Практика показывает, что при выборе абонентом оператора широкополосного доступа главным критерием по-прежнему остается высокая скорость и надежная работа линии связи. Вполне возможно, что вскоре к двум требованиям добавится третье — безопасность доступа.
В последние годы целями киберпреступников зачастую становятся компьютеры домашних пользователей, а кроме того, изменились виды угроз и повысился уровень профессионализма авторов вредоносных кодов. Если прежде большинство новых вирусов писалось из хулиганских побуждений, то теперь практически весь вредоносный код создается для получения материальной выгоды.
Опасность в каждом клике
По степени распространенности угроз все без исключения производители средств информационной защиты ставят на первое место троянские программы. По словам Станислава Шевченко, заместителя директора по исследованиям и разработкам «Лаборатории Касперского», основная задача таких программ — превращение домашнего компьютера в зомби-машину, входящую в состав зараженной сети (ботнета).
На второе место по распространенности специалист компании Symantec Кирилл Керценбаум ставит сетевых червей, а на третье место — классические вирусы. При этом он отмечает, что в последние два года увеличивается число именно классических вирусов, которым еще недавно предрекали скорую кончину. Вообще же количество вредоносных программ растет ошеломляющими темпами. Только в 2008 году Symantec выпустила 60% сигнатур, созданных за более чем 20-летнюю историю ее существования.
Компания Dr.Web, анализируя активные вредоносные программы, акцентируется на любопытном факте: помимо новейших разработок в первую десятку входят вирусы, появившиеся много лет назад, например созданный в 2001 году Nimda. По мнению аналитиков Dr.Web, это означает, что количество компьютеров, не имеющих самых банальных средств защиты, еще очень велико.
Заметно изменились каналы проникновения злоумышленников на компьютеры пользователей. В первую очередь, активно задействуются социальные сети и поисковые системы. По сведениям Kerio, в 2008 году количество вредоносных программ, распространяемых через социальные сети, выросло в четыре раза.
Аналитики Cisco отмечают 90-процентный рост количества атак, исходящих из «добропорядочных» доменов. При этом уменьшается объем вредоносных программ, распространяемых через вложения электронной почты (за 2007—2008 годы на 50% по сравнению с 2005—2006 годами).
Для распространения вредоносного кода все активнее используется способ, получивший название «спамдекация». В его основе — применение механизмов поисковой оптимизации сайтов, позволяющих ресурсам киберпреступников занимать самые высокие позиции в выдаваемых поисковиками результатах. Специалисты Dr.Web считают ошибочным бытующее мнение о том, что такой вариант распространения угроз не характерен для Рунета. В связи с появлением большого количества поддельных Web-узлов в конце июня Банк России опубликовал на своем сайте список реальных Internet-адресов российских кредитных организаций.
По данным Symantec Security Response, самым популярным объектом атак через Internet являются домашние пользователи, и только на втором месте находятся финансовые учреждения. Такой выбор злоумышленников связан с тем, что уровень защиты среднестатистического домашнего компьютера очень низок, и для проникновения на него не приходится прикладывать много усилий.
По мнению Григория Васильева, технического директора ESET, степень опасности заражения той или иной вредоносной программой для каждого пользователя индивидуальна и зависит от того, какая информация является для него наиболее ценной. Так, многие не видят проблемы в том, что их компьютер может быть включен в состав ботнета и задействован для рассылки спама. Пользователей больше пугает перспектива потерять какую-то личную информацию, например фотографии или набранные в онлайновых играх очки.
Защита пользователя: способы и тенденции
Есть два сценария защиты конечного пользователя — собственными силами и с помощью оператора связи. На успех первого сценария рассчитывать не приходится, что подтверждает неутешительная статистика. Антивирусные программы и firewall используются повсеместно, но практика показывает, что они плохо справляются со своими задачами. Далеко не каждый пользователь Internet умеет настраивать и поддерживать сетевую защиту. Зачастую он вообще отключает средства защиты, поскольку они накладывают определенные ограничения на работу с приложениями и сервисами, вызывая у потребителя раздражение.
Выходом из ситуации может быть делегирование функций обеспечения сетевой безопасности сервис-провайдеру.
Вариантов организации защиты пользователей со стороны провайдеров — не так уж много. Все решения можно свести к двум основным схемам. Первая основана на предоставлении услуг класса SaaS (Soft as a Service), которые помогают абоненту избавиться от выполнения рутинных операций настройки антивирусного ПО. Вторая схема напоминает использование корпоративных средств сетевой безопасности, только ориентированных на очень большое число абонентов. В ее основе — централизованное проксирование всего входящего и исходящего трафика и получение «чистого» трафика. Этот подход не подразумевает установки на компьютере пользователя какого-либо специализированного программного обеспечения, что является несомненным достоинством.
Производители и их решения
Первая схема обеспечения сетевой защиты представлена двумя решениями, получившими наибольшее «хождение» на отечественном рынке. Это услуга AV-Desk компании Dr.Web и программа «Народный антивирус», выпущенная «Лабораторией Касперского».
Dr.Web активно продвигает среди операторов связи свою услугу обеспечения информационной безопасности. Сейчас этот сервис предлагают абонентам более сотни операторов, в том числе «Акадо», «Корбина» и «Эр-Телеком». В последней версии продукта присутствуют не только файловый монитор и сканер трафика, но и модули, контролирующие доступ пользователей к самым разным ресурсам — сменным носителям, флешкам, сайтам Internet.
Решение Dr.Web AV-Desk основано на архитектуре «клиент — сервер». Серверная часть системы размещается на стороне провайдера, а на компьютерах устанавливают специальные антивирусные клиенты. Контроль над их установкой и развертыванием информационной защиты сети, а также мониторинг состояния и обновления всех компонентов программы на клиентских ПК осуществляются централизованно, с консоли администратора. Система позволяет выявлять зоны риска и дает администратору всю необходимую информацию для нейтрализации вирусных атак.
«Лаборатория Касперского» предлагает операторам связи подключиться к ее программе “Народный антивирус” и получить возможность продавать абонентам подписку на услуги защиты от вредоносного кода. Пользователь загружает «Антивирус Касперского» или Kaspersky Internet Security и заказывает у провайдера код активации со сроком действия один, два или шесть месяцев. По данным разработчика, к программе уже присоединился ряд операторов, в том числе QWERTY и «Зебра Телеком».
Вариант защиты с использованием проксирования трафика пока не получил на отечественном рынке достаточного распространения. Однако опыт европейского и американского рынков свидетельствует о перспективности такого подхода.
Компания Aladdin предлагает операторам связи решение eSafe SecureSurfing, которое поддерживает защиту от угроз со стороны Internet и фильтрацию доступа к сайтам по их содержанию. Решение может масштабироваться до нескольких сотен тысяч абонентов и выполнять очистку почтового и Internet-трафика со скоростью канала подключения. Это обеспечивает пользователю прозрачный режим работы и отсутствие каких-либо действий с его стороны. Поддерживаются многоуровневая защита от шпионских атак, управление доступом к Internet-приложениям (ICQ, P2P, потоковые медиа), контроль над почтовыми сообщениями и удаление спама. Система позволяет полностью блокировать неавторизованные соединения, которые зачастую инициируются вредоносным кодом. При желании абоненты могут получать отчеты о работе всех модулей системы, относящейся к их ПК.
Для организации периметра безопасности операторской сети Cisco предлагает достаточно широкий спектр продуктов — от межсетевых экранов и антиспамовых средств защиты почты до специализированных продуктов для управления профилями абонентов, например Cisco Service Control Engine. В IronPort S660 Web Security Appliance на одной аппаратной платформе реализованы значительные функциональные возможности. Специализированный шлюз защиты, базирующийся на принципах прокси-сервера, обеспечивает мониторинг трафика уровня L4, может работать с разными потоковыми данными и поддерживает разнообразные варианты фильтрации трафика, в том числе на основе репутационных оценок сайтов.
«Лаборатория Касперского» имеет решение операторского класса «Антивирус Касперского для xSP». Этот продукт осуществляет антивирусную проверку данных и защищает пользователей от всех типов вредоносных программ в Internet. Он базируется на другой разработке, «Антивирус Касперского для прокси-серверов». Осуществляется антивирусная проверка данных и входящего, и исходящего трафика. В первом режиме запрашиваемые пользователем Web-страницы поступают на прокси-сервер, а затем передаются антивирусной программе для проверки. Если она прошла успешно, данные передаются абоненту. В противном случае пользователь получает уведомление о блокировании ресурса. Исходящий трафик тоже проверяется антивирусной программой и лишь затем передается в Сеть. Это позволяет не допустить распространения вредоносного кода, который мог попасть на компьютер.
Компания McAfee, начавшая этим летом официально работать в России, предлагает для сетей операторов связи решение McAfee Total Protection. Оно предназначено для защиты трафика Internet и электронной почты от вредоносного кода и представляет собой интегрированную систему защиты пользователей (антивирус, antispyware, firewall, систему Web-фильтрации и механизм сканирования уязвимостей). Решение состоит из трех частей — McAfee Web Gateway, McAfee Email Gateway и McAfee Network DLP Preven. Назначение первых двух компонентов понятно из их названий, а третий компонент создавался для предотвращения потерь данных в корпоративных сетях. Однако оператор с успехом может его использовать и для предотвращения распространения вредоносного кода с компьютеров пользователей.
Недавно стало известно, что McAfee объявила о начале работы сервиса Total Protection в виде услуги SaaS, локализованной для России. Сейчас этот сервис ориентирован на корпоративных клиентов, но вполне возможно, что следующим шагом станет его внедрение в сетях операторов связи.
Для организации защиты пользователей операторской сети в продуктовом портфеле компании Symantec имеется программно-аппаратное решение Symantec Web Gateway. Оно обеспечивает защиту трафика Internet по многим параметрам. Этот продукт расценивается аналитиками Gartner как одно из лучших в отрасли решений, обеспечивающих безопасную передачу данных через Internet-шлюз. В августе появилась его новая версия. Как заверяют специалисты Symantec, она характеризуется более широкими возможностями, нежели обычный антивирусный сканер для http- или FTP-трафика. Продукт поддерживает защиту разных видов Internet-данных, включая Р2Р и ICQ, разграничение доступа к сайтам определенного содержания, контроль над использованием сетевых приложений (ICQ, Skype, пиринговые клиенты). Он способен выявлять и блокировать компьютеры, ставшие «зомби-машинами».
Из продуктов компании Trend Micro для защиты пользователей на уровне операторской сети можно применять систему InterScan Web Security Suite. В ней использован принцип многоуровневой защиты от атак на уровне Internet-шлюза. Для защиты трафика продукт может использовать как локальную информацию, так и данные, получаемые от службы Web Reputation. Наряду с фильтрацией Internet-ресурсов реализована гибкая система контроля над Java-апплетами и элементами Active X на основе политик. В решении может быть задействована дополнительная функция автоматического устранения ущерба, нанесенного атакой злоумышленников, с помощью службы Damage Cleanup Services. Для централизованного управления безопасностью в пределах всей сети оператора предусмотрена интеграция с платформой Trend Micro Control Manager.
Мнение эксперта
Алексей Воронцов, системный архитектор Центра информационной безопасности компании «Инфосистемы Джет»
Распространение безлимитного широкополосного доступа привело к тому, что паразитный трафик, генерируемый вредоносным кодом на домашних ПК, стал проблемой оператора, а не самих пользователей. Распространение эпидемий внутри операторской сети, занесение IP-адресов из операторского пула в «черные списки», функционирование ботнетов, кража паролей пользователей для доступа в Internet — список проблем можно продолжать еще очень долго. Все они приводят к дополнительным издержкам и сложностям: генерируется лишний трафик, проводятся атаки на корпоративных клиентов оператора, с перегрузкой работает служба технической поддержки, теряется репутация поставщика услуг, требуются дополнительные инвестиции в базовую инфраструктуру. И чем шире полоса доступа для абонентов, тем значительнее проблемы.
Защита на уровне клиентских машин — наиболее простой и очевидный способ разорвать этот замкнутый круг. Основное преимущество данной стратегии состоит в том, что легко достигается масштабируемость любого уровня. Основной недостаток тоже очевиден: качество защиты зависит от самих пользователей. Пользователей не волнует лишний трафик, если они за него не платят.
Другое направление защиты абонентов основано на размещении систем безопасности в сети самого оператора. Простой разновидностью такого решения можно считать списки доступа, ограничивающие трафик по протоколам и адресам. Эта мера может вводиться операторами как временно (на период эпидемий), так и на регулярной основе. К подобным мерам относятся и запреты на размещение у домашних пользователей почтовых серверов, и запрет входящих SMTP-соединений, и ограничение использования протоколов, не связанных с традиционной работой в Сети (к примеру, протоколов Windows RPC). Но и этот вариант имеет недостатки, поскольку он не обеспечивает эффективной защиты от непосредственного заражения ПК вредоносным кодом, способствуя лишь некоторому уменьшению последствий таких заражений. Кроме того, наличие запретов вызывает недовольство у части пользователей.
Распространенным вариантом борьбы операторов с вредоносным кодом является контентная фильтрация. Речь идет об использовании специализированного оборудования, позволяющего проверять адреса, протоколы и пересылаемые файлы для блокирования вредоносного кода и сайтов. Обычно эти комплексы работают как прозрачные прокси-серверы. Недостатком данного подхода является сложность масштабирования. Несмотря на все усилия по оптимизации скорости обработки данных, при большом количестве абонентов широкополосного доступа и мультигигабитных потоках трафика приходится строить достаточно сложные кластерные системы.
Подводя итог, стоит отметить, что все больше операторов начинает интересоваться безопасностью конечных клиентов — как с целью сокращения издержек, так и с точки зрения предоставления новых услуг. Есть примеры реализованных проектов и внедрений на территории Российской Федерации и других стран СНГ. Чаще всего они еще не выходят за рамки «пилотов», однако спрос есть, и многие операторы с оптимизмом пробуют разные подходы, бизнес-модели и комбинации средств. Они стараются найти ту самую золотую середину, которая даст им рыночные преимущества и сделает работу пользователей более безопасной.