Защита конечных пользователей от атак
Автор (С): Эндрю Конри-Мюррей

• Введение
• Зачем атаковать ПК?
• Образ хакера
• Повысим сознательность
• Средства защиты ПК
• Необходимые средства
• Рекомендуемые средства

Зачем атаковать ПК?
Злоумышленники атакуют ПК конечных пользователей по нескольким причинам. Создатели вирусов хотят получить доступ к почтовому клиенту и адресной книге, так как каждый зараженный компьютер - еще одна "звезда на фюзеляже".

ПК - это потенциальный "хост-зомби", т. е. он в любое время может быть вовлечен в атаку для осуществления распределенного отказа в обслуживании (Distributed Denial of Service, DDoS). ПК также может быть использован для хранения краденой информации, например номера кредитных карт или подборки порнографии.

Наконец, возможно, самая важная причина - злоумышленники воспринимают ПК как стартовую площадку для более серьезных вторжений.

"Пользовательские компьютеры хранят множество паролей, дающих доступ к серверам и другим частям корпоративной системы, - напоминает Джон Пескатор, вице-президент компании Gartner Group по исследованиям. - Захватить их намного легче, чем напрямую атаковать корпорацию".

Эту точку зрения разделяют и другие эксперты. "Хосты обычно защищают не так тщательно, как серверы, поскольку считается, что они хранят меньше ценной информации, - говорит Стюарт Макклюр, президент и технический директор Foundstone. - Но из них можно извлечь огромное количество данных, необходимых для проникновения в другие, более чувствительные и защищенные системы, при этом риск быть обнаруженным немного меньше".

Образ хакера
Наиболее эффективные инструменты злоумышленника - деловой костюм и телефон.

Согласно распространенному заблуждению, хакер - это длинноволосый, татуированный, асоциальный тип, питающийся гамбургерами и не следящий за собой. Если бы такой человек подошел к вам и попросил пароль или попробовал последовать за вами в охраняемое место, у вас неминуемо возникли бы подозрения.

Ну а когда вежливый господин в деловом костюме скажет, что забыл карту доступа и попросит впустить его, вы согласитесь? Судя по словам злоумышленников, проделывавших такое, чаще всего ответ звучит как "да".

"Если вы имеете презентабельный вид профессионала, то люди сделают для вас поистине удивительные вещи", - утверждает Брайан Келли, президент и генеральный директор компании iDefense, занятой в области безопасности.

По словам Келли, во время проверки, устроенной для клиента, ему достаточно было просто подождать около двери информационного центра с кодовым замком. Кроме костюма и галстука у Келли не было каких-либо идентифицирующих знаков. Вскоре подошел один из сотрудников и спросил, не может ли он чем-то помочь. Келли пожаловался, что забыл пароль, на что ему был дан ответ: "А, пароль - 5213". Все! Физический доступ к наиболее ценным ресурсам компании был получен.

Это пример социального инжиниринга, или попросту обмана. Он основан на изначальном стремлении людей оказать помощь другим. Социальный инжиниринг - наименее техническое, но и наиболее эффективное средство в арсенале злоумышленника.

По словам Макклюра, пользоваться подобными приемами настолько легко, что результаты теста на проникновение, выполненного с их помощью, оказались удивительными: "Это абсолютно тривиально. В любой компании, где работает более 100 - 150 человек, легко получить от кого-либо намного больше информации, чем он вправе предоставить".

Находится в офисе, чтобы воспользоваться социальным инжинирингом совсем не обязательно. Вполне хватит и телефонного звонка. Наиболее распространенная тактика - позвонить кому-нибудь и назваться сотрудником отдела ИТ. Во многих случаях вам назовут имя пользователя и пароль.

Опытные злоумышленники могут даже уговорить сотрудников атаковать другие компьютеры. Макклюр говорит, что один из членов его команды проникновения убедил помощника администратора запустить атаку по методу "грубой силы" против компьютера соседа. Выдавая себя за администратора, проверяющий попросил его попытаться подобрать пароли к другому компьютеру, владельцем которого был финансовый директор.

Создатели вирусов и "червей" также используют разные виды социального инжиниринга. Один из методов - создание привлекательного заголовка почтового сообщения с вирусом. Например, вирусы Naked Wife и Anna Kournikova эксплуатировали интерес к порнографии. Другие вирусы спрятаны в программах-шутках, анимационных роликах и даже антивирусных обновлениях.

Как же остановить социальный инжиниринг? "Цена вопроса - 64 млн долларов, - замечает Макклюр. - Единственным успешным методом противодействия является обучение". Конечных пользователей следует информировать о правильных действиях, в особенности в случае телефонных звонков. Например, научить их проверять, что звонят действительно из отдела ИТ, или объяснить, что администратор никогда не станет узнавать пароли по телефону (если это соответствует политике безопасности).

Что касается физического доступа, пользователей надо предупредить о недопустимости пропускать за собой незнакомых людей - зачем же тогда проход в здание защищается картами или осуществляется по пропускам. В таких случаях сотрудники должны направлять людей без идентификационных карт в специально отведенное место, например в приемную при входе.

Такие меры могут помочь, но Макклюр предупреждает, что все равно "инженеры душ" могут преуспеть в своем деле: "Эта угроза никогда не исчезнет, так как опытный злоумышленник все равно сможет проникнуть за большинство преград. Но основная масса взломщиков будет отсеяна".

Повысим сознательность
Так и напрашивается представить пользователя потенциальной жертвой хакера. И если вы не примете мер, так оно и будет.

"Мы должны четко определить роль пользователя в обеспечении достойного уровня безопасности, - замечает Келли. - Наше внимание постоянно занято технологиями, будь то брандмауэры, системы обнаружения вторжения или PKI. Но без участия людей система всегда будет уязвимой".

Первый шаг - повысить важность безопасности в глазах сотрудников. Вы не сможете этого добиться, просто предоставив всем информацию о вирусах. Даже ознакомившись с ней, пользователи вряд ли изменят свое ежедневное поведение. Необходимо позаботиться о соответствующем подкреплении. Оно может быть двух типов: негативное и позитивное. Негативное означает наказание за проступок в отношении соблюдения мер безопасности. Например, если во время проверки оказалось, что сотрудник прилепил лист с паролем на монитор, то ему будет сделан выговор. Если кто-либо оставил свой ноутбук включенным, то проверяющий заберет его, вынудив владельца прийти и получить его снова.

Другой метод - "привязать" заботу о безопасности к годовому отчету о деятельности сотрудника, что заставляет понять ее важность. "В конце концов, ответственность за безопасность ложится на каждого", - подчеркивает Келли.

Негативное подкрепление может иметь место в корпоративной среде, в особенности для предотвращения серьезных нарушений, например установки неавторизованной точки доступа или модема. Однако, если программа предусматривает только наказания, это может возыметь обратный эффект, создавая противостояние "мы против них" между отделом безопасности и пользователями.

Позитивное подкрепление обеспечивает большую кооперацию, воодушевляя сотрудников на заботу о безопасности. Например, вместо прочесывания офиса в поиске нарушителей политики, сотрудникам отдела безопасности можно дать более приятное поручение - установить, кого из пользователей следует поощрить за точное следование инструкциям.

Келли рассказал историю одной проверки в финансовой компании. Вместе с сотрудником отдела безопасности они зашли в здание напротив, вооружившись парой биноклей, и, заняв место около окна, просматривали информацию о пользователях по мере ее появления на экранах мониторов. По словам Келли, один из сотрудников компании заметил их и тут же связался с отделом безопасности.

Вместо обычной похвалы Келли порекомендовал немедленно выдать этому сотруднику чек на 500 долларов, что и было сделано. "Один лишь этот эпизод возымел большое действие, по мере того как история обошла компанию", - вспоминает Келли.

Воспитывать сознательность помогают и обучающие программы, но администраторам не следует полагаться на проводимые раз в год презентации. "Это должен быть постоянный процесс с вовлечением сотрудников, - советует Келли. - Эффекта добиваются в тех компаниях, где к заботе о безопасности подходят творчески".

Неплохим уроком послужит демонстрация хакерских методов, взлома паролей, социального инжиниринга. Это интересней, чем сухие факты, изложенные в официальном документе, и лучше отложится в сознании людей. Еще одно простое решение - рассылка сообщений на тему безопасности всем пользователям. Такие компании, как PentaSafe и iDefense, предоставляют средства ежедневной или еженедельной рассылки.

При создании обучающих программ отдел безопасности может сотрудничать с кадровым отделом. Согласовать деятельность отделов непросто, но, по словам Келли, специалисты по работе с персоналом более чувствительны к проблемам пользователей и привычны к проведению обучающих программ.

По окончании обучающей программы вам, возможно, захочется оценить ее эффективность. Самый простой способ - провести исследование в рамках компании. PentaSafe предлагает пакет программ для регулярного тестирования сотрудников на предмет знаний правил безопасности. Администраторы могут отслеживать результаты тестов во времени. Другой способ - организовать справочную службу. Возможно, пользователи чаще будут обращаться по поводу подозрительных файлов или задавать вопросы на тему безопасности.

Вне зависимости от методов обучения, наиболее важно обеспечить взаимодействие. "Корпорации тратят много времени и денег на разработку политики, которую они размещают на сайтах Web, но не удосуживаются организовать грамотную обратную связь с сотрудниками", - говорит Келли. Такую возможность терять нельзя, так как большинство пользователей с предпочитают придерживаться правил, если только знают, как следует поступать.

Средства защиты ПК
Как правило, пользователи не причиняют ущерб намеренно, они просто не знают о привносимом ими риске. (Обратите внимание на разницу между теми, кто неумышленно подвергает сеть опасности, и нарушителями, сознательно пытающимися украсть информацию или причинить ущерб. В данной статье внимание уделяется первым.)

"Суть проблемы в том, что большинство конечных пользователей имеют слишком большой контроль над установкой ПО на компьютеры, - полагает Пескатор. - Они имеют привычку загружать программы и проверять их в действии на месте даже в самых консервативных компаниях".

Подобная склонность чревата множеством неприятностей: случайной загрузкой "троянца", например BackOrifice или SubSeven, или брешью в брандмауэре вследствии установки системы обмена сообщениями.

У компаний есть два выбора при контроле устанавливаемого пользователями ПО: настроить ПК так, чтобы запретить всякую установку, или добавить ПО, предотвращающее опасность.

У каждого из методов свои недостатки. Ограничение пользователей в установке ПО, по словам Пескатора, может привести к увеличению нагрузки на службу технической поддержки: "Пользователям зачастую необходимо загрузить новый подключаемый модуль или приложение. Из-за того, что для этого нужны права администратора, они вынуждены обращаться в отдел поддержки".

И наоборот, при установке новых программ администратору придется работать с каждым ПК компании. К этому стоит добавить капитальные затраты на само ПО.

Для тех, кто выбирает второй метод, приводится подборка решений, которые можно использовать для защиты отдельных машин.

Необходимые средства

• Антивирусные программы. На каждом ПК и ноутбуке должна быть установлена антивирусная программа. Сигнатуры вирусов должны регулярно обновляться. При этом автоматическое обновление предпочтительнее пользовательского. Это поможет избежать ситуаций, когда сотрудники забывают загружать новые сигнатуры и подвергают сеть опасности.
  

• Клиенты VPN. Сеть VPN обеспечивает целостность и конфиденциальность данных дистанционных и мобильных пользователей. Клиенту VPN предоставляется шифрованный туннель в корпоративную сеть через Internet, защищающий данные от любопытных глаз. VPN включает цифровой сертификат для аутентификации устройства, но необязательно пользователя, получающего доступ к сети.

К сожалению, если злоумышленнику удастся установить "троянца" на удаленную машину, то он сможет либо проследить за текущим сеансом, либо инициировать свой, получив все права пользования в сети. Это называется "захват VPN". По словам экспертов, такой захват сложно осуществить, но администраторы должны быть осведомлены о недостатках туннелей VPN.

Альтернативой клиентам VPN является протокол защищенных сокетов (Secure Sockets Layer, SSL). Используя те же протоколы, что применяются для защищенных интерактивных покупок, мобильные пользователи могут получать доступ к сети по шифрованному каналу. Не привязывая к конкретным устройствам с клиентом VPN, методы доступа на базе SSL дают возможность получить доступ к корпоративной сети через браузер Web.

• Персональные брандмауэры. Персональные брандмауэры представляют собой "настольные" версии серверного ПО и осуществляют те же функции. Что самое важное, такие программы ограничивают доступ к ПК извне, следя за входящим и исходящим трафиком и запрещая все соединения через неавторизованные порты.

Персональные брандмауэры полезны для обнаружения проникающих в ПК "троянцев". Они позволяют централизованно администрировать систему в целях соблюдения корпоративной политики безопасности.

Обратите внимание, что персональные брандмауэры надежны на 100%. Порты 80 и 443 обычно открыты, поэтому как зловредные, так и обычные, но незащищенные программы работают поверх HTTP. Персональные брандмауэры можно дополнить антивирусным ПО, блокираторами поведения и сканерами для контроля за программами наподобие клиентов обмена сообщениями или файлами.

Рекомендуемые средства

• Смарт-карты/токены. Смарт-карты и токены решают проблему кражи паролей с помощью двойной аутентификации, т. е. пользователю для входа в систему необходимо иметь карту или токен. В таком случае невозможно будет воспользоваться украденным паролем без сопутствующего устройства.

Двойная аутентификация обеспечивает на порядок более надежную защиту, чем просто пароли, но все имеет свою цену. На ПК должны быть установлены устройства чтения карт, а это предполагает значительные капитальные затраты. Для токенов такие устройства не нужны, но сами по себе они дороже, чем карты. И смарт-карты, и токены требуют создания серверной инфраструктуры и могут увеличить затраты на поддержку в случае их утери пользователями.

• Блокираторы поведения. Зловредный код в виде вирусов, "червей" или "троянцев" постоянно угрожает ПК. Несмотря на то что антивирусные средства способны предотвратить большинство заражений, между выпуском вируса и созданием для него сигнатуры проходит некоторое время.

Блокираторы поведения решают эту проблему, поскольку им не нужны сигнатуры. Вместо этого специальные клиенты следят за исполняемым кодом. Обнаруженная попытка несанкционированного действия немедленно пресекается. Подобные решения носят превентивный характер по отношению к зловредному коду.

С другой стороны, блокираторы поведения могут вмешиваться в работу обычных приложений, нарушая рабочий процесс и, возможно, приводить к волне обращений в службу поддержки. Администраторы должны позаботиться о создании правил для обеспечения безопасности без нарушения рабочего процесса.

• Агенты аудита. Многие администраторы пользуются устройствами аудита для сканирования мобильных ПК перед разрешением доступа в корпоративную сеть. Обычно проверяют, установлена ли на ПК последняя версия антивирусной программы или нужная версия браузера, а также отсутствуют ли запрещенные приложения. Если машина не удовлетворяет требованиям, то пользователя переадресуют на сайт Web для загрузки необходимой "заплаты" или к администратору за дальнейшими указания