Network World
Стремление избавить настольный ПК или сервер от вредоносного ПО сродни попыткам уничтожить кудзу — вьющееся растение, распространенное в южных странах и вырастающее за сутки на 12 дюймов. Особенно живучим является шпионское ПО.
Обращение к менеджеру задач среды Windows не помогает, поскольку шпионский процесс вставляет в системный реестр записи, обеспечивающие его автоматический запуск. Не спасает и применение редактора реестра для удаления таких записей: они будут восстановлены прежде, чем вы успеете прервать процесс при помощи менеджера задач. Использование Internet-шлюза, препятствующего проникновению вредоносного кода на серверы и клиентские станции, — куда более действенное средство, нежели инсталляция на каждом компьютере антишпионского ПО.
С целью выявить наилучшую систему защиты на базе шлюза (программного либо аппаратного) мы пригласили нескольких производителей принять участие в тестировании. Нам были предоставлены система Enterprise Edition компании FaceTime (устройство RTG 500, приложения IM Auditor и Greynet Enterprise Manager), устройство ThreatWall 200 и приложение Gateway Anti-Spyware SoftPak фирмы eSoft, устройство Barracuda Web Filter 310 производства Barracuda Networks, продукты eSafe Gateway/Web/Mail V5.2 и приложение Web Security Pack от Aladdin Knowledge Systems, изделие InterScan Web Security Appliance 2500 компании Trend Micro и шлюз Content Security Gateway 1500 V2.0 фирмы CP Secure, поставляемый вместе с ПО Web Security Suite V6.2 от WebSense. Кроме того, мы загрузили из Internet WebWasher Anti-Virus 5.3 и Secure Anti-Malware производства Secure Computing. Три поставщика (Sophos, Bluecoat и IronPort) в период испытаний разрабатывали новые версии продуктов, а McAfee отказался от тестирования, сославшись на обновление инструментальных средств для своих устройств противодействия вредоносному ПО.
Все продукты продемонстрировали неплохие результаты. Победитель, пакет фирмы FaceTime, испытал жесткую конкуренцию со стороны сразу трех разработок, занявших второе место. Лавры лидера ему принесли нулевая задержка при анализе трафика и простая в работе центральная консоль для управления несколькими устройствами, обеспечивающая хорошую масштабируемость решения. Количественные результаты тестирования суммированы в таблице.
Победа над врагом
Все протестированные продукты имеют полную и ясно написанную документацию. Инсталляция любого из них свелась к подключению к сети и присвоению IP-адреса. Их функционирование в процессе тестирования также не вызвало особых нареканий. Только высокая точность распознавания вредоносного кода и нулевая задержка, достигнутая благодаря эффективному использованию команды Reset протокола TCP, позволили продукту FaceTime выйти на первое место.
Установка практически любого из этих шлюзов позволит защитить сеть от проникновения вредоносного кода. Результаты тестирования позволяют сделать вывод о том, что в 2006 году поставщики средств противодействия вредоносным программам одержали над врагом убедительную победу.
FaceTime Enterprise Edition
Система защиты компании FaceTime включала в себя устройство RTGuardian (RTG), приложения Greynet Enterprise Manager (GEM) и IM Auditor.
К нашему неподдельному удивлению, RTG 500 вообще не вносит задержек в передачу входящего и исходящего Internet-трафика при его сканировании на наличие вредоносного кода либо ссылок на него. При обнаружении неуправляемых протоколов, обеспечивающих мгновенный обмен сообщениями (IM) или одноранговые сервисы (вроде Skype), либо вредоносного кода, который распространяется поверх таких сервисов, устройство блокирует проникновение в сеть нежелательных программ. При этом оно имитирует сетевые адреса отправителя и получателя и отсылает по ним пакеты TCP Reset. Команда TCP Reset заставляет обе стороны завершить текущий сеанс передачи данных.
Подобная тактика является на редкость удачной: устройство RTG не рискует стать «узким местом» с точки зрения пропускной способности, поскольку оно никогда не оказывается между локальной сетью и Internet. Шлюз просто «прослушивает» потоки пакетов, которыми обмениваются сетевые узлы, и, обнаружив нежелательный код, приказывает клиенту и хакерскому хосту прекратить обмен. Правда, некоторые маршрутизаторы, устанавливаемые на восходящих каналах связи, могут быть запрограммированы на отбрасывание пакетов TCP Reset, которые передаются обратно на хост-компьютер, но их конфигурацию всегда можно изменить. Самое главное, клиентская станция получает команду остановить выдачу запросов на передачу шпионских пакетов.
Из 70 вариантов вредоносного кода, использовавшихся нами для имитации хакерских атак, устройство RTG 500 заблокировало 69. Не вызвала нареканий обработка нежелательных программ, использующих возможности Web, Skype и IM. Изделие высотой 1U подсоединяется к span-порту коммутатора либо произвольному порту концентратора. Обычно компания распространяет обновления описаний вредоносных программ два раза в неделю, но при высоком уровне угроз делает это чаще.
Для каждого инцидента регистрируются дата, время, идентификатор (имя) и категория вредоносного кода (шпионское или рекламное ПО), тип атаки, уровень угрозы, IP-адрес источника и число предпринятых попыток проникновения в сеть. В будущем фирма планирует реализовать поддержку SNMP для интеграции с системами сетевого управления. Приложение GEM выполняет функции центральной консоли, позволяющей администрировать сразу несколько удаленных устройств RTG. Полезными функциями GEM являются обнаружение и очистка зараженных компьютеров без использования клиентских агентов. Наконец, модуль IM Auditor совместно с RTG 500 обеспечивает блокировку вредоносного ПО, применяющего протоколы IM, и генерацию соответствующих отчетов.
Aladdin eSafe Gateway/Web/Mail
Компания Aladdin предлагает устройство eSafe в комплекте с центральной консолью Spyware Neutralizer, которая, подобно продукту FaceTime, автоматически удаляет шпионские программы с зараженных компьютеров без установки клиентского ПО. Этот продукт остановил проникновение 68 программ из 70.
Для борьбы с вредоносным кодом eSafe использует комбинацию нескольких методик: сигнатуры, эвристический анализ, блокирование на основании определенных вариантов поведения, распознавание уязвимостей и «черные списки». Списки помогают распознать идентификаторы известных вредоносных объектов ActiveX, а также IP-адреса и URL-указатели хакерских компьютеров. На основании распознавания протоколов eSafe заблокировал все попытки несанкционированных звонков в ходе тестирования. Для Internet-трафика, не содержавшего исполняемых файлов, средняя задержка составила 18 мс. При передаче исполняемых файлов разной длины (включая шпионское ПО) этот параметр увеличился до 70-150 мс.
Для каждого инцидента устройство регистрирует дату, время, IP-адрес источника, идентификатор протокола, тип атаки и название шпионской программы либо используемой ею уязвимости. Интеграция с системами сетевого администрирования возможна на базе SNMP либо syslog.
В стандартном исполнении eSafe представляет собой устройство высотой 1U, но компания предлагает конфигурации разных размеров. Среди них — полностью заполненный BladeServer компании IBM, способный одновременно осуществлять мониторинг 42 тыс. HTTP-соединений. Описания вредоносного кода обновляются пару раз в неделю, но при повышенном уровне угроз они могут рассылаться несколько раз в день. Устройство само проверяет наличие обновлений несколько раз в сутки, причем частоту этого процесса пользователь может задать самостоятельно. В eSafe реализованы и средства защиты от компьютерных вирусов и спама, однако их проверка не входила в задачи тестирования.
Barracuda Web Filter 310
Изделие высотой 1U остановило 67 вредоносных программ из 70. Для идентификации шпионского кода используются файловые сигнатуры, «черные списки» URL-указателей и IP-адресов. Устройство автоматически обновляет сигнатуры каждый час либо раз в день.
При обработке трафика, не содержавшего исполняемых файлов, задержки передачи для каждого пакета составили 20-27 мс. Анализ исполняемых файлов на наличие шпионского ПО потребовал уже 180-230 мс. Чтобы достичь наивысшей производительности, компания рекомендует использовать Web Filter 310 для мониторинга примерно 300 соединений одновременно. Обнаружив попытку несанкционированного дозвона, система автоматически запускает Barracuda Spyware Removal Tool — средство ActiveX, которое направляется на клиентскую станцию с целью остановить активный вредоносный процесс и вычистить жесткий диск.
В журнальный файл заносятся сигнатура вредоносного кода, URL или IP-адрес источника, дата и время попытки проникновения на клиентский компьютер. Продукт интегрируется с системами сетевого администрирования по протоколу SNMP. Компания предлагает также брандмауэр IM Firewall, который защищает IM-клиентов от вредоносного кода, распространяющегося в сеансах мгновенного обмена сообщениями, но мы его не тестировали.
Content Security Gateway 1500 и Web Security Suite
Комбинация аппаратного шлюза Content Security Gateway (CSG) одноименной фирмы и серверного ПО Web Security Suite компании WebSense предотвратила 69 из 70 инцидентов, связанных с возможностью проникновения в тестовую сеть вредоносных программ. Задержка Web-трафика без исполняемых файлов составила примерно 15 мс, да и проверка исполняемых файлов осуществлялась довольно быстро — за 45-80 мс. Шлюз CSG 1500, имеющий высоту 2U, ежечасно проверяет наличие обновленных описаний шпионских программ, но этот период можно варьировать в диапазоне от 15 мин до одной недели.
Для хранения записей об инцидентах приложение Web Security Suite формирует репозиторий на базе СУБД MySQL либо бесплатной версии Microsoft SQL Server Database Engine, которая, как известно, имеет ограниченную функциональность. Заказчикам с крупной сетевой инфраструктурой фирма Content Security рекомендует приобрести лицензию на полноценную СУБД Microsoft SQL Server. Основная роль ПО Web Security Suite сводится к снабжению шлюза CSG сигнатурами вредоносных программ, а также списками IP-адресов и URL-указателей, которые поставляет WebSense. В CSG интегрированы два инструмента диагностики вредоносного кода, разработанных «Лабораторией Касперского» и самой Content Security.
В процессе тестирования тандем CSG и ПО Web Security Suite блокировал хакерские программы, распространяющиеся в IM-сеансах. Поддержка протокола SNMP будет реализована в CSG к концу года.
ThreatWall 200 и Gateway Anti-Spyware SoftPak
Устройство ThreatWall 200 автоматически проверяет обновления сигнатур каждые 30 мин |
Это устройство, занимающее в стандартной стойке один слот 1U, заблокировало 67 попыток проникновения вредоносных программ, а задержки при анализе трафика составили 18-25 мс при отсутствии исполняемых файлов и 110-190 мс при их наличии. Устройство автоматически проверяет обновления сигнатур каждые 30 мин, но режим проверки можно изменить на ежедневный. Шлюз ThreatWall 200 блокирует попытки несанкционированного дозвона и, в отличие от других продуктов, сканирует не только HTTP-пакеты, но и трафик протоколов FTP, SMTP и POP3.
В целях выявления хакерских программ используются сигнатуры, списки URL-указателей и IP-адресов. Для каждого инцидента фиксируются дата, время, IP-адреса источника и получателя, имя шпионской программы, сетевой домен и категория вредоносного кода. Интеграция с системами сетевого управления осуществляется по протоколу SNMP.
Помимо пакета Anti-Spyware SoftPak компания предлагает приложения для борьбы со спамом, вирусами и средствами кражи конфиденциальных данных. А функция SiteFilter позволяет непосредственно управлять списками URL-указателей и IP-адресов, к которым разрешен либо запрещен доступ с клиентских компьютеров.
Trend Micro InterScan Web Security Appliance 2500
Одно время Trend Micro продавала средство борьбы с вредоносным ПО на базе шлюза (в виде серверного приложения). Его аппаратное воплощение, отличающееся повышенной производительностью при сканировании сетевого трафика, получило название InterScan Web Security Appliance (IWSA) 2500. В наших тестах это устройство заблокировало 68 из 70 попыток проникновения в локальную сеть.
Задержка при отсутствии исполняемых файлов составила 16-25 мс, а с ними возросла до 150-190 мс. Компания обновляет описания вредоносных программ минимум раз в день, а распространяет и того чаще. Периодичность обновления сигнатур на компьютерах пользователей может быть установлена равной 30 мин, 1 ч, одному дню или неделе. Кроме того, обновление может выполняться в режиме «по требованию».
Идентификация вредоносного кода осуществляется по сигнатурам и при помощи патентованного эвристического алгоритма. Для интеграции с платформами сетевого управления используется протокол SNMP, а записи об инцидентах включают в себя дату, время, идентификатор шпионской программы, ее категорию и источник, тип процедуры сканирования, которая выявила нежелательный код, имя файла и IP-адрес получателя (клиента).
Программный компонент Damage Cleanup Services для Windows-серверов, поставляемый опционально, может автоматически очистить инфицированный настольный компьютер, когда шлюз IWSA 2500 определит наличие на нем вредоносного ПО.
WebWasher Secure Anti-Malware
Мы загрузили серверное приложение WebWasher Secure Anti-Malware с Web-сайта компании Secure Computing. Это был единственный протестированный шлюз, реализованный программно. Продукт обеспечивает защиту не только от вредоносных программ, но и от компьютерных вирусов и спама. WebWasher заблокировал 67 из 70 попыток проникновения.
Инсталлировав это ПО на двухпроцессорном сервере HP ProLiant DL360, мы обнаружили, что для трафика без исполняемых файлов величина задержки составляет 20-24 мс. При наличии исполняемых файлов задержки равны 170-250 мс. По данным разработчика, продукт характеризуется высокой масштабируемостью и способен обрабатывать значительные объемы Internet-трафика — все зависит от производительности сервера, на котором он установлен.
Описания вредоносного кода обычно обновляются ежечасно, а автоматическая выдача запросов на загрузку обновлений может быть настроена на разное время в разные дни. Поддержка протокола SNMP обеспечивает интегрируемость WebWasher с платформами сетевого администрирования.
Для распознавания вредоносных программ используются сигнатуры, списки URL и IP-адресов, идентификаторы объектов ActiveX, а также методы эвристического анализа, которые позволяют проверять наличие известных уязвимостей и определять подозрительное поведение компьютерных программ. Для каждого события фиксируются дата, время, IP-адреса источника и получателя, URL-адрес источника, идентификатор шпионского ПО, размер и тип обнаруженного файла.
Точность распознавания и задержки передачи, вносимые защитными шлюзами
Примечание. Данные о точности приведены на момент тестирования. Отсутствие стандарта на наименования шпионского ПО не позволяет нам для каждого из шлюзов перечислить разновидности вредоносного кода, которые остались незамеченными. Самому производителю эти разновидности могут быть известны не под теми названиями, которые используем мы. Кроме того, многие шпионские программы имеют массу разновидностей, и конкретный продукт может не распознать ту конкретную версию шпионского ПО, которая фигурировала в процессе тестирования.
Процедура тестирования
В первую очередь, нас интересовала способность тестируемых шлюзов идентифицировать и блокировать вредоносные программы (файлы регистрации последовательностей нажатия клавиш, браузерные «перехватчики», рекламное ПО, системные мониторы, программы дозвона, средства поиска и извлечения персональных данных и троянские программы). Средство защиты должно было предотвращать передачу данных из нашей сети на внешний компьютер, выявлять зараженные клиентские станции, расправляться с вредоносными программами, использующими сервисы Skype, мгновенного обмена сообщениями (Instant Messaging) и протокол HTTP. Кроме того, от него требовалось быстро сканировать сетевой трафик, загружать последние обновления сигнатур вредоносных программ, интегрироваться с платформой сетевого администрирования (вроде OpenView) и выдавать информативные отчеты о попытках заражения компьютеров и параметрах трафика.
Мы сформировали набор из 70 экземпляров вредоносного кода, а еще несколько вариантов предоставили производители. Вся «коллекция» была перенесена в изолированную сеть, состоявшую из трех подсетей. Первая объединяла десять клиентских компьютеров с разными операционными системами: Windows NT, 98, 2000, ME и XP, Red Hat Linux и Macintosh OS X. Во второй подсети находились три Web-сервера (Microsoft IIS, Netscape Enterprise Server и Apache), три почтовых сервера (Exchange, Notes и Sendmail), два файловых сервера (Windows 2003 Advanced Server и NetWare) и два сервера баз данных (Oracle 8i и Microsoft SQL Server). Наконец, третья подсеть, моделировавшая среду Internet, содержала серверы и клиентские компьютеры Web, IM и Skype с экземплярами вредоносного кода, а также имитацию «хакерских» IP-адресов и URL-указателей. Доступ из первых двух подсетей в третью полностью имитировал доступ к Internet.
Для измерения производительности служили два синхронизованных во времени анализатора протоколов, расположенных по обе стороны от тестируемого шлюза (Internet и локальная сеть). Анализ процессов захвата сетевых пакетов позволял определять время, необходимое устройству для блокировки либо пропуска одиночных пакетов. Каждый шлюз соединял сымитированный Internet c двумя другими подсетями. Перед очередным тестом серверы и клиентские машины возвращались в исходные конфигурации.
Клиенты и серверы пытались загрузить вредоносные программы из «Internet». Исследуя состояние отдельных компьютеров после каждого теста, мы определяли, насколько эффективно шлюзы идентифицируют хакерский трафик и блокируют попытки передать данные из локальной сети источнику имитируемой атаки. Мы осуществляли поиск активных вредоносных процессов, новых программ (с расширениями EXE, DLL и OCX и, возможно, имеющих атрибут «скрытый»), а также изменения в системном реестре и каталоге Start Menu.
Проблема дефиниций
Отсутствие единодушия между разработчиками в отношении определения вредоносного кода и методов его выявления не позволило нам точно определить число программ, распознанных каждым продуктом. Одна компания завышает показатели своих продуктов, включая в статистику несколько видов файлов cookies Web-браузера, а другая рассматривает незначительные различия в коде как новый вариант вредоносного ПО. В результате продукт, распознающий, по утверждению производителя, 5 тыс. разновидностей вредоносного кода, на практике ставит надежный заслон большему числу хакерских программ, чем средство, которое «обещает» остановить 50 тыс. разновидностей. С удовлетворением отметим, впрочем, что участники тестирования исповедуют честный подход к методологии подсчета разновидностей вредоносных программ, распознаваемых их средствами защиты.
Лишь немногие разработчики последовательно придерживаются предварительных версий стандартов, опубликованных на сайте www.antispywarecoalition.org. Ситуацию еще больше усугубляет то, что один и тот же вид вредоносного кода разные компании называют по-разному.
Инструментарий, который служит для противодействия вредоносным программам, частенько имеет лишь косвенное отношение к числу распознаваемых вариантов вредоносного кода. Причина состоит в том, что одна компания при защите от вредоносного кода опирается на специальные файловые сигнатуры, другая — на блокировку того же кода при распознавании используемой им уязвимости, а третья — на запрещение доступа к определенным IP-адресам или Web-страницам.
Новые подходы к борьбе с вредоносным кодом
На рынке появилась средства защиты новой категории, которые нельзя отнести ни к шлюзам, ни к средствам «очистки» ПК. Речь идет о продуктах, которые позволяют манипулировать исполняемыми файлами, разрешая, ограничивая или полностью запрещая запуск любой компьютерной программы.
Вместо мучительных попыток распознавания вредоносного кода эти продукты оперируют «белыми» и «черными» списками, а также политиками безопасности. Они устанавливают различные ограничения для исполняемых файлов, даже если пользователь наделен правами администратора. Примерами таких продуктов могут служить Sanctuary компании SecureWave, GreenBorder Pro фирмы Green Border Technologies, Savant Protection одноименного производителя и Protection Manager от Winternals Software.
Приложение Protection Manager (от 25 долл. в пересчете на один компьютер) использует разные уровни привилегий среды Windows, чтобы запретить запуск неизвестного приложения, активизировать известное приложение с пониженным уровнем привилегий либо предоставить какому-либо ПО неограниченный доступ к каталогам и файлам, в том числе системным. Снижение уровня привилегий может означать блокирование доступа приложения к каталогам и файлам ОС Windows. Скажем, приложению MS Word может быть открыт свободный доступ к любым каталогам, кроме системных.
Помимо «белых» списков в Protection Manager реализован режим работы «по требованию», который позволяет пользователям динамически менять привилегии отдельных приложений либо прекращать их выполнение. Когда пользователь переходит на Web-страницу, с которой вредоносный код пытается попасть на защищенный компьютер, приложение Protection Manager прерывает загрузку вредоносного ПО и предотвращает его запуск. Управление функциями Protection Manager может осуществляться с центральной консоли. К тому же это ПО интегрируется с Active Directory среды Windows, что позволяет администратору без труда активизировать защиту группы пользователей.
Возможности Protection Manager настолько впечатлили руководителей Microsoft, что корпорация купила фирму Winternals Software.