Описанная выше ситуация на самом деле достаточно типична, и если проецировать ее на более масштабные сети, в которых, в отличие от примера с редакцией, автоматизированные рабочие места исчисляются сотнями и тысячами, — финансовые риски становятся весьма ощутимыми. Но далеко не единственными. "Паразитный трафик" чаще всего является следствием активности вредоносных программ — таких, как шпионские приложения (spyware), трояны, черви и другие типы активного злонамеренного контента, которыми изобилует сегодня среда Интернет. За последний год зафиксирован экспоненциальный рост числа вредоносных программ, проникающих на компьютеры пользователей через веб. На 1 января 2007 г. их количество в два раза превысило число зафиксированных вирусов, распространяющихся более традиционными способами (по e-mail, локальной сети, на различных носителях)
Шпионские приложения являются, пожалуй, самой значимой и динамично развивающейся угрозой корпоративной информационной безопасности. Хищение конфиденциальных данных, нарушение технологического процесса, выход рабочих компьютеров из строя, лишняя нагрузка на службу клиентской поддержки — далеко не полный список "сюрпризов" от spyware. Как известно, программы-шпионы могут отслеживать практически любую активность пользователя зараженного компьютера: контролировать нажатия клавиш, читать почту, сканировать файловую систему на жестком диске, изменять параметры системы и реестра и т. д. Подобные действия могут привести к искажению или хищению данных, в том числе представляющих собой личную или коммерческую тайну.
"Шпионы" имеют гораздо более сложную структуру, чем классические вирусы, и это одна из причин того, почему их сложно детектировать. Встраивание вредоносного кода в тело веб-страниц (в HTML или в код файлов изображений — JPEG, BMP и т. д.), использование JAVA Script, ActiveX, BHO (расширения браузера), эксплойтов, а также внешне безобидных и невидимых для пользователя фрагментов кода, вызывающих переход на зараженные сайты, и т. д. Добавим к этому непрерывные сообщения об обнаружении уязвимостей всех распространенных веб-браузеров, таких, как Internet Explorer, Firefox, Opera, Safari, "заплатки" для которых подчас появляются гораздо позже, чем ими успевает воспользоваться злоумышленник, — и мы получим достаточно полную картину современных веб-угроз.
Вредоносный код — прямая угроза конфиденциальности информации и основной инструмент хищения и утечки корпоративных данных. Это подтверждает и рейтинг InfoWatch — (safe.cnews.ru/reviews/index.shtml?2007/09/12/265818), где на первом месте по масштабу ущерба от утечек корпоративных данных располагается атака, организованная при помощи троянской программы. В результате атаки злоумышленники получили доступ к базе вакансий сайтов Monster.com и USAjobs.gov (1,8 млн человек), нанеся ущерб в 244 млн долл. Таким образом, потеря или утечка критически важной информации вследствие проведения атаки с использованием вредоносного ПО — реалии сегодняшнего дня.
Угрозы нужно знать "в лицо"
Чтобы знать, как бороться, нужно понимать с чем. Основной целью аудита является получение детальной статистики по тем угрозам безопасности, которые сопряжены с активным использованием Интернета в рамках компании ее сотрудниками: доступ к сайтам сомнительного содержания, загрузка зараженных файлов, выполнение на компьютерах пользователей потенциально нежелательных приложений, например шпионского ПО, клиентов пиринговых сетей, интернет-пейджеров и т. п. Для проведения такого аудита необходимы специальные инструменты, обладающие определенным набором функциональных возможностей. Рассмотрим их на примере eSafe WTA (Web Threats Analyzer) — аппаратно-программного комплекса от Aladdin, способного анализировать трафик любых по размеру сетей за относительно короткий срок. Важнейшая и первичная функция продукта — полный анализ всего как входящего и исходящего трафика (HTTP, FTP и др.). Это позволяет выявить уже зараженные компьютеры, на которых действует шпионское или рекламное программное обеспечение, генерирующее подозрительный трафик, а также вероятные источники заражения, попытки передачи конфиденциальной информации в Интернет или удаленного управления компьютерами из глобальной сети. В процессе мониторинга должны определяться вредоносные скрипты, встроенные в веб-страницы, известные и неизвестные эксплойты, потенциально опасные фрагменты программного кода, проникшие через систему защиты.
На основе анализа этой информации эксперты, выполняющие аудит системы ИБ, смогут сделать выводы о существующих уязвимостях и выдать рекомендации по их устранению.
Второй важной функцией является анализ сетевых приложений, которые используют сотрудники в процессе своей работы. Ведь далеко не все ПО применяется для выполнения ими своих служебных обязанностей (системы P2P, Skype, потоковые аудио и видео и др.). Но не это главное. Такие приложения несут серьезную опасность для ИС предприятия, например, интернет-пейджер ICQ активно применяется для распространения троянских коней.
Следующая функция — анализ сайтов, посещаемых сотрудниками компании. Сегодня многие сайты представляют собой серьезную опасность. С помощью эксплойтов они загружают на ПК посетителей троянских коней и другое вредоносное ПО, что ставит под угрозу безопасность всей корпоративной сети. Причем почти всегда такие веб-страницы относятся к одним и тем же категориям: сборники нелицензионных программ, веб-проекты "только для взрослых" и т. п. При аудите контент-безопасности компании обязательно должны быть составлены диаграммы, отображающие популярность разных категорий веб-проектов среди сотрудников.
Ну и, наконец, последняя обязательная функция — анализ сетевой активности сотрудников компании, то есть определение используемых ими приложений, которые выходят в Интернет, посещаемых сайтов, характер передаваемой и получаемой информации и т. п. Это позволяет выявить потенциально опасные действия со стороны отдельных людей, исправить недочеты в корпоративной политике безопасности и установить ее нарушителей.
Все перечисленные функции являются обязательными для инструмента, с помощью которого осуществляется аудит контент-безопасности. Если какая-то из них не будет реализована или реализована не полностью (например, будет отсутствовать проверка HTTP-трафика с помощью проактивных технологий), то ответственное за безопасность лицо компании или аудитор не сможет получить полную информационную картину.
Однако при выборе инструмента необходимо учитывать и особенности технологической реализации инструментов для проведения аудита. Как уже было отмечено, установка устройства для аудита ИБ "в разрыв" сопряжена с определенным риском. Предпочтение следует отдавать продуктам, которые работают по принципу сниффера, легко интегрируются в любую инфраструктуру и не требуют никаких изменений в работе сетевого оборудования и используемых сетевых приложений. Это очень удобно, например, тогда, когда у компании есть несколько филиалов, в каждом из которых развернута собственная корпоративная сеть с уникальной инфраструктурой. В данном случае для проведения аудита можно приобрести только один продукт и, поочередно интегрируя его в каждую из существующих сетей, проводить мониторинг, после чего переходить к следующей. Такой "круговорот" обеспечивает регулярный аудит контент-безопасности, что является необходимым условием поддержания системы защиты в актуальном состоянии.