Грустная цифра — 12,1 млрд. долл. Именно столько было потеряно в 1999 г. в результате «компьютерных эпидемий». По данным американской статистической организации Computer Economic Inc., только один вирус «Чернобыль» (СIH/Chernobyl) разрушил файлов на 350 млн. долл.
С ностальгической грустью вспоминаем мы времена таких вирусов, как «Каскад» (с осыпающимися буквами) или «Янки Дудль» (ровно в 17.00 напоминал о конце рабочего дня). Эпоха красивых эффектов длилась недолго — всего год-два. Потом все усилия вирусописателей ушли на борьбу против антивирусных программ. Взгляните на результаты тестирования антивирусных программ. Одно проведено журналом Virus Bulletin (табл. 1.), другое — специалистами компании АСT Group и дополнено данными от фирмы «ДиалогНаука» (табл. 2.). Не надо забывать о том, что все тесты исследуют только уровень детектирования вирусов, а уровень «лечения», т. е. качество восстановления файлов, увы, проверить весьма трудно.
Сравните результаты тестирования и высказывания главных докторов из антивирусных бригад. Как обеспечить безопасность компьютерной сети? Что важно прежде всего для антивирусной защиты? Обеззараживание? Прививки? Или комплексный подход?
«Лаборатория Касперского»: что защищать и от чего
Михаил Калиниченко, технический директор «Лаборатории Касперского» |
Времена меняются. Корпоративная сеть теперь — это многофункциональная, многокомпонентная система, причем все компоненты — принципиально разного назначения с информационной точки зрения и с точки зрения среды. Общепринятая вещь — файловый сервер и рабочая станция, т. е. то, что было всегда. Но сейчас даже сети небольшого масштаба имеют значительно большее чиcло функциональных единиц: это сервер электронной почты, Web-серверы, специализированные серверы приложений, серверы средств коллективной работы, каналы выхода в Internet и т. д.
Получается многокомпонентная среда, и, когда речь заходит о защите, имеет смысл говорить только о комплексной защите всей этой среды. Защита одного компонента уже не обеспечивает безопасности информационной структуры компании.
Под комплексной защитой мы понимаем следующие несколько направлений.
Защита каналов связи с внешним миром. Это firewall, proxy-серверы и другие устройства и ПО, стоящие на границе корпоративной сети. И естественно, необходимо добавлять туда модуль антивирусной защиты. Тем самым осуществляется некоторая фильтрация на входе. Но проблема в том, что такая схема «защитной стены» неустойчива. Во-первых, никогда не бывает 100%-ной защиты и 100%-ного функционирования программного обеспечения. Все равно всегда есть вероятность проникновения хотя бы просто потому, что сначала появляется вирус, потом 100%-ная защита от него. Однако методика «защитной стены» позволяет отфильтровать в одной точке очень большой объем информации и значительно снизить вероятность распространения вирусов во внутренней сети.
Защита серверов электронной почты. Специфика почтовых серверов такова, что в файлах, присоединенных к письмам, вирус может храниться бесконечно долго. И всегда есть вероятность, что кто-то прочтет это письмо и вирус вырвется на свободу.
Кстати, типичная ошибка: часто защиту Internet и электронной почты отождествляют. Но на самом деле это два совершенно разных канала для проникновения в систему, и реально надо использовать свой способ защиты для каждого из них.
Защита Web-серверов. Сам Web-сервер по своей природе таков, что «глядит» наружу. Соответственно он в первую очередь подвергается атакам хакеров, и поэтому именно он с наибольшей вероятностью будет подвержен внешнему воздействию.
Защита файловых серверов и рабочих станций сотрудников. Файловые серверы необходимо защищать, потому что это хранилища файлов, и вирус, попав туда, может существовать очень долго в каком-нибудь файле, который никому не нужен, и даже может попасть в систему резервного копирования.
Не следует забывать и о различных ноутбуках, которые постоянно находятся во внешней среде и при подключении в локальную сеть клиента могут стать источниками заражения.
Вот коротко о том, что нужно защищать.
Теперь перейдем к тому, от чего следует защищать.
Существует мнение, что основная угроза исходит от вирусов. Но оказывается, компьютерные вирусы, в классическом понимании этого слова, сейчас занимают небольшой объем. В частности, после установки AVP на публичные почтовые серверы типа chat.ru, mail.ru выяснилось, что «чистые» вирусы занимают менее 50% передаваемых по почтовым каналам вредоносных кодов. Основная же часть — это различные программы для несанкционированного доступа и Internet-черви (вирусы-программы, которые не внедряются в другие программы, а просто распространяются сами по себе по Сети). Да к тому же сейчас проникающим программам не надо так маскироваться, как раньше: даже специалист теперь вряд ли заметит, что у него вдруг где-то возник лишний файл просто из-за громадного количества файлов вообще. Да, увы, Windows — это не DOS.
Так что у хакеров сменились приоритеты. Главное — не навредить, а получить доступ к информации.
Как защищаться?
Прежде всего — комплексно. Защищать нужно и устройство, и каналы передачи данных. Антивирусы для firewall, для почтовой системы — по сути, это антивирусы, защищающие каналы передачи данных. Необходимо комбинировать способы защиты. Если раньше вирусы распространялись в основном на дискетах, то сейчас Internet и электронная почта превратились в два наиболее быстрых, универсальных и глобальных способа распространения вирусов. Поскольку каналов передачи информации всегда значительно меньше, чем устройств, работающих с этой информацией, то и защита, поставленная на канал, оказывается весьма эффективной, так как значительно снижает степень нагрузки по защите конечных устройств. Такой подход — защита каналов — очень важен, и ряд наших новых продуктов, прежде всего серверного направления, как раз и ориентирован на защиту каналов передачи данных.
Идеальная защита рабочей станции, находящейся дома, должна состоять из двух вещей — антивирусного модуля для защиты электронной почты и универсальной антивирусной программы для защиты ПК целиком.
Существуют различные типы антивирусного программного обеспечения, и выбор во многом определяется самими характеристиками сети и серверов, которые надо защищать.
Два основных типа локальных сетей: мощный сервер и слабые компьютеры, мощные клиентские компьютеры и слабый сервер.
При мощном сервере правильнее будет выбрать как можно более полную защиту именно его, а на слабые рабочие станции в таком случае резидентные антивирусные модули не ставятся, а осуществляется только ночное сканирование.
Если же мощными являются рабочие станции — обратная картина: резиденты — на рабочих станциях, на сервере — минимальный набор защиты.
В перспективе будет и дальше расти доля вредоносных программ в общем объеме вирусов, и общее число вирусов также будет увеличиваться. Это вполне объяснимо. Ведь исчез главный сдерживающий фактор — размеры. Программы, которые воруют пароли или осуществляют несанкционированный доступ, очень сложны конструктивно: чтобы обеспечить необходимый набор функциональности, объем выполняемого кода у них существенно больше. Но и количество файлов в операционных системах теперь столь велико, что, как я уже говорил, появление одного-двух лишних файлов теперь просто проходит незамеченным.
Сейчас растет популярность операционной системы Linux, и уже появились вирусы по «ее душу». Для их распространения необходимо, чтобы эта ОС стала массовой. Linux — первый Unix «для чайников», который должен инсталлироваться по умолчанию с некой усредненной степенью защиты. До ноября прошлого года было известно всего две попытки написать вирусы для Linux. Теперь же «Лаборатория Касперского» регулярно получает несколько новых таких вирусов в месяц, причем некоторые из них вполне работоспособны и могут распространяться. Они пока простые, но тенденция к росту наглядная.
Так что времена действительно меняются, и если говорить о защите корпоративных сетей, то здесь просто необходим именно комплексный подход.
Symanteс: и персоне, и коллективу
Татьяна Фирсова — координатор по маркетингу московского представительства Symantec |
Сначала — все-таки коротко о защите конечных пользователей. Наша компания поставляет для них Norton AntiVirus 2000 (версия 6.0). Если Вы работаете с почтой, играете в Doom или Quake — это оптимальное средство (cм. в этом номере статью «Пуленепробиваемая защита ПК», с. 70).
Для защиты от вирусов корпоративных сетей мы поставляем полностью локализованный для российского рынка продукт Norton AntiVirus Solution Suitе (версия 4), основанный на антивирусе Norton AntiVirus Corporate Edition версии 7.0.
Этот программный комплекс позволяет реализовать полноценную многоуровневую защиту от вирусов всех компонентов корпоративной сети — от ПК до firewall.
Можно выделить типичные точки проникновения вирусов в сеть, а именно:
- получение вирусов на клиентские рабочие места через дискеты;
- получение их на уровне файл-серверов;
- получение через Internet и через почтовые шлюзы.
Антивирусная защита Symanteс включает систему обновления, эвристического анализа, систему восстановления зараженных файлов и систему автоматического устранения макровирусов.
Вся система поиска вирусов отделена от антивирусного приложения и основана на едином исходном программном коде, но модули для разных платформ могут быть различны: для DOS — это navex. exe, для Windows 98/NT и Alpha — это DLL-модули, для NetWare — NLM-модули, и т. д. Всего платформ около десятка.
Само антивирусное приложение и система поиска вирусов поставляются вместе. Поэтому даже при постоянной смене системы поиска антивирусное приложение будет работать и работать. И обновление самого антивирусного приложения, а это связано с перезагрузкой системы, можно производить не столь часто — например, раз в полгода.
Для корпоративной сети существует несколько режимов обновления. Наиболее интересен LiveUpdate, когда приложение само инициирует систему обновления и решает, что ему переписывать, а что нет. В этом случае трафик будет значительно меньше, чем если бы это делал сервер. Причем LiveUpdate позволяет обновлять не только антивирусные базы и механизм поиска, но и вообще все установленные приложения Symanteс.
Какой путь проходит вирус? Он, будучи определен, шифруется и помещается в центральный карантин (мы называем его «изолятор»). Оттуда либо по команде администратора, либо автоматически вирус отправляется в антивирусный центр Symanteс. Там он поступает в автоматический анализатор, если тот не справляется с идентификацией — то к специалисту. Происходит выработка «противоядия», которое включается в новый набор антивирусных баз. После этого администратору отправляется обновленный набор, он проверяется на глобальном карантине в корпоративной сети, и далее администратор, убедившись, что вирус излечен, посылает обновление на другие серверы, а оттуда — на локальные машины. Таким образом строится иерархическая структура.
Какими средствами определить вирус? Например, в государственном предприятии, где есть положение о неподключении к Internet, можно «до посинения» проверять центральный сервер — там вирусов не будет. А сотрудники пользуются электронной почтой, втихую от начальства подключая модем. Поэтому столь важно, чтобы почтовая программа, стоящая на локальной клиентской машине, была проверена антивирусом, тогда и вирус будет выявлен до попадания в файловую систему, и администратор сети узнает, наконец, откуда идет заражение. Поэтому антивирус Symanteс интегрируется с почтовыми программами: Norton AntiVirus 2000 с Outlook Express («домашнее» приложение), а Norton AntiVirus Сorporate Edition 7.0 с Outlook (корпоративное приложение).
Таким образом, наш антивирус — это «информационная иммунная система» (Digital Immune System) компании. Она сама реагирует на появление вируса, изолирует его, оповещает всю систему, обращается за помощью в антивирусный центр и, получив «вакцину», уcтраняет опасность. Причем все это может работать без участия человека.
Nеtwork Associates: разделяй и лечи
Наталья Гончарова, менеджер отдела продаж и дистрибуции фирмы ACT Group |
Продукт McAfee Total Virus Defence (McAfee — антивирусное отделение компании Nеtwork Associates) предназначен для защиты от вирусов именно корпоративных сетей, и его целесообразно использовать в сетях от 25 пользователей при верхнем пределе — до 10 тыс.
Пакет McAfee Total Virus Defence включает целый комплекс отдельных продуктов, предназначенных для защиты каждого компонента сети: VirusScan — для рабочих станций, WebShield — для защиты от вирусов со стороны Internet, GroupShield — для рабочих групп и электронной почты, а также NetShield — для серверов.
В 1999 г. McАfee разработала новую технологию, которая позволяет cоздавать лечащие модули в режиме реального времени. Эвристический анализатор ViruLogic сам обнаруживает участок подозрительного программного кода и отправляет его в «лабораторию» на исследование, т. е. происходит реальное on-line обновление баз в зависимости от появления вирусов. И в этом случае уже перестает играть роль частота обновления — программа сразу же обновится в тот момент, когда появится неизвестный ей вирус. Эта технология встроена в продукты Nеtwork Associates и уже реально работает.
Инструмент Маnagement Edition позволяет администратору управлять антивирусным комплексом со своей консоли и устанавливать удаленно все продукты Total Virus Defence в сеть любого масштаба. Эта система дает также возможность администратору разделить сеть корпорации на определенные сегменты — антивирусные домены, и для каждого такого домена выработать свою антивирусную политику. Ведь антивирусные программы «отъедают» определенные сетевые ресурсы, и есть критичные точки, где защита должна быть максимальной, а есть и не столь критичные. Поэтому оптимальное распределение плотности защиты позволяет эффективно использовать сетевые ресурсы. Это особенно удобно, когда корпорация имеет ряд удаленных филиалов, так как дает возможность осуществлять все работы по антивирусной их защите из центра. Функция управления в пакете VirusScan выполняется системой администрирования ePolicyOrchestrator.
Кроме обычной кнопки автообновления программы есть инструмент, позволяющий использовать мощный push-канал на узле Network Associates, который «проталкивает» обновление для корпоративных пользователей. Администратор сам настраивает этот инструмент, и затем все обновления будут к нему поступать уже автоматически. Конечно, этот сервис расcчитан на серьезные корпорации, которые имеют собственные хорошие каналы для выхода в Internet. Весь антивирусный комплекс управляется одним администратором, и его локализация на русский язык не предполагается.
Заработав на антивирусах, компания Network Associates купила фирму Dr. Solomon?s Software, создателя программы Dr. Solomon Antivirus Toolkit (см. статью «Найти и обезвредить», «Мир ПК», № 4/97, с. 43) — лидера западного антивирусного рынка, фирму PGP (криптография), а также ряд компаний, производящих продукты SyberCop, Sniffer, которые позволяют определить «дыры» в защите сети.
Cовсем недавно специалисты Nеtwork Associates переименовали пакет McАfее Total Virus Defence в McАfee Active Virus Defence, включив в него компонент I-Orchestrator (контроль общего состояния средств защиты в сети). Сейчас создается единый агент на станциях, который будет контролировать и антивирусы, и попытки вторжения в сеть из Internet, наблюдать за техническим состоянием самой станции, выполнять диагностику, следить за оптимизацией работы сети. Он будет к тому же еще собирать всю эту информацию и передавать ее в одно место сети, удобное для доступа администратора. Специальный же компонент системы event orchestrator принимает все эти данные и в соответствии с политикой, установленной системным администратором, производит определенные действия: вызывает программу, запускает антивирусную защиту, блокирует доступ компьютера в сети и т.п.
Существуют и Trial-версии, которые можно бесплатно переписать. Это рабочие версии, но «жить» они будут всего месяц, потом придется переписывать их снова.
По данным компании Nеtwork Associates, ее антивирусную программу используют более 60 млн. человек во всем мире, а 80% компаний, входящих в Fortune 100, применяют у себя именно Total Virus Defence.
Поддержкой и сопровождением продуктов этой компании в России занимаются специалисты фирмы ACT Group.
«ДиалогНаука»: SOS администратору на пейджер
Дмитрий Лозинский, председатель совета директоров компании «ДиалогНаука» |
Исторически сложилось, что компания «ДиалогНаука» разрабатывает два основных типа антивирусных программ: первый, классический — сканеры и второй— ревизоры.
Раньше существовало еще одно направление — антивирусные вакцины, представлявшие собой «пришлепку» к программе, которая при ее запуске перехватывает управление и смотрит, не прицепился ли к программе кто-нибудь еще. Но это направление умерло. Одна из причин — появление стеллс-вирусов, т. е. вирусов-невидимок, которые перехватывали функции управления самой ОС, и тогда вакцина становилась бессильной.
Кстати, на заре развития компьютерной техники родилось еще одно направление — резидентные антивирусы, но их распространение сдерживалось рамками DOS, где объем оперативной памяти был ограничен. Это направление на много лет затихло, а сейчас опять оживает, потому что и оперативной памяти стало больше, да и управлять ею теперь проще. Эти резиденты размещают и на клиентских машинах, и на серверах.
Cканеры — это программы, говоря упрощенно, которые «знают» все вирусы и каждый файл проверяют на них по своему списку. По такому же принципу работают и резиденты.
Другое направление сейчас — это программы-ревизоры. Они обычно запускаются раз в сутки и выдают полный список всех изменений, выделяя красным цветом те из них, которые характерны для вирусов, например список измененных системных файлов. И если вы видите, что на диске поменялось сразу несколько десятков программ, а никаких новых пакетов не устанавливали, — значит, появились вирусы.
В общем-то это достаточно надежное средство. Главный же недостаток этих программ в том, что тот, кто их применяет, должен уметь читать. Большинство пользователей, увы, привыкли сначала нажимать на кнопки, а уже потом читать или вспоминать, о чем же там компьютер сообщал-то? Хотя на самом деле много читать и не нужно — просто посчитать файлы и вспомнить: не устанавливал ли я чего-то накануне?
Если же говорить о защите сетей, то для ОС NetWare компания «ДиалогНаука» предлагает версию Dr. Web, которая резидентно находится в памяти и следит за порядком в этой операционной сетевой среде. Сейчас у нас вышла бета-версия для сервера Windows NT.
В настоящее время очень мощный поток вирусов идет через Internet. Поэтому необходимо устанавливать антивирусы прежде всего на почтовых серверах. Эти программы будут просматривать все письма: нет ли в них вложений и нет ли, в свою очередь, в них вирусов. Несчастье в том, что серверов и операционных сред огромное количество, и, по-моему, даже не все западные фирмы способны подключать свои антивирусные программы ко всем серверам.
Если же говорить о программах нашей фирмы, то пока у нас вся защита идет только на уровне клиентов. И резидент сейчас может прекрасно защитить от всех приходящих на машину вирусов, поскольку любое письмо, прежде чем оно будет прочитано, оказывается у вас на диске. И в момент, когда происходит запись файла, резидентная программа его «схватит» и, если в нем есть вирус, поступит так, как вы ее настроите, — или просто заблокирует этот файл, или вылечит, но в любом случае ваша машина заражена не будет. На наш взгляд, это самый надежный способ.
Самый массовый поток сейчас — это макровирусы, которые поступают с Word-файлами. Причем возникла новая, очень опасная тенденция. Раньше все вирусы находились только в приложении к электронному письму (чаще всего к документу Word). Но вот недавно появилась парочка вирусов, которые фактически присутствуют непосредственно в тексте письма. Правда, они жизнеспособны только в том случае, если в качестве клиента используется Outlook 98 или Outlook Express и при этом на машине стоит Windows 98 и Internet Explorer 5 (причем только либо английская, либо испанская версия).
Помните, по Internet ходили да и сейчас бродят послания: если к вам пришло письмо с указанием такой-то темы (subject — около десятка разных), ни в коем случае не читайте его. И срочно разошлите это предупреждение всем своим знакомым. Это страшный вирус! Это все была шуточная пирамида. Причем шутке этой уже лет пять. Но, похоже, дошутились. И теперь действительно появились вирусы такого типа — стоит только этот файл прочитать, и сразу после очередной перезагрузки ОС вирус окажется у вас в машине. И размножаются они уже без участия человека. И если другим вирусам (типа «Мелиссы») для активизации необходимо, чтобы документ был хотя бы обработан Word, то этим «микробам» ничего такого не нужно. Написаны они на языке html. И теперь появилась возможность в произвольное место диска записать исполняемый файл в htа-формате (HTML Аpplication — приложение на языке html) так, чтобы он дальше уже активизировался без вашего вмешательства. Правда, сейчас Microsoft разослал уже соответствующее обновление файлов для того, чтобы эта штука не работала в указанных выше версиях.
В природе есть несколько вирусов: Zhenghi., 7271, 7307, 7313 и Win95.sk, с которыми со 100%-ной эффективностью умеет бороться только Dr. Web, поскольку эта задача далеко не тривиальна.
Если же говорить о защите сетей, то скоро администратор сможет получать информацию о антивирусном состоянии прямо на пейджер.
В солидных организациях пользователь не имеет права ничего менять на своем компьютере — операционную систему и необходимые для работы программы ему устанавливает администратор. И вообще, безопасность компьютеров (и не только в плане защиты от вирусов) на 90% зависит от грамотности системного администратора.
А самый эффективный подход — это разработка в организации единой политики информационной безопасности, где борьба с вирусами естественным образом встроена в эту систему.