Поиск бэкдоров и троянов

Информационная безопасность поиск бэкдоров и троянских программ

от ransomware являются


Информационная безопасность (ИБ) как индустрия начиналась с простейших программных продуктов - антивирусов, файерволов, поиска бэкдоров и троянских программ.

До поры до времени восприятие ИБ на предприятиях сводилось к весьма узкому термину IT-безопасность, который, прежде всего, обозначает безопасность информационных технологий.

В современных же условиях под информационной безопасностью подразумевается существенно более глобальная область, охватывающая информацию в любом виде, причем IT-безопасность является ее неотъемлемой составной частью. На фоне активного развития телекоммуникационных технологий и все более частого преобразования информации в электронные формы хранения во главе угла IT-безопасности становится функция обеспечения защиты от сетевых атак.

В последнее время в этой отрасли наметился переход от программных к аппаратным и комплексным решениям, поскольку отдельные приложения уже не справляются с существующей нагрузкой и требуемой скоростью обработки информации.

Поэтому большинство производителей выпускают на рынок либо программно-аппаратные решения, либо сугубо аппаратные решения. В качестве примера можно привести инициативы корпорации Intel по продвижению аппаратных технологий Trusted Protected Module и AMT, которые нашли свое воплощение в новой платформе для корпоративных ПК под названием Intel vPro.

Данные технологии обеспечивают безопасность на уровне материнских плат.

По мнению экспертов, рынок программных и аппаратных решений движется к логическому слиянию: в будущем в основе средств безопасности будут лежать аппаратные решения, дополненные программными продуктами, неотделимыми друг от друга с технологической точки зрения.


Традиционно рынок ИБ развивается с небольшим отставанием вслед за IT. Появляются новые технологии, которые провоцируют новые угрозы, а вслед за этим рождаются новые способы борьбы и защиты. Несмотря на то что в целом уровень развития IT в России несколько уступает Западу, в области информационной безопасности отставания нашей страны от ведущих зарубежных держав как такового нет.

В России, как и на Западе, в массе своей применяются одни и те же продукты - межсетевые экраны, системы предотвращения межсетевых атак, антивирусы и т.д. Во многом это связано с тем, что до последнего момента информационная безопасность рассматривалась представителями отечественного бизнеса как сугубо техническая область, а все возникающие проблемы решались путем применения новейших технических средств.

Однако на Западе исторически сис управления и менеджмента развита намного сильнее, большинство компаний подходят к ИБ как к процессу, которым необходимо управлять для его увязки с бизнесом в целом.
Весной корпорация Intel инициировала в 9 ведущих европейских государствах проведение исследования, посвященного отношению бизнеса к проблемам ИБ. Опрос проводили сотрудники независимой исследовательской компании Coleman Parkes по телефону в апреле-мае 2006 года.

В результате ответы на вопросы дали порядка 900 IT-менеджеров крупных компаний, насчитывающих не менее 500 сотрудников. Выборка составила по 100 представителей из Великобритании, Франции, Германии, Италии, Испании, России, Польши, Чехии и Швеции и охватила различные отрасли и регионы. 74% опрошенных считают обеспечение ИБ в масштабах предприятия одной из главных своих задач, при этом 66% из них полагают, что наибольшую угрозу для сетевой безопасности представляют сами пользователи.

77% опрошенных отметили, что весьма сложно убедить пользователей в необходимости соблюдения правил сетевой безопасности. 10% респондентов отметили, что сложность IT-среды, в которой они работают, создает определенные проблемы управления (во Франции так считают почти 20% IT-менеджеров). В качестве основных задач на ближайшее время половина опрошенных назвали интеграцию разнородных IT-систем, а также консолидацию аппаратных и программных ресурсов.


Серьезной проблемой является обоснование эффективности ИБ на предприятии. 85% IT-менеджеров в ходе все того же опроса особенно отметили тот факт, что они не имеют возможности рассчитать совокупную стоимость владения IT-ресурсами и инструментами ИБ, в которые планируется вкладывать средства (в Великобритании число указавших на эту проблему опрошенных составило 96%).

Результаты опроса также показывают, что в целом европейские компании неспособны оценить значение для бизнеса инвестиций в информационную безопасность. Ситуацию усугубляет тот факт, что менеджеры отделов IT и ИБ не могут найти общий язык с высшим руководством своих компаний.

68% опрошенных IT-руководителей указали, что самое трудное для них - это обоснование соответствия между затратами на ИБ и задачами бизнеса для боссов своих компаний. При этом 62% опрошенных стремятся доказать, что новые технологии способствуют совершенствованию управления, а 57% пока что не в состоянии убедить руководителей, не связанных напрямую с IT и ИБ, что информационные технологии могут обеспечить успех компании в целом.


Увы, современных руководителей бизнеса действительно никогда не учили тому, как нужно правильно относиться к функциям IT и безопасности. безопасность веб сервера Даже в таких популярных у топ-менеджеров курсах, как MBA и Executive MBA, эти области практически не затрагиваются. Возможно именно поэтому для большинства руководителей понятия IT и ИБ в первую очередь ассоциируются с компьютерами и Windows, и им абсолютно невдомек, как отдельные программные приложения или аппаратные средства могут влиять на бизнес. Увы, все непонятное обычно игнорируется или воспринимается со знаком минус

Изменить существующее положение дел можно лишь направленным на установление взаимопонимания действием снизу: начальники технических подразделений должны научиться находить общий язык с руководством компаний и доказывать ему важность функций своих отделов. В идеале на предприятии могут эффективно сосуществовать два полноценных отдела: IT и ИБ. Специалисты по безопасности должны разрабатывать политику безопасности в компаниях, доводить ее до всех сотрудников и следить за ее исполнением.

А функция претворения этой политики в жизнь лежит на сотрудниках IT-отдела. В тех случаях, когда в компании не удается поддерживать два полноценных отдела или из-за небольшого штата на предприятии попросту не хватает рук для решения этих проблем, функции IT и ИБ можно отдавать на аутсорсинг. Этот прием уже активно применяется в малых и средних западных компаниях и является оправданным как с экономической точки зрения, так и с точки зрения безопасности, поскольку позволяет делегировать соответствующие полномочия профессионалам и не отвлекаться от зарабатывания денег.


Современные информационные угрозы


По данным экспертов Лаборатории Касперского, второй квартал 2006 года стал одним из самых спокойных за последние годы: в этот период не наблюдалось каких-либо серьезных эпидемий вирусов, сетевых червей и хакерских атак. Злоумышленники сконцентрировались на разработке новых методов противодействия современным средствам информационной безопасности и на поиске новых брешей в ее сисх. Специалисты отмечают несколько типов угроз, на которые имеет смысл обратить самое пристальное внимание в ближайшее время.


1. аудит безопасность Офисные системы. Несмотря на то что страсти вокруг дыр в операционных сисх к концу 2005 года поутихли, программное обеспечение, устанавливаемое на современные ПК, по-прежнему представляет собой одно из самых слабых мест любой защиты.

В конце весны под прицел хакеров попал пакет Microsoft Office. Реализованная в нем модель работы с OLE-файлами, несмотря на документацию, до сих пор обладает большим числом критически важных областей OLE-объектов и запутанной структурой взаимодействия между ними. Еще в 2003 году это спровоцировало уязвимости в документах MS Office, с помощью которых можно было запускать произвольный код при открытии специально созданного документа.

В основе новых, обнаруженных в первой половине этого года брешей лежала неправильная проверка некоторых данных в описании OLE. Современные информационные атаки и угрозы перенесли свои акценты на прикладную часть: теперь под удар все чаще попадают ERP- и CRM-системы, XML, SOAP, а также некоторые веб-сервисы и офисные пакеты. Большинство современных средств защиты вообще не работают на этом уровне: они не понимают специфику прикладной части.

Технологии защиты начинали развитие с сетевого уровня, затем вышли на уровень операционной системы, а в настоящий момент разработчики пытаются вывести их на уровень приложений и баз данных.

В ближайшие несколько лет акцент необходимо делать именно на прикладную часть, поскольку с технологической точки зрения и аппаратным, и программным решениям в этом направлении есть куда развиваться.


2. Ransomware. Этот класс вредоносных программ иначе называют вирусами-шантажистами, которые портят критически важные данные путем их шифрования.

Впервые такие вирусы дали о себе знать в конце 2004 года, активно развивались на протяжении всего 2005 года и в этом году оказались на пике своей активности. Постепенно от примитивных алгоритмов шифрования и порчи системного реестра они перешли к методике сжатия данных в запароленные архивы и более совершенным методам криптования. Единственным по-настоящему эффективным способом защиты от ransomware являются превентивные меры: создание резервных копий всех используемых документов, баз данных и почтовых баз.

В свою очередь, разработчикам антивирусного ПО необходимо усилить разработку проактивных методов, позволяющих не допускать сами факты архивирования и шифрования пользовательских данных.


3. Скриптовый полиморфизм. Термин полиморфизм стал применяться по отношению к компьютерным вирусам в далеком 1990 году и обозначает способность отдельных вредоносных программ постоянно мутировать код для затруднения их обнаружения антивирусным ПО. Полиморфные вирусы активно развивались до начала двадцать первого века: полиморфизм прошел путь от простейшего побайтного xor-шифрования до метаморфа, использующего сложнейшие криптографические алгоритмы.

Современные полиморфы подверглись модернизации с учетом современных знаний и вычислительных мощностей. Начиная с 2003 года в Интернете стали появляться пока еще немногочисленные полиморфы нового поколения. безопасность и человеческий фактор В начале 2006 года полиморфизм нашел свои воплощения в скриптовых вирусах-червях. Если для борьбы с бинарными полиморфами давно созданы многочисленные эмуляторы кода и эвристические анализаторы, то для борьбы со скриптовыми червями такой необходимости не было, поскольку ранее на языках скриптов реализовывались лишь отдельные эксплойты уязвимостей в браузерах.

Современный скриптовый полиморф представляет собой обычную страничку html, призванную ослабить внимание пользователей, которые уже привыкли, что почтовые вирусы обычно поставляются в виде исполняемых файлов, графики или документов MS Office. При открытии такой странички происходит выполнение полиморфного кода, в результате чего в систему записывается основное тело червя. Затем генерируются его новые копии в виде Java-скриптов, которые отличаются друг от друга настолько, что в них нельзя найти ни одного общего куска кода.

Это и есть результат работы полиморфного движка червя. Потом такие файлы рассылаются с зараженного компьютера по всем найденным адресам электронной почты и цикл повторяется. К сожалению, современные технологии проверки трафика на лету применительно к полиморфным вирусам в большинстве случаев оказываются бессильными.


4. Концепты. проверить безопасность Под этим названием разработчики антивирусов подразумевают червей, которые используют для размножения и распространения бреши в работе скрипт-движков популярных веб-сервисов: бесплатных почтовых систем, блогов, онлайн-дневников и т.д.

В своей работе таким программам не требуется прямое проникновение на ПК: достаточно того, чтобы их код был активирован при просмотре письма в браузере или в ходе посещения какого-либо сайта. В 2006 году активность концептов возросла: появились троянцы для мобильной платформы J2ME, первый вирус для операционной системы MacOS X. Подобная активность, в частности, объясняется тем, что усилиями правоохранительных органов разных стран были расформированы несколько крупных группировок разработчиков вредоносного ПО.

Увы, их место тут же заняли новые и пока не известные умельцы, жаждущие отметиться на страницах истории компьютерных вирусов.


В завершение обзора информационных угроз стоит отметить, что на сегодняшний день наибольшую опасность для информации по-прежнему представляет собой пресловутый человеческий фактор.

И это при том, что даже на уровне операционной системы Windows (без установки дополнительного ПО) каналы утечки информации и доступа к ней можно серьезно ограничить и регистрировать все факты обращения к ним. К сожалению, многие этим либо не пользуются, либо пользуются неправильно.


Безопасность в телекоммуникациях


Важной проблемой современных систем и служб ИБ является телекоммуникационная отрасль, включающая в себя проводные и беспроводные сети частных предприятий и операторов связи, а также сеть Интернет. Львиная доля злодеяний в данной области подпадает под действие главы 13 Кодекса Российской Федерации об административных правонарушениях, которые именуются административными правонарушениями в области связи и информации.

Наиболее часто такие нарушения проходят по статье 13.4, ограничивающей незаконное использование высокочастотных радиоэлектронных средств, вносящих помехи в работу оборудования государственного назначения.

Пик появления кустарных беспроводных сетей пришелся на начало 2003 года, когда началось массовое лицензирование малых предприятий, стремящихся предоставлять услуги передачи данных и доступа к своим локальным сетям и сети Интернет. Мало кто из получавших тогда лицензии связи соблюдал порядок осуществления деятельности по ней и получал специальное разрешение, а также отдельную лицензию на использование радиооборудования.

Это объяснялось стремлением без особых временных и финансовых затрат решить проблему последней мили, поскольку пройти с кабелем по некоторым районам крупных российских городов достаточно сложно и очень дорого: для негосударственной структуры или маленькой организации это практически невозможно.

Для многих единственным доступным решением проблемы последней мили как раз и стал радиодоступ. Но увы: предоставление платных услуг посредством нелицензированного оборудования квалифицируется как незаконное предпринимательство.


Среди прочих правонарушений в области телекоммуникаций стоит отметить так называемый вардрайв - проникновение в чужую сеть посредством радиоканала, а также блокирование и модификацию чужой информации, подпадающие под действие 28 Главы Уголовного кодекса.

В отношении операторов связи, предоставляющих услуги междугородной, международной телефонии, распространились случаи мошенничества, связанные с передачей голосового трафика посредством безлимитных тарифов сотовых операторов. 

По статистике лишь в 0,1% случаев подобные случаи бывают связаны с какими-то внешними факторами. Как правило, подобные противоправные действия совершаются так называемыми инсайдерами, собственными сотрудниками компаний, ставшими настоящим бичом начала XXI века.

В случае возникновения подобных проблем операторам необходимо искать злоумышленников в первую очередь в собственном штате.

Похожие статьи Pentest

  • Новые информационные технологии

    Информационная безопасность означает защиту данных, которые являются приватными (личными) для вас, а также это касается конфиденциальности общения между...

  • Аудит информационной безопасности

    Комплексный ИТ Аудит, включает в себя: Аудит информационной системы (ИС) Аудит информационной безопасности (ИБ) Аудит программного обеспечения (SAM -...

  • Лаборатория информационной безопасности

    Лаборатория информационной безопасности Итак, имеем некую большую организацию, обладающую не только огромной IT-инфраструктурой, но и управляющей...

  • Внедрение информационных технологий в бизнес

    ВНЕДРЕНИЕ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ В БИЗНЕС Сегодня современные технологии являются неотъемлемой частью нашей жизни и без них мы просто не можем...

  • Информационная безопасность

    Информационная безопасность и ее составляющие Основные составляющие . Важность проблемы. Под информационной безопасностью (ИБ) следует понимать защиту...

информационная безопасность