Ведущий специалист Computer Associates по информационной безопасности рассказывает о положении дел на мировом рынке информационной безопасности и планах компании
В последнее время компания Computer Associates увеличила свою активность на рынке инструментов защиты, но пока ее программные продукты данной группы не очень хорошо известны российским специалистам. Ведущий специалист компании по информационной безопасности Ханнес Любих в беседе с обозревателем Computerworld Россия комментирует положение дел на мировом рынке информационной безопасности и планы CA.
Какая сейчас складывается ситуация на рынке антивирусов?
Одна из серьезных проблем для традиционных антивирусов — определение сигнатур вирусов, которых в день появляется очень много. Оно требует времени, а нынешние вирусы могут за несколько минут заразить практически всю Сеть. К тому же использование сигнатурного анализа неэффективно для полиморфных вирусов, которые могут менять свое тело при переходе от одной системы к другой. Поэтому сигнатурные методы уже не устраивают потребителей, и антивирусным компаниям приходится выбирать направления дальнейшего развития своих продуктов. Пути производителей могут разойтись. Скажем, антивирусы для почтовых серверов могут работать только по технологии сигнатурного анализа, поскольку вирусы на этих серверах не исполняются, а использовать технологии виртуализации слишком накладно. К тому же на почтовом сервере часто работает не та операционная система, что на компьютерах, для которых «предназначен» вирус, поэтому не всегда удается спрогнозировать ущерб, который может нанести то или иное почтовое сообщение. В то же время для настольных ПК производители предлагают антивирусы, основанные на анализе поведения программ.
Изменилась и сама парадигма вирусов. Все чаще они комбинируются с червями, троянцами, шпионами и другими вредоносными программами — для проникновения им уже не нужна программа-носитель. Спамеры все чаще заказывают вирусописателям такие системы, которые распространялись бы как вирусы и к тому же содержали возможность распространять спам. Такие компьютеры, зараженные вирусами для распространения спама и объединенные в зомби-сети, продаются на вторичном рынке. В частности, если посмотреть на аукционы eBay, то можно свободно найти предложения по продаже зомби-сетей. Там же можно найти предложения о продаже баз данных почтовых адресов, собранные при помощи вирусов.
У CA есть два антивируса — сигнатурный и поведенческий, которые поставляются по одной лицензии.
Как же защититься от новых угроз?
Есть два уровня обеспечения безопасности. Первый уровень, аппаратный, будет выполняться в соответствии с инициативой Trusted Computing Group. Для этого нужно, чтобы поставщики процессоров поддерживали соответствующие спецификации, опубликованные TCG. Но и производители операционных систем должны обеспечивать адекватное поведение программ, работающих под управлением их ОС. Скажем, если программа пытается изменить какие-нибудь записи в реестре, то такое ее поведение нужно считать подозрительным.
К тому же нужно помнить, что безопасность не может быть одинаковой для всех пользователей. Поэтому нужно использовать так называемые профили безопасности. И тогда, к примеру, приложение дистанционного управления банковским счетом может потребовать, чтобы при запуске был установлен более высокий уровень защиты. Если это не будет сделано, то приложение просто не запустится. Думаю, в скором времени появятся приложения, которые будут учитывать уровень защищенности операционной системы и устанавливать уровень своей защиты еще до запуска.
То же самое относится и к сетям. Так, инициатива Cisco Security Network предполагает, что конечному пользователю будет предоставлена возможность устанавливать уровень безопасности сети. Но и сама сеть, к которой подключается его ПК, также будет решать, стоит ли подключать компьютер к сети. Скажем, если на компьютере нет защиты от вирусов, то он просто не будет допущен к важным информационным ресурсам. И такая защита будет многоуровневой: доверять всю защиту пользователю нельзя.
Однако сейчас настройки операционной системы семейства Windows сконцентрированы в едином реестре, к которому имеют доступ и администратор, и пользователь. Как в таких условиях не доверять пользователю?
Всегда есть компромисс между функциональностью и безопасностью. Один из возможных вариантов решения этой проблемы состоит в том, чтобы сделать ресурсы ОС менее централизованными. В будущем единый реестр заменит несколько виртуальных машин с собственными настройками. При этом изменение одного реестра не будет влиять на настойки других виртуальных машин. Еще одно усовершенствование: сделать так, чтобы изменения реестра носили временный характер, когда по окончании работы приложения все сделанные им изменения в реестре будут отменены.
Еще один аспект связан с ответственностью пользователей за взлом их компьютеров. Я хотел бы дождаться того времени, когда на домашнего пользователя, чья зараженная машина рассылала спам, будет подан первый иск. Если я как владелец автомобиля отвечаю за то, в чьих руках находится ключ от зажигания, то это же относится и к любому другому оборудованию.
Однако ответственность должна лежать и на производителе. Поэтому как только появятся иски к пользователям, появятся и иски к разработчикам программных продуктов.
Да, большинство производителей несут ответственность за свои продукты, но это не относится к разработчикам программного обеспечения. Тем не менее, я думаю, что через десять лет ситуация с юридической ответственностью производителей программных продуктов должна измениться. Если американский курильщик может отсудить у табачной компании миллионы долларов, то и поставщики программ должны быть готовы к искам от пользователей. Нужно найти определенные сдерживающие факторы и противовесы для обеспечения нормального взаимодействия большого количества компаний. Именно поэтому мы и рассчитываем на инициативу TCG, надеясь с ее помощью собрать вместе производителей аппаратуры, операционных систем, программных платформ и приложений.
Сейчас многие компании уже имеют антивирусы для защиты внутренних сетей, но вирусы проникают через компьютеры их мобильных и удаленных служащих. Что можно сделать в такой ситуации?
Если говорить о домашнем компьютере как об элементе корпоративной сети, нужно добиться того, чтобы этот компьютер, прежде чем он будет допущен внутрь ее, был просканирован антивирусом, и сейчас это можно сделать без покупки и установки специального программного инструментария. Модуль проверки, основанный на технологии ActiveX, можно загрузить прямо из Internet.
Другой способ решения проблемы домашних пользователей, который применяется в банках, — использование виртуальных сред, подобных VMWare. Для банковского приложения используется отдельная, «чистая» виртуальная операционная среда. Третий вариант — использовать терминальный сервис типа Citrix или Tarantella. Для домашнего пользователя такой сервис выглядит как отдельный компьютер, хотя все операции в нем выполняются на банковских серверах. Такой виртуальный ПК может полностью контролироваться банком. Этими технологиями доступа можно пользоваться, в том числе и из публичных мест, таких как Internet-кафе. Правда, пользователю все равно приходится набирать на таком компьютере свой пароль, который может подсмотреть какая-нибудь шпионская программа. Всегда есть слабое звено, и чаще всего таким слабым звеном является сам пользователь.
Однако если говорить об Internet-кафе, то, по-хорошему, защиту должен обеспечивать тот, кто предлагает услуги доступа. Это же относится и к DSL-провайдерам. Насколько перспективным вам кажется предоставление услуг защищенного подключения к Internet?
Рынок управления безопасными сервисами стремительно растет. Правда, сейчас основные клиенты для него — не домашние пользователи, а малые и средние предприятия, которые могут позволить себе платить за обеспечение безопасности. Поэтому провайдеры рассматривают безопасность как дополнительную услугу. Это происходит из-за проблемы масштабирования — провайдеры не могут обеспечить защитой всех своих клиентов, ведь потребности у всех разные. В некоторых странах предприятия требуют от своих провайдеров безопасного подключения. Это означает, что в обществе появилось понятие о том, что безопасно, а что опасно. Лет двадцать назад в Швейцарии можно было купить шоссе и не делать ничего для его безопасности. Сейчас это невозможно, поскольку требования граждан к автодорогам повысились. То же относится и к доступу в Internet. Со временем пользователи будут требовать от провайдеров базовый уровень обеспечения безопасности. Соблюдения Internet-безопасности может потребовать само государство или правоохранительные органы. И единственный способ выполнить подобные требования — передать обеспечение информационной безопасности специализированным компаниям. Однако это не относится к крупным компаниям, которые немало средств вложили в собственные системы и воспринимают защиту своей корпоративной сети как дополнительное конкурентное преимущество.
Вернемся к инициативе TCG, которую уже начинает реализовывать, например, компания IBM. В ней работой аппаратного модуля защиты TCM управляет программное обеспечение, в котором могут быть ошибки, и, следовательно, его защиту можно будет обойти. Не значит ли это, что без независимого аудита кода инициатива может провалиться?
Здесь есть два аспекта. Для меня эта инициатива начинается с аппаратного обеспечения. Поэтому модули безопасности, которые устанавливаются в компьютеры, должны сертифицироваться независимыми органами. Аналогично должны получать сертификаты и модули программного обеспечения. Для этого они должны быть открыты, стандартизированы и доступны разработчикам систем с открытым кодом. Нельзя допустить, чтобы какие-то коммерческие компании использовали эту инициативу для получения патентных отчислений. Только если эти требования будут удовлетворены, инициатива заработает.
Движется ли CA к модели разработки программ с открытым кодом?
Мы всегда придерживались принципа поддержки разработчиков систем с открытым кодом. Это относится, например, к иску SCO против IBM по поводу интеллектуальных прав на Unix. У CA есть определенные права на Unix, которые мы передали IBM, чтобы их можно было использовать под открытой лицензией. Другой пример — язык аутентификации Security Assertion Markup Language, базирующийся на XML. Он был разработан Integrity и передан Liberty Alliance, во второй версии спецификации стандарта альянса уже будут учтены наработки SAML.
У CA есть СУБД Ingres, которая разрабатывалась как коммерческий продукт, а несколько месяцев назад мы открыли ее исходные коды. Это было сделано потому, что у этой базы данных, как у закрытого продукта, не было будущего. Мы рассчитываем, что когда мы откроем ее для сообщества, независимые разработчики найдут в ней ошибки и будут совершенствовать ее дальше. Тот же путь прошла компания Sun, открывшая исходные тексты операционной системы Solaris. Это окажет давление на IBM и Microsoft, которые будут вынуждены сделать то же самое со своими продуктами, но для убеждения больших компаний понадобится время. Однако я уверен, что эти компании также откроют свои исходные коды.
Что с вирусами для Linux?
Их количество растет. Мы видим два типа нападений: на операционную систему с помощью переполнения буфера и атаки на приложения, которые работают под Linux.
Что касается Linux, то используемый в нем метод управления памятью исключает возможность создания собственно вирусов. Тем не менее для Linux есть достаточно много червей, троянских и шпионских программ. Для защиты от них используются немного другие методы борьбы, чем для классических вирусов. Так, 80% нападений на Linux выполняется с помощью переполнения буфера. Сейчас идет работа над изменением системы управления памятью в Linux — планируется сделать стек непоследовательным. Тогда нападающему будет трудно просчитать, какой стек будет использоваться следующим, и поэтому сложно будет применять переполнение буфера для запуска программ. Так на самом низком уровне Linux будет реализована защита от переполнения буфера.
Прогноз 2006: вирусная угроза
Вероятно всего, что мы увидим вирусы, которые будут использовать библиотеки, содержащие десятки различных методов атаки. Как только такие вирусы инфицируют систему, они будут массированно атаковать окружающие компьютеры. Если же говорить о ядре вируса, то оно будет управляться нападающим и само поведение вирусов может меняться после успешного заражения. У вирусописателей появилась работающая бизнес-модель: им платят за создание вирусов, распространяющих спам по адресам, которые украли другие вирусы. Вредоносное программное обеспечение становится коммерческим продуктом, его авторы получают немало денег.
Другая тенденция — увеличение количества атак, которые выводят сетевые ресурсы из строя. Это делается не только для развлечения, но и для шантажа. Мы уже слышали о таких случаях, но компании, которые подверглись нападению, не торопятся об этом сообщать. Преступные группировки в основном и занимаются такого рода бизнесом. К счастью, преступники хорошо пишут вредоносные программы, но плохо ведут дела. Скажем, их ловят на том, что они не знают, как безопасно получить деньги.
В любом случае нас ожидает множество атак, которые преследуют одновременно несколько разных целей. Поэтому компании должны контролировать все имеющиеся у них системы защиты, собирать данные об их состоянии, поскольку нападения будут более распределенными и интеллектуальными, включая и социальную инженерию.
Если же говорить об атаках на различные платформы, то переполнение буфера по-прежнему будет работать на разных Unix-системах. Если же вирус будет меняться во время нападения, то он может подстроиться под конкретную платформу. Например, при заражении новой Windows XP можно загрузить специально разработанный для нее дополнительный модуль, который будет полностью контролировать операционную систему.
Рекомендации
Для защиты информационной системы нужно построить несколько уровней обороны. Первый уровень будет останавливать нападающего при входе в сеть. Второй — узнавать, попал ли вирус внутрь. Третий — ограничивать распространение вируса в сети. Так что около 80% вирусов можно будет остановить на подходе, а другие 20% — оперативно изолировать, быстро отсоединив инфицированные системы от остальной корпоративной сети. Это то, чем занимается Cisco со своей инициативой Security Network. Когда их устройства обнаруживают в сети инфицированную систему, они подключают ее к виртуальной карантинной сети и гарантируют, что система не будет подключена к основной сети. Мы вместе с Cisco работаем над этой инициативой. У нас есть программные агенты, которые будут взаимодействовать с оборудованием Cisco, и в нашем центре управления безопасностью можно будет увидеть события, зафиксированные сетевым оборудованием.