Необходимость постоянного повышения уровня защиты сетей, серверов и клиентских систем вынуждает системных администраторов развертывать в компаниях все больше разнообразных аппаратных и программных систем обеспечения безопасности. , ведь на каждое устройство защиты требуется регулярно устанавливать исправления, постоянно осуществлять мониторинг его работы и проверку журналов.
Самое неприятное для сисадмина — осознавать, что все эти средства защиты могут в определенных условиях и не сработать, пропустить в сеть зловредную программу или троянца, да и справиться с целенаправленной атакой без должной подготовки сможет не каждый. А отсутствие необходимых компонентов и нужного опыта и знаний у персонала может привести к тому, что факт компрометации сети будет пропущен, и администраторы будут пребывать в ложной уверенности, что «все у нас с безопасностью хорошо».
Потребность в специалистах по сетевой безопасности растет, о чем свидетельствуют и многочисленные вакансии кадровых агентств. Что же делать рядовым сисадминам, в чьи обязанности входит в том числе и защита всего и вся, а надежды получить дополнительные средства «на оборону» вряд ли когда-либо материализуются? Один из самых известных и, по моему мнению, мудрых советов состоит в том, чтобы спокойно принять тот факт, что ваша сеть уже скомпрометирована, и начинать работать исходя именно из этого. Нынешние вредоносные программы стали настолько проработанными и широко распространенными, так хорошо научились прятаться в сети и маскироваться под легитимные процессы, что данный совет в большей степени приблизит любую компанию к действительности, чем предположение, что имеющиеся у нее средства защиты обеспечивают необходимый уровень безопасности. В одной из статей этого номера описан новый тип атак, APT, осуществление которых выполняется с использованием «родных» компонентов самой операционной системы атакуемого компьютера, что заметно усложняет ее обнаружение и делает намного опаснее руткитов, которые заметают следы хоть и искусно, но с помощью чужеродных для операционной системы средств. Рекомендую обязательно прочитать эту статью, а также пробежаться по 11-му выпуску отчета о безопасности Microsoft Security Intelligence Report (SIR) (http://www.microsoft.com/security/sir/default.aspx). В нем содержится большое количество данных о нынешнем положении дел и перспективах развития угроз и защиты от них. Что интересно, в этом документе есть материал, написанный Марком Руссиновичем, где рассказывается о расширенных технологиях избавления от вредоносных программ с прицелом именно на ИТ-про.
Вне зависимости от того, открытая или закрытая для взаимодействия у компании сеть, эксперты рекомендуют в нынешних условиях полагаться на принцип «нулевого доверия» при настройке системы защиты и вкупе с наложением очередного слоя «заплат» для корпоративных брандмауэров обратить внимание на потаенные слабые места, вроде одноранговых приложений или зашифрованных соединений социальных сетей.