Защита технических каналов утечки информации на предприятии. Технические каналы утечки информации, обрабатываемой средствами вычислительной техники

В наше время промышленный и государственный шпионаж процветает. Благодаря развитию информационных технологий ежедневно появляются новые методы слежки и незаконного получения информации о деятельности своих конкурентов. Технические каналы утечки конфиденциальной информации возникают из-за физических преобразователей. Совершенно любой электронный прибор в помещении может стать источником утечки, в свою очередь он может быть обнаружен и обезврежен. Причем обезвредить его чаще проще, чем найти.

Передать информацию можно через поле или вещество. Украсть можно звуковую волну, перехватить электромагнитное излучение или воспользоваться старыми методами и забрать бумаги, вариантов очень много. Но все они являются лишь носителями. Утечка сама по себе - это неконтролируемый выход скрытой информации за пределы предприятия или круга людей, которые ей обладали.

А вот под термином "технический канал утечки информации" подразумевается физический путь от источника к злоумышленнику. Именно через него происходит открытие доступа к скрытым данным. На данный момент существует четыре типа переноса сведений, а именно звуковые и электромагнитные волны, световые лучи и материалы.

Классификация технических каналов утечки информации основывается на разделении их на подгруппы. Существуют естественные и специально созданные каналы. Первые могут появляться вследствие побочных электромагнитных излучений во время переработки сведений или при посторонних проводниках. Во втором случае в систему специально внедряются устройства, направленные на перехват. Для этого используются приемные устройства и широкополосные направленные антенны. Рассматривая технические каналы утечки информации, стоит также учитывать и источники помех.

Микрофонный эффект может возникнуть в любом устройстве, где есть катушки индуктивности, пьезооптические преобразователи или Любой разговор вызывает колебания поля, которое эти устройства могут уловить. Чтобы обезопасить организацию от подобного рода утечки, используются организационные и технические меры. Первые - это выключение или смена устройства. Вторые - подключение специальных защитных устройств к телефонным линиям.

Современные устройства изготавливаются в виде телефонных розеток, так что определить их наличие визуально конкуренты не смогут. Прежде чем обезопасить технический канал утечки информации, следует проверить, а действительно ли он обладает микрофонным эффектом. Для этого применяется специальная аппаратура, выявляющая помехи, шумы и прочее.

Средства электросвязи и другие радиоэлектронные приборы имеют электромагнитное излучение. Оно необходимо, чтобы передавать данные, но есть также и нежелательные волны в виде внеполосных, электромагнитных и шумовых. Именно через них может возникнуть утечка сведений. Характер этого излучения напрямую зависит от дальности действия оборудования.

При сборе информации с устройств ближнего действия используют магнитную составляющую, дальнего - электромагнитное излучение. Таким образом технический канал утечки информации будет создавать поле помех. Оно будет зависеть от размеров помещений, мест расположений считывающего оборудования и от материалов, из которого оно создано. Чтобы определить утечку, нужно проверять оба поля, и ближнее, и дальнее.

На данный момент современные технологии позволяют определять напряжение электромагнитного поля очень точно. Для этого используются специальные инструменты и аналитика. А вот определить, насколько напряжено суммарное поле, пока что точно невозможно. Лучше всего рационально размещать приборы в помещении, чтобы не создавать наложения их излучения друг на друга. Это значительно упростит проверку и выявление технических каналов утечки информации.

Самым важным в защите от таких утечек является ограничение сигналов, то есть они не должны выходить за пределы компании. Существуют нормы и допустимые значения волн, которые необходимо установить на оборудовании, чтобы не допустить возможности получения доступа к линиям связи конкурентов. Чтобы обеспечить защиту данных от побочных излучений, следует провести ряд мероприятий, а именно:

• Установить все устройства, потенциально приводящие к утечке, в местах, максимально удаленных от границы территории, которая охраняется.
• Обеспечить экранирование помещений, зданий и коммуникаций в фирме.
• Лучше всего использовать локальные системы, которые не имеют выхода за границы территории.
• Все развязки в сетях питания и заземления делать исключительно на охраняемой территории.
• Также можно установить подавляющие фильтры.

Если же есть подозрения, что защита информации от утечки по техническим каналам уже не помогает и есть утечка, то для ее обнаружения можно использовать селективные вольтметры, измерительные приемники, анализаторы сектора и другое специфическое оборудование.

Утечка из контролируемой зоны может произойти и через электросеть, к которой подключены технические средства. Чаще всего для таких подключений и кражи информации подобным образом используют блоки питания, излучающие высокие частоты. Чтобы провести защитные меры, в основном используются методы разводки цепей.

Для этого устанавливают специализированные сетевые фильтры, преобразователи и подобное оборудование, защищающее помещение от лишних скачков волн в электросетях. При более серьезном подходе на защищенной и охраняемой территории устанавливают отдельные трансформаторы, через которые происходит передача электричества в здание. Таким способом происходит самая надежная защита информации от утечки по техническим каналам через электросеть.

Важно также обратить внимание на заземление. Очень важно правильно установить все оборудование и защитить его от злоумышленников. Установка заземления вне помещений проводится на глубине более чем полтора метра. В здании же их нужно устанавливать таким образом, чтобы регулярно можно было проверять на целостность и наличие дополнительных подключений.

Известно, что линии передачи информации могут оказывать воздействие друг на друга. Влияющей цепью называют ту цепь, которая создает первичное влияние на электромагнитное поле. Далее идут уже цепи, на которые это поле воздействует. Кроме прямого влияния цепей друг на друга есть еще и косвенное воздействие, которое может возникнуть из-за отражения сигналов. Воздействие может быть систематическим и случайным.

В основном они возникают из-за проводов одинаковой величины, расположенных в надземном пространстве. Случайные же влияния появляются вследствие стечения обстоятельств, которые нельзя оценить или предугадать. Для создания условий воздействия один кабель должен быть экранирован, другой нет. Из этого следует, что технические наводки не безопасны, и через них может проводиться техническая разведка каналов утечки информации. При повреждении или коррозии кабелей, что очень часто случается на практике, они начинают излучать сильные сигналы в электромагнитное поле.

Оборудование можно защитить от взаимного воздействия. Для этого следует применить необходимые меры, а именно:

• Использовать системы передачи и линии связи, у которых показатели взаимного воздействия минимальны. Можно почти полностью решить вопрос, если устанавливать исключительно волоконно-оптические линии и коаксиальные кабели.
• Выбирать кабели для различных систем рационально, то есть стараться компенсировать все наводки между симметричными линиями.
• Проводить экранирование цепей гибкими и жесткими экранами, это обеспечит снижение взаимовоздействия благодаря ослаблению интенсивности электромагнитного поля посредством экрана.

Именно волоконно-оптические связи становятся техническими каналами утечки акустической информации. Существует ряд причин, по которым эти каналы могут стать причинами пропажи и передачи злоумышленникам конфиденциальной, важной информации:

• Стыкуемые волокна радиально несогласованные.
• Оси световодов несогласованные по угловому типу.
• Между торцами световодов образовался зазор.
• Поверхности торцов волокон имеют взаимную не параллельность.
• Появилось различие в диаметре сердечников волокон, которые стыкуются между собой.

Вышеперечисленные причины могут стать источником излучения световых сигналов в электромагнитное поле в помещении. Из-за этого может возникнуть акусто-оптический эффект. На волновод будет возникать акустическое давление, из-за чего его величина может измениться. Чтобы защитить технические каналы утечки речевой информации, в первую очередь нужно определить, почему возникает и распространяется свет на физическом уровне. Потом нужно обезопасить волновод, исключив любое акустическое воздействие на него.

Стоит учитывать, что оптическое волокно, покрывающее кабель, может влиять на чувствительность световодов в зависимости от материала, из которого оно изготовлено, и толщины провода. Для обеспечения снижения чувствительности можно покрыть волокно перед его установкой специальными веществами, у которых высокие значения объемных модулей упругости. Чаще всего для этого используют алюминий, никель или стекло.

На данный момент существуют различные средства от утечки информации по техническим каналам. С учетом развития информационных технологий и повышенного количества возможностей промышленного шпионажа, любое предприятие, обладающее конфиденциальной информацией должно обезопасить себя от подобных утечек. Если правильно подойти к вопросу и использовать всевозможные защитные методики, можно значительно снизить риск утечки важных сведений для компании. Если же все эти методики не были проведены, то с определенной периодичностью стоит проверять все средства связи и возможные технические каналы, чтобы обнаружить и обезвредить устройства, считывающие и передающие информацию.

В наше время совершенно невозможно предугадать, каким образом злоумышленники попадут в охраняемое помещение и установят специальное оборудование для считывания. Но постоянный мониторинг и защитные средства могут обезопасить от этого. Кроме того, появление экранированных и отражающих антенн значительно увеличило возможности кражи информации. Поэтому очень важно проводить мониторинг электромагнитного поля в помещении и вокруг него. Любое средство технического шпионажа можно обнаружить и обезвредить, главное, заниматься этим вопросом и использовать доступные технические приспособления, предназначенные для этого.

Защита конфиденциальной информации от утечки – залог информационного здоровья любой компании, от небольшой юридической конторы до гигантского транснационального холдинга. При любом виде деятельности у каждой компании есть определённый набор сведений, которые являются основой существования фирмы. Эти сведения и обслуживающий их документооборот являются коммерческой тайной компании, и, разумеется, требуют защиты от утечек и разглашения. Давайте посмотрим, в каком виде существуют такие данные, каковы каналы утечки конфиденциальной информации и какие способы защиты от утечки конфиденциальной информации доказали свою эффективность на практике.

Информация, представляющая коммерческую и финансовую тайну компании, а также имеющая отношение к персональным данным клиентов и сотрудников организации называется конфиденциальной информацией . Конфиденциальная информация сохраняется в виде набора документов, не подлежащих изменению без решения руководства компании. Конфиденциальная информация также является неотъемлемой частью документооборота фирмы – как внутреннего, так и внешнего (в том числе, по электронной почте). Секретные данные фирмы используются в разнообразных бухгалтерских и бизнес-приложениях, необходимых для нормальной работы современной компании. Наконец, в каждой компании имеется архив документов на физических носителях – USB, CD и DVD дисках. Этот небольшой список в полной мере отражает места хранения и пути движения конфиденциальных данных для компаний практически любого размера и любой формы собственности. Важно отметить, что на каждом из описанных этапов, конфиденциальная информация может «утечь» из компании. Как это происходит?

Каналы утечки конфиденциальной информации можно разделить на две большие группы: злонамеренное похищение (включая инсайдерские риски) и утечки по неосторожности или оплошности персонала. Практика показывает, что абсолютное большинство случаев утечки конфиденциальной информации стали результатом ошибок сотрудников при работе с данными. Это не значит, что инсайдерскую угрозу и промышленный шпионаж можно сбросить со счетов, просто доля таких происшествий очень мала. Если говорить о конкретных каналах утечки информации, то наиболее актуальными за последние два-три года можно назвать следующие:

• потеря незащищённого носителя данных (флешка, внешний жёсткий диск, карта памяти, CD или DVD диск, ноутбук);
• случайное инфицирование рабочей станции программами-шпионами (через незащищённый доступ в Интернет или при подключении заражённых USB-устройств)
• технические ошибки при обработке конфиденциальной информации и публикации её в сети Интернет;
• отсутствие ограничения доступа сотрудников к конфиденциальным данным;
• кибератаки на хранилища данных (хакерские атаки, злонамеренное заражение вирусами, червями и т.п.).

Мы в SafenSoft верим в другой подход к обеспечению защиты конфиденциальной информации от утечек. Мы строим защиту, которая не нарушает текущие алгоритмы документооборота в компании, но в то же время сохраняет информацию от неавторизованного доступа, копирования или изменения. Не пустить лишних людей к важным данным, защитить информацию от взлома и заражения извне, исключить оплошности при работе с информацией, дать возможность полного контроля и мониторинга действий сотрудников – по этим принципам созданы наши продукты для информационной безопасности бизнеса SysWatch Enterprise Suite и DLP Guard . В них реализован весь необходимый функционал по предотвращению утечек информации, а небольшая стоимость и простота внедрения делают продукты SoftControl идеальным выбором для компаний, которые стремятся сделать свой бизнес эффективным и безопасным.

DLP Guard Workstation DLP Guard осуществляет защиту информации от утечки посредством мониторинга и контроля действий персонала. Позволяет вести скрытое наблюдение и логирование активности пользователей на компьютерах корпоративной сети. Позволяет вести трансляцию и запись экрана рабочей станции, имеет встроенный клавиатурный шпион (кейлоггер). Наблюдение и контроль действий пользователя ведётся в скрытом режиме. DLP Guard входит в состав комплекса Enterprise Suite. Скачать Купить

Enterprise Suite Комплексная модульная система защиты рабочих станций корпоративной сети. Эффективно борется с внешними и внутренними угрозами информационной безопасности предприятия. Блокирует вредоносное ПО (вирусы, трояны, черви), защищает информацию от несанкционированного доступа, осуществляет контроль, мониторинг и логирование активности пользователей. Защищает от хакерских атак и инсайдерских действий злоумышленников. Имеет централизованное управление через консоль администратора. Не требует обновлений.

Вопросы:

1. Методы и средства защиты от утечки конфиденциальной информации по техническим каналам.

2. Особенности программно-математического воздействия в сетях общего пользования.

3. Защита информации в локальных вычислительных сетях.

Литература:

1. Будников С.А., Паршин Н.В. Информационная безопасность автоматизированных систем: Учебн. пособие – Воронеж, ЦПКС ТЗИ, 2009.

2. Белов Е.Б. и др. Основы информационной безопасности: Учебное пособие. – М.: Горячая линия – Телеком, 2005.

3. Запечников С.В. и др. Информационная безопасность открытых систем. Часть 1: Учебник для вузов. – М.: Горячая линия – Телеком, 2006.

4. Малюк А.А. Информационная безопасность: концептуальные и методологические основы защиты информации: Учебное пособие для ВУЗов. – М.: Горячая линия – Телеком, 2004.

5. Малюк А.А., Пазизин С.В., Погожин Н.С. Введение в защиту информации в автоматизированных системах: Учебное пособие для ВУЗов. – М.: Горячая линия – Телеком, 2004.

6. Хорев А.А. Защита информации от утечки по техническим каналам. – Учебн. пособие. – М.: МО РФ, 2006.

7. Закон Российской Федерации от 28.12.2010 № 390 «О безопасности».

8. Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации».

9. Указ Президента Российской Федерации от 6 марта 1997 г. № 188 «Об утверждении Перечня сведений конфиденциального характера».

Интернет-ресурсы:

1. http://ict.edu.ru

1. Методы и средства защиты от утечки конфиденциальной информации по техническим каналам

Защита информации от утечки по техническим каналам – это комплекс организационных, организационно-технических и технических мероприятий, исключающих или ослабляющих бесконтрольный выход конфиденциальной информации за пределы контролируемой зоны.

1.1. Защита информации от утечки по визуально-оптическим каналам

С целью защиты информации от утечки по визуально-оптическому каналу рекомендуется:

· располагать объекты защиты так, чтобы исключить отражение света в сторону возможного расположения злоумышленника (пространственные отражения);

· уменьшить отражающие свойства объекта защиты;

· уменьшить освещенность объекта защиты (энергетические ограничения);

· использовать средства преграждения или значительного ослабления отраженного света: ширмы, экраны, шторы, ставни, темные стекла и другие преграждающие среды, преграды;

· применять средства маскирования, имитации и другие с целью защиты и введения в заблуждение злоумышленника;

· использовать средства пассивной и активной защиты источника от неконтролируемого распространения отраженного или излученного света и других излучений;

· осуществлять маскировку объектов защиты, варьируя отражательными свойствами и контрастом фона;

· применять маскирующие средства сокрытия объектов можно в виде аэрозольных завес и маскирующих сеток, красок, укрытий.

1.2. Защита информации от утечки по акустическим каналам

Основными мероприятиями в этом виде защиты выступают организационные и организационно-технические меры.

Организационные меры предполагают проведение архитектурно-планировочных, пространственных и режимных мероприятий. Архитектурно-планировочные меры предусматривают предъявление определенных требований на этапе проектирования зданий и помещений или их реконструкцию и приспособление с целью исключения или ослабления неконтролируемого распространения звуковых полей непосредственно в воздушном пространстве или в строительных конструкциях в виде 1/10 структурного звука.

Пространственные требования могут предусматривать как выбор расположения помещений в пространственном плане, так и их оборудование необходимыми для для акустической безопасности элементами, исключающими прямое или отраженное в сторону возможного расположения злоумышленника распространение звука. В этих целях двери оборудуются тамбурами, окна ориентируются в сторону охраняемой (контролируемой) от присутствия посторонних лиц территории и пр.

Режимные меры предусматривают строгий контроль пребывания в контролируемой зоне сотрудников и посетителей.

Организационно-технические меры предполагают пассивные (звукоизоляция, звукопоглощение) и активные (звукоподавление) мероприятия.

Не исключается применение и технических мер за счет применения специальных защищенных средств ведения конфиденциальных переговоров (защищенные акустические системы).

Для определения эффективности защиты при использовании звукоизоляции применяются шумомеры – измерительные приборы, преобразующие колебания звукового давления в показания, соответствующие уровню звукового давления.

В тех случаях, когда пассивные меры не обеспечивают необходимого уровня безопасности, используются активные средства. К активным средствам относятся генераторы шума – технические устройства, вырабатывающие шумоподобные электронные сигналы. Эти сигналы подаются на соответствующие датчики акустического или вибрационного преобразования. Акустические датчики предназначены для создания акустического шума в помещениях или вне их, а вибрационные – для маскирующего шума в ограждающих конструкциях.

Таким образом, защита от утечки по акустическим каналам реализуется:

· применением звукопоглощающих облицовок, специальных дополнительных тамбуров дверных проемов, двойных оконных переплетов;

· использованием средств акустического зашумления объемов и поверхностей;

· закрытием вентиляционных каналов, систем ввода в помещения отопления, электропитания, телефонных и радиокоммуникаций;

· использованием специальных аттестованных помещений, исключающих появление каналов утечки информации.

1.3. Защита информации от утечки по электромагнитным каналам

Для защиты информации от утечки по электромагнитным каналам применяются как общие методы защиты от утечки, так и специфические, ориентированные на известные электромагнитные каналы утечки информации. Кроме того, защитные действия можно классифицировать на конструкторско-технологические решения, ориентированные на исключение возможности возникновения таких каналов, и эксплуатационные, связанные с обеспечением условий использования тех или иных технических средств в условиях производственной и трудовой деятельности.

Конструкторско-технологические мероприятия по локализации возможности образования условий возникновения каналов утечки информации за счет побочных электромагнитных излучений и наводок (ПЭМИН) в технических средствах обработки и передачи информации сводятся к рациональным конструкторско-технологическим решениям, к числу которых относятся:

· экранирование элементов и узлов аппаратуры;

· ослабление электромагнитной, емкостной, индуктивной связи между элементами и токонесущими проводами;

· фильтрация сигналов в цепях питания и заземления и др. меры, связанные с использование ограничителей, развязывающих цепей, систем взаимной компенсации, ослабителей по ослаблению или уничтожению ПЭМИН.

Схемно-конструкторские способы защиты информации:

· экранирование;

· заземление;

· фильтрация;

· развязка.

Фильтры различного назначения служат для подавления или ослабления сигналов при их возникновении или распространении, а также для защиты систем питания аппаратуры обработки информации.

Эксплуатационные меры ориентированы на выбор мест установки технических средств с учетом особенностей их электромагнитных полей с таким расчетом, чтобы исключить их выход за пределы контролируемой зоны. В этих целях возможно осуществлять экранирование помещений, в которых находятся средства с большим уровнем ПЭМИ.

Организационные меры защиты информации от утечки за счет электромагнитного излучения:

1. Воспрещение

1.1. Исключение излучения

1.2. Использование экранированных помещений

2. Уменьшение доступности

2.1. Расширение контролируемой зоны

2.2. Уменьшение дальности распространения:

Уменьшение мощности

Снижение высоты

2.3. Использование пространственной ориентации:

Выбор безопасных районов расположения

Безопасная ориентация основного лепестка ДН

Использование остронаправленных антенн

Подавление боковых и заднего лепестков ДН

2.4. Выбор режимов работы:

Сокращение времени работы

Использование известных режимов работы

Использование расчетных методов.

1.4. Защита информации от утечки по материально-вещественным каналам

Меры защиты этого канала в особых комментариях не нуждаются.

В заключении следует отметить, что при защите информации от утечки по любому из рассмотренных целесообразно придерживаться следующего порядка действий:

1. Выявление возможных каналов утечки.

2. Обнаружение реальных каналов.

3. Оценка опасности реальных каналов.

4. Локализация опасных каналов утечки информации.

5. Систематический контроль за наличием каналов и качеством их защиты.

2. Особенности программно-математического воздействия в сетях общего пользования

Программно-математическое воздействие – это воздействие на защищаемую информацию с помощью вредоносных программ.

Вредоносная программа - программа, предназначенная для осуществления несанкционированного доступа к информации и (или) воздействия на информацию или ресурсы информационной системы. Иными словами вредоносной программой называют некоторый самостоятельный набор инструкций, который способен выполнять следующее:

· скрывать свое присутствие в компьютере;

· обладать способностью к самоуничтожению, маскировкой под легальные программы и копирования себя в другие области оперативной или внешней памяти;

· модифицировать (разрушать, искажать) код других программ;

· самостоятельно выполнять деструктивные функции – копирование, модификацию, уничтожение, блокирование и т.п.

· искажать, блокировать или подменять выводимую во внешний канал связи или на внешний носитель информацию.

Основными путями проникновения вредоносных программ в ИС, в частности, на компьютер, являются сетевое взаимодействие и съемные носители информации (флешки, диски и т.п.). При этом внедрение в систему может носить случайный характер.

Основными видами вредоносных программ являются:

• программные закладки;
• программные вирусы;
• сетевые черви;
• другие вредоносные программы, предназначенные для осуществления НСД.

К программным закладкам относятся программы и фрагменты программного кода, предназначенные для формирования недекларированных возможностей легального программного обеспечения.

Недекларированные возможности программного обеспечения – функциональные возможности программного обеспечения, не описанные в документации. Программная закладка часто служит проводником для других вирусов и, как правило, не обнаруживаются стандартными средствами антивирусного контроля.

Программные закладки различают в зависимости от метода их внедрения в систему:

• программно-аппаратные. Это закладки, интегрированные в программно-аппаратные средства ПК (BIOS , прошивки периферийного оборудования);
• загрузочные. Это закладки, интегрированные в программы начальной загрузки (программы-загрузчики), располагающиеся в загрузочных секторах;
• драйверные. Это закладки, интегрированные в драйверы (файлы, необходимые операционной системе для управления подключенными к компьютеру периферийными устройствами);
• прикладные. Это закладки, интегрированные в прикладное программное обеспечение (текстовые редакторы, графические редакторы, различные утилиты и т.п.);
• исполняемые. Это закладки, интегрированные в исполняемые программные модули. Программные модули чаще всего представляют собой пакетные файлы;
• закладки-имитаторы. Это закладки, которые с помощью похожего интерфейса имитируют программы, в ходе работы которых требуется вводить конфиденциальную информацию;

Для выявления программных закладок часто используется качественный подход, заключающийся в наблюдении за функционированием системы, а именно:

• снижение быстродействия;
• изменение состава и длины файлов;
• частичное или полное блокирование работы системы и ее компонентов;
• имитация физических (аппаратных) сбоев работы вычислительных средств и периферийных устройств;
• переадресация сообщений;
• обход программно-аппаратных средств криптографического преобразования информации;
• обеспечение доступа в систему с несанкционированных устройств.

Существуют также диагностические методы обнаружения закладок. Так, например, антивирусы успешно находят загрузочные закладки. С инициированием статической ошибки на дисках хорошо справляется Disk Doctor, входящий в распространенный комплекс утилит Norton Utilities. К наиболее распространенным программным закладкам относится "троянский конь".

Троянским конем называется:

• программа, которая, являясь частью другой программы с известными пользователю функциями, способна втайне от него выполнять некоторые дополнительные действия с целью причинения ему определенного ущерба;
• программа с известными ее пользователю функциями, в которую были внесены изменения, чтобы, помимо этих функций, она могла втайне от него выполнять некоторые другие (разрушительные) действия.

Основные виды троянских программ и их возможности:

• Trojan-Notifier – Оповещение об успешной атаке. Троянцы данного типа предназначены для сообщения своему "хозяину" о зараженном компьютере. При этом на адрес "хозяина" отправляется информация о компьютере, например, IP-адрес компьютера, номер открытого порта, адрес электронной почты и т. п.
• Trojan-PSW – Воровство паролей. Они похищают конфиденциальные данные с компьютера и передают их хозяину по электронной почте.
• Trojan-Clicker - интернет-кликеры – Семейство троянских программ, основная функция которых - организация несанкционированных обращений к интернет-ресурсам (обычно к веб-страницам). Методы для этого используются разные, например установка злонамеренной страницы в качестве домашней в браузере.
• Trojan-DDoS – Trojan -DDoS превращают зараженный компьютер в так называемый бот, который используется для организации атак отказа в доступе на определенный сайт. Далее от владельца сайта требуют заплатить деньги за прекращение атаки.
• Trojan-Proxy – Троянские прокси-сервера . Семейство троянских программ, скрытно осуществляющих анонимный доступ к различным Интернет-ресурсам. Обычно используются для рассылки спама.
• Trojan-Spy – Шпионские программы. Они способны отслеживать все ваши действия на зараженном компьютере и передавать данные своему хозяину. В число этих данных могут попасть пароли, аудио и видео файлы с микрофона и видеокамеры, подключенных к компьютеру.
• Backdoor – Способны выполнять удаленное управление зараженным компьютером. Его возможности безграничны, весь ваш компьютер будет в распоряжении хозяина программы. Он сможет рассылать от вашего имени сообщения, знакомиться со всей информацией на компьютере, или просто разрушить систему и данные без вашего ведома.
• Trojan-Dropper – Инсталляторы прочих вредоносных программ. Очень похожи на Trojan -Downloader, но они устанавливают злонамеренные программы, которые содержатся в них самих.
• Rootkit – способны прятаться в системе путем подмены собой различных объектов. Такие трояны весьма неприятны, поскольку способны заменить своим программным кодом исходный код операционной системы, что не дает антивирусу возможности выявить наличие вируса.

Абсолютно все программные закладки, независимо от метода их внедрения в компьютерную систему, срока их пребывания в оперативной памяти и назначения, имеют одну общую черту: обязательное выполнение операции записи в оперативную или внешнюю память системы. При отсутствии данной операции никакого негативного влияния программная закладка оказать не может.

Вирус (компьютерный, программный) – исполняемый программный код или интерпретируемый набор инструкций, обладающий свойствами несанкционированного распространения и самовоспроизведения. Созданные дубликаты компьютерного вируса не всегда совпадают с оригиналом, но сохраняют способность к дальнейшему распространению и самовоспроизведению. Таким образом, обязательным свойством программного вируса является способность создавать свои копии и внедрять их в вычислительные сети и/или файлы, системные области компьютера и прочие выполняемые объекты. При этом дубликаты сохраняют способность к дальнейшему распространению.

Жизненный цикл вируса состоит из следующих этапов:

• проникновение на компьютер
• активация вируса
• поиск объектов для заражения
• подготовка вирусных копий
• внедрение вирусных копий

Классификация вирусов и сетевых червей представлена на рисунке 1.

Рис.1. Классификация вирусов и сетевых червей

Вирусный код загрузочного типа позволяет взять управление компьютером на этапе инициализации, еще до запуска самой системы. Загрузочные вирусы записывают себя либо в в boot-сектор, либо в сектор, содержащий системный загрузчик винчестера, либо меняют указатель на активный boot-сектор. Принцип действия загрузочных вирусов основан на алгоритмах запуска ОС при включении или перезагрузке компьютера: после необходимых тестов установленного оборудования (памяти, дисков и т. д.) программа системной загрузки считывает первый физический сектор загрузочного диска и передает управление на А:, С: или CD-ROM, в зависимости от параметров, установленных в BIOS Setup .

В случае дискеты или CD-диска управление получает boot-сектор диска, который анализирует таблицу параметров диска (ВРВ - BIOS Parameter Block ), высчитывает адреса системных файлов ОС, считывает их в память и запускает на выполнение. Системными файлами обычно являются MSDOS.SYS и IO.SYS, либо IBMDOS.COM и IBMBIO.COM, либо другие в зависимости от установленной версии DOS, и/или Windows, или других ОС. Если же на загрузочном диске отсутствуют файлы операционной системы, программа, расположенная в boot-секторе диска, выдает сообщение об ошибке и предлагает заменить загрузочный диск.

В случае винчестера управление получает программа, расположенная в MBR винчестера. Она анализирует таблицу разбиения диска (Disk Partition Table), вычисляет адрес активного boot-сектора (обычно этим сектором является boot-сектор диска С:), загружает его в память и передает на него управление. Получив управление, активный boot-сектор винчестера проделывает те же действия, что и boot-сектор дискеты.

При заражении дисков загрузочные вирусы подставляют свой код вместо какой-либо программы, получающей управление при загрузке системы. Принцип заражения, таким образом, одинаков во всех описанных выше способах: вирус "заставляет" систему при ее перезапуске считать в память и отдать управление не оригинальному коду загрузчика, а коду вируса.

Пример: Вредоносная программа Virus.Boot.Snow.a записывает свой код в MBR жесткого диска или в загрузочные сектора дискет. При этом оригинальные загрузочные сектора шифруются вирусом. После получения управления вирус остается в памяти компьютера (резидентность) и перехватывает прерывания. Иногда вирус проявляет себя визуальным эффектом – на экране компьютера начинает падать снег.

Файловые вирусы – вирусы, которые заражают непосредственно файлы. Файловые вирусы можно разделить на три группы в зависимости от среды, в которой распространяется вирус:

1. Файловые вирусы – работают непосредственно с ресурсами операционной системы. Пример: один из самых известных вирусов получил название "Чернобыль". Благодаря своему небольшому размеру (1 Кб) вирус заражал PE-файлы таким образом, что их размер не менялся. Для достижения этого эффекта вирус ищет в файлах "пустые" участки, возникающие из-за выравнивания начала каждой секции файла под кратные значения байт. После получения управления вирус перехватывает IFS API, отслеживая вызовы функции обращения к файлам и заражая исполняемые файлы. 26 апреля срабатывает деструктивная функция вируса, которая заключается в стирании Flash BIOS и начальных секторов жестких дисков. Результатом является неспособность компьютера загружаться вообще (в случае успешной попытки стереть Flash BIOS) либо потеря данных на всех жестких дисках компьютера.

2. Макровирусы – вирусы, написанные на макроязыках, встроенных в некоторые системы обработки данных (текстовые редакторы, электронные таблицы и т.п.). Самыми распространенными являются вирусы для программ Microsoft Office. Для своего размножения такие вирусы используют возможности макроязыков и при их помощи переносят себя (свои копии) из одного документа в другой.

Для существования макровирсуов в конкретном редакторе встроенный в него макроязык должен обладать следующими возможностями:

• привязка программы на макроязыке к конкретному файлу;
• копирование макропрограмм из одного файла в другой;
• получение управления макропрограммой без вмешательства пользователя (автоматические или стандартные макросы).

Данным условиям удовлетворяют прикладные программы Microsoft Word, Excel и Microsoft Access. Они содержат в себе макроязыки: Word Basic, Visual Basic for Applications. Современные макроязыки обладают вышеперечисленными особенностями с целью предоставления возможности автоматической обработки данных.

Большинство макровирусов активны не только в момент открытия (закрытия) файла, но до тех пор, пока активен сам редактор. Они содержат все свои функции в виде стандартных макросов Word/Excel/Office. Существуют, однако, вирусы, использующие приемы скрытия своего кода и хранящие свой код в виде не макросов. Известно три подобных приема, все они используют возможность макросов создавать, редактировать и исполнять другие макросы. Как правило, подобные вирусы имеют небольшой макрос-загрузчик вируса, который вызывает встроенный редактор макросов, создает новый макрос, заполняет его основным кодом вируса, выполняет и затем, как правило, уничтожает (чтобы скрыть следы присутствия вируса). Основной код таких вирусов присутствует либо в самом макросе вируса в виде текстовых строк (иногда – зашифрованных), либо хранится в области переменных документа.

3. Сетевые вирусы – вирусы, которые для своего распространения используют протоколы и возможности локальных и глобальных сетей. Основным свойством сетевого вируса является возможность самостоятельно тиражировать себя по сети. При этом существуют сетевые вирусы, способные запустить себя на удаленной станции или сервере.

Основные деструктивные действия, выполняемые вирусами и червями:

Помимо всего вышеописанного, существуют вирусы комбинированного типа, которые объединяют в себе свойства разных типов вирусов, например, файлового и загрузочного. В виде примера приведем популярный в минувшие годы файловый загрузочный вирус под названием "OneHalf". Этот вирусный код, оказавшись в компьютерной среде операционной системы "MS-DOS" заражал основную запись загрузки. В процессе инициализации компьютера он шифровал секторы основного диска, начиная с конечных. Когда вирус оказывается в памяти, он начинает контролировать любые обращения к шифровальным секторам и может расшифровать их таким образом, что все программы будут работать в штатном режиме. Если вирус "OneHalf" просто стереть из памяти и сектора загрузки, то информация, записанная в шифровальном секторе диска, станет недоступной. Когда вирус зашифровывает часть диска, он предупреждает об этом следующей надписью: "Dis is one half, Press any key to continue…". После этих действий он ждет, когда вы нажмете на любую кнопку и продолжите работать. В вирусе "OneHalf" использованы разные маскировочные механизмы. Он считается невидимым вирусом и выполняет полиморфные алгоритмические функции. Обнаружить и удалить вирусный код "OneHalf" весьма проблематично, потому что, его могут увидеть не все антивирусные программы.

На этапе подготовки вирусных копий современные вирусы часто используют методы маскировки копий с целью затруднения их нахождения антивирусными средствами:

• Шифрование - вирус состоит из двух функциональных кусков: собственно вирус и шифратор. Каждая копия вируса состоит из шифратора, случайного ключа и собственно вируса, зашифрованного этим ключом.
• Метаморфизм - создание различных копий вируса путем замены блоков команд на эквивалентные, перестановки местами кусков кода, вставки между значащими кусками кода "мусорных" команд, которые практически ничего не делают.

Сочетание этих двух технологий приводит к появлению следующих типов вирусов:

• Шифрованный вирус - вирус, использующий простое шифрование со случайным ключом и неизменный шифратор. Такие вирусы легко обнаруживаются по сигнатуре шифратора.
• Метаморфный вирус - вирус, применяющий метаморфизм ко всему своему телу для создания новых копий.
• Полиморфный вирус - вирус, использующий метаморфный шифратор для шифрования основного тела вируса со случайным ключом. При этом часть информации, используемой для получения новых копий шифратора также может быть зашифрована. Например, вирус может реализовывать несколько алгоритмов шифрования и при создании новой копии менять не только команды шифратора, но и сам алгоритм.

Червь - тип вредоносных программ, распространяющихся по сетевым каналам, способных к автономному преодолению систем защиты автоматизированных и компьютерных сетей, а также к созданию и дальнейшему распространению своих копий, не всегда совпадающих с оригиналом, и осуществлению иного вредоносного воздействия. Самым знаменитым червем является червь Moriss, механизмы работы которого подробно описаны в литературе. Червь появился в 1988 году и в течение короткого промежутка времени парализовал работу многих компьютеров в Интернете. Данный червь является "классикой" вредоносных программ, а механизмы нападения, разработанные автором при его написании, до сих пор используются злоумышленниками. Moriss являлся самораспространяющейся программой, которая распространяла свои копии по сети, получая привилегированные права доступа на хостах сети за счет использования уязвимостей в операционной системе. Одной из уязвимостей, использованных червем, была уязвимая версия программы sendmail (функция "debug" программы sendmail, которая устанавливала отладочный режим для текущего сеанса связи), а другой – программа fingerd (в ней содержалась ошибка переполнения буфера). Для поражения систем червь использовал также уязвимость команд rexec и rsh, а также неверно выбранные пользовательские пароли.

На этапе проникновения в систему черви делятся преимущественно по типам используемых протоколов:

• Сетевые черви - черви, использующие для распространения протоколы Интернет и локальных сетей. Обычно этот тип червей распространяется с использованием неправильной обработки некоторыми приложениями базовых пакетов стека протоколов TCP/IP.
• Почтовые черви - черви, распространяющиеся в формате сообщений электронной почты. Как правило, в письме содержится тело кода или ссылка на зараженный ресурс. Когда вы запускаете прикрепленный файл, червь активизируется; когда вы щелкаете на ссылке, загружаете, а затем открываете файл, червь также начинает выполнять свое вредоносное действие. После этого он продолжает распространять свои копии, разыскивая другие электронные адреса и отправляя по ним зараженные сообщения. Для отправки сообщений червями используются следующие способы: прямое подключение к SMTP-серверу, используя встроенную в код червя почтовую библиотеку; использование сервисов MS Outlook; использование функций Windows MAPI. Для поиска адресов жертв чаще всего используется адресная книга MS Outlook, но может использоваться также адресная база WAB. Червь может просканировать файлы, хранящиеся на дисках, и выделить из них строки, относящиеся к адресам электронной почты. Черви могут отсылать свои копии по всем адресам, обнаруженным в почтовом ящике (некоторые обладают способностью отвечать на письма в ящике). Встречаются экземпляры, которые могут комбинировать способы.
• IRC-черви - черви, распространяющиеся по каналам IRC (Internet Relay Chat). Черви этого класса используют два вида распространения: пересылка пользователю URL-ссылки на файл-тело; отсылка пользователю файла (при этом пользователь должен подтвердить прием).
• P2P-черви - черви, распространяющиеся при помощи пиринговых (peer-to-peer) файлообменных сетей. Механизм работы большинства подобных червей достаточно прост: для внедрения в P2P-сеть червю достаточно скопировать себя в каталог обмена файлами, который обычно расположен на локальной машине. Всю остальную работу по его распространению P2P-сеть берет на себя – при поиске файлов в сети она сообщит удаленным пользователям о данном файле и предоставит весь необходимый сервис для его скачивания с зараженного компьютера. Существуют более сложные P2P-черви, которые имитируют сетевой протокол конкретной файлообменной системы и положительно отвечают на поисковые запросы (при этом червь предлагает для скачивания свою копию).
• IM-черви - черви, использующие для распространения системы мгновенного обмена сообщениями (IM, Instant Messenger – ICQ, MSN Messenger, AIM и др.). Известные компьютерные черви данного типа используют единственный способ распространения – рассылку на обнаруженные контакты (из контакт-листа) сообщений, содержащих URL на файл, расположенный на каком-либо веб – сервере. Данный прием практически полностью повторяет аналогичный способ рассылки, использующийся почтовыми червями.

В настоящее время всё большую "популярность" приобретают мобильные черви и черви, распространяющие свои копии через общие сетевые ресурсы. Последние используют функции операционной системы, в частности, перебирают доступные сетевые папки, подключаются к компьютерам в глобальной сети и пытаются открыть их диски на полный доступ. Отличаются от стандартных сетевых червей тем, что пользователю нужно открыть файл с копией червя, чтобы активизировать его.

По деструктивным возможностям вирусы и сетевые черви различают:

• безвредные, т. е. никак не влияющие на работу компьютера (кроме уменьшения свободной памяти на диске в результате своего распространения);
• неопасные, влияние которых ограничивается уменьшением свободной памяти на диске и графическими, звуковыми и прочими эффектами;
• опасные вирусы, которые могут привести к серьезным сбоям в работе компьютера;
• очень опасные - в алгоритм их работы заведомо заложены процедуры, которые могут вызвать потерю программ, уничтожить данные, стереть необходимую для работы компьютера информацию, записанную в системных областях памяти.

Но даже если в алгоритме вируса не найдено ветвей, наносящих ущерб системе, этот вирус нельзя с полной уверенностью назвать безвредным, так как проникновение его в компьютер может вызвать непредсказуемые и порой катастрофические последствия. Ведь вирус, как и всякая программа, имеет ошибки, в результате которых могут быть испорчены как файлы, так и сектора дисков (например, вполне безобидный на первый взгляд вирус DenZuk довольно корректно работает с 360-килобайтовыми дискетами, но может уничтожить информацию на дискетах большего объема ). До сих пор попадаются вирусы, определяющие СОМ или ЕХЕ не по внутреннему формату файла, а по его расширению. Естественно, что при несовпадении формата и расширения имени файл после заражения оказывается неработоспособным. Возможно также "заклинивание" резидентного вируса и системы при использовании новых версий DOS, при работе в Windows или с другими мощными программными системами.

Если проанализировать всё вышесказанное, то можно заметить схожесть сетевых червей и компьютерных вирусов, в частности, полное совпадение жизненного цикла и самотиражирование. Основным отличием червей от программных вирусов является способность к распространению по сети без участия человека. Иногда сетевых червей относят к подклассу компьютерных вирусов.

В связи с бурным развитием Интернета и информационных технологий количество вредоносных программ и вариантов их внедрения в информационную систему неустанно растет. Наибольшую опасность представляют новые формы вирусов и сетевых червей, сигнатуры которых не известны производителям средств защиты информации. В настоящее время всё большую популярность получают такие методы борьбы, как анализ аномального поведения системы и искусственные иммунные системы, позволяющие обнаруживать новые формы вирусов.

Согласно аналитическому отчету о вирусной активности компании Panda Security за 3 квартал 2011 года соотношение созданных вредоносных программ имело вид, представленный на рисунке 2.

Рис. 2. Соотношение вредоносного программного обеспечения, созданного в 3 квартале 2011 года

То есть три из четырех новых образцов программного обеспечения оказались троянами, на втором месте – вирусы. Если раньше вредоносное программное обеспечение создавалось чаще всего в экспериментальных или "шуточных" целях и являлось скорее актом кибервандализма, то теперь это мощное оружие для получения материальной или иной выгоды, приобретающее скорее характер киберпреступности.

В любом случае вредоносные программы способны наносить значительный ущерб, реализуя угрозы целостности, конфиденциальности и доступности информации. Наиболее популярным методом борьбы с ними является установка средств антивирусной защиты.

3. Защита информации в локальных вычислительных сетях

3.1. Антивирусы

Антивирусные программы на сегодняшний день смело можно назвать самым популярным средством защиты информации. Антивирусные программы – программы, предназначенные для борьбы с вредоносным программным обеспечением (вирусами).

Для обнаружения вирусов антивирусные программы используют два метода – сигнатурный и эвристический.

Сигнатурный метод основан на сравнении подозрительного файла с сигнатурами известных вирусов. Сигнатура – это некий образец известного вируса, то есть набор характеристик, позволяющих идентифицировать данный вирус или наличие вируса в файле. Каждый антивирус хранит антивирусную базу, содержащую сигнатуры вирусов. Естественно, каждый день появляются новые вирусы, поэтому антивирусная база нуждается в регулярном обновлении. В противном случае антивирус не будет находить новые вирусы. Раньше все антивирусные программы использовали только сигнатурный метод для обнаружения вирусов ввиду его простоты реализации и точности обнаружения известных вирусов. Тем не менее, данный метод обладает очевидными минусами – если вирус новый и сигнатура его неизвестна, антивирус "пропустит" его. Поэтому современные антивирусы используют также эвристические методы.

Эвристический метод представляет собой совокупность приблизительных методов обнаружения вирусов, основанных на тех или иных предположениях. Как правило, выделяют следующие эвристические методы:

• поиск вирусов, похожих на известные (часто именно этот метод называют эвристическим). В принципе метод похож на сигнатурный, только в данном случае он более гибкий. Сигнатурный метод требует точного совпадения, здесь же файл исследуется на наличие модификаций известных сигнатур, то есть не обязательно полное совпадение. Это помогает обнаруживать гибриды вирусов и модификации уже известных вирусов;
• аномальный метод – метод основан на отслеживании аномальных событий в системе и выделении основных вредоносных действий: удаления, запись в определенные области реестра, рассылка писем и пр. Понятно, что выполнение каждого такого действия по отдельности не является поводом считать программу вредоносной. Но если программа последовательно выполняет несколько таких действий, например, записывает себя в ключ автозапуска системного реестра, перехватывает данные вводимые с клавиатуры и с определенной частотой пересылает эти данные на какой-то адрес в Интернет, значит эта программа, по меньшей мере, подозрительна. Поведенческие анализаторы не используют для работы дополнительных объектов, подобных вирусным базам и, как следствие, неспособны различать известные и неизвестные вирусы – все подозрительные программы априори считаются неизвестными вирусами. Аналогично, особенности работы средств, реализующих технологии поведенческого анализа, не предполагают лечения;
• анализ контрольных сумм – это способ отслеживания изменений в объектах компьютерной системы. На основании анализа характера изменений – одновременность, массовость, идентичные изменения длин файлов – можно делать вывод о заражении системы. Анализаторы контрольных сумм, как и анализаторы аномального поведения, не используют в работе антивирусные базы и принимают решение о наличии вируса в системе исключительно методом экспертной оценки. Большая популярность анализа контрольных сумм связана с воспоминаниями об однозадачных операционных системах, когда количество вирусов было относительно небольшим, файлов было немного и менялись они редко. Сегодня ревизоры изменений утратили свои позиции и используются в антивирусах достаточно редко. Чаще подобные технологии применяются в сканерах при доступе – при первой проверке с файла снимается контрольная сумма и помещается в кэше, перед следующей проверкой того же файла сумма снимается еще раз, сравнивается, и в случае отсутствия изменений файл считается незараженным.

Эвристические методы также обладают недостатками и достоинствами. К достоинствам можно отнести способность обнаруживать новые вирусы. То есть если вирус новый и его сигнатура неизвестна, антивирус с сигнатурным обнаружением "пропустит" его при проверке, а с эвристическим – возможно найдет. Из последнего предложения вытекает и основной недостаток эвристического метода – его вероятностный характер. То есть такой антивирус может найти вирус, не найти его или принять легитимный файл за вирус.

В современных антивирусных комплексах производители стараются совмещать сигнатурный метод и эвристические. Перспективным направлением в данной области является разработка антивирусов с искусственной иммунной системой – аналогом иммунной системы человека, которая может обнаруживать "инородные" тела.

В составе антивируса обязательно должны присутствовать следующие модули:

• модуль обновления – доставляет обновленные базы сигнатур пользователю антивируса. Модуль обновления обращается к серверам производителя и скачивает обновленные антивирусные базы.
• модуль планирования – предназначен для планирования действий, которые регулярно должен выполнять антивирус. Например, проверять компьютер на наличие вирусов и обновлять антивирусные базы. Пользователь может выбрать расписание выполнения данных действий.
• модуль управления – предназначен для администраторов крупных сетей. Данные модули содержат интерфейс, позволяющий удаленно настраивать антивирусы на узлах сети, а также способы ограничения доступа локальных пользователей к настройкам антивируса.
• модуль карантина – предназначен для изолирования подозрительных файлов в специальное место – карантин. Лечение или удаление подозрительного файла не всегда является возможным, особенно если учесть ложные срабатывания эвристического метода. В этих случаях файл помещается в карантин и не может выполнять какие-либо действия оттуда.

В больших организациях с разветвленной внутренней сетью и выходом в Интернет для защиты информации применяются антивирусные комплексы.

Антивирусное ядро – реализация механизма сигнатурного сканирования на основе имеющихся сигнатур вирусов и эвристического анализа.

Антивирусный комплекс – набор антивирусов, использующих одинаковое антивирусное ядро или ядра, предназначенный для решения практических проблем по обеспечению антивирусной безопасности компьютерных систем.

Выделяют следующие типы антивирусных комплексов в зависимости от того, где они применяются:

• антивирусный комплекс для защиты рабочих станций
• антивирусный комплекс для защиты файловых серверов
• антивирусный комплекс для защиты почтовых систем
• антивирусный комплекс для защиты шлюзов

Антивирусный комплекс для защиты рабочих станций , как правило, состоит из следующих компонентов:

• антивирусный сканер при доступе – проверяет файлы, к которым обращается ОС;
• антивирусный сканер локальной почты – для проверки входящих и исходящих писем;
• антивирусный сканер по требованию – проверяет указанные области дисков или файлы по запросу либо пользователя, либо в соответствии с установленным в модуле планирования расписанием.

Антивирусный комплекс для защиты почтовых систем предназначен для защиты почтового сервера и включает:

• фильтр почтового потока – осуществляет проверку на наличие вирусов входящего и исходящего трафика сервера, на котором установлен комплекс;
• сканер общих папок (баз данных) – осуществляет проверку на наличие вирусов баз данных и общих папок пользователей в режиме реального времени (в момент обращения к этим папкам или базам). Может составлять единое целое с фильтром почтового потока в зависимости от реализации технологии перехвата сообщений/обращений к папкам и передачи на проверку.
• антивирусный сканер по требованию – осуществляет проверку на наличие вирусов почтовых ящиков пользователей и общих папок в случае использования таковых на почтовом сервере. Проверка осуществляется по требованию администратора антивирусной безопасности либо в фоновом режиме.

Антивирусный комплекс для защиты файловых серверов – предназначен для защиты сервера, на котором установлен. Обычно состоит из двух ярко выраженных компонентов:

• антивирусного сканера при доступе – аналогичен сканеру при доступе для рабочей станции;
• антивирусного сканера по требованию – аналогичен сканеру по требованию для рабочей станции.

Антивирусный комплекс для защиты шлюзов, как следует из названия, предназначен для проверки на вирусы данных, передаваемых через шлюз. Так как данные через шлюз передаются практически постоянно, на нем устанавливаются компоненты, работающие в непрерывном режиме:

• сканер HTTP-потока - проверяет данные, передаваемые по протоколу HTTP;
• сканер FTP-потока - проверяет данные, передаваемые по протоколу FTP;
• сканер SMTP-потока - проверяет данные, передаваемые через шлюз по SMTP.

Обязательным компонентом всех рассмотренных комплексов является модуль обновления антивирусных баз.

Антивирусные средства широко представлены на рынке сегодня. При этом они обладают различными возможностями, ценой и требованиям к ресурсам. Для того чтобы правильно выбрать антивирусное ПО необходимо следить за публикуемой в сети статистикой тестирования антивирусных средств. Одним из первых тестировать антивирусные продукты начал британский журнал Virus Bulletin еще в далеком 1998 году. Основу теста составляет коллекция вредоносных программ WildList, которую можно при желании найти в Интернете. Для успешного прохождения теста антивирусной программе нужно выявить все вирусы из этого списка и продемонстрировать нулевой уровень ложных срабатываний на коллекции "чистых" файлов журнала. Тестирование проводится на различных операционных системах (Windows, Linux и т.п.), а успешно прошедшие тест продукты получают награду VB100%. Посмотреть список программ, прошедших последнюю проверку можно на странице http://www.virusbtn.com/vb100/archive/summary .

Помимо Virus Bulletin тестирование проводят такие независимые лаборатории как AV-Comparatives и AV-Tests. Только их "коллекция" вирусов может содержать до миллиона вредоносных программ. В Интернете можно найти отчеты об этих исследованиях, правда, на английском языке. Более того, на сайте Virus Bulletin можно сравнить производителей (вендоров) антивирусов между собой на следующей страницы http://www.virusbtn.com/vb100/archive/compare?nocache .

3.2. Межсетевой экран

Межсетевой экран (МЭ)– это программное или программно-аппаратное средство, которое разграничивает информационные потоки на границе защищаемой системы.

Межсетевой экран пропускает через себя весь трафик, принимая относительно каждого проходящего пакета решение: дать ему возможность пройти или нет. Для того чтобы межсетевой экран мог осуществить эту операцию, ему необходимо определить набор правил фильтрации.

Применение МЭ позволяет:

• повысить безопасность объектов внутри системы за счет игнорирования неавторизированных запросов из внешней среды;
• контролировать информационные потоки во внешнюю среду;
• обеспечить регистрацию процессов информационного обмена.

В основе принятия решения МЭ о том, пропускать трафик или нет, лежит фильтрация по тем или иным правилам. Существует два метода настройки МЭ:

• изначально "запретить всё", а затем определить то, что следует разрешить;
• изначально "разрешить всё", а затем определить то, что следует запретить.

Очевидно, что первый вариант является более безопасным, так как запрещает всё и, в отличие от второго, не может пропустить нежелательный трафик.

В зависимости от принципов функционирования выделяют несколько классов МЭ. Основным признаком классификации является уровень модели ISO/OSI, на котором функционирует МЭ.

1. Фильтры пакетов

Простейший класс межсетевых экранов, работающих на сетевом и транспортном уровнях модели ISO/OSI. Фильтрация пакетов обычно осуществляется по следующим критериям:

• IP-адрес источника;
• IP-адрес получателя;
• порт источника;
• порт получателя;
• специфические параметры заголовков сетевых пакетов.

Фильтрация реализуется путём сравнения перечисленных параметров заголовков сетевых пакетов с базой правил фильтрации.

2. Шлюзы сеансового уровня

Данные межсетевые экраны работают на сеансовом уровне модели ISO/OSI. В отличие от фильтров пакетов, они могут контролировать допустимость сеанса связи, анализируя параметры протоколов сеансового уровня. К положительным качествам фильтров пакетов можно отнести следующие:

• невысокая стоимость;
• возможность гибко настраивать правила фильтрации;
• небольшая задержка при прохождении пакетов.

К недостаткам можно отнести следующее:

• правила фильтрации пакетов трудны в описании и требуют очень хороших знаний технологий TCP и UDP. Зачастую такие МЭ требуют многочасовой ручной настройки высококвалифицированных специалистов;
• при нарушении работоспособности межсетевого экрана с фильтрацией пакетов все компьютеры за ним становятся полностью незащищенными либо недоступными;
• отсутствует аутентификация на пользовательском уровне.

3. Шлюзы прикладного уровня

Межсетевые экраны данного класса позволяют фильтровать отдельные виды команд или наборы данных в протоколах прикладного уровня. Для этого используются прокси-сервисы – программы специального назначения, управляющие трафиком через межсетевой экран для определённых высокоуровневых протоколов (http, ftp, telnet и т.д.). Если без использования прокси-сервисов сетевое соединение устанавливается между взаимодействующими сторонами A и B напрямую, то в случае использования прокси-сервиса появляется посредник – прокси-сервер, который самостоятельно взаимодействует со вторым участником информационного обмена. Такая схема позволяет контролировать допустимость использования отдельных команд протоколов высокого уровня, а также фильтровать данные, получаемые прокси-сервером извне; при этом прокси-сервер на основании установленных политик может принимать решение о возможности или невозможности передачи этих данных клиенту A.

4. Межсетевые экраны экспертного уровня

Наиболее сложные межсетевые экраны, сочетающие в себе элементы всех трёх приведённых выше категорий. Вместо прокси-сервисов в таких экранах используются алгоритмы распознавания и обработки данных на уровне приложений.

Помимо функции фильтрации МЭ позволяет скрыть реальные адреса узлов в защищаемой сети с помощью трансляции сетевых адресов – NAT (Network Address Translation). При поступлении пакета в МЭ, он заменяет реальный адрес отправителя на виртуальный. При получении ответа МЭ выполняет обратную процедуру.

Большинство используемых в настоящее время межсетевых экранов относятся к категории экспертных. Наиболее известные и распространённые МЭ – CISCO PIX и CheckPoint FireWall-1.

3.3. Система обнаружения вторжений

Обнаружение вторжений представляет собой процесс выявления несанкционированного доступа (или попыток несанкционированного доступа) к ресурсам информационной системы. Система обнаружения вторжений (Intrusion Detection System, IDS) в общем случае представляет собой программно-аппаратный комплекс, решающий данную задачу. Системы обнаружения вторжений (IDS) работают наподобие сигнализации здания. Структура IDS представлена на рисунке 3.

Рис. 3. Структурная схема IDS

Схема работы IDS представлена на рисунке 4.

Как видно из рисунка, функционирование систем IDS во многом аналогично межсетевым экранам: сенсоры получают сетевой трафик, а ядро путём сравнения полученного трафика с записями имеющейся базы сигнатур атак пытается выявить следы попыток несанкционированного доступа. Модуль ответного реагирования представляет собой опциональный компонент, который может быть использован для оперативного блокирования угрозы: например, может быть сформировано правило для межсетевого экрана, блокирующее источник нападения.

Существует два типа IDS – узловые (HIDS) и сетевые (NIDS). HIDS располагается на отдельном узле и отслеживает признаки атак на этот узел.

Рис. 4. Схема работы IDS

Узловые IDS представляют собой систему датчиков, которые отслеживают различные события в системе на предмет аномальной активности. Существуют следующие типы датчиков:

• анализаторы журналов – чаще всего контролируются записи системного журнала и журнала безопасности;
• датчики признаков – сопоставляют между собой признаки определенных событий, связанных либо со входящим трафиком, либо с журналами;
• анализаторы системных вызовов – анализируют вызовы между приложениями и операционной системой на предмет соответствия атаке. Данные датчики носят превентивный характер, то есть могут предотвратить атаку в отличие от предыдущих двух типов;
• анализаторы поведения приложений – анализируют вызовы между приложениями и операционной системой на предмет того, разрешено ли приложению то или иное действие;
• контролеры целостности файлов – отслеживают изменения в файлах с помощью контрольных сумм или ЭЦП.

NIDS располагается на отдельной системе и анализирует весь трафик сети на признаки атак. В данные систем встроена база данных признаков атак, на которые система анализирует сетевой трафик.

Каждый из типов IDS имеет свои достоинства и недостатки. IDS уровня сети не снижают общую производительность системы, однако IDS уровня хоста более эффективно выявляют атаки и позволяют анализировать активность, связанную с отдельным хостом. На практике целесообразно использовать системы, совмещающие оба описанных подхода.

Следует отметить, что перспективными направлением в области создания IDS является применение эвристических методов по аналогии с антивирусами – это системы искусственного интеллекта, искусственные иммунные системы, анализ аномального поведения и т.п.

Конкурентоспособность организаций многих отраслей экономики напрямую зависит от сохранности их коммерческих секретов - клиентской базы, бизнес-стратегий и закупочных цен. Однако объем конфиденциальной информации в последнее время растет не по дням, а по часам, и выбрать средства защиты от утечки информации становится непросто.

Архитектурно выбор инструментов решения этой задачи определяется ответами на следующие вопросы:

• Какую информацию необходимо защищать (клиентские данные, контакты клиентов, закупочные цены, персональные данные)?
• От кого необходимо защищать информацию (модель нарушителя)?
• Какой сегмент инфраструктуры необходимо защитить - где в первом приближении расположена защищаемая информация (офис, завод, магазин, мобильные устройства)?

В статье последовательно описывается методика анализа и подготовки ответов на приведенные выше вопросы - разработки архитектуры системы защиты от утечки информации.

Стандартный ответ специалиста по ИБ на вопрос «что нужно защищать» будет содержать три аспекта - конфиденциальную информацию, чувствительные данные, коммерческую тайну. Однако необходимо уточнить, что в каждом конкретном случае ответ на данный вопрос определяется тем, какую информацию предприятие рассматривает для себя в качестве имеющей высокую ценность. Для какой-то компании это может быть клиентская база, для другой - геопозиционная информация, и, наверное, для всех предприятий - это информация, связанная с их финансовой деятельностью.

При этом любое предприятие - это совокупность бизнес-подразделений и сервисных служб, руководители которых могут помочь специалисту по ИБ понять, что именно ценно для предприятия, какая конкретная информация. Например, для электросетевой компании с точки зрения финансовой службы необходимо защищать структуру себестоимости тарифа, а с точки зрения кадровой - информацию о компенсациях (зарплатах и бонусах), а также базу резюме.

После формирования общего видения, что будет отнесено к ценным данным, необходимо перейти к классификации существующего на предприятии массива данных. Снизить трудоемкость и повысить качество выполнения этого этапа работ позволяют широко представленные на рынке средства автоматизации класса Data Classification Application (или «паук», «краулер») - Digital Guardian, Forcepoint, Varonis IDU Classification Framework, Titus, Classifier360 и другие. Указанные решения обеспечивают поиск и классификацию массива данных предприятия по заданным критериям и часто используются в качестве одного из элементов комплекса средств защиты от утечек информации.

Основными принципами классификации данных являются:

• контентный анализ содержимого файлов на предмет ключевых слов (номера кредитных карт, номера договоров, данные геопозиционирования и т. п.);
• контекстный анализ (отправитель письма, дата создания и автор документа и др.);
• пользовательская классификация данных, когда присвоение меток данным, подлежащим защите, выполняется вручную.

Эту структуру данных необходимо зафиксировать во внутренних документах предприятия - описать уровни конфиденциальности чувствительной информации (перечень сведений конфиденциального характера) и определить методологию работы с этой информацией - разработать политики обеспечения информационной безопасности, регламенты работы с конфиденциальной информацией.

Ключевым элементом, обеспечивающим эффективность защиты предприятия от утечек информации, является информирование сотрудников о составе конфиденциальной информации и правилах работы с ней. Один из крупных инвестиционных фондов с активами свыше миллиарда долларов потерял контроль над конфиденциальной финансовой отчетностью, просто не доведя правила безопасности до ключевого сотрудника: отдел безопасности думал, что правилам работы с конфиденциальной информации обучает HR, а HR - что отдел безопасности. Тем временем, сотрудник унес жесткий диск домой. О данном инциденте никто бы и не узнал, это выяснилось только в процессе аудита эффективности ИТ-функций компании.

Современным подходом к задаче обучения и контроля знаний сотрудников является использование специализированных программ повышения осведомленности пользователей (например, такие решения имеются у компаний UBS, Kaspersky Lab, «Ангара Технолоджиз Груп» и др.). Обучение и контроль знаний сотрудников предприятия осуществляются интерактивно, в формате видеоуроков и тестов, а также викторин и квестов - для пользователей с высоким уровнем доступа к информации.

Базовый подход к защите от внешнего нарушителя - это создание защищенного периметра предприятия, как информационного, так и физического. Технические средства первой необходимости - это система контроля и управления доступом (СКУД) и система видеонаблюдения, которая является незаменимым инструментом в расследовании инцидентов.

Особое внимание нужно обратить на корректное уничтожение документов на бумажном носителе. Как ни странно, не все компании используют шредеры на местах работы сотрудников: в одной крупной компании проводились обязательные тренинги и тестирования по вопросам хранения и передачи конфиденциальной информации, были введены в действие регламенты информационной безопасности, проводилась политика «чистого стола» и «закрытых ящиков». Однако в качестве системы уничтожения документов использовались картонные ящики, которые раз в неделю направлялись в промышленные шредеры. Таким образом, в периоды наполнения ящиков в них можно было найти ценные документы любого вида: договоры, счет-фактуры, конфиденциальные письма и т. д.

В качестве основных составляющих информационно защищенного периметра предприятия можно выделить наличие средств сетевой защиты и управления уязвимостями.

Российские предприятия используют три основных вида средств сетевой защиты :

• Межсетевые экраны, а точнее, NGFW или UTM-решения (Check Point NGTP, Palo Alto NGFW, Fortinet FortiGate и др.). Современные межсетевые экраны уже имеют минимальные DLP-движки, позволяющие выявлять утечки по настроенным шаблонам.
• Функция Web-контроля трафика - как отдельный шлюз или в составе NGFW (Blue Coat SG, McAfee WGW, Cisco WSA, Check Point NGTP, Palo Alto NGFW, Fortinet FortiGate и др.). В частности, полезно будет запретить использование сервисов Google (Disk, Gmail), mail.ru, yandex.ru, по крайне мере, на операцию выгрузки файлов (upload). В том числе, необходимо выполнять мониторинг действий пользователей в интернете, лимитировать объемы закачиваемой информации.
• Если предприятие использует корпоративный портал для хранения конфиденциальных документов, имеет смысл обратить внимание на решения класса Web Application Firewall (WAF) (например, такие решения имеются у компаний: Imperva, F5 Networks, A10 Networks, Positive Technologies, «Код Безопасности» и др.).

Управление уязвимостями - процесс, крайне важный для построения защищенной инфраструктуры: последние события с вирусом WannaCry и, особенно показательно, с вирусом Petya (по сути, он эксплуатирует ту же уязвимость) недвусмысленно напомнили об этом. Да, защита от вирусов-шифровальщиков ближе к области решений по защите от потери данных, чем к краже информации. Однако, например, процесс управления обновлениями программного обеспечения (Patch Management), в целом, усложнит принципиальное проникновение в информационный периметр предприятия, независимо от его цели.

Защита от внутреннего нарушителя - очень актуальная и многогранная тема, которой посвящены сотни статей и исследований. В данной публикации отметим, что для эффективной защиты от утечки важной для предприятия информации необходима разработка модели внутреннего нарушителя информационной безопасности, учитывающей как минимум следующие параметры: имеет ли нарушитель легитимный доступ к данным, какие права он имеет (ограниченные или привилегированные), тип доступа к данным - только из корпоративной сети или также извне, с каких устройств возможен доступ (персональный компьютер, мобильные устройства), характер действий (умышленный или неумышленный).

Среди перспективных средств защиты от внутреннего нарушителя - не столько всем известные DLP, сколько современные средства поведенческого и событийного анализа - UEBA (User and Entity Behavioral Analysis), SIEM (Security Incidents and Event Monitoring).

В одном из коммерческих банков топ-50 (с международным капиталом), отчаявшись найти решение по карману, служба ИБ заменила DLP комплексом из SIEM, NGFW и средства по защите конечных точек (Endpoint Protection).

Как и всякая изменяющаяся «живая» сущность, данные имеют свой жизненный цикл и свой путь в инфраструктуре, а именно:

• хранение и обработка данных в ЦОД или облачном ЦОД;
• хранение и обработка данных на персональном компьютере пользователя, передача между ЦОД и компьютером пользователя;
• хранение и обработка на мобильном устройстве пользователя, передача на мобильное устройство пользователя.

Ни о какой защите не может быть и речи, если нет основных мер по контролю доступа к ресурсам ЦОД. Это возможно осуществить с помощью следующих базовых средств:

• Микросегментация серверного сегмента и гранулированное разграничение доступа к нему - здесь помогут концепции SDN или более актуальная сейчас TrustSec, реализация внутреннего NGFW (в том числе виртуальные реализации).
• Аутентификация при осуществлении доступа к ресурсам, желательно двухфакторная (RSA, JaCarta, Рутокен и др.).
• Авторизация пользователя на доступ к корпоративным ресурсам: здесь можно рассмотреть глобальные системы IDM и SSO - системы наделения пользователей правами в зависимости от присвоенных им ролей, с прозрачным «наследованием» учетных данных между информационными системами. Данные системы позволяют в том числе сократить количество ошибок, обусловленных «человеческим фактором», когда пользователю назначается больше прав, чем ему необходимо, или ошибок, связанных с несвоевременным удалением отозванных прав.

По достижении определенного уровня «зрелости» возможно использовать и решения на прикладном уровне:

• Реализация концепции Virtual Data Room (VDR) - структурированное хранилище данных с реализацией гранулированного доступа к контейнерам документов или непосредственно самим документам. Как правило, интерфейс для пользователя представляет собой web-портал с виртуальным кабинетом, откуда пользователь получает доступ к документу. Самые известные варианты реализации - Microsoft SharePoint, портал Google Docs.
• Database Activity Monitoring and Prevention (DAM/DAMP) - система аудита и контроля действий с базой данных, фактически контроль запросов в базу данных. Система позволяет отслеживать, а в случае с DAMP и блокировать нелегитимные запросы в базу данных. Таким образом, возможно контролировать, не получает ли пользователь не требующийся ему для работы доступ в базу, не выполняет ли он регулярный запрос по записям, которые не нужны ему в работе. Данная система позволяет контролировать привилегированных пользователей базы данных, отслеживать на предмет утечек или блокировать осуществляемые ими выгрузки данных.
• Database Encryption - вариант более защищенный от нелегитимного пользователя с точки зрения хранения данных, чем DAM(P). В данном случае записи в базе хранятся зашифрованными, работа с ними производится через интерфейс преобразования, и поэтому кража данных нелегитимным пользователем не позволит ему их прочитать. Варианты шифрования: вся база полностью, выделенные таблицы базы, выделенные записи. Обратная сторона такого средства защиты - прямое влияние на производительность базы данных.
• Unstructured Data Management (UDM) - решение, направленное на управление данными на файловых хранилищах, порталах и других неструктурированных источниках. Иногда при использовании UDM пользователь не работает напрямую с данными, а получает доступ через интерфейс UDM-системы. В других случаях UDM выполняет поиск конфиденциальной информации, организует управление конфиденциальной информацией в соответствии с корпоративной политикой безопасности и помогает понять, «кто ел из моей миски», в сложных конфликтных ситуациях.

Особую сложность в реализации представляет контроль информационных потоков и перемещения информации при хранении, обработке и передаче информации пользователями. Пользователи не всегда соблюдают правила ИБ (а то и вовсе игнорируют их), правила документооборота (грифы, метки и другие механизмы маркирования), а также хотят, чтобы сервисы и оборудование работали без задержек. Для выполнения перечисленных требований предприятия применяют три класса специализированных технологий (наборов технологий):

• Data Leak Prevention (DLP), причем DLP выступает скорее не как продукт, а как комплекс решений. Контролировать утечки необходимо на всем пути следования данных между компьютером пользователем, по всем каналам передачи данных - это и почта, и web, и внешние устройства хранения. Необходимо также контролировать отсутствие на компьютере пользователя запрещенных программ, например, программ шифрования, или подключений внешних usb-модемов. DLP-системы могут отслеживать утечки через канал корпоративной, контролируя ключевые слова, теги документа, его метаданные. Аналогично отслеживаются утечки через web-канал с обязательным раскрытием SSL-трафика (потребуется интеграция с web-шлюзом). DLP-система должна иметь агентское программное обеспечение, отслеживающее перемещение файлов на файловой системе пользователя. Иногда установку DLP-системы осуществляют в режиме «тихого мониторинга», незаметно для пользователя. В этом случае пользователя, который решил забрать с предприятия интересующие его данные, проще обнаружить, так как он, как правило, пользуется для своих целей простыми средствами.
• Без использования комплексного подхода к обеспечению информационной безопасности внедрение DLP-системы может не принести ожидаемых результатов. Например, если пользователи имеют возможность копировать информацию на USB-носители или передавать зашифрованные архивы по электронной почте, то утечка документов, даже с внедренной системой DLP, обнаружена не будет. Именно такая ситуация сложилась во время пилотного проекта внедрения DLP-системы у одного из ритейлеров розничной сети.
• Решения класса Information Rights Management (IRM) / Digital Rights Management (DRM) осуществляют контейнеризацию каждого защищаемого документа индивидуально. Таким образом, информация о правах доступа, ключах шифрования документа привязывается непосредственно к самому документу. Поэтому даже если документ попадет в чужие руки, он не будет вскрыт и прочитан. С точки зрения защиты документа данное решение выполняет свою задачу практически в любом варианте его кражи. Недостатком таких решений является сложность их внедрения, как технические (требования к компьютерам пользователей, доступности серверов авторизации), так и организационные (необходимо обучить сотрудников работе с системой, корректному назначению прав, требуется осуществлять поддержку системы).
• Для мобильных пользователей с высоким уровнем доступа к ценным документам лучше всего использовать полное шифрование файловой системы ноутбука - Full Disk Encryption (FDE). Тогда забытый в аэропорту ноутбук не станет «катастрофой» для компании. В прессе появлялись сообщения о том, что Национальное управление по аэронавтике и исследованию космического пространства (NASA) потеряла уже 4 ноутбука с данными о космических программах и десятках тысяч сотрудников.

Защита от утечек при работе привилегированных пользователей - это в первую очередь решения класса Privileged User Management (PUM), реализующее «проксирование» работы привилегированного пользователя с целевой системой. В рамках работы системы возможно контролировать вводимые пользователем команды, блокировать запрещенные действия и протоколировать буквально видеосъемкой все выполняемые пользователем действия. Также в целях контроля и ограничения полномочий привилегированных пользователей используется упомянутое выше решение DRM или маскирование данных в базе данных.

В 2017 году нельзя не упомянуть еще один важный контекст работы с ценными документами - мобильные телефоны и планшеты. На первый план выходят вопросы защищенной публикации данных в интернете и хранения данных на устройствах пользователей. Перечислим основные решения, которые успешно применяются российским бизнесом в данном контексте:

• SSL-порталы - многие производители шлюзов NGFW или Web-GW предлагают реализацию программных модулей - web-порталов, реализующих, во-первых, SSL-шифрование, во-вторых, аутентификацию и авторизацию пользователя при подключении, журналирование действий пользователя, и, что самое важное в данном случае, - реализацию мобильного клиента для работы с порталом и полученными через него документами. Варианты реализации включают как решения, осуществляющие только защиту данных при передаче, так и решения с минимальной защитой данных также при хранении на устройстве, включая контейнеризацию и запрет доступа к файлам внешних мобильных приложений, аутентификацию пользователя при доступе к документам и, в ряде случаев, шифрование контейнера с данными (Check Point Сapsule).
• Решения класса Mobile Device Management (MDM): если с мобильных устройств пользователей доступна работа с ценными документами и на предприятии используется концепция BYOD (Bring Your Own Device), то внедрение MDM-системы представляется очень актуальным.

Утечка ценной информации влечет за собой не только финансовые, но репутационные потери для предприятия, которые оценить в денежном выражении часто не представляется возможным. Поэтому внедрение на предприятии решений по защите от утечек информации требует не только комплексного подхода и тщательной технической проработки, но и стратегического видения и поддержи руководства компании. Если компания собирается занимать ведущие места на рынке и работает с прицелом на долгосрочное развитие, ей следует подумать о защите своих секретов.

Однако защита может не стоить охраняемых секретов, а то и вовсе быть бесполезной, если осуществляется бессистемно, без тщательного планирования системы защиты от утечки конфиденциальной информации предприятия.