Roger Grimes. 9 Popular IT Security Practices That Just Don't Work, www.infoworld.com

 

Стратегии безопасности: популярно, но бесполезно

 

Большинство распространенных средств обеспечения IT-безопасности не работают так, как заявлено их производителями, и защищают пользователей от вредоносного кода в гораздо меньшей степени, чем им кажется. Дело в том, что традиционные средства IT-безопасности исповедуют подход, при котором угрозы ликвидируются только после их появления. Таким образом, очередная волна инновационных вредоносных программ, быстро распространившись по Интернету, легко может захлестнуть весь мир.

Пока проблема не будет решена – а произойдет это лишь после того, как подавляющее большинство людей по-настоящему захотят покончить с ней раз и навсегда, – нам остается лишь продолжать разрабатывать, внедрять и поддерживать средства защиты, которые в принципе не способны обеспечить должную безопасность в условиях роста активности вредоносных программ, норовящих проникнуть в наши системы и похитить ценные данные.

Что же, будем считать так: кто предупрежден, тот вооружен. И перечислим девять популярных мер защиты, которые, к сожалению, не обеспечивают того уровня безопасности, который заявлен их разработчиками.

 

1. Ваш антивирусный сканер не обнаруживает всех проникнувших в систему сетевых убийц

Традиционный универсальный антивирусный сканер в том виде, в котором мы привыкли его видеть, был изобретен в конце 80-х гг. прошлого века. До этого при появлении подозрений на присутствие какой-то вредоносной программы пользователю приходилось запускать детектор, специально предназначенный для борьбы именно с ней. Обнаружив вредоносную программу, вы приступали к поиску программы для ее удаления. Разработанные Джоном Макафи антивирусные приложения ViruScan и VirexPC стали первыми средствами, позволившими отступить от принципа: одна вредоносная программа – одно решение.

В начале 1990-х гг. универсальные приложения, известные в наши дни как антивирусные сканеры, могли обнаружить любой из нескольких десятков вирусов, червей и троянских коней, существовавших в мире. Примерно в это время я и пришел добровольцем в группу PC Antivirus Research Foundation, которая была основана Полом Фергюсоном, работающим сейчас в компании TrendMicro, и занимался дизассемблированием и проверкой вновь обнаруженных компьютерных вирусов. Помню, как все радовались тому, что антивирусные программы стали наконец надежными и доступными. Казалось бы, пройдет еще пара лет, и от компьютерных вирусов не останется и следа.

Как мы ошибались. Сейчас хорошо подготовленные в профессиональном отношении злоумышленники ежемесячно выпускают сотни тысяч, а то и миллионы новых вредоносных программ. Это гораздо больше, чем способен распознать любой антивирус. В настоящее время почти каждый разработчик антивирусных продуктов заявляет, что его программы обнаруживают 100% вредоносных программ, получивших распространение в мире. Они готовы продемонстрировать многочисленные награды, полученные за невероятную точность срабатывания антивирусных средств, однако реальное положение дел говорит о другом.

В настоящее время, наверное, каждому из нас регулярно приходится сталкиваться с новыми вредоносными программами, которые наш конкретный антивирус не обнаруживает. И происходит это довольно часто. Если вы когда-нибудь посылали образец вредоносной программы на один из многочисленных проверочных сайтов (например, на VirusTotal), вам должно быть известно, что антивирусные механизмы пропускают новые угрозы, опаздывая с реакцией, как правило, на несколько дней. Но иногда какой-нибудь конкретный червь или троянец легко преодолевает их защиту, и спустя несколько недель после его регистрации разработчиками антивирусов.

Мне не хотелось бы во всем винить производителей. В условиях, когда вредоносных программ в мире становится гораздо больше, чем легитимных, антивирусным сканерам трудно справляться со своей работой. Они должны держать в базе данных сигнатуры сотен миллионов хитроумных замаскированных программ и выявлять постоянно возникающие новые угрозы, для которых сигнатур еще не существует. Причем рост количества опасностей не должен оказывать отрицательного влияния на производительность антивирусного приложения.

В условиях, когда в Интернет страшно выходить без антивирусной брони, средства противодействия угрозам уже давно не обеспечивают той степени защиты, о которой неустанно трубят их производители.

 

2. Уровень безопасности межсетевых экранов снижается

С точки зрения IT-безопасности, межсетевые экраны соответствуют своему предназначению в еще меньшей степени, чем антивирусные сканеры. Почему? А потому, что большинство вредоносных программ проникают на компьютеры при содействии самих пользователей. В такой ситуации межсетевой экран ничем помочь не может. Более того, вредоносные программы легко устанавливают обратную связь со своими хозяевами через порты 80 и 443, которые межсетевой экран всегда открывает для обращения к внешнему миру.

Большинство людей защищены сразу несколькими межсетевыми экранами и фильтрующими приложениями, установленными по периметру сети и на настольных компьютерах. Но все эти бастионы, изолирующие конкретные порты и компьютеры, оказываются бесполезными. Мы уязвимы так же, как и раньше.

 

3. Обновления – не панацея

На протяжении многих лет лучшим советом по укреплению безопасности считалась рекомендация оперативно устанавливать обновления. У любой программы имеются уязвимые места, которые разработчики ликвидируют путем выпуска обновлений. Несмотря на то что в мире существуют более десяти систем управления обновлениями, по тем или иным причинам они не справляются со своими задачами.

Чаще всего в этом виновата не сама программа, а администраторы. Они обновляют системные компоненты, забывая про более популярные цели – Java, Adobe Reader, Flash и т.д. Иногда обновления устанавливаются несвоевременно или не охватывают какой-то процент населения. Таким образом, определенная часть пользователей по-прежнему остается уязвимой. Даже в наиболее благоприятной ситуации распространение обновлений занимает от нескольких дней до нескольких недель, тогда как новейшие вредоносные программы распространяются по Интернету за несколько часов или даже минут.

Не радует и то, что постоянно растет число троянцев, запущенных с использованием методов социальной инженерии. Представим себе, что в программном обеспечении нет уязвимостей, обновлять при этом ничего не нужно, а уровень угрозы, согласно последним исследованиям, снижается на 10--20%. Как только вы избавились от уязвимых мест ПО, хакеры обнаруживают, что не могут вершить свои черные дела привычным образом, и начинают искать другие способы проникновения, отдавая предпочтение методам социальной инженерии. В результате снижение реального уровня киберпреступлений оказывается гораздо менее заметным.

 

4. Уровень подготовки конечных пользователей не выдерживает критики

На заре развития ПК мы предупреждали пользователей о том, чтобы они не загружали компьютер, когда дискета находится в дисководе, не запускали неизвестные макросы и не открывали подозрительные файлы. Сейчас то же самое относится к запуску неизвестных антивирусов. И, как и раньше, к нашим советам никто не прислушивается.

Если бы конечные пользователи соблюдали требуемые меры безопасности, мы уже давно победили бы и хакеров, и вредоносные программы. Анализируя тенденции последнего времени, следует отметить, что уровень осведомленности конечных пользователей сейчас ниже, чем когда-либо ранее.

Наибольшую угрозу до сих пор представляют маскирующиеся под полезные программы троянцы, распространяемые методами социальной инженерии. Большинство конечных пользователей с готовностью отказываются от параметров защиты конфиденциальности, предлагаемых различными приложениями и социальными сетями. Они проделывают это не задумываясь о последствиях, из-за чего становятся жертвами злоумышленников, делающих ставку на социальную инженерию.

Конечно, велика вина людей, отвечающих за обучение конечных пользователей. При их непосредственном участии процесс обучения превратился в принудительный и никого не интересующий инструктаж, наполненный детскими запретами. Обучение проводится бессистемно, а образовательные программы не содержат информации, относящейся к последним атакам. Когда конечные пользователи, попадаясь на крючок социальной инженерии, запускают антивирус, который на поверку оказывается троянцем, возникает резонный вопрос, рассказывал ли им кто-нибудь в компании, как выглядит реальный антивирус? И если нет, то почему?

В таких условиях IT-системы постоянно подвергаются опасности. Информация об актуальных угрозах включается в образовательные программы в среднем раз в два года, а злоумышленнику достаточно всего лишь одной минуты, чтобы поменять темы. После этого пользователи еще пару лет вынуждены ждать очередного обновления.

Какие же меры оказались эффективнее обучения пользователей? Укрепление безопасности программного обеспечения и улучшение выбора, предлагаемого по умолчанию. Не ждите, что конечный пользователь сам выберет правильное решение – примите решение за него. Макровирусы исчезли, после того как пользователям по умолчанию предложили блокировать макросы. Влияние вирусов, находящихся в присоединенных файлах, было минимизировано, когда исполняемые файлы перестали отображаться в письмах и их запуск стал невозможен. Черви, включенные в файл автозагрузки USB-устройств, оказались блокированы, когда корпорация Microsoft выпустила обновление, блокирующее запуск файла автозагрузки по умолчанию.

Обучение конечных пользователей никогда не даст 100%-ного результата, потому что для заражения всей компании достаточно всего одного человека, лишь одной ошибки. Но существующий риск можно уменьшить путем совершенствования образовательных программ и расстановки в них правильных акцентов.

 

5. Надежные пароли не спасут

Мы продолжаем повторять заученное заклинание: придумывайте надежные пароли. Они должны быть длинными, сложными, и их нужно часто менять. И неважно, что пользователи сплошь и рядом указывают одни и те же пароли на разных сайтах и вводят свои учетные данные в поддельные запросы на прохождение аутентификации и непонятно откуда пришедшие электронные письма. Значительная часть населения готова передать свои пароли любому незнакомцу на улице за несколько долларов. (Справедливость последнего утверждения проверялась на протяжении многих лет в разных странах и разных компаниях, а результат, как ни удивительно, всегда оказывался одинаковым.) Многих конечных пользователей надежность их паролей совершенно не волнует.

При этом надежность их паролей не интересует и многих хакеров. Компьютерные взломщики тем или иным способом побуждают пользователя запустить на компьютере троянскую программу, которая получает доступ к правам администратора и считывает значения хеш-функции паролей. Если соответствующая информация получена, хакеру уже совершенно неважно, надежным был пароль или слабым.

 

6. Системы IDS ничего не знают о цели тех или иных операций

Системы обнаружения вторжения (Intrusion Detection Systems, IDS) становятся краеугольным камнем безопасности, если верить в их эффективность. Определяется набор сигнатур «атак», и когда система IDS обнаруживает такую сигнатуру в сетевом трафике, выдается соответствующее предупреждение или выполняются действия по блокированию атаки. Но, как и все прочие рассмотренные здесь средства и технологии безопасности, системы обнаружения вторжения не работают так, как заявлено их производителями.

Прежде всего следует отметить, что способов определения сигнатур, которые описывали бы все возможные деструктивные действия, просто не существует.

Лучшие представители семейства IDS способны отслеживать сотни сигнатур, но на вашу систему могут обрушиться десятки тысяч самых разных атак.

Теоретически в IDS допускается занести десятки тысяч сигнатур, однако производительность при этом упадет так сильно, что работать будет невозможно. Кроме того, существующие системы IDS выдают настолько много ложных срабатываний, что всем предупреждениям уготована типичная судьба журнала межсетевого экрана -- их просто игнорируют, даже не читая.

Но основная сложность заключается в том, что большинству злоумышленников удается получить вполне легитимный доступ к корпоративным информационным ресурсам. Система не может отличить финансового директора, обращающегося к базе данных, в которой содержатся ценные сведения, от злоумышленника, использующего компьютер и права доступа финансового директора для выполнения той же самой операции.

 

7. Инфраструктура открытых ключей скомпрометирована

Инфраструктура открытых ключей (Public Key Infrastructure, PKI) с математической точки зрения выглядит красиво. Загвоздка в том, что многие системы PKI ужасно настроены, крайне небезопасны и зачастую игнорируются, даже если внешне все выглядит идеально.

В последние пару лет мы стали свидетелями сразу нескольких нашумевших взломов уполномоченных центров сертификации. Хакеры сумели получить доступ к секретным ключам, по идее защищенным лучше, чем любая другая информация. В результате ими были сгенерированы мошеннические ключи, которые могут использоваться другими хакерами, вредоносными программами и государственными структурами заинтересованных стран.

Даже если с инфраструктурой открытых ключей все обстоит идеально, она надежно защищена и взломать ее не удается, провалы все равно происходят, и причиной тому является человеческий фактор. Большинство конечных пользователей, увидев предупреждение браузера о том, что цифровому сертификату доверять нельзя, не задумываясь, нажимают кнопку «Игнорировать». Они рады, что им удалось обойти неудобства, связанные с предупреждениями системы безопасности, и продолжить выполнение запланированных операций.

В какой-то степени в этом виноваты веб-сайты и программы, авторы которых уделяют недостаточное внимание использованию цифровых сертификатов и превращают выдачу сообщений об ошибках в рядовое событие, не заслуживающее особого внимания.

Конечные пользователи, не игнорирующие сообщения об ошибочных сертификатах, оказываются вычеркнуты из довольно значительного сегмента электронной жизни. Иногда они даже лишаются возможности получить удаленный доступ к своему собственному рабочему компьютеру. Поставщики браузеров могли бы ужесточить влияние ошибок цифровых сертификатов таким образом, чтобы любая ошибка, явная или непреднамеренная, приводила к блокировке сайта или сервиса. Но ведь тогда клиенты взбунтуются и перейдут на другой браузер. В итоге взлом систем PKI беспечно игнорируется. И в целом это никого особо не волнует.

 

8. Специализированное устройство – лакомый кусок для взломщика

Основное преимущество специализированных устройств – усиление безопасности – на практике не работает. Устройства, на которых установлены упрощенные ОС (обычно это урезанные версии Linux или BSD), должны иметь меньше уязвимых мест по сравнению с полнофункциональными компьютерами, работающими под управлением традиционных ОС. Однако это не так.

Специализированные устройства представляют собой операционную систему, помещенную в закрытый контейнер с жестким диском или встроенной программой, и вследствие их конструктивных особенностей процедура обновления системы безопасности здесь оказывается значительно более сложной.

Совсем недавно при тестировании систем одной из крупных компаний, входящих в список Fortune 100, я обнаружил, что на каждом из сотен контроллеров беспроводной сети были запущены необновленное программное обеспечение Apache и служба OpenSSH. И одна, и другая уязвимость позволяют хакерам проникать из общедоступной беспроводной сети во внутренние корпоративные сети с правами администратора. В системе IDS и аппаратных межсетевых экранах присутствовали скрипты с давно известными ошибками, позволяющими обойти процедуру аутентификации. На почтовых серверах была запущена небезопасная служба FTP, дающая возможность записывать файлы анонимному пользователю.

Причем в результатах моей проверки нет ничего необычного.

В специализированных устройствах обычно имеется столько же уязвимостей, сколько и в обычных компьютерах. Устанавливать обновления здесь сложнее, и обычно никто этим не занимается. Вместо того чтобы укреплять систему обороны, специализированные устройства превращаются в мечту взломщика.

Мне нравится выполнять тесты на проникновение в среде, где развернуто много специализированных устройств. Они существенно упрощают мою задачу.

 

9. Песочница – прямой путь к базовой системе

Каждый раз, когда я слышу о появлении очередной безопасной песочницы, у меня непроизвольно вырывается тяжелый вздох. Песочницы должны были полностью исключить или, по крайней мере, существенно затруднить злоумышленникам проникновение в защищаемые системы. На практике же ни одна из созданных до сих пор безопасных песочниц не сумела устоять перед атаками хакеров.

Наиболее известные песочницы сейчас представлены в технологии Java и браузере Google Chrome. И в первом, и во втором имеется свыше 100 уязвимостей, превращающих песочницу в дырявое сито, через которое хакеры легко проникают в базовую систему. Но это никак не может переубедить мечтателей, полагающих, что со временем им удастся залатать все дыры и навсегда обезопасить компьютер от вредоносных действий.

К сожалению, компьютерная безопасность сейчас в большей степени ориентирована на внешний эффект, чем на реальную защиту. Вам предстоит изучить множество различных решений и постараться выбрать из них те, что действительно снижают риск. Эффективность перечисленных выше мер безопасности явно преувеличена. Почему я в этом уверен? А потому, что все они базируются на использовании информационных технологий, а взлом систем и использование уязвимостей в наши дни популярны как никогда. Нельзя игнорировать факты.