Стратегии управления рисками, связанными с вредоносными программами
На этой странице
 |
Введение |
|
Определение |
|
Трудности |
|
Решения |
|
Аннотация |
|
Приложение A: Общие активы информационной системы |
|
Приложение B: Распространенные угрозы |
|
Приложение C: Уязвимости |
|
Ссылки |
Введение
Ознакомьтесь с этим руководством по безопасности для компаний среднего размера. Корпорация Майкрософт надеется, что приведенные в документе сведения помогут создать более безопасную и производительную вычислительную среду.
Аннотация
Вредоносные программы становятся всё более сложными и изощренными, поэтому необходимо использовать программные и аппаратные средства, помогающие предотвращать угрозы и атаки с их стороны.
Угрозы со стороны вредоносных программ очень дорого обходятся компаниям среднего размера в плане технологий и операций защиты от атак и реагирования на них. Появление Интернета значительно расширило спектр внешних угроз, которым подвержены компании среднего размера. В то же время никуда не делись и прежние серьезные угрозы, такие как внутренние атаки.
Внутренние атаки, имеющие наивысший потенциал для нанесения ущерба, являются результатом деятельности занимающих ключевые посты сотрудников организации (инсайдеров), например администраторов сети. Инсайдеры, участвующие во вредоносной деятельности, могут преследовать определенные цели, например установку троянской программы или несанкционированный просмотр файловой системы, имея при этом доступ к компьютерам на вполне законных основаниях. Еще чаще такие сотрудники не имеют дурных намерений, но могут способствовать проникновению вредоносной программы, непреднамеренно подключив зараженные компьютеры или устройства к внутренней сети. Это приводит к нарушению целостности или конфиденциальности системы, отрицательное влияет на ее производительность и доступность, а также емкость хранилища данных.
Анализируя внутренние и внешние угрозы, многие организации среднего размера начинают интересоваться системами, помогающими осуществлять наблюдение за сетью и обнаруживать атаки. К таким системам относятся и ресурсы, помогающие в режиме реального времени управлять рисками, связанными с вредоносными программами.
Обзор
Этот документ содержит сведения о стратегиях управления рисками, связанными с вредоносными программами, в компаниях среднего размера. Этот документ состоит из четырех основных разделов: «Введение», «Определение», «Трудности» и «Решения».
Определение
В этом разделе объясняется, что представляют собой вредоносные программы (и что не является вредоносными программами), рассказывается об их характеристиках и управлении рисками.
Трудности
В этом разделе описываются многие основные трудности, связанные с вредоносными программами, с которыми сталкиваются компании среднего размера, в частности:
- обычные активы информационной системы;
- Общие угрозы
- Уязвимости
- обучение конечных пользователей и разъяснение правил поведения;
- нахождение равновесия между управлением рисками и потребностями бизнеса.
Решения
Этот раздел содержит дополнительные сведения о политиках, подходах и стратегиях, в число которых входят:
- физические и логические политики;
- упреждающие и реагирующие подходы к защите от вредоносных программ и вирусов;
- стратегии, помогающие сократить риск заражения вредоносными программами.
Также в этом разделе рассматриваются оценки и управление рисками, связанными с вредоносными программами, как часть стратегий по предотвращению угроз от вредоносных программ. Данный раздел также содержит сведения о средствах наблюдения и создания отчетов, предназначенных для поиска, обнаружения и сообщения о действиях вредоносных программ.
Для кого предназначено это руководство
Этот документ в первую очередь предназначен для руководителей и ИТ-специалистов компаний среднего размера. Он призван помочь им лучше разобраться в угрозах, исходящих от вредоносных программ, понять, как защититься от этих угроз и быстро и адекватно отреагировать на атаку вредоносных программ.
Определение
Вредоносные программы — это краткое название для вредоносного программного обеспечения. Это собирательное название для вирусов, червей и троянских программ, которые намеренно выполняют вредоносные действия на компьютере. С технической точки зрения, вредоносная программа — это любой вредоносный код.
Сведения о различных типах вредоносных программ
В следующих подразделах описываются различные категории вредоносных программ.
Скрытые угрозы
- Троянская программа. Программа, кажущаяся полезной или безвредной, но содержащая скрытый код, предназначенный для использования уязвимости или нанесения ущерба компьютеру, на котором эта программа выполняется. Троянские программы (также называемые троянским кодом) наиболее часто поступают к пользователям с сообщениями электронной почты, в которых неверно указываются назначение и функции программы. Троянские программы выполняют свою миссию, активируя вредоносный заряд при запуске.
Вредоносные программы, заражающие компьютер
- Червь. В червях используется самораспространяющийся вредоносный код, который может автоматически распространяться от одного компьютера к другому по сети. Червь может выполнять вредоносные действия, например потреблять сетевые ресурсы или ресурсы локального компьютера, порой приводя к возникновению атаки вида «отказ в обслуживании». Некоторые черви могут выполняться и распространяться без вмешательства пользователя, в то время как другие требуют, чтобы пользователь выполнил код червя, чтобы он мог распространиться. Помимо размножения черви могут выполнять и другие действия.
- Вирус. В вирусах используется код, специально ориентированный на самостоятельное размножение. Вирусы распространяются с одного компьютера на другой, присоединяясь к программе-носителю. Вирусы могут повреждать аппаратные средства, программное обеспечение и данные. При выполнении основной программы выполняется и код вируса, который заражает другие программы, а иногда производит и еще какие-то действия.
Вредоносные программы, используемые для извлечения прибыли
- Программы-шпионы. Этот тип программного обеспечения называют иногда шпионскими роботами или отслеживающим программным обеспечением. Программы-шпионы используют другие виды мошеннических программ, которые выполняют на компьютере определенные действия без ведома пользователя. Эти действия включают в себя сбор личных данных и изменение настроек интернет-обозревателя. Помимо раздражения программы-шпионы становятся причиной множества разных проблем: от снижения общей производительности компьютера до нарушения конфиденциальности личных данных.
Веб-узлы, распространяющие программы-шпионы, используют разные уловки, чтобы заставить пользователей загрузить и установить эти программы на свои компьютеры. К таким уловкам относится введение пользователей в заблуждение и скрытое объединение программ-шпионов в пакеты с другим программным обеспечением, которое может быть необходимо пользователю, например бесплатными программами для обмена файлами. - Программы для показа рекламы. Тип программного обеспечения, показывающего рекламу. В частности, к этому типу относятся определенные исполняемые приложения, основным предназначением которых является доставка рекламного содержимого неожиданным или нежелательным для пользователя способом либо в неожиданном или нежелательном контексте. Многие рекламные приложения выполняют также функции слежения за пользователем, следовательно, их можно классифицировать как технологии отслеживания. Некоторые клиенты могут захотеть удалить программу для показа рекламы, если они возражают против такого отслеживания, не желают смотреть рекламу, показываемую программой, или недовольны ее влиянием на производительность компьютера. И наоборот, некоторые пользователи могут пожелать оставить определенные рекламные программы, если их присутствие компенсирует стоимость нужного программного продукта или услуги либо если эти программы показывают полезную или интересную рекламу, например, предлагающую альтернативу или дополнения к тому, что пользователь ищет.
Дополнительные сведения см. в статье Malware (Вредоносные программы) энциклопедии Wikipedia по адресу http://en.wikipedia.org/wiki/Malware (эта ссылка может указывать на содержимое полностью или частично на английском языке) и в разделе What is Malware? (Что такое вредоносные программы?)руководства по углубленной защите от вирусов по адресу www.microsoft.com/technet/security/topics/serversecurity/avdind_2.mspx#ELF (эта ссылка может указывать на содержимое полностью или частично на английском языке).
Сведения о поведении вредоносных программ
Различные характеристики, присущие каждой категории вредоносных программ, зачастую очень похожи. Например, и вирус, и червь используют сеть в качестве механизма распространения. Однако вирус ищет файлы для заражения, в то время как червь просто пытается скопировать себя. В следующем разделе приведены краткие объяснения типичных характеристик вредоносных программ.
Атакуемые системы
Для того чтобы атака вредоносной программы оказалась успешной, атакуемый компьютер должен иметь ряд определенных компонентов. Перечисленные ниже компоненты являются типичными примерами тех типов компонентов, которые могут быть необходимы вредоносной программе для атаки на узел:
- Устройства. Некоторые вредоносные программы атакуют только устройства определенного типа, например персональные компьютеры, компьютеры Apple Macintosh или даже карманные компьютеры (КПК). Все более популярными целями для атаки становятся мобильные устройства, например сотовые телефоны.
- Операционные системы. Для успешной атаки вредоносным программам может потребоваться определенная операционная система. Например, вирус CIH или «Чернобыль» конца 1990-х годов мог атаковать компьютеры только с Microsoft® Windows® 95 или Windows 98. Более новые операционные системы более безопасны. К сожалению, вредоносные программы также совершенствуются.
- Приложения. Для успешного выполнения своих действий или распространения вредоносным программам может потребоваться, чтобы на атакуемом компьютере было установлено определенное приложение. Например, появившийся в 2002 году вирус LFM.926 мог атаковать только в том случае, если на локальном компьютере могли выполняться файлы Shockwave Flash (SWF).
Объекты-носители
Если вредоносная программа является вирусом, она предпримет попытку заразить целевой объект-носитель (также известный как хозяин). Количество и тип целевых объектов-носителей меняется в широких пределах для различных видов вредоносных программ, но в следующем списке приведены наиболее распространенные примеры целевых носителей.
- Исполняемые файлы. Эти носители являются целью вирусов «классического» типа, которые распространяются, прикрепляясь к программе-хозяину. Помимо типичных исполняемых файлов с расширением Exe для этой цели могут также использоваться файлы со следующими расширениями: COM, .SYS, DLL, OVL, OCX и PRG.
- Сценарии. Атаки, при которых в качестве носителей выступают сценарии, направлены на файлы, в которых используются языки сценариев, например Microsoft Visual Basic® Script, JavaScript, AppleScript или Perl Script. Примеры расширений файлов этого типа: VBS, JS, WSH и PRL.
- Макросы. Эти носители являются файлами, поддерживающими язык макрокоманд определенного приложения, например текстового редактора, электронных таблиц или приложения баз данных. Например, вирусы могут использовать макроязык Microsoft Word и Lotus Ami Pro для выполнения ряда действий, начиная с хулиганских (переставление в документе слов местами или изменение цветов) и заканчивая вредоносными (форматирование жесткого диска компьютера).
Механизмы распространения
При атаке может использоваться один или несколько различных методов распространения между компьютерами. Этот раздел содержит сведения о ряде наиболее часто встречающихся механизмов распространения, используемых вредоносными программами.
- Сменные носители. Передача файлов — это исторически первый и, вероятно, наиболее эффективный (или являвшийся таковым до последнего времени) метод переноса компьютерных вирусов и иных вредоносных программ. Первоначально в качестве механизма переноса использовались дискеты, затем — компьютерные сети, а теперь осваиваются новые носители, такие как USB-устройства и Firewire. Скорость распространения не так высока, как у вредоносных программ, распространяющихся по сети, однако, эта угроза всегда актуальна, и ее трудно полностью искоренить ввиду наличия необходимости в обмене данными между компьютерами.
- Общие сетевые ресурсы. Когда компьютеры получили возможность подключаться друг к другу по сети, создатели вредоносных программ получили новый механизм распространения, позволивший превзойти возможности сменных носителей для распространения вредоносного кода. Плохо организованная безопасность общих сетевых ресурсов создает среду, в которой вредоносные программы могут распространяться на большое количество компьютеров, подключенных к сети. Этот способ в значительной степени вытеснил способ, связанный с использованием сменных носителей.
- Одноранговые сети. Для передачи файлов в одноранговой сети пользователю необходимо сначала установить клиентский компонент файлообменного приложения, который будет использовать сеть.
Дополнительные сведения см. в разделе Malware Characteristics (Характеристики вредоносных программ)руководства по углубленной защите от вирусов по адресу www.microsoft.com/technet/security/topics/serversecurity/avdind_2.mspx#EQAAC (эта ссылка может указывать на содержимое полностью или частично на английском языке).
Что не подпадает под определение вредоносного программного обеспечения
Существуют разные угрозы, которые не считаются вредоносным программным обеспечением, поскольку не являются компьютерными программами, написанными с вредоносными намерениями. Тем не менее, эти угрозы могут иметь последствия для безопасности или причинить финансовые убытки компаниям среднего размера. В следующем списке приведены типичные примеры угроз, которые следует учитывать и осознавать при разработке комплексной стратегии безопасности.
- Шуточное программное обеспечение. Шуточные приложения разрабатываются, чтобы вызвать улыбку либо, в худшем случае, потратить чье-либо время. Эти приложения существуют столь же долго, сколько люди используют компьютеры. Поскольку эти приложения не разрабатывались с вредоносными намерениями и их можно рассматривать как шутку, они не могут считаться вредоносным программным обеспечением в терминах данного руководства. Существует множество шуточных приложений, выполняющих различные действия: от интересных экранных эффектов до забавных анимационных роликов и игр.
- Мистификации. Примером мистификации является ложное сообщение о вирусе, которого на самом деле не существует. Как и в случае с отдельными видами вредоносных программ, при мистификациях используются методы социотехники, призванные обманным путем заставить пользователя выполнить какое-либо действие. Однако при мистификациях не выполняется никакого кода: мошенник обычно просто пытается обмануть жертву. Типичным примером мистификации является сообщение электронной почты или цепочка сообщений, где говорится об обнаружении нового типа вируса и предлагается предупредить друзей, переслав им это сообщение. Этот тип обманного сообщения приводит к потере времени, потреблению ресурсов почтового сервера и уменьшению пропускной способности сети. Тем не менее, мистификации также могут причинить ущерб, если в них предлагается изменить конфигурацию компьютера (например удалить разделы реестра или системные файлы).
- Аферы. Типичным примером аферы является сообщение электронной почты, мошенническим путем заставляющее получателя раскрыть личные данные, которые можно использовать в незаконных целях (например сведения о банковском счете). Одной из разновидностей афер является прием, известный под названием «фишинг», а также как «подмена торговой марки» или «афера с карточками».
- Нежелательная почта. Нежелательная почта — это незапрошенная электронная почта, созданная для рекламы какого-либо товара или услуги. Это явление обычно вызывает раздражение, однако нежелательная почта не является вредоносным программным обеспечением. Тем не менее, значительное увеличение количества отправляемых нежелательных сообщений является проблемой для инфраструктуры Интернета. Нежелательная почта также приводит к снижению производительности труда сотрудников, которым каждый день приходится просматривать и удалять такие сообщения.
- Файлы «cookie» из Интернета. Файлы«cookie» из Интернета — это текстовые файлы, сохраняемые на компьютере пользователя веб-узлами, которые он посещает. Файлы«cookie» содержат и предоставляют создающим их на компьютере пользователя веб-узлам сведения для идентификации пользователя, а также другие сведения о посещении пользователя, необходимые веб-узлам.
Файлы «cookie» являются законным средством, используемым многими веб-узлами для отслеживания сведений о посетителе. К сожалению, известно, что некоторые разработчики веб-узлов используют файлы «cookie» для сбора сведений без ведома пользователя. Некоторые из них обманывают пользователей или не упоминают о своих политиках. Например, они могут отслеживать предпочтения при работе в Интернете для множества различных веб-узлов, не ставя пользователя в известность об этом. Разработчики веб-узлов могут впоследствии использовать эти сведения для настройки рекламы, которую пользователь видит на веб-узле, что можно рассматривать как вторжение в частную жизнь.
Дополнительные подробные сведения о вредоносных программах и их характеристиках см. в руководстве по углубленной защите от вирусов на веб-узле Microsoft TechNet по адресу www.microsoft.com/technet/security/topics/serversecurity/avdind_0.mspx (эта ссылка может указывать на содержимое полностью или частично на английском языке).
Сведения об управлении рисками и вредоносных программах
Корпорация Майкрософт понимает под управлением рисками процесс выявления рисков и их воздействия.
Внедрение плана управления рисками, связанными с безопасностью, может представлять слишком большую сложность для компаний среднего размера. В числе возможных проблем можно назвать недостаток собственного опыта, бюджетных ресурсов или документации для подрядчиков.
Управление рисками, связанными с безопасностью, представляет собой упреждающий подход, который может помочь компаниям среднего размера в планировании собственных стратегий противодействия угрозам со стороны вредоносных программ.
Формальный процесс управления рисками, связанными с безопасностью, позволяет компаниям среднего размера работать наиболее эффективным в экономическом отношении способом с известным и приемлемым уровнем риска для бизнеса. Этот процесс также помогает выстроить последовательный и четкий путь к организации и определению приоритетов в условиях ограниченных ресурсов с целью управления рисками.
Для упрощения задач по управлению рисками корпорация Майкрософт разработала руководство по управлению рисками, связанными с безопасностью (эта ссылка может указывать на содержимое полностью или частично на английском языке), которое содержит сведения об указанных ниже четырех процессах.
- Оценка риска. Выявление и ранжирование рисков для бизнеса.
- Поддержка принятия решений. Определение и оценка управляющих решений на основе заданного процесса анализа «затраты-выгода».
- Внедрение управления. Развертывание и применение управляющих решений, помогающих снизить уровень риска для бизнеса.
- Оценка эффективности программы. Анализ эффективности процесса управления рисками и проверка обеспечения средствами управления предполагаемого уровня защиты.
Подробное рассмотрение этой темы выходит за рамки данной статьи. Однако для планирования, развертывания и внедрения стратегии решений для рисков, связанных с вредоносными программами, необходимо понимание данной идеи и процессов. На следующем рисунке показаны четыре основных процесса управления рисками.
Рис. 1. 4 основных процесса управления рисками
Дополнительные сведения об управлении рисками см. в статье «Руководство по управлению рисками, связанными с безопасностью» на веб-узле Microsoft TechNet по адресу http://go.microsoft.com/fwlink/?linkid=30794 (эта ссылка может указывать на содержимое полностью или частично на английском языке).
Трудности
Атаки вредоносных программ могут осуществляться по различным направлениям и различными способами, используя определенное слабое место. При выполнении оценки рисков компаниям среднего размера рекомендуется определить не только уязвимые места, но и уровень риска, приемлемый для данной компании. Компаниям среднего размера необходимо разработать стратегии уменьшения рисков, связанных с вредоносными программами.
Ниже перечислены некоторые трудности, возникающие при уменьшении рисков, связанных с вредоносными программами, в системах организаций среднего размера.
- Общие активы информационной системы.
- Общие угрозы
- Уязвимости
- Обучение пользователей
- Нахождение равновесия между управлением рисками и потребностями бизнеса.
Общие активы информационной системы
Средства защиты информационных систем обеспечивают необходимые сведения для управления безопасностью в компаниях среднего размера. Термин «общие активы информационной системы» относится как к физическим, так и логическим аспектам компании. Они могут включать в себя серверы, рабочие станции, программное обеспечение и пользовательские лицензии.
Данные о деловых контактах сотрудников, мобильные компьютеры, маршрутизаторы, данные о сотрудниках, стратегические планы, внутренние веб-узлы и пароли сотрудников являются общими активами информационной системы. Полный список приведен в Приложении A «Общие активы информационной системы» в конце этого документа.
Распространенные угрозы
Способы, используемые вредоносными программами для атаки на компании среднего размера, иногда называются направлениями атаки и представляют собой области, которые требуют наиболее пристального внимания при разработке эффективного решения для уменьшения рисков, связанных с вредоносными программами. В число распространенных угроз входят стихийные бедствия, механические неисправности, действия злоумышленников и неосведомленных пользователей, социотехника, вредоносный мобильный код, а также недовольные сотрудники. Столь широкий диапазон угроз представляет трудности не только для компаний среднего размера, но и для компаний любого размера.
Приложение B «Общие угрозы» в конце этого документа содержит обширный список угроз, которым могут быть подвержены компании среднего размера.
Уязвимости
Уязвимости представляют собой слабые места в процедурах и политиках безопасности информационной системы, административном управлении, физическом размещении, внутреннем управлении и других областях, которые могут использоваться для получения несанкционированного доступа к сведениям или прерывания критически важных процессов. Уязвимости бывают как физическими, так и логическими. В их число входят стихийные бедствия, механические неисправности, неправильные настройки программного обеспечения, необновленное программное обеспечение и человеческие ошибки. Приложение C «Уязвимости» в конце этого документа содержит обширный список уязвимостей, которые могут проявляться в компаниях среднего размера.
Обучение пользователей
Когда речь идет о физической и логической информационной безопасности, главной уязвимостью зачастую оказываются не недостатки компьютеров или программного обеспечения, а пользователи компьютеров. Сотрудники могут допускать такие распространенные ошибки как хранение своих паролей там, где их могут увидеть другие, загрузка и открытие вложений электронной почты, которые содержат вирусы, или оставление компьютера включенным на ночь. Поскольку человеческий фактор оказывает значительное влияние на компьютерную безопасность, обучение сотрудников, ИТ-персонала и руководства должно быть приоритетной задачей. Столь же важно выработать у всех сотрудников полезные привычки, связанные с безопасностью. Эти подходы являются наиболее экономичными для организации в долгосрочной перспективе. В процессе обучения пользователей необходимо снабдить рекомендациями, помогающими избежать вредоносных действий, и предоставить сведения о возможных угрозах и способах их предотвращения. Пользователи должны твердо усвоить перечисленные ниже правила обеспечения безопасности.
- Никогда не отвечать на запросы по электронной почте финансовых или личных сведений.
- Никогда не сообщать пароли.
- Не открывать подозрительные вложения электронной почты.
- Не отвечать на любые подозрительные или нежелательные сообщения электронной почты.
- Не устанавливать не прошедшие проверку приложения.
- Блокировать компьютеры, если они не используются, используя защищенную паролем экранную заставку или диалоговое окно CTRL-ALT-DELETE.
- Включить брандмауэр.
- Использовать на удаленных компьютерах надежные пароли.
Политики
Для реализации рекомендаций по обеспечению безопасности политики и утвержденные процедуры обязательно должны быть изложены в письменном виде. Необходимыми условиями эффективности всех ИТ-политик являются их поддержка со стороны высшего руководящего звена, наличие механизма реализации, способов информирования и обучения пользователей. В частности, политики могут охватывать перечисленные ниже сферы.
- Методы обнаружения вредоносных программ на компьютере.
- Процедуры сообщения о возможном заражении.
- Действия, которые должны выполнять пользователи, чтобы помочь специалисту по устранению неполадок (например сообщить о последнем действии, выполненном перед заражением компьютера).
- Процессы и процедуры избавления от уязвимостей операционных систем и приложений, которыми могут воспользоваться вредоносные программы.
- Управление обновлениями, использование руководств по конфигурации системы безопасности и контрольных списков.
Нахождение равновесия между управлением рисками и потребностями бизнеса.
Инвестирование в процесс управления рисками помогает подготовить компании среднего размера к формулировке приоритетов, планированию борьбы с угрозами и устранению новых угроз и уязвимостей.
Расходы на ИТ-безопасность могут определяться ограничениями бюджета, но хорошо структурированная методика управления рисками при эффективном использовании способна помочь руководству выбрать подходящие средства управления для обеспечения защитных функций, необходимых для выполнения поставленных задач.
Компаниям среднего размера необходимо найти тонкую грань равновесия между управлением рисками и потребностями своего бизнеса. Ниже перечислены вопросы, которые могут быть полезны при нахождении равновесия между управлением рисками и потребностями бизнеса.
- Следует ли компании самостоятельно настраивать свои компьютеры или это должен сделать поставщик оборудования или программного обеспечения? Сколько это будет стоить?
- Следует ли использовать балансировку нагрузки или кластеризацию в качестве механизмов обеспечения высокого уровня доступности приложений? Что необходимо сделать для внедрения этих механизмов?
- Необходимо ли установить сигнализацию в серверной комнате?
- Следует ли использовать системы на основе электронных ключей для всего здания или серверной комнаты?
- Какой бюджет компания может выделить на компьютерные системы?
- Какой бюджет компания может выделить на техническую поддержку и обслуживание?
- Сколько денег компания потратила на компьютерные системы (обслуживания оборудования и программного обеспечения) в прошедшем году?
- Сколько компьютеров имеется на главном объекте компании? Ведется ли инвентаризация компьютерного оборудования и программного обеспечения?
- Хватает ли мощности старых компьютеров для запуска большей части необходимого программного обеспечения?
- Сколько необходимо новых или модернизированных компьютеров? Какое количество будет оптимальным?
- Должен ли у каждого пользователя быть принтер?
Более подробные сведения по управлению рисками см. в руководстве по управлению рисками, связанными с безопасностью по адресу http://go.microsoft.com/fwlink/?linkid=30794 (эта ссылка может указывать на содержимое полностью или частично на английском языке).
Решения
В этом разделе рассматриваются различные стратегии управления рисками, связанными с вредоносными программами, включая упреждающий и реагирующий подходы к вредоносным программам, физические и логические политики. Также обсуждаются методы проверки, такие как средства создания отчетов и наблюдения.
Разработка стратегий уменьшения рисков, связанных с вредоносными программами
При разработке стратегий уменьшения рисков, связанных с вредоносными программами, важно задать необходимые ключевые рабочие точки, в которых можно реализовать обнаружение или блокировку вредоносных программ. Когда дело доходит до управления рисками, связанными с вредоносными программами, не следует полагаться исключительно на отдельное устройство или технологию как на единственную линию обороны. Более предпочтительные методы должны включать многоуровневый подход, использующий механизмы упреждения и реагирования по всей сети. Антивирусное программное обеспечение играет в этой области ключевую роль, однако оно не должно быть единственным средством обнаружения атак вредоносных программ. Дополнительные подробные сведения о многоуровневом подходе см. в разделе The Malware Defense Approach (Подход к защите от вредоносных программ)руководства по углубленной защите от вирусов по адресу www.microsoft.com/technet/security/topics/serversecurity/avdind_3.mspx#E1F (эта ссылка может указывать на содержимое полностью или частично на английском языке).
Далее подробно рассматриваются перечисленные ниже ключевые рабочие точки.
- Оценка рисков, связанных с вредоносными программами.
- Физическая безопасность.
- Логическая безопасность.
- Сравнение политик и процедур упреждения и реагирования.
- Развертывание и управление.
Оценка рисков, связанных с вредоносными программами
При оценке рисков, связанных с вредоносными программами, компаниям среднего размера необходимо помнить о направлениях атаки, наиболее уязвимых для угроз. Как они защищены и в какой степени? Необходимо рассмотреть перечисленные ниже вопросы.
- Установлен ли в компании брандмауэр?
Брандмауэры являются важной составляющей защиты периметра. Сетевой брандмауэр обычно является первой линией защиты компьютеров, сетей и важных данных организации от внешних угроз. Компаниям среднего размера следует использовать программные или аппаратные брандмауэры. - Имеет ли компания возможность провести внутренний или внешний анализ для поиска уязвимостей? Каким образом анализируются собранные сведения?
Для поиска ошибок в конфигурации или уязвимостей рекомендуется использовать такое средство как Microsoft Baseline Security Analyzer (MBSA). Также можно доверить процесс поиска уязвимостей сторонней организации, наняв другую компанию для оценки системы защиты и выдачи рекомендаций по внесению необходимых улучшений.
Примечание. MBSA представляет собой простое в использовании средство, разработанное для ИТ-специалистов, позволяющее малым и средним компаниям определить состояние системы безопасности в соответствии с рекомендациями по безопасности корпорации Майкрософт. Оно также предлагает рекомендации по устранению уязвимостей. Использование MBSA для обнаружения общих ошибок в конфигурации системы безопасности и отсутствующих обновлений системы безопасности на компьютерах компании помогает улучшить управление безопасностью. - Имеется ли в наличии план оценки резервного копирования и восстановления?
Убедитесь в наличии плана резервного копирования и эффективной работе сервера резервного копирования. - Сколько видов антивирусных программ используется в организации? Установлено ли на всех компьютерах антивирусное программное обеспечение?
Использование единственной антивирусной платформы может подвергнуть компанию риску, поскольку каждая программа имеет сильные и слабые стороны. - Используется ли в компании беспроводная сеть? Если да, то включены ли средства защиты беспроводной сети и правильно ли выполнена их настройка?
Даже если обычная сеть надежно защищена, незащищенная беспроводная сеть может подвергнуть компанию недопустимому риску в безопасной в остальных отношениях среде. Старые беспроводные стандарты, например WEP, легко взламываются, поэтому необходимо провести исследование, чтобы убедиться в том, что используется подходящее решение для обеспечения безопасности беспроводной сети. - Обучены ли сотрудники мерам предосторожности, связанным с вредоносными программами? Имеют ли они представление о рисках, связанных с вредоносными программами?
Вредоносные программы используют для распространения методы социотехники, а наиболее эффективной защитой от методов социотехники является обучение. - Имеется ли сформулированная в письменном виде политика предотвращения или устранения угроз, связанных с вредоносными программами? Как часто эта политика пересматривается? Реализуется ли она? Насколько точно персонал придерживается этой политики?
Убедитесь в том, что пользователи обучены мерам по предотвращению угроз, связанных с вредоносными программами. Очень важно, чтобы все эти сведения были документированы; необходимо наличие и использование учитывающих приведенные выше сведения письменной политики и процедур. Эту политику необходимо пересматривать при любых изменениях, чтобы гарантировать эффективность и действенность принятых политик.
Физическая безопасность
Физическая безопасность заключается в ограничении доступа к оборудованию в целях предотвращения нежелательных манипуляций, краж, человеческих ошибок и последующих простоев, вызванных этими действиями.
Хотя физическая безопасность является более общей проблемой безопасности, чем вредоносное программное обеспечение, невозможно защититься от вредоносных программ, не имея плана эффективной физической защиты всех клиентских, серверных и сетевых устройств в инфраструктуре организации.
Следующий список содержит критически важные для создания плана эффективной физической защиты элементы.
- Безопасность здания. Кто имеет доступ в здание?
- Кадровая безопасность. Насколько ограничены права доступа сотрудников?
- Точки доступа к сети. Кто имеет доступ к сетевому оборудованию?
- Серверы. Кто имеет права доступа к серверам?
- Рабочие станции. Кто имеет права доступа к рабочим станциям?
Если один из этих элементов уязвим, существует повышенная вероятность того, что вредоносным программам удастся обойти внешние и внутренние защитные барьеры сети, чтобы заразить компьютер в сети. Защита доступа к помещениям и компьютерному оборудованию должна быть фундаментальным элементом стратегий безопасности.
Более подробные сведения см. в статье 5-Minute Security Advisor - Basic Physical Security (5-минутное руководство по безопасности — основы физической безопасности) на веб-узле Microsoft TechNet по адресу www.microsoft.com/technet/archive/community/columns/security/5min/5min-203.mspx (эта ссылка может указывать на содержимое полностью или частично на английском языке).
Логическая безопасность
Программные меры безопасности для информационных систем в компаниях среднего размера включают доступ пользователей по идентификатору и паролю, проверку подлинности и права доступа, и каждый из этих компонентов критически важен для управления рисками, связанными с вредоносными программами. Эти меры безопасности гарантируют, что только пользователи, прошедшие проверку, могут выполнять действия или получать доступ к сведениям на определенном сервере или рабочей станции в сети. Администраторы должны настроить компьютеры таким образом, чтобы они соответствовали рабочей функции пользователя компьютера. Настройка этих мер безопасности включает перечисленные ниже действия.
- Ограничение доступных прикладных и служебных программ только необходимыми для исполнения служебных обязанностей.
- Усиленный контроль над ключевыми системными каталогами.
- Более тщательный аудит.
- Использование политик с наименьшими привилегиями.
- Ограничение использования сменных носителей, например дискет.
- Кому необходимо предоставить права администратора сервера резервного копирования, почтовых серверов и файловых серверов?
- Кто должен иметь доступ к папкам отдела кадров?
- Какие привилегированные права необходимо предоставить для общих папок подразделений?
- Может ли рабочая станция использоваться различными пользователями? Если да, какой уровень доступа необходимо предоставить? Разрешено ли пользователям устанавливать программное обеспечение на своих рабочих станциях?
Идентификаторы пользователя, идентификаторы для входа в систему или учетные записи и имена пользователей являются уникальными личными идентификаторами пользователей компьютерной программы или сети, доступной нескольким пользователям. Проверка подлинности — это процесс проверки того, что лицо или объект является тем, кем представляется. Примерами проверки подлинности являются подтверждение источника и целостности сведений, например проверка цифровой подписи или проверка идентификатора пользователя или компьютера. Для повышения безопасности настоятельно рекомендуется, чтобы каждая учетная запись для входа в систему имела пароль — секретные данные для проверки подлинности, используемые для контроля доступа к ресурсу или компьютеру. После входа пользователя в сеть необходимо задать соответствующие права доступа. Например, определенный пользователь может иметь доступ к папке отдела кадров, но с правами только для чтения и не имея возможности вносить какие-либо изменения.
Ниже перечислены некоторые проблемы логической безопасности.
- Рекомендации, связанные с паролями, например срок действия пароля и его сложность.
- Резервное копирование данных и программного обеспечения.
- Конфиденциальные сведения и важные данные — используйте шифрование там, где это необходимо.
Необходимо обеспечить функции проверки подлинности и авторизации, соответствующие целям использования и приемлемому уровню риска. Необходимо обращать внимание как на серверы, так и на рабочие станции. Все вышеупомянутые элементы логической безопасности должны быть четко прописаны, обязательны к использованию и доступны для всех сотрудников компании в качестве контрольных точек.
Сравнение упреждающих и реагирующих политик и процедур
Для управления рисками, связанными с вредоносным программным обеспечением, используются два основных подхода: упреждающий и реагирующий. Упреждающие подходы включают все меры, направленные на предотвращение успешных атак на компьютеры или сеть. Реагирующие подходы — это процедуры, используемые в компаниях среднего размера после обнаружения проникновения в компьютеры или их заражения троянской программой или иной вредоносной программой.
Реагирующие подходы
При нарушении системы защиты компьютера или сети должен запускаться процесс реагирования. Реакция на нарушение безопасности — это метод изучения проблемы, анализа ее причин, минимизации последствий, устранения проблемы и документирования каждого действия в рамках реагирования для последующего использования.
Наряду с мерами, предпринимаемыми для предотвращения будущих бизнес-потерь, у каждой компании также имеются план действий на случай таких потерь, если упреждающие меры оказались неэффективными или просто не были приняты. Методы реагирования включают в себя планы аварийного восстановления, переустановку операционных систем и приложений на скомпрометированных компьютерах и переключение на другие компьютеры, находящиеся в других местах. Наличие соответствующего набора мер реагирования и готовность к их выполнению так же важны, как и наличие упреждающих мер.
На следующей диаграмме иерархии реагирующих откликов показаны действия при инцидентах с участием вредоносных программ. Дополнительные сведения об этих действиях приведены ниже.
Рис. 2. Иерархия реагирующих откликов
-
Защита жизни и безопасности людей. Если в число подверженных опасности компьютеров входят системы жизнеобеспечения, их отключение может быть недопустимым. Возможно, такие компьютеры удастся изолировать от сети логически, перенастроив маршрутизаторы и коммутаторы, не прерывая их работу по оказанию помощи пациентам.
- Изоляция ущерба. Изоляция нанесенного атакой ущерба позволяет ограничить дополнительный ущерб. Защитите важные данные, программное обеспечение и оборудование как можно быстрее.
- Оценка ущерба. Немедленно сделайте копии жестких дисков на всех серверах, которые были атакованы, и сохраните эти копии для последующего использования в суде. Затем оцените ущерб.
- Определение причины ущерба. Чтобы определить происхождение атаки, необходимо понять, какие ресурсы были целью атаки и какие уязвимости использовались для получения доступа или нарушения работы. Проверьте конфигурацию системы, установленные исправления, системные журналы, журналы и дневники аудита на непосредственно подвергшихся атаке компьютерах, а также сетевых устройствах, которые осуществляли маршрутизацию трафика на эти компьютеры.
- Устранение ущерба. Очень важно как можно быстрее устранить ущерб, чтобы восстановить нормальную работу компании и восстановить все данные, которые были потеряны при атаке.
- Пересмотр политик реагирования и обновления. После завершения этапов документирования и восстановления необходимо тщательно пересмотреть политики реагирования и обновления.
Что следует делать, если компьютеры в сети заражены вирусами? В следующем списке содержатся примеры реагирующего подхода.
- Убедитесь в том, что брандмауэр работает. Установите контроль над входящим и исходящим трафиком на компьютерах и в сети.
- В первую очередь разберитесь с наиболее вероятными подозреваемыми. Устраните наиболее распространенные угрозы со стороны вредоносных программ, а затем проверьте наличие неизвестных угроз.
- Изолируйте зараженный компьютер. Отключите его от сети и Интернета. Остановите распространение заражения на другие компьютеры в сети в процессе очистки.
- Изучите методы контроля над заражением и методы очистки.
- Загрузите последние обновления антивирусных баз, выпущенные поставщиками антивирусного программного обеспечения.
- Убедитесь в том, что антивирусные системы настроены на проверку всех файлов.
- Запустите полную проверку компьютера.
- Восстановите отсутствующие или поврежденные данные.
- Удалите или вылечите зараженные файлы.
- Убедитесь в том, что компьютеры очищены от вредоносных программ.
- Подключите очищенные компьютеры к сети.
Примечание. Важно убедиться в том, что на всех компьютерах запущены последние версии антивирусного программного обеспечения и процессы регулярного автоматического обновления антивирусных баз. В частности, необходимо, чтобы антивирусное программное обеспечение регулярно обновлялось на переносных компьютерах, используемых мобильными работниками.
Ведите базу данных или журнал, в которых указывается, какие пакеты исправления были установлены на наиболее важные системы организации: компьютеры с доступом в Интернет, брандмауэры, внутренние маршрутизаторы, базы данных и фоновые серверы.
Упреждающие подходы
Упреждающий подход к управлению рисками имеет множество преимуществ перед реагирующим подходом. Вместо того чтобы ждать наступления неприятностей, а затем реагировать на них, можно свести к минимуму саму возможность возникновения неприятностей. Необходимо создать план защиты важных активов организации путем внедрения средств контроля для устранения риска использования уязвимостей вредоносными программами.
Эффективный упреждающий подход позволяет компаниям среднего размера уменьшить количество нарушений безопасности, которые могут возникнуть в будущем. Однако полное исчезновение таких проблем маловероятно. Поэтому необходимо продолжать совершенствование процессов реагирования на нарушения безопасности при одновременной разработке долгосрочных упреждающих подходов. В следующем списке приведено несколько примеров упреждающих мер, которые помогают управлять рисками, связанными с вредоносными программами.
- Установите на оборудование и маршрутизаторы последние версии микропрограмм, следуя рекомендациям производителей.
- Установите последние исправлений для системы безопасности для серверных и иных приложений.
- Подпишитесь на организованные производителями почтовые рассылки по безопасности и устанавливайте исправления по мере необходимости.
- Убедитесь в том, что на всех компьютерах с операционными системами корпорации Майкрософт установлены последние версии антивирусного программного обеспечения.
- Убедитесь в том, что запущены процессы регулярного автоматического обновления антивирусных баз.
Примечание. В частности, важно, чтобы регулярно производилось обновление антивирусного программного обеспечения на переносных компьютерах, используемых мобильными работниками. - Ведите базу данных, которая содержит сведения об установленных исправлениях.
- Просматривайте журналы безопасности.
- Включите брандмауэры по периметру или на компьютерах.
- Воспользуйтесь программой для поиска уязвимостей, например Microsoft Baseline Security Analyzer, для обнаружения на компьютерах ошибок в конфигурации и отсутствующих обновлений системы безопасности.
- Используйте учетные записи пользователей с наименьшими привилегиями. При нарушении безопасности процессов с низкими привилегиями они причинят меньше ущерба, чем процессы с высокими привилегиями. Таким образом, использование учетной записи, отличной от учетной записи администратора при выполнении ежедневных задач обеспечивает пользователю дополнительную защиту от заражения вредоносными программами, внешних и внутренних атак на систему безопасности, случайных или намеренных изменений системных настроек и конфигураций и случайного или намеренного доступа к конфиденциальным программам или документам.
- Обеспечьте реализацию политики использования надежных паролей. Надежные пароли уменьшают вероятность получения злоумышленником дополнительных прав доступа путем атаки методом подбора пароля. Надежные пароли обычно удовлетворяют перечисленным ниже требованиям.
- Содержат 15 или более знаков.
- Никогда не содержат имен учетных записей, реальных имен или имя компании в любом виде.
- Никогда не содержат полных слов, жаргонных терминов или иных удобных для подбора элементов.
- Радикальным образом отличаются от предыдущих паролей и не создаются путем приращения.
- Используют по крайней мере три из следующих типов знаков
- Заглавные буквы (A, B, C...)
- Строчные буквы (a, b, c...)
- Цифры (0, 1, 2...)
- Знаки, не являющиеся буквами или цифрами (@, &, $...)
- Знаки из кодировки Юникод (?, ƒ, λ...)
Дополнительные сведения о политиках паролей см. в разделе Password Best practices (Рекомендации по выбору пароля) на веб-узле Microsoft TechNet по адресу http://technet2.microsoft.com/WindowsServer/en/Library/e903f7a2-4def-4f5f-9480-41de6010fd291033.mspx?mfr=true (эта ссылка может указывать на содержимое полностью или частично на английском языке).
Углубленная защита
Упреждающий подход к управлению рисками, связанными с вредоносными программами, в корпоративной среде среднего размера должен включать в себя использование многоуровневого углубленного подхода к защите ресурсов от внешних и внутренних угроз. Углубленная защита (иногда называемая углубленной безопасностью или многоуровневой безопасностью) используется для описания эшелонирования защитных контрмер для создания единой среды безопасности, не имеющей единой точки сбоя. Уровни безопасности, формирующие стратегию углубленной безопасности, должны включать в себя развертывание защитных мер, начиная с внешних маршрутизаторов на всем пути до местоположения ресурса и во всех промежуточных точках. Развертывание нескольких уровней безопасности может гарантировать, что, в случае преодоления одного из уровней обороны остальные уровни обеспечат необходимую безопасность для защиты ресурсов.
в этом разделе рассматривается модель углубленной безопасности, которая является отличной отправной точкой для понимания концепции. Эта модель определяет семь уровней безопасности, разработанных для того, чтобы попыткам нарушить безопасность компаний среднего размера противостоял надежный набор средств защиты. Каждый набор способен отразить атаку на нескольких различных уровнях.
Подробные определения каждого уровня можно изменять в соответствии с требованиями и приоритетами безопасности различных организаций. На следующем рисунке представлены уровни модели углубленной безопасности.
Рис. 3. Модель углубленной безопасности
- Данные. Риски на уровне данных возникают из-за уязвимостей, которыми злоумышленник может воспользоваться для получения доступа к данным конфигурации, данным организации или любым данным, уникальным для устройства, используемого организацией.
- Приложение. Риски на уровне приложения возникают из-за уязвимостей, которыми злоумышленник может воспользоваться для получения доступа к запущенным приложениям. Для атаки на систему может использоваться любой исполняемый код, который создатель вредоносной программы может упаковать за пределами операционной системы.
- Узел. Этим уровнем обычно занимаются производители, выпускающие пакеты обновления и исправления для устранения угроз со стороны вредоносных программ. Риски на этом уровне возникают из-за злоумышленников, использующих уязвимости в службах, предлагаемых узлом или устройством.
- Внутренняя сеть. Риски для внутренних сетей компаний в основном связаны с важными данными, передаваемыми по сетям данного типа. Определенные риски связаны также с необходимостью подключения к этим сетям клиентских рабочих станций.
- Периметр сети. Риски, связанные с периметром сети, возникают при получении злоумышленником доступа к глобальным сетям (WAN) и сетевым уровням, которые они соединяют.
- Физическая безопасность. Риски на физическом уровне возникают при получении злоумышленником физического доступа к физическому активу.
- Политики, процедуры и осведомленность. Политики и процедуры, необходимые компании среднего размера для обеспечения соответствия и поддержки требований на каждом уровне, охватывают все уровни модели безопасности.
Уровни данных, приложений и узлов можно объединить в две стратегии защиты клиентов и серверов компании. Хотя эти две стратегии защиты имеют много общего, различия в реализации защиты клиента и сервера достаточно велики и оправдывают создание для каждого из них уникального подхода к защите.
Уровни внутренней сети и периметра также можно объединить в общую стратегию сетевой защиты, поскольку используемые технологии одинаковы для обоих уровней. Детали реализации будут отличаться на каждом уровне, в зависимости от местоположения устройств и технологий в инфраструктуре организации. Дополнительные сведения об углубленной защите см. в разделе Chapter 2: Malware Threats (Глава 2: угрозы со стороны вредоносных программ)руководства по углубленной защите от вирусов по адресу http://go.microsoft.com/fwlink/?LinkId=50964 (эта ссылка может указывать на содержимое полностью или частично на английском языке).
Развертывание и управление
Стратегии управления рисками, связанными с вредоносными программами, могут включать все технологии и подходы, описанные выше в этом документе. Рекомендуется установить на все компьютеры надежное антивирусное программное обеспечение. Защитник Windows, средство корпорации Майкрософт, которое помогает эффективно работать, защищая компьютер от всплывающих окон, низкой производительности и угроз безопасности, вызываемых «шпионскими» программами и иным потенциально нежелательным программным обеспечением, необходимо использовать совместно с антивирусным программным обеспечением. Эти программы следует установить как можно скорее после установки операционной системы. Для обеспечения эффективного обнаружения и блокировки вредоносных программ необходимо немедленно устанавливать и настраивать последние исправления для антивирусного программного обеспечения. Поскольку ни один отдельно взятый подход не может обеспечить полную безопасность, совместно с антивирусным программным обеспечением необходимо использовать брандмауэр, шлюз, средства обнаружение вторжений и прочие технологии защиты, описанные в предыдущих разделах.
В этом разделе описываются проверка, наблюдение, создание отчетов и доступные технологии.
Проверка
Завершив изучение и внедрение описанных выше подходов и технологий управления рисками, связанными с вредоносными программами, необходимо убедиться в эффективности их развертывания.
Чтобы проверить предложенное решение, воспользуйтесь для проверки сетевой и системной среды перечисленными ниже средствами.
- Антивирусная программа. Проверьте все компьютеры на наличие вирусов с помощью антивирусного программного обеспечения с последними антивирусными базами
- Защитник Windows. Проверьте все компьютеры на наличие программ-шпионов и иных нежелательных программ с помощью Защитника Windows
- Программа Microsoft Baseline Security Analyzer (MBSA). Проверьте все компьютеры с помощью MBSA для определения общих ошибок в конфигурации системы безопасности. Дополнительные сведения о программе Microsoft Baseline Security Analyzer можно получить на веб-узле по адресу http://go.microsoft.com/fwlink/?linkid=17809 (эта ссылка может указывать на содержимое полностью или частично на английском языке).
Также необходимо проверить все вновь созданные учетные записи с соответствующими правами доступа, чтобы убедиться, что они работают так, как это было задумано.
После окончания проверки стратегий и внедренных технологий следует по мере необходимости устанавливать исправления для программного обеспечения и оборудования для поддержания эффективности защиты. Пользователи и особенно IT-специалисты должны постоянно устанавливать последние обновления.
Отслеживание и отчеты
Постоянное наблюдение за всеми устройствами в сети необходимо для обнаружения атак со стороны вредоносных программ. Наблюдение может быть сложным процессом. Оно требует сбора сведений из многих источников (например журналов брандмауэров, маршрутизаторов, коммутаторов и пользователей) для формирования критериев «нормального» поведения, которые можно использовать для выявления аномалий.
Стратегии наблюдения и сообщения о вредоносных программах в корпоративных системах среднего размера должны включать в себя технологии и обучение пользователей.
Технологии представляют собой правильно развернутые и внедренные программные и аппаратные средства, помогающие компаниям среднего размера осуществлять наблюдение, сообщать о действиях вредоносных программ и соответствующим образом реагировать. Обучение пользователей — это программы повышения осведомленности пользователей, включающие руководства для пользователей по предотвращению нарушений безопасности со стороны вредоносных программ, обходу и своевременному сообщению о нарушениях безопасности.
Технологии
Можно автоматизировать систему наблюдения и оповещения таким образом, чтобы она сообщала о возможном заражении вредоносной программой на центральную площадку или в соответствующий контактный пункт, сообщающий пользователям, как им следует отреагировать. Автоматизированная система оповещения минимизирует задержку между начальным оповещением и осознанием пользователями угрозы со стороны вредоносной программы, но проблема такого подхода заключается в том, что могут происходить ложные срабатывания. Если никто не следит за оповещениями и не просматривает контрольный список с отчетом о необычной активности, вероятно, оповещения будут предупреждать о вредоносных программах, которых на самом деле нет. Такая ситуация может привести к потере бдительности, поскольку пользователи привыкнут к слишком частым оповещениям.
Решением может стать назначение членов группы сетевых администраторов ответственными за получение всех автоматических оповещений о вредоносных программах от всех программ наблюдения за системой или антивирусных пакетов, используемых компанией. Ответственное лицо или команда может отфильтровывать ложные оповещения от автоматизированных систем перед отправкой оповещений пользователям.
Рекомендуется постоянно пересматривать решения для борьбы с вредоносными программами и обновлять их. Важны все аспекты защиты от вредоносных программ, начиная с простого автоматического обновления антивирусных баз до полного изменения рабочей политики. Хотя некоторые из перечисленных ниже средств уже были упомянуты, они важны для управления безопасностью, наблюдения и создания отчетов:
- Обнаружение вторжения в сеть (NID). Поскольку периметр является наиболее часто атакуемой частью сети, крайне важно, чтобы системы управления сетью могли обнаруживать атаку и сообщать о ней как можно скорее.
- Программа Microsoft Baseline Security Analyzer (MBSA). Усовершенствуйте процесс управления безопасностью, используя MBSA для обнаружения общих ошибок в конфигурации системы безопасности и отсутствующих обновлений системы безопасности на своих компьютерах.
- Антивирусный сканер сигнатур. Большинство антивирусных программ использует этот метод, который заключается в том, что на целевом объекте (компьютере, диске или файлах) выполняется поиск образца кода, который может представлять собой вредоносную программу.
- Сканеры SMTP-шлюзов. Решения для проверки почтовых систем, работающих с протоколом SMTP, обычно относят к антивирусным решениям для шлюзов. Их преимущество заключается в том, что они могут работать со всеми службами электронной почты SMTP и не привязаны к определенному серверу электронной почты.
- Файлы журнала. Файлы, содержащие сведения о доступе к файлам, хранятся на сервере. Анализ файлов журнала позволяет получить полезные сведения о проходящем через веб-узел трафике.
- Защитник Windows. Программа, помогающая защитить компьютер от всплывающих окон, снижения производительности и угроз безопасности, вызванных программами-шпионами и другими нежелательными программами. Она осуществляет защиту в режиме реального времени, имеет систему наблюдения, которая рекомендует действия при обнаружении программ-шпионов и новый улучшенный интерфейс, минимизирующий вмешательство пользователей и помогающий им работать эффективно.
- Используйте динамическое обеспечение безопасности в обозревателе Internet Explorer 7.
Рекомендуемые дополнительные средства, помогающие найти и установить последние обновления и исправления.
- Microsoft Windows Server Update Services (WSUS) предоставляет всестороннее решение для управления обновлениями в корпоративной сети среднего размера.
- Microsoft Systems Management Server 2003 с пакетом обновления 1 представляет собой всестороннее решение для управления изменениями и конфигурацией для платформы Microsoft, позволяя организациям предоставлять пользователям соответствующее программное обеспечение и обновления быстро и с минимальными затратами.
Рассмотрите возможность подписаться на новые исправления, подходящие для вашей организации. Для автоматического получения этих уведомлений можно подписаться на бюллетени корпорации Майкрософт по безопасности по адресу http://go.microsoft.com/fwlink/?LinkId=21723.
Обучение пользователей
Как упоминалось в одном из предыдущих разделов этого документа, все пользователи должны знать о вредоносных программах и их характеристиках, серьезности потенциальных угроз, методах предотвращения угроз, путях распространения вредоносных программ и рисках, связанных с вредоносными программами. Обучение пользователей должно включать в себя ознакомление с политиками и процедурами, применяемыми при реагировании на нарушение безопасности, например методами обнаружения вредоносных программ на компьютере, сообщении о подозрительном заражении и действиях пользователей, для оказания помощи специалистам по устранению нарушений безопасности. Компании среднего размера должны проводить сеансы обучения, посвященные стратегиям по управлению рисками, связанными с вредоносными программами, для ИТ-специалистов, занимающихся предотвращением нарушений безопасности.
Аннотация
Вредоносное программное обеспечение является сложной и постоянно развивающейся областью компьютерных технологий. Из всех проблем, связанных с ИТ, немногие могут сравниться с атаками вредоносных программ по широте распространения и размерам ущерба. Сведения о природе, эволюции и направлениях атак вредоносных программ могут помочь компаниям среднего размера предотвращать угрозы и создавать более эффективные процессы реагирования. Вредоносные программы используют так много методов создания, распространения и использования уязвимостей компьютерных систем, что трудно понять, как какая-либо система может быть достаточно безопасной, чтобы противостоять подобным атакам. Тем не менее, понимание трудностей и наличие стратегий управления рисками, связанными с вредоносными программами, позволит компаниям среднего размера управлять своими компьютерами и сетевой инфраструктурой таким образом, чтобы уменьшить вероятность успешной атаки.
Приложение A: Общие активы информационной системы
Это приложение содержит список активов информационной системы, обычно имеющихся в различных компаниях среднего размера. Список не является полным, и маловероятно, чтобы этот список содержал все активы, имеющиеся в определенной организации. Этот список предназначен для справки и в качестве отправной точки, чтобы помочь компаниям среднего размера сдвинуться с места.
Таблица A.1. Список общих активов информационных систем
| Класс актива | Высокоуровневое описание актива | Описание следующего уровня (если необходимо) | Рейтинг ценности актива (наивысший — 5) |
|
Материальный |
Физическая инфраструктура |
Центры данных |
5 |
|
Материальный |
Физическая инфраструктура |
Серверы |
3 |
|
Материальный |
Физическая инфраструктура |
Настольные компьютеры |
1 |
|
Материальный |
Физическая инфраструктура |
Мобильные компьютеры |
3 |
|
Материальный |
Физическая инфраструктура |
КПК |
1 |
|
Материальный |
Физическая инфраструктура |
Сотовые телефоны |
1 |
|
Материальный |
Физическая инфраструктура |
Серверное программное обеспечение |
1 |
|
Материальный |
Физическая инфраструктура |
Программное обеспечение для конечных пользователей |
1 |
|
Материальный |
Физическая инфраструктура |
Средства разработки |
3 |
|
Материальный |
Физическая инфраструктура |
Маршрутизаторы |
3 |
|
Материальный |
Физическая инфраструктура |
Сетевые коммутаторы |
3 |
|
Материальный |
Физическая инфраструктура |
Факсы |
1 |
|
Материальный |
Физическая инфраструктура |
АТС |
3 |
|
Материальный |
Физическая инфраструктура |
Сменные носители (магнитные ленты, гибкие диски, компакт-диски, DVD-диски, переносные жесткие диски, запоминающие устройства на основе PC-кар, запоминающие устройства с интерфейсом USB и т. д.) |
1 |
|
Материальный |
Физическая инфраструктура |
Источники питания |
3 |
|
Материальный |
Физическая инфраструктура |
Источники бесперебойного питания |
3 |
|
Материальный |
Физическая инфраструктура |
Противопожарные системы |
3 |
|
Материальный |
Физическая инфраструктура |
Системы кондиционирования воздуха |
3 |
|
Материальный |
Физическая инфраструктура |
Системы фильтрации воздуха |
1 |
|
Материальный |
Физическая инфраструктура |
Иные системы контроля окружающей среды |
3 |
|
Материальный |
Данные интрасети |
Исходный код |
5 |
|
Материальный |
Данные интрасети |
Данные о сотрудниках |
5 |
|
Материальный |
Данные интрасети |
Финансовые данные |
5 |
|
Материальный |
Данные интрасети |
Маркетинговые данные |
5 |
|
Материальный |
Данные интрасети |
Пароли сотрудников |
5 |
|
Материальный |
Данные интрасети |
Секретные криптографические ключи сотрудников |
5 |
|
Материальный |
Данные интрасети |
Криптографические ключи компьютерных систем |
5 |
|
Материальный |
Данные интрасети |
Смарт-карты |
5 |
|
Материальный |
Данные интрасети |
Интеллектуальная собственность |
5 |
|
Материальный |
Данные интрасети |
Данные для нормативных требований (GLBA, HIPAA, CA SB1386, директива по защите данных EU и т. д.). |
5 |
|
Материальный |
Данные интрасети |
Номера социального страхования сотрудников в США |
5 |
|
Материальный |
Данные интрасети |
Номера водительских удостоверений сотрудников |
5 |
|
Материальный |
Данные интрасети |
Стратегические планы |
3 |
|
Материальный |
Данные интрасети |
Отчеты о потребительских кредитах заказчиков |
5 |
|
Материальный |
Данные интрасети |
Медицинские записи клиентов |
5 |
|
Материальный |
Данные интрасети |
Биометрические идентификаторы сотрудников |
5 |
|
Материальный |
Данные интрасети |
Данные о деловых контактах сотрудников |
1 |
|
Материальный |
Данные интрасети |
Данные о личных контактах сотрудников |
3 |
|
Материальный |
Данные интрасети |
Данные о заказах |
5 |
|
Материальный |
Данные интрасети |
Схема инфраструктуры сети |
3 |
|
Материальный |
Данные интрасети |
Внутренние веб-узлы |
3 |
|
Материальный |
Данные интрасети |
Этнографические данные о сотрудниках |
3 |
|
Материальный |
Данные экстрасети |
Данные о контрактах с партнерами |
5 |
|
Материальный |
Данные экстрасети |
Финансовые данные о партнерах |
5 |
|
Материальный |
Данные экстрасети |
Контактные данные партнеров |
3 |
|
Материальный |
Данные экстрасети |
Приложение для совместной работы с партнерами |
3 |
|
Материальный |
Данные экстрасети |
Криптографические ключи партнеров |
5 |
|
Материальный |
Данные экстрасети |
Отчеты о кредитах партнеров |
3 |
|
Материальный |
Данные экстрасети |
Данные о заказах партнеров |
3 |
|
Материальный |
Данные экстрасети |
Данные о контрактах поставщиков |
5 |
|
Материальный |
Данные экстрасети |
Финансовые данные поставщиков |
5 |
|
Материальный |
Данные экстрасети |
Контактные данные поставщиков |
3 |
|
Материальный |
Данные экстрасети |
Приложение для совместной работы с поставщиками |
3 |
|
Материальный |
Данные экстрасети |
Криптографические ключи поставщиков |
5 |
|
Материальный |
Данные экстрасети |
Отчеты о кредитах поставщиков |
3 |
|
Материальный |
Данные экстрасети |
Данные о заказах поставщиков |
3 |
|
Материальный |
Интернет-данные |
Приложение для торговли через веб-узел |
5 |
|
Материальный |
Интернет-данные |
Маркетинговые данные веб-узла |
3 |
|
Материальный |
Интернет-данные |
Данные о кредитной карте клиента |
5 |
|
Материальный |
Интернет-данные |
Контактные данные клиента |
3 |
|
Материальный |
Интернет-данные |
Открытые криптографические ключи |
1 |
|
Материальный |
Интернет-данные |
Пресс-релизы |
1 |
|
Материальный |
Интернет-данные |
Документы |
1 |
|
Материальный |
Интернет-данные |
Документация по продукту |
1 |
|
Материальный |
Интернет-данные |
Учебные материалы |
3 |
|
Нематериальный |
Репутация |
5 |
|
|
Нематериальный |
Престиж фирмы |
3 |
|
|
Нематериальный |
Трудовая дисциплина |
3 |
|
|
Нематериальный |
Производительность труда |
3 |
|
|
Службы ИТ |
Обмен сообщениями |
Электронная почта и планирование (например Microsoft Exchange) |
3 |
|
Службы ИТ |
Обмен сообщениями |
Служба мгновенного обмена сообщениями |
1 |
|
Службы ИТ |
Обмен сообщениями |
Веб-клиент Microsoft Outlook® |
1 |
|
Службы ИТ |
Инфраструктура ядра |
Служба каталогов Active Directory® |
3 |
|
Службы ИТ |
Инфраструктура ядра |
Система доменных имен (DNS) |
3 |
|
Службы ИТ |
Инфраструктура ядра |
Протокол динамической настройки узлов (DHCP) |
3 |
|
Службы ИТ |
Инфраструктура ядра |
Корпоративные средства управления |
3 |
|
Службы ИТ |
Инфраструктура ядра |
Обмен файлами |
3 |
|
Службы ИТ |
Инфраструктура ядра |
Хранилище |
3 |
|
Службы ИТ |
Инфраструктура ядра |
Удаленный доступ по модему |
3 |
|
Службы ИТ |
Инфраструктура ядра |
Телефония |
3 |
|
Службы ИТ |
Инфраструктура ядра |
Доступ к виртуальной частной сети (VPN) |
3 |
|
Службы ИТ |
Инфраструктура ядра |
Служба WINS |
1 |
|
Службы ИТ |
Другая инфраструктура |
Службы совместной работы (например Microsoft SharePoint®) |
Приложение B: Распространенные угрозы
В этом приложении перечислены угрозы, которым могут подвергнуться компании среднего размера. Данный список не претендует на полноту и может устареть, поскольку не обновляется. Он предназначен для справки и служит в качестве отправной точки, чтобы помочь вашей организации сдвинуться с места.
Таблица B.1. Список распространенных угроз
| Высокоуровневое описание угрозы | Конкретный пример |
|
Катастрофическое происшествие |
Пожар |
|
Катастрофическое происшествие |
Наводнение |
|
Катастрофическое происшествие |
Землетрясение |
|
Катастрофическое происшествие |
Ураган |
|
Катастрофическое происшествие |
Террористическое нападение |
|
Катастрофическое происшествие |
Массовые беспорядки |
|
Катастрофическое происшествие |
Оползень |
|
Катастрофическое происшествие |
Лавина |
|
Катастрофическое происшествие |
Несчастный случай на производстве |
|
Механическая неисправность |
Нарушение энергоснабжения |
|
Механическая неисправность |
Сбой оборудования |
|
Механическая неисправность |
Нарушение подключения к сети |
|
Механическая неисправность |
Сбой системы контроля за состоянием окружающей среды |
|
Механическая неисправность |
Несчастный случай на строительных работах |
|
Лицо, не являющееся злоумышленником |
Неосведомленный сотрудник |
|
Лицо, не являющееся злоумышленником |
Неосведомленный пользователь |
|
Злоумышленник |
Хакер, взломщик |
|
Злоумышленник |
Лицо, совершающее преступления с использованием компьютера |
|
Злоумышленник |
Промышленный шпионаж |
|
Злоумышленник |
Государственный шпионаж |
|
Злоумышленник |
Социотехника |
|
Злоумышленник |
Недовольный сотрудник |
|
Злоумышленник |
Недовольный бывший сотрудник |
|
Злоумышленник |
Террорист |
|
Злоумышленник |
Небрежный сотрудник |
|
Злоумышленник |
Недобросовестный сотрудник (подкупленный или жертва шантажа) |
|
Злоумышленник |
Вредоносный мобильный код |
Приложение C: Уязвимости
В этом приложении перечислены уязвимости, которым могут быть подвержены компании среднего размера. Данный список не претендует на полноту и может устареть, поскольку не обновляется. Он предназначен для справки и служит в качестве отправной точки, чтобы помочь вашей организации сдвинуться с места.
Таблица C.1. Список уязвимостей
| Высокоуровневый класс уязвимости | Краткое описание уязвимости | Конкретный пример (если имеется) |
|
Физический |
Незапертые двери |
|
|
Физический |
Свободный доступ в помещения с компьютерами |
|
|
Физический |
Неэффективные противопожарные системы |
|
|
Физический |
Плохо спроектированные здания |
|
|
Физический |
Плохо построенные здания |
|
|
Физический |
Легковоспламеняющиеся материалы, использованные при строительстве |
|
|
Физический |
Легковоспламеняющиеся материалы, использованные при отделке |
|
|
Физический |
Открытые окна |
|
|
Физический |
Стены, подверженные физическому взлому |
|
|
Физический |
Внутренние стены не полностью перегораживают комнату от пола до потолка |
|
|
Естественный |
Помещение находится на линии сброса |
|
|
Естественный |
Помещение находится в зоне затопления |
|
|
Естественный |
Помещение находится в лавиноопасном месте |
|
|
Оборудование |
Исправления не установлены |
|
|
Оборудование |
Устаревшая микропрограмма |
|
|
Оборудование |
Неправильно настроенные системы |
|
|
Оборудование |
Отсутствует физическая защита компьютеров |
|
|
Оборудование |
Протоколы управления доступны через общие интерфейсы |
|
|
Программное обеспечение |
Устаревшее антивирусное программное обеспечение |
|
|
Программное обеспечение |
Исправления не установлены |
|
|
Программное обеспечение |
Небрежно написанные приложения |
Использование межузловых сценариев |
|
Программное обеспечение |
Небрежно написанные приложения |
Подключение SQL |
|
Программное обеспечение |
Небрежно написанные приложения |
Уязвимости в коде, например переполнение буфера |
|
Программное обеспечение |
Сознательно созданные уязвимости |
«Черные ходы», оставленные производителями для управления или восстановления систем |
|
Программное обеспечение |
Сознательно созданные уязвимости |
Программы-шпионы, например клавиатурные шпионы |
|
Программное обеспечение |
Сознательно созданные уязвимости |
Троянские программы |
|
Программное обеспечение |
Сознательно созданные уязвимости |
|
|
Программное обеспечение |
Ошибки в конфигурации |
Подготовка к работе вручную, приводящая к несогласованным конфигурациям |
|
Программное обеспечение |
Ошибки в конфигурации |
Системы не защищены |
|
Программное обеспечение |
Ошибки в конфигурации |
Отсутствие аудита систем |
|
Программное обеспечение |
Ошибки в конфигурации |
Отсутствие наблюдения за системами |
|
Носители |
Электрические помехи |
|
|
Коммуникации |
Незашифрованные сетевые протоколы |
|
|
Коммуникации |
Подключения к нескольким сетям |
|
|
Коммуникации |
Разрешены протоколы, не являющиеся необходимыми |
|
|
Коммуникации |
Отсутствие фильтрации между сегментами сети |
|
|
Человеческий фактор |
Плохо определенные процедуры |
Недостаточная готовность к реагированию на нештатные ситуации |
|
Человеческий фактор |
Плохо определенные процедуры |
Подготовка к работе вручную |
|
Человеческий фактор |
Плохо определенные процедуры |
Недостаточные планы аварийного восстановления |
|
Человеческий фактор |
Плохо определенные процедуры |
Тестирование на производственных системах |
|
Человеческий фактор |
Плохо определенные процедуры |
Несообщение о нарушениях |
|
Человеческий фактор |
Плохо определенные процедуры |
Плохой контроль над изменениями |
|
Человеческий фактор |
Украденные учетные данные |