую помощь), после чего составляют индивидуализированное послание так, чтобы жертва без всякого сомнения открыла приложенное письмо или перешла по ссылке.

Очевидно, что против подобных атак классические антивирусные решения менее эффективны, поскольку в данном случае и вредоносный модуль, и Web-страница с загрузчиком трояна могут быть специально созданы под конкретную задачу, а значит, отсутствовать в антивирусных базах.

Безусловно, эвристические модули современных антивирусов, как правило, способны проанализировать вложение и предупредить пользователя о возможном вредоносном контенте. Но, во-первых, ни один антивирус не может гарантировать 100% точности (особенно если хакер в курсе новейших уязвимостей), а во-вторых, жертва может проигнорировать это предупреждение, решив, что имеет место ложное срабатывание – ведь она отлично знает предполагаемого отправителя письма.

Пропустить нельзя запретить

Если поставить мысленный эксперимент – сравнить ситуацию в сфере информационной безопасности с мерами контроля доступа на предприятиях, о которых говорилось во введении, – то виртуальный "пропускной режим" в большинстве современных сетей будет выглядеть так.

Вход в "офис" – защищенные информационные системы – имеет любой желающий. При этом у охранника на входе есть длинные списки personae non gratae, регулярно обновляемые по сводкам из полиции. Каждый, кто претендует на вход, сравнивается с этими списками; обнаруженные неблагонадежные элементы выпроваживаются восвояси, остальные – проходят в офис. От полноты списков и бдительности охраны напрямую зависит безопасность офиса. Насколько подобная система в принципе надежна – вопрос риторический.

В информационной безопасности данный подход получил название Default Allow ("по умолчанию – разрешено"). Альтернативный подход – Default Deny ("по умолчанию – запрещено") – подразумевает противоположную картину: по умолчанию доступ в сеть закрыт для всех; пропускаются только объекты (файлы, ссылки и т.д.), входящие в так называемые "белые списки" заведомо безопасного контента. Иными словами – полная аналогия мер контроля доступа на любом предприятии с пропускным режимом.

Возможный сценарий работы в режиме Default Deny В начале 2011 г. специалисты по информационной безопасности обнаружили троян, предназначенный для хищения денежных средств при использовании терминалов Qiwi, одной из крупнейших российских платежных систем. Заражение терминала происходило через USB-флешку. Как только такая флешка подключалась к терминалу (например, обслуживающим персоналом), происходил автозапуск вредоносной программы, которая, в свою очередь, связывалась с управляющим центром и загружала остальные троянские модули.
В случае, если бы на описанных терминалах был реализован режим Default Deny, система первым делом сравнила бы запускаемый модуль со списком разрешенных программ, а не найдя его там – запретила выполнение. Проблема была бы пресечена в корне.

Неожиданным бонусом при внедрении режима Default Deny будет являться увеличение эффективности работы сотрудников, которые лишатся возможности использовать рабочие компьютеры в личных целях (для игр, общения в соцсетях, посещения развлекательных Web-ресурсов и т.п.). С другой стороны, подобная мера чревата подрывом морального духа сотрудников, поэтому как целесообразность режима Default Deny как такового, так и сферы ограничения доступа должны рассматриваться в каждом случае индивидуально.

Другой подход: "белые списки"

Для решения подобных проблем информационной безопасности существуют продукты для контроля запускаемых приложений на основе "белых списков" (Whitelisting). Они призваны эффективно дополнять работу классического антивируса и защищать конечных пользователей от таргетированных атак.

Использовать белые списки рекомендуется в следующих сценариях:

создание системы контроля запускаемых приложений (Application Control);
реализация сценариев работы в режимах Default Allow и Default Deny;
внедрение дополнительного уровня фильтрации контента;
сбор информации для службы безопасности организации;
категоризация программного обеспечения.

В основе технологии заложен динамический белый список, который представляет собой перечень программного обеспечения, проверенного специалистами по информационной безопасности и однозначно признанного легитимным и безопасным.

А что делать со ссылками?

Наряду с технологиями Whitelisting существует возможность аналогичной проверки по "белому списку" для интернет-ссылок.

Подобные продукты предназначены для категоризации Web-ссылок с целью защиты конечных пользователей от фишинга, вредоносных Web-сайтов и запрещенного контента. Иными словами, для каждого из многих миллионов URL-адресов назначается одна или несколько категорий (например, бизнес, СМИ, шопинг, социальные сети, азартные игры, контент для взрослых, фишинг и десятки других категорий).

Как работают таргетированные атаки Алиса - системный администратор банка N и активный пользователь популярных соцсетей. Хакер, выбравший ее в качестве вектора проникновения в сеть банка, анализирует ее страницу в соцсети и а) обнаруживает рабочий e-mail Алисы и б) выясняет, что у Алисы есть друг Борис, с которым они часто переписываются. Перейдя в его профайл, взломщик выясняет, что Борис в этот момент находится в отпуске на южных островах и ежедневно постит фотографии своего отдыха.
Собрав эту информацию, хакер заводит подставной почтовый ящик на имя Бориса и отправляет Алисе с него письмо, где расспрашивает о жизни, интересуется здоровьем, рассказывает о "своем" отдыхе, после чего приглашает взглянуть на фотографии "с крутой вчерашней вечеринки". Ссылка или архив-вложение прилагаются. Алиса знает, что Борис находится в отпуске, и не видит причин сомневаться в подлинности письма, адресованного лично ей и непохожего на массовые нигерийские рассылки. Открыв архив или перейдя по ссылке, Алиса действительно видит фотографии (взятые хакером из альбома Бориса), а попутно получает на свой компьютер трояна, который, пользуясь администраторскими привилегиями Алисы, начинает активно внедряться в сеть банка N.

Следует подчеркнуть, что режим Default Deny (в отношении как контроля приложений, так и Web-фильтрации) является оптимальным далеко не для любых компьютерных сетей. В библиотеках, школах и вузах, домашних сетях он будет неуместно ограничивать свободу поиска информации и принесет больше неудобств, чем пользы (да и таргетированные атаки на эти объекты пока что крайне редки). Но в организациях, обладающих ценными ноу-хау, работающих с государственными и коммерческими тайнами, распоряжающихся финансовыми активами, хранящих персональные данные граждан, внедрение подобного подхода позволит разом нейтрализовать подавляющее большинство попыток несанкционированного проникновения в сеть извне.

Опубликовано: Журнал "Information Security/ Информационная безопасность" #5, 2015

Белые списки против темных делишек