Artykuły dotyczące tematu: ochrona

dodany: 29.03.2013 | tagi: , ,

Jak chronić się przed atakami DDoS

2
DDoS

Wielowarstwowa strategia zabezpieczeń, ochrona serwerów DNS i monitorowanie infrastruktury IT oszczędzą firmom wielu zmartwień i kosztów związanych z atakami typu denial of service.

Ataki DDoS wywodzące się od prostych ataków wywołujących odmowę usługi (ang. denial of service) uruchamianych z jednego komputera – wraz z szybkim rozpowszechnieniem się botnetów – ewoluowały do rangi jednego z największych zagrożeń w sieci. Początkowo, skierowane były w krytyczną infrastrukturę przedsiębiorstw np. w główne serwery DNS. Nieco później, do przeprowadzania ataków wykorzystywano już tysiące maszyn działających w ramach botnetu, które automatycznie generowały ruch w kierunku ofiary, doprowadzając do zablokowania atakowanych usług. Firma Verizon w swoim raporcie z 2012 roku na temat dochodzeń w sprawie utraty danych („2012 Data Breach Investigations Report”) nazwała te ataki „bardziej zatrważającymi niż inne zagrożenia, autentyczne czy tylko wyobrażone”.

Raport przygotowany przez firmę badawczą Stratecast z kwietnia 2012 roku zapowiada wzrost liczby ataków DDoS o 20 – 45 proc. rocznie. Według analityków to obecnie jedne z najbardziej znanych narzędzi używanych przez społeczność hakerów. Często są jednym z elementów kompleksowej strategii ataku, łączącej wiele różnych technik.

Jak wynika z najnowszych badań, ataki DDoS narastają nie tylko pod względem częstotliwości, ale też zajmowanej przepustowości łączy i czasu trwania. Na przykład dekadę temu ataki 50-gigabajtowe trafiały się kilka razy na rok. Teraz do takich ataków dochodzi niemal co tydzień. Dziś hakerzy nie tylko wykorzystują potężne serwery o ogromnej mocy procesorach i przepustowości, ale łączą zaplecze technologiczne z psychologicznymi trikami z zakresu inżynierii społecznej. Coraz bardziej powszechne jest prowadzenie działań DDoS w celu odwrócenia uwagi ofiary i ukrycia innych, bardziej ukierunkowanych ataków. W takiej sytuacji tradycyjne metody zapobiegania atakom DDoS stosowane przez usługodawców okazują się nieskuteczne. Poza tym ataki stają się bardziej inteligentne, bo są teraz lepiej kontrolowane. Zamiast uruchamiać skrypt, zalewając ilością danych, atakujący rozpoczynają operację, a następnie dobierają obiekt oraz typ ataku do oczekiwanego wyniku.

Pewne jest, że ataki DDoS będą stopniowo narastać. Coraz więcej przedsiębiorstw zaprzęga do pracy urządzenia mobilne, a jak zauważył FortiGuard Labs (dział firmy FORTINET zajmujący się badaniami zagrożeń sieciowych), botnety mobilne, jak np. Zitmo, mają wiele cech i funkcji wspólnych z tradycyjnymi botnetami działającymi na komputerach. Zespół FortiGuard Labs przewiduje, że w 2013 roku na światło dzienne wyjdą nowe formy ataków denial of service, wykorzystujące zarówno pecety i urządzenia mobilne.
Z zagrożeniem wiążą się także potężne koszty. Organizacje dotknięte atakami DDoS – zwłaszcza te, których działalność wymaga zapewnienia nieprzerwalności transakcji biznesowych jak bankowość i e-commerce – niezaprzeczalnie poniosą spore straty finansowe. Poza utraconymi przychodami z powodu awarii, firmy będą musiały ponosić koszty związane z analizami IT i odzyskiwaniem danych, utratą wydajności pracy, karami finansowymi za niedotrzymanie umów o poziomie usług oraz narażoną na szwank reputacją marki.

Ewolucja ataków DDoS uwydatnia naglącą potrzebę, by przedsiębiorstwa przyjmowały strategie bezpieczeństwa, które zapewnią im profesjonalną ochronę. Istnieją sposoby, dzięki którym firmy mogą aktywnie zwiększyć poziom zabezpieczenia i ograniczyć ryzyko ataków. Zamiast starać się o całkowitą eliminację wszelkiego ruchu DDoS, strategia walki z tego typu atakami powinna raczej koncentrować się na utrzymaniu usług – szczególnie tych o kluczowym znaczeniu – przy minimalnym poziomie zakłóceń. Aby to osiągnąć, firmy mogą zacząć od oceny swojego środowiska sieciowego i opracowania planu reakcji na zagrożenia. Plan powinien uwzględniać między innymi strategie tworzenia kopii zapasowych i odzyskiwania danych po awarii, dodatkową obserwację oraz metody przywracania usług tak szybko i sprawnie, jak to możliwe.
Trzy najważniejsze kroki, których wymaga aktywna ochrona, to wdrożenie wielowarstwowej strategii zabezpieczeń, ochrona serwerów DNS i innych elementów sieci oraz monitorowanie i utrzymanie kontroli nad infrastrukturą IT.

Wielowarstwowe zabezpieczenia

Kluczowym etapem jest opracowanie i wdrożenie strategii wielowarstwowej ochrony przed atakami DDoS. System powinien zawierać dedykowane narzędzia do ochrony przed atakami DDoS zainstalowane w siedzibie firmy. Warto, by funkcjonalności obejmowały antyspoofing, uwierzytelnianie klientów, określały limity ilości pakietów dla połączeń w różnych warstwach sieciowych, monitorowały ich stan, walidowały zgodność transmisji z RFC dla poszczególnych protokołów, tworzyły wzorzec poprawnej komunikacji będący punktem odniesienia w razie wystąpienia anomalii, a także wspierały białe i czarne listy adresów IP, również w oparciu o ich geolokalizację.

Rozważając zastosowanie specjalistycznych rozwiązań chroniących przed DDoS, organizacje muszą upewnić się, że pozwolą im one nie tylko wykrywać ataki DDoS w warstwie aplikacji i skutecznie blokować typowe lub niestandardowe techniki i wzorce ataków DDoS, ale również będą potrafiły „uczyć się” rozpoznawania zarówno akceptowalnych, jak i nieprawidłowych wzorców ruchu w oparciu o analizowany strumień danych. Takie profilowanie ma ogromne znaczenie, bo pozwala szybciej wykrywać i ograniczać zagrożenia, zmniejszając liczbę fałszywych alarmów.
Aby uzyskać większą sprawność operacyjną, firmy powinny również szukać rozwiązań zabezpieczających przed DDoS, które zapewnią zaawansowane funkcje wirtualizacji i geolokalizacji.

Dzięki wirtualizacji administratorzy mogą tworzyć i nadzorować wiele niezależnych domen bezpieczeństwa za pomocą pojedynczego urządzenia, co pozwala zapobiegać oddziaływaniu ataków realizowanych w jednym segmencie sieci na pozostałe. Mechanizm ten dobrze sprawdza się również podczas obrony – zamiast polegać na jednym zestawie reguł, administratorzy IT mogą z wyprzedzeniem zdefiniować ich więcej, co daje możliwość wykorzystania tych bardziej rygorystycznych w sytuacji, gdy pierwotne zasady okażą się niewystarczające.

Technologie geolokalizacji z kolei pozwalają firmom blokować złośliwy ruch przychodzący z nieznanych lub podejrzanych źródeł zagranicznych. Ogranicza to obciążenia i zużycie energii przez serwery usługowe, eliminując ruch z regionów poza geograficznym obszarem działania firmy.

Ochrona serwerów DNS

W ramach ogólnej strategii bezpieczeństwa organizacje muszą chronić swoje kluczowe zasoby oraz infrastrukturę. Wiele firm utrzymuje własne serwery DNS w celu zapewnienia sobie obecności w Internecie i właśnie ich serwery często są pierwszym celem ataków DDoS. Po uderzeniu w serwery DNS atakujący mogą łatwo sparaliżować operacje sieciowe organizacji poprzez blokadę jej usług.

Monitorowanie i utrzymywanie kontroli nad infrastrukturą

Zmieniający się charakter ataków DDoS wymaga od przedsiębiorstw wykazania się znacznie większą dalekowzrocznością i bardziej proaktywną ochroną. Istotne jest opracowanie planu postępowania na wypadek ataku i ocena infrastruktury sieciowej pod kątem reakcji na ewentualny atak. Firmy muszą zacząć od wzmocnienia obrony głównych serwerów i nadania priorytetów danym.

Organizacje muszą zachowywać czujność i monitorować swoje systemy przed atakiem, w jego trakcie, a także już po nim. To żadna tajemnica, że posiadanie pełnego obrazu środowiska IT pozwala administratorom wykrywać odchylenia od normy w ruchu sieciowym i szybko ujawniać ataki. Taka analiza zapewnia informacje i możliwości analityczne potrzebne do wdrażania odpowiednich środków minimalizacji ryzyka i zapobiegania zagrożeniom. Najlepsze zabezpieczenia obejmują ciągłe i zautomatyzowane monitorowanie poprzez system alertów, które pozwalają na reakcję w razie wykrycia ruchu DDoS.

Ważne jest posiadanie precyzyjnego systemu monitorowania i kontroli w całej sieci. Pomaga to administratorom dotrzeć do źródeł ataku i blokować ruch nadmiarowy, umożliwiając jednocześnie swobodny przepływ danych produkcyjnych. Taki system daje również możliwość prowadzenia dogłębnych analiz w czasie rzeczywistym oraz przeglądania danych historycznych. Co istotne, zaawansowane techniki śledzenia ataków mogą umożliwić zidentyfikowanie ich adresów źródłowych, co w konsekwencji pozwala na kontakt z administratorem odpowiedniej sieci.

Na nowo skupić się na biznesie

Ataki DDoS – podobnie jak inne zagrożenia bezpieczeństwa – będą ewoluować, stając się coraz bardziej nieprzewidywalne. Podlegająca ciągłym modyfikacjom natura technologii DDoS będzie wymagała, by firmy dokonywały zmiany podejścia do zagrożeń, wykazując się większą dalekowzrocznością i korzystaniem z bardziej aktywnych zabezpieczeń.

Dlatego organizacje już dziś muszą udoskonalać swoje plany reagowania awaryjnego i oceniać odporność własnej infrastruktury sieciowej na zagrożenie atakami DDoS. Muszą też zacząć wzmacniać zabezpieczenia kluczowych serwerów i szeregować dane względem ważności. Co więcej, konieczne jest wdrażanie rozwiązań służących do zarządzania i monitorowania, które zapewnią im całościową wiedzę o wszystkich zakamarkach własnej sieci. Wreszcie administratorzy IT powinni mieć możliwość implementowania niezawodnych zabezpieczeń, które szybko zidentyfikują źródło zagrożenia, zminimalizują oddziaływanie ataku i przywrócą działanie usług tak szybko, jak to możliwe.

Tylko w ten sposób firmy będą mogły przestać obawiać się paraliżujących ataków DDoS i w pełni skupić się na swojej działalności.

dodany: 25.01.2013 | tagi: , ,

Pięć porad, jak zabezpieczyć się przed atakami DDoS

6

Wystarczy przejrzeć czołówki mediów, by uświadomić sobie, że ataki DDoS (Distributed Denial of Service) nie tylko nie znikną, ale będą się nasilać w najbliższym czasie. Cyberprzestępcy i haktywiści zapowiadają zwiększenie aktywności. Skutkiem działań może być zniszczenie reputacji oraz wymierne straty biznesowe i finansowe zaatakowanych przedsiębiorstw i organizacji. Charakter ataków DDoS jest nieprzewidywalny.

 

Raport przygotowany przez firmę badawczą Stratecast z kwietnia 2012 roku zapowiada wzrost liczby ataków DDoS o 20 – 45 proc. rocznie. Według analityków to obecnie jedne z najbardziej znanych narzędzi używanych przez społeczność hakerów. Często są jednym z elementów kompleksowej strategii ataku, łączącej wiele różnych technik.

 

Zaczęło się od prostych ataków DoS, których celem było zablokowanie pojedynczych komputerów. Wraz z rozprzestrzenianiem się botnetów zagrożenie ewoluowało w zmasowaną wersję, która jest obecnie jednym z najgroźniejszych zjawisk w obszarze bezpieczeństwa sieciowego.

 

Ataki są coraz bardziej intensywne. Początkowo, skierowane były w krytyczną infrastrukturę przedsiębiorstw np. w główne serwery DNS. Nieco później, do przeprowadzania ataków wykorzystywano już tysiące maszyn działających w ramach botnetu, które automatycznie generowały ruch w kierunku ofiary, doprowadzając do zablokowania atakowanych usług. Dziś hakerzy nie tylko wykorzystują potężne serwery o ogromnej mocy procesorów i przepustowości, ale łączą zaplecze technologiczne z psychologicznymi trikami z zakresu inżynierii społecznej. Coraz bardziej powszechne jest prowadzenie działań DDoS w celu odwrócenia uwagi ofiary i ukrycia innych, bardziej ukierunkowanych ataków. W takiej sytuacji tradycyjne metody zapobiegania atakom DDoS stosowane przez usługodawców okazują się nieskuteczne.

 

Firma Fortinet opracowała listę kroków, jakie firmy powinny podjąć, aby wzmocnić ochronę i zmniejszyć ryzyko ataku. Ważne jest, żeby nie dążyć do wyeliminowania całego ruchu DDoS generowanego przez hakerów, ale skupić się na utrzymaniu funkcjonowania krytycznych usług i zminimalizowaniu zakłóceń. Oczywiście, podobnie jak w przypadku każdego innego aspektu bezpieczeństwa sieci, skuteczność systemu ochrony przed DDoS wymaga odpowiedniego planowania.

 

Kluczowe kroki to:

1. ocena środowiska sieciowego,

2. opracowanie kompleksowej strategii ochrony przed DDoS zarówno w warstwie sieciowej, jak i aplikacyjnej,

3. wdrożenie systemu monitorowania i kontroli na każdym poziomie infrastruktury,

4. ochrona serwerów DNS i innych krytycznych elementów infrastruktury,

5. implementacja w siedzibie firmy dedykowanych narzędzi do ochrony przed DDoS.

 

DDoS należą do najbardziej skutecznych ataków w krajobrazie bezpieczeństwa IT, częściowo z powodu ich prostoty. Powszechnie nazywa się je atakami wolumetrycznymi. Cyberprzestępcy wykorzystują botnety, aby wysyłać do sieci komputerów swojej ofiary więcej ruchu niż może zostać przetworzona. Powoduje to blokadę serwisu i brak dostępności atakowanej usługi.

 

Jak w przypadku większości ataków, hakerzy wykorzystują lukę w jednym z komputerów, który następnie, pod ich pełnym nadzorem, używany jest do zainfekowania kolejnych systemów. W ten sposób budowany jest botnet z kompletnym system dowodzenia i kontroli.

 

Na polecenie operatora botnetu, komputer główny przekazuje wszystkim zainfekowanym komputerom zadanie przeprowadzenia ataku, czyli masowej wysyłki pakietów do zdefiniowanego celu. Przeciążony liczbą żądań komputer ofiary odnotowuje poważne pogorszenie wydajności, a w efekcie zostaje zmuszony do przejścia w tryb offline.

 

Obecnie, firmy i organizacje są coraz bardziej narażone na ataki DDoS wymierzone w aplikacje webowe. Jeszcze zaledwie kilka lat temu do przeciążenia atakowanego łącza wykorzystywano przede wszystkim masową wysyłkę pakietów ping i ataki typu smurf. Dzisiaj aplikacje internetowe są bombardowane w znacznie bardziej wyrafinowany sposób. Aby przeciążyć serwer, włamywacze posługują się pozornie legalnymi żądaniami dostępu do aplikacji. Dzięki temu zdobywają wiedzę, które akcje tworzą największe obciążenie dla serwerów baz danych SQL. Istnieją też takie techniki ataków, w konsekwencji których dochodzi do manipulacji i w efekcie przeciążenia pamięci i/lub dysku serwera będącego ich celem. Raport Verizon Data Breach Investigations 2012 ujawnił, że celem wielu działań DDoS w warstwie aplikacyjnej było ukrycie za atakiem wolumetrycznym prawdziwego zadania hakerów np. próby kradzieży danych.

 

Ewolucja ataków DDoS

Mechanizmy ataków DDoS ewoluują w czasie, ale podstawowa koncepcja pozostaje wciąż ta sama – zablokowanie użytkownikom dostępu do atakowanej usługi. Pierwsze ataki DoS pojawiły się już pod koniec lat 90 tych. Początkowo były to ataki typu SYN Flooding, które polegają na wysyłaniu dużej liczby pakietów TCP z ustawioną w nagłówku flagą synchronizacji (SYN) i najczęściej ze sfałszowanym adresem IP nadawcy. Kolejne działania z tego czasu (WinNuke, Teardrop, Ping of Death) przeniosły ataki DoS na nowy poziom, zmieniając ich charakter z czysto rozrywkowego, swoistej zabawy hakerów, w potężne narzędzie cyberprzestępcze.

 

Hakerzy zaczęli migrować do modelu bardziej złożonego, ponieważ zbyt łatwo można było zidentyfikować źródła prostych ataków DoS. W ostatnich latach ataki rozrosły się i osiągnęły zmasowaną postać DDoS. Cyberprzestępcy posługują się setkami tysięcy komputerów zombie, którymi są zarówno urządzenia z sieci korporacyjnych, jak i maszyny użytkowników domowych. Sieci komputerów kontrolowanych przez hakerów dysponują ogromnym potencjałem do przeprowadzania ataków DDoS. Przykładem jest niedawna akcja, w której posiadacze urządzeń funkcjonujących w ramach botnetu zostali poproszeni o kliknięcie linku na Twitterze. Centralny serwer odbierał pakiety i przesyłał je masowo do ofiary. W operacji zastosowano zaawansowane techniki JavaScript.

 

Ataki DDoS są dziś powszechne, ale ich rozmiary, zasięg i metody stale ewoluują. W 2011 roku po raz pierwszy zaobserwowano spadek wielkości ataków wolumetrycznych, co tylko potwierdza fakt, że hakerzy mogą obecnie spowodować zawieszenie się systemu, generując znacznie mniejszy ruch niż w ubiegłych latach. Pojawiły się ataki takie, jak Slowloris, wykorzystujące łącza o niskiej przepustowości do unieruchomienia serwera WWW. Eksploatują one luki w standardowych protokołach komunikacyjnych, aby obciążyć atakowany serwer połączeniami pozornie legalnymi.

 

Kompletny zestaw narzędzi do przeprowadzania ataków DDoS

Do przeprowadzania ataków hakerzy mają do dyspozycji zestaw narzędzi. Wiele z nich można łatwo i szybko pobrać za darmo w Internecie. Najprostsze i najbardziej prymitywne pozwalają dokonać ataku nawet osobom z małą lub bez wiedzy technicznej.

 

Jednym z najbardziej popularnych narzędzi krążących w sieci jest Low Orbit Ion Cannon (LOIC). Udostępniona przez Anonymous aplikacja jest równocześnie jednym z najłatwiejszych w obsłudze programów. Zaprojektowano ją do przeprowadzania ataków DDoS na strony internetowe za pomocą jednego kliknięcia.

 

Wystarczy pobrać aplikację, która przekształca komputer użytkownika w generator przesyłający do atakowanego serwera fałszywe żądania protokołu HTTP. Jeśli akcja zostanie zrealizowana przez tysiące osób działających w ramach dobrowolnego botnetu, narzędzie nabiera wystarczającej mocy żeby doprowadzić do zablokowania serwisu WWW na poziomie globalnym. Łatwość użycia aplikacji sprawia, że pozwala ona na udział w ataku DDoS nawet osobom, które nie mają pojęcia jak się włamać do sieci.

 

Narzędzia do przeprowadzania ataków DDoS stają się coraz bardziej wyrafinowane i złożone. Zaawansowane technologicznie trojany zdalnego dostępu (RAT) i botnety DDoS stworzono do zautomatyzowanych ataków o ogromnym zasięgu. Nowe zagrożenia zawierają w swoim arsenale możliwość unieruchomienia sieci całych korporacji, rządów, czy nawet państw.

 

Na przykład, program hakerski zwany „Killer Apache” wykorzystał lukę w zabezpieczeniach serwerów Apache związaną z obsługą protokołu HTTP. Narzędzie umożliwiało przeprowadzenie ataku DDoS z poziomu pojedynczego komputera.

 

Równolegle, środowisko hakerskie udostępniło szeroki zakres usług komercyjnych, oferujących dokonywanie ataków DDoS za dodatkową opłatą,

 

Realny koszt DDoS

Nie ma wątpliwości, że konsekwencje ataków DDoS są dotkliwe dla każdego. W mediach dominują wiadomości o działaniach hakerskich grup partyzanckich skierowanych we wrogie im rządy. Jednak ofiarami są bardzo często firmy, zarówno z sektora małych i średnich przedsiębiorstw, jak i korporacje.

 

Organizacje dotknięte atakami DDoS – zwłaszcza te, których działalność wymaga zapewnienia nieprzerwalności transakcji biznesowych jak bankowość i e-commerce – niezaprzeczalnie poniosą spore straty finansowe. Będą musiały również zmierzyć się z niematerialnymi rezultatami ataku. Są nimi m. in. utrata reputacji oraz zmniejszone zaufanie klientów, które może skutkować rezygnacją z dokonywania transakcji, trwającą kilka miesięcy, a nawet lat.

 

Koszty ataku DDoS można szybko policzyć. Oprócz przychodów utraconych w każdej minucie przestoju, organizacje muszą ponieść koszty analizy i przywrócenia do działania systemu IT. Drastycznie zmniejsza się wydajność pracowników w sytuacji, gdy systemy są niedostępne. Bywa, że dochodzą wydatki operacyjne związane z koniecznością dodatkowego wynagrodzenia personelu obsługującego zapytania od klientów i działania naprawcze. Dodatkowo, wiele firm ponosi kary finansowe, które wynikają z niewywiązania się w wyniku przestoju z podpisanych umów z klientami.

 

Ograniczyć ataki DDoS

Aby ograniczyć ataki DDoS organizacje mają do wyboru celowe działania proaktywne, które mogą zrealizować, żeby znacznie zmniejszyć ryzyko ataku, wzmocnić ochronę i przygotować się na wypadek wystąpienia zagrożenia.

 

Warto zacząć od oceny środowiska sieciowego i opracowania planu obrony. Schemat postępowania powinien zawierać politykę backupu i odzyskiwania danych, dodatkowy nadzór oraz sposoby przywrócenia dostępności usług tak szybko i efektywnie, jak to możliwe.

 

Wielowarstwowa strategia ochrony

Kluczowym etapem jest opracowanie i wdrożenie strategii wielowarstwowej ochrony przed atakami DDoS. System powinien zawierać dedykowane narzędzia do ochrony przed atakami DDoS zainstalowane w siedzibie firmy. Warto, by funkcjonalności obejmowały anty-spoofing i uwierzytelnianie klientów. Istotne jest również by określały limity ilości pakietów dla połączeń w różnych warstwach sieciowych, monitorowały ich stan, walidowały zgodność transmisji z RFC dla poszczególnych protokołów, tworzyły wzorzec poprawnej komunikacji będący punktem odniesienia w razie wystąpienia anomalii, a także wspierały białe i czarne listy adresów IP, również w oparciu o ich geolokalizację.

 

Zmieniający się charakter ataków DDoS wymaga od przedsiębiorstw wykazania się znacznie większą dalekowzrocznością i bardziej proaktywną ochroną. Kluczowe jest opracowanie planu postępowania na wypadek ataku i ocena infrastruktury sieciowej pod kątem reakcji na ewentualny atak. Firmy muszą zacząć od wzmocnienia obrony głównych serwerów i nadania priorytetów danym. Muszą także wdrożyć system zarządzania i monitoringu, aby uzyskać pełną wiedzę na temat funkcjonowania całej sieci.

Logo-Fortinet-0309

dodany: 07.01.2013 | tagi: , , ,

Jak chronić się przed malware – poradnik dla użytkowników systemów Windows – cz. 7. Edukacja i plan reakcji

0

Krok 6: Wdrażanie polityki ochrony oraz edukacja

Poprzedni rozdział traktuje o realizacji ochrony przed zagrożeniami fizycznymi. Kolejny etap koncentruje się na realizacji polityki bezpieczeństwa oraz edukacji. Procedury oraz zasady operacyjne komputerów, serwerów i sieci stanowią zasadnicze warstwy obrony przed malware. W ramach rozwiązania „Obrony w głąb” zalecamy opracowanie następujących zasad oraz procedur:

Procedury skanowania antywirusowego. Najlepiej, gdy aplikacja AV działa automatycznie lub skanuje w czasie rzeczywistym. W innym przypadku zaleca się ustalenie wytycznych oraz wskazówek dla pracowników organizacji, dzięki którym będą oni wiedzieć jak i kiedy uruchomić pełne skanowanie systemu.

Aktualizacja sygnatur wirusów. Większość nowoczesnych aplikacji antymalware automatycznie aktualizuje sygnatury wirusów. Proces ten powinien być wykonywany na bieżąco. Jednak jeśli przed całkowitym wdrożeniem organizacja pragnie najpierw przetestować taką metodę aktualizacji, na ogół taki sposób nie jest możliwy. W tym przypadku należy wyznaczyć personel pomocniczy, który zajmie się identyfikacją, pobieraniem, testowaniem oraz aktualizacją sygnatur wirusów tak szybko, jak to możliwe.

Zasady udostępniania aplikacji i usług. Należy jasno zakomunikować używanie których aplikacji oraz usług mających dostęp do zasobów jest dozwolone na komputerach w organizacji. Przykładem oprogramowania mogącego powodować problemy (i narażać na atak malware) są aplikacje P2P inne programy, przez które użytkownicy mogą pobrać zainfekowany plik bezpośrednio z witryn www. Jako minimum, zalecane jest wdrożenie tych zasad w ramach obrony wszystkich wyznaczonych wcześniej warstw sieci.

Kontrola zmian. Kluczowym procesem, w ramach zwiększania bezpieczeństwa urządzeń sieciowych, jest kontrolowanie zmian wywołanych oddziaływaniem na nie. Najlepiej, jeśli wszelkie proponowane zmiany zostaną najpierw przetestowane i wdrażane w sposób kontrolowany oraz udokumentowany. Spontaniczne zmiany w urządzeniach sieci obwodowej mogą wprowadzić błędy konfiguracji lub wady, które mogą narazić na atak.

Monitoring sieci. Chociaż poprawna konfiguracja urządzeń sieciowych organizacji powinna pozwolić na zoptymalizowanie bezpieczeństwa, nie oznacza to, że inne procedury obrony przed malware mogą być zaniedbane. Stałe monitorowanie wszystkich urządzeń w sieci jest niezbędnym elementem wykrywania szkodliwych ataków. Monitoring jest procesem złożonym, wymagającym zbierania informacji z wielu źródeł (takich jak firewalle, routery i switche). Daje to możliwość stworzenia swego rodzaju bazy czy zestawienia zachowań „normalnych”, pozwalających później na określenie wszelkich zaburzeń i odstępstw.

Proces wykrywania ataków. Jeśli podejrzane zachowanie zostanie wykryte, organizacja powinna posiadać zestaw jasno określonych i udokumentowanych wytycznych, pozwalających na potwierdzenie ataku, kontrolowanie oraz naprawę jego skutków przy minimalnym zakłóceniu pracy użytkowników.

Zasady dostępu do sieci w domu. Należy ustanowić minimalny zestaw wymogów, stanowiący zasady podłączania przez pracownika swojego służbowego komputera w domu lub łącznia się z siecią firmową za pośrednictwem wirtualnej sieci prywatnej (VPN).

Zasady dostępu do sieci dla gości. Goście, zanim połączą się z siecią organizacji, powinni stosować się do ustalonych wcześniej, minimalnych wymogów konfiguracji. Do tychże wymagań powinny stosować się zarówno urządzenia bezprzewodowe, jak i przewodowe.

Zasady dostępu dla urządzeń bezprzewodowych. Wszystkie urządzenia bezprzewodowe, podłączane do sieci wewnętrznej, powinny spełniać minimalne wymagania dotyczące konfiguracji zabezpieczeń. Należy wcześniej ustalić takie wymagania.

Istnieje wiele innych zasad i procedur, które można wdrożyć w celu poprawy bezpieczeństwa urządzeń sieciowych. Powyższa lista może być dobrym punktem wyjścia. Jednakże, z powodu dodatkowych wymagań konfiguracyjnych, a nie specyficznych zabezpieczeń antymalware, wykraczają one poza zakres niniejszego poradnika.

Krok 6 obejmuje zatem następujące zadania:

1. Opracowanie zasad aktualizacji zabezpieczeń.

2. Tworzenie polityki obrony opartej o ocenę ryzyka.

3. Automatyczny monitoring i sprawozdania.

4. Wspieranie użytkowników oraz szkolenie zespołu technicznego.

 

Zadanie 1: Opracowanie zasad aktualizacji zabezpieczeń

Oprogramowanie zabezpieczające na komputerach, serwerach i w sieci powinno być zawsze, w jakiś sposób, aktualizowane. Możemy zapewnić taki system aktualizacji w ramach części szerszego planu obrony. Więcej informacji na temat zarządzania aktualizacjami zabezpieczeń można znaleźć na stronie Update Management. Systemy operacyjne komputerów i urządzeń powinny być sprawdzane na bieżąco pod kątem aktualizacji odproducenckich.

Polityka aktualizacji zabezpieczeń powinna zostać również tak ustalona, żeby obejmowała update systemów operacyjnych. Proces ten powinien składać się z następujących etapów:

1. Sprawdzanie dostępności aktualizacji. Należy zastosować jakiś rodzaj automatycznego powiadamiania o dostępnych aktualizacjach bądź o odmowie wykonania update’u.

2. Pobieranie aktualizacji. System powinien być w stanie pobrać aktualizacje przy minimalnym wpływie na użytkowników oraz sieć.

3. Aktualizacje testowe. Jeśli aktualizujmy komputery „krytyczne”, nim wdrożymy nowe oprogramowanie, należy wykonać test na odrębnym, nie mającym znaczenia dla pracy sieci systemie.

4. Wdrażanie aktualizacji. Po przetestowaniu oraz zweryfikowaniu aktualizacji, należy wdrożyć je na komputerach docelowych. W tym celu dobrze opracować jakiś prosty system rozpowszechniania aktualizacji.

Jeśli aktualizacje systemów nie wymagają wcześniejszego przetestowania, można rozważyć automatyzację całego procesu. Opcja Aktualizacje automatyczne na stronie internetowej Microsoft Windows Update umożliwia automatyczne powiadamianie i aktualizowanie bez interwencji użytkownika. Wybranie takiej opcji gwarantuje najnowsze aktualizacje w najszybszym czasie od ich pojawienia się. Jednak przy takim podejściu nie mamy możliwości sprawdzenia aktualizacji przed jej zainstalowaniem. Jeżeli dana organizacja wymaga wcześniejszych testów update’u, taki sposób aktualizacji nie jest zalecany.

Sprawdzanie, czy nasze systemy operacyjne są zaopatrzone w najnowsze aktualizacje, powinno być rutynowym elementem procesu zarządzania.

 

Zadanie 2: Tworzenie polityki obrony opartej o ocenę ryzyka

Przy tak wielu komputerach, serwerach i urządzeniach sieciowych połączonych do obwodu naszej sieci oraz jej wewnętrznych warstw, ustalenie jednej, skutecznej polityki „Obrony w głąb”, zgodnej ze wszystkimi wymogami konfiguracyjnymi, może być trudne. Jednym z rozwiązań może być pogrupowanie hostów naszej infrastruktury na kategorie w zależności od ich rodzaju i ekspozycji na ryzyko.

Warto więc rozważyć następujące „kategorie konfiguracyjne”, ustalone ze względu na stopień ryzyka ataku:

Konfiguracja standardowa. Kategoria ta odnosi się zwykle do stacjonarnych komputerów, które fizycznie pozostają na miejscu w biurze w budynku. Są one stale chronione przez zewnętrzne i wewnętrzne zapory oraz zabezpiecza je sam budynek organizacji.

Konfiguracja klientów wysokiego ryzyka. Kategoria ta została ustalona dla konfiguracji komputerów użytkowników mobilnych oraz urządzeń przenośnych, takich jak palmtopy czy telefony komórkowe. Urządzenia te zostają często wyniesione poza chronioną sieć i dlatego obejmuje je wyższy poziom ryzyka.

Konfiguracja dla gości. Kategoria ta jest przeznaczona dla komputerów nienależących do organizacji. Zarządzanie oraz konfiguracja takich urządzeń może nie być możliwa. Jednak można ustalić zasady dla takich urządzań, ograniczające możliwość łączenia się z nasza siecią. Komputery gościnne zawierają się przeważanie w jednym z następujących typów:

• Domowe komputery pracowników.

• Komputery partnerów lub sprzedawców.

• Komputery gości.

 

Zaleca się również ustalenie kategorii ryzyka dla roli serwera, a sama ocena ryzyka jest zalecana zarówno dla serwerów, jak i komputerów roboczych. Jako punkt wyjścia do ustalenia polityki ochrony serwera, należy rozważyć następujące kategorie konfiguracji:

Standardowa konfiguracja serwera. Kategoria ta jest niejako wspólnym mianownikiem dla konfiguracji większości serwerów w naszym otoczeniu. Zapewnia minimalny poziom bezpieczeństwa, ale nie ogranicza się jedynie do powszechnie używanych usług. Później możemy zmodyfikować nasze opcje konfiguracyjne wedle potrzeb, np. w zależności od wysokości ryzyka, na jakie narażony jest serwer czy pełnionej przez niego roli.

Konfiguracja serwerów wysokiego ryzyka. W tej kategorii znajdą się serwery, które bezpośrednio narażone są na połączenia z zewnętrzną siecią i na pliki z zewnętrz, np.: Serwery Brzegowe (WWW), Serwery Firewalli czy Messaging Servers. Serwerem podwyższonego ryzyka mogą być również inne urządzenia, niezależnie od ich lokalizacji w sieci, np. te, które przechowują poufne dane, takie jak personalia pracowników firmy.

Konfiguracja w zależności od roli. W celu lepszego dostosowania wymagań konfiguracyjnych aplikacji serwerowych można dopasować je w zależności od roli jaką pełni serwer. Można wybrać wiec specyficzną konfigurację dla np.: Messaging Servers, Serwerów Baz Danych czy Serwerów Firawalli. Podejście to może służyć jako dodatkowe zabezpieczenie zarówno wraz z ustawieniami standardowymi, jak i dla serwerów wysokiego ryzyka.

Zastosowanie zasad obrony opartych na ocenie ryzyka wymaga wyboru wyspecjalizowanego zespołu, który zaplanuje odpowiedni sposób konfiguracji. Ostatecznie, celem zespołu powinno być zminimalizowanie (czy uproszczenie) konfiguracji jakimi trzeba będzie zarządzać. Uzyskanie bezpiecznej konfiguracji jest bardziej prawdopodobne przy użyciu metody standardowej niż dostosowując każdy host osobno. Kompleksowy sposób zarządzania w środowiskach heterogenicznych oferuje np. Microsoft Forefront Identity Manager 2010.

 

Zadanie 3: Automatyczny monitoring i sprawozdania

Jeśli firma korzysta z automatycznego systemu monitoringu lub aplikacji AV, które mogą zgłaszać do administratora podejrzane infekcje złośliwym oprogramowaniem, można zastanowić się nad zautomatyzowaniem procesu powiadamiania wszystkich użytkowników sieci. Zautomatyzowany system powiadamiania pozwala zminimalizować czas pomiędzy alarmem o ataku a dotarciem do świadomości użytkownika. Wadą takiego podejścia może być spora liczba fałszywych alarmów. Jeśli nikt nie będzie w stanie w jakiś sposób „przesiać” takich alertów, np. przeglądając raporty nietypowej aktywności, możliwe jest, że program będzie zupełnie niepotrzebnie ostrzegał przed atakiem, którego w rzeczywistości nie było. Taka sytuacja może uśpić czujność użytkowników, ponieważ przestaną oni reagować na zbyt często generowane alarmy.

Zaleca się więc wyznaczenie konkretnych członków zespołu czy administratorów sieci, którzy będą odpowiedzialni za odbiór oraz monitorowanie wszystkich automatycznych alertów o szkodliwym działaniu oprogramowania. Wyznaczony zespół może odfiltrować wszystkie, fałszywe powiadomienia, przed wysłaniem alertów do użytkowników. Aby taka strategia była skuteczna, zespół musi monitorować alerty 24 godziny na dobę, 7 dni w tygodniu po to, by wszystkie powiadomienia zostały sprawdzone i, jeśli to konieczne, przesłane do użytkowników sieci.

 

Zadanie 4: Wspieranie użytkowników oraz szkolenie zespołu technicznego

W wielu przypadkach ludzie są ostatnią linią obrony przed malware. Dlatego ważne jest, aby kształcić pracowników w taki sposób, by mogli zapoznać się z zagrożeniami i świadomie im przeciwdziałać –  w ramach rutynowych praktyk w swojej codziennej pracy.

 

Świadomość użytkowników

Edukacja użytkowników często zostaje ujęta dopiero na końcu rozważań nad projektem obrony przed malware. Pomoc użytkownikom w zrozumieniu niektórych zagrożeń związanych z atakami złośliwego oprogramowania jest ważną częścią przeciwdziałania temu ryzyku. Należy uświadomić pracowników, że cały personel organizacji wykorzystujący zasoby IT odgrywa jednakową rolę w procesie bezpieczeństwa sieci. Z tego powodu ważne jest, żeby uświadomić użytkowników w jaki sposób oni sami mogą zapobiegać najczęstszym typom ataków. Pracownicy powinni wiedzieć, że pod żadnym pozorem nie wolno im:

Otwierać załączników podejrzanych e-maili.

Używać słabych haseł.

Używać  w różnych miejscach tych samych haseł.

Pobierać aplikacji i sterowników ActiveX z niezaufanych witryn.

Uruchamiać aplikacji z nieautoryzowanych nośników wymiennych.

Umożliwiać dostępu do danych i sieci organizacji.

Użytkownicy, którzy są odpowiedzialni za urządzenia mobilne, mogą wymagać dodatkowych szkoleń w celu zrozumienia ryzyka związanego z korzystaniem ze sprzętu poza fizyczną i sieciową ochroną.

 

Alarmy Wewnętrzne

Kluczowym zadaniem jest znalezienie efektywnego mechanizmu, który w terminie będzie powiadamiał wszystkich użytkowników o możliwości szkodliwego ataku. Dostępne systemy komunikacji mogą znacznie się różnić w zależności od infrastruktury organizacji. Poniższa lista zawiera przykłady sposobów powiadamiania:

Tablica ogłoszeń. Nie należy zapominać o nietechnicznych możliwościach informowania, takich jak ogłoszenia w formie papierowej, np.: na tablicach informacyjnych lub w punktach oczywistych dla pracowników. Choć z takim sposobem wiążą się pewne trudności w utrzymaniu, zyskuje on jednak znaczną przewagę w komunikowaniu ważnych informacji na przykład, gdy obszary sieci są niedostępne z powodu ataku.

Systemy poczty głosowej. Jeśli organizacja używa takiego systemu komunikowania, można go wykorzystać do ogłoszenia o możliwości ataku malware wszystkim pracowniom na raz.

Komunikaty logowania. System operacyjny Windows może być skonfigurowany do dostarczania wiadomości bezpośrednio na ekrany użytkowników podczas procesu logowania. Mechanizm ten jest dobrym sposobem na zwrócenie uwagi użytkownika na alerty.

Portale internetowe. W celu zapewnienia, że alert dotrze do wszystkich użytkowników można ustawić wspólną dla wszystkich stronę główną, która będzie naszym portalem ostrzegającym. Żeby taki mechanizm był skuteczny, należy wymusić na użytkownikach odwiedzenie tego portalu przed uzyskaniem dostępu np. do skrzynki e-mail.

Systemy e-mail. W celu przesyłania użytkownikom alertów można również wykorzystać możliwość ustanawiania priorytetowych wiadomości w skrzynkach pocztowych. Z tego powodu należy doradzić użytkownikom, by najpierw przeglądali wiadomości oznaczone jako „ważne”.

 

Szkolenie zespołu technicznego

Świadomość i szkolenia zespołu powinny być głównym celem dla administracji. Szkolenie dla kluczowych specjalistów IT jest podstawowym wymogiem we wszystkich obszarach ochrony przed złośliwym oprogramowaniem. Jest to szczególnie ważne, ponieważ charakter ataków szkodliwego oprogramowania, a tym samym obrony przed nim, zmienia się na bieżąco. Nowy atak malware może zagrozić systemowi obrony z dnia na dzień. Jeśli personel techniczny nie został odpowiednio przeszkolony jak rozpoznawać i reagować na nowe zagrożenia malware, poważne naruszenie w naszym systemie obrony może być tylko kwestią czasu. Administratorzy, którzy odpowiedzialni są za urządzenia łączące się z siecią obwodową organizacji powinni przejść konkretne szkolenie, które pomoże im poznać oraz zrozumieć zakres działania malware.

 

Uzyskiwanie opinii użytkowników

Użytkownicy, którzy są świadomi malware, mogą stanowić doskonałą część systemu wczesnego ostrzegania, chociażby przez proste i szybkie zgłaszanie nietypowych zachowań systemu. Taki mechanizm może przybrać formę „gorącej linii” telefonicznej, aliasu e-mail z którego będziemy wysyłać alerty czy szybkiego informowania Biura Pomocy.

 

Proaktywna komunikacja wewnętrzna

Jeśli to możliwe, członkowie działu IT powinni wyznaczyć aktywny zespół szybkiego reagowania, który będzie odpowiedzialny za monitorowanie zewnętrznych witryn, traktujących o najnowszych atakach malware. Microsoft oferuje w temacie monitoringu wiadomości następujące narzędzia:

• Encyklopedia Microsoft Malware Protection Center (w skr. MMPC) jest obszernym zbiorem analiz i informacji technicznych, dotyczących zagrożeń. Na swoim blogu, badacze z MMPC, na bieżąco publikują aktualne wiadomości i pogłębione analizy dotyczące szczególnych zagrożeń.

• MMPC prowadzi również listę największych zagrożeń dla użytkowników komputerów na całym świecie.

• Warto zajrzeć również do Biuletynów zabezpieczeń (z ang. Microsoft Security Bulletins) i Microsoft Security Advisories, gdzie znaleźć można ważne informacje o lukach i aktualizacjach oprogramowania Microsoftu.

• Microsoft Security Response Center (w skr. MSRC), to Microsoftowska organizacja, zajmująca się identyfikacją, monitoringiem, rozwiazywaniem oraz reagowaniem na słabości oprogramowania zabezpieczającego. Informacje o swoich spostrzeżeniach również publikuje na blogu.

Regularne sprawdzanie podobnych witryn może pomóc personelowi technicznemu w przeciwdziałaniu zagrożeniom jeszcze zanim te przenikną do sieci organizacji. Microsoft Technical Security Notifications mogą również pomóc administratorom w stałym dostępie do informacji za pośrednictwem e-maili, kanałów RSS i Windows Live Alerts.

 

Pytania końcowe

Aby upewnić się, że odpowiednio zidentyfikowaliśmy zasady polityki bezpieczeństwa i edukacji, należy odpowiedzieć na następujące pytanie:

Czy podczas ustalania zasad ochrony przed złośliwym oprogramowaniem oraz strategii edukacji personelu wzięliśmy pod uwagę wszelkie możliwe scenariusze dostępu użytkowników do naszej sieci? Przy opracowywaniu w/w procedur łatwo przeoczyć niektóre segmenty struktury sieci. Nie wolno zapominać o takich czynnikach, jak zdalny dostęp, dostęp do Internetu, wsparcie dla danych oddziałów oraz użytkowników mobilnych, pracujących np. za granicą.

 

Krok 7: Opracowywanie planu reakcji na atak

 

Poprzedni rozdział traktował o realizacji polityki bezpieczeństwa oraz edukacji. Ostatni krok, to opracowanie oraz wdrożenie planu reagowania na zdarzenia. Plan reakcji powinien zawierać wytyczne wskazujące jakie kroki należy podjąć, gdy zajdzie pojrzenie ataku malware. Ustanowienie takich zasad jest bardzo ważnym krokiem w procesie przygotowań obrony przed złośliwym oprogramowaniem.

Plan reakcji ma wskazać pracownikom kierunek działań w przypadku ataku malware. Powinien on zawierać wskazówki pokazujące, jak minimalizować wpływ szkodliwej działalności oraz udokumentowane procedury reagowania. Na przykład, dobrze zaprojektowany plan powinien zawierć całe sekwencje wskazówek do działania w przypadku typowych zdarzeń:

1. Pracownicy powinni zawiadomić personel techniczny, gdy zauważą, że coś dziwnego pojawiło się na ekranie ich komputerów.

2. Obsługa techniczna sprawdza komputer i daje niezbędne wsparcie.

3. Technik odpowiada za krótki test diagnostyczny, a następnie „leczy” bądź odbudowuje system – w zależności od wagi problemu.

Cały proces obrony, do kompletnego zakończenia, może trwać wiele godzin. Warto ustanowić plan pośredni czy poboczny, który pozwoli minimalizować szkodliwe skutki działania także w trakcie „walki” oraz pozwoli zapobiec dalszemu rozprzestrzenianiu się malware. Na przykład, jeśli ustalimy, że pracownik, po zauważeniu ataku, ma czekać na wsparcie od personelu technicznego, może on chociażby we własnym zakresie odłączyć kabel sieciowy od podejrzanego komputera. Taka początkowa reakcja może pomóc w wyeliminowaniu ryzyka zakażenia innych komputerów.

Tworząc plan reakcji na zdarzenie ataku, warto przede wszystkim wziąć pod uwagę dwa typowe scenariusze:

Infekcja indywidualna. Scenariusz do działania, kiedy malware zainfekuje jeden komputer.

Masowa epidemia. Masowy atak może spowodować poważne zakłócenia w racy organizacji. O masowym ataku możemy powiedzieć, gdy personel zgłasza większą liczbę infekcji zdradzających podobne objawy. W ostatnich latach duże wybuchy wydają się być zdalnie sterowane przez roboty znane jako boty. Takie rodziny botów nazywane są botnetami. Cyberprzestępcy wykorzystują je do rozsyłania spamu, często o charakterze phishingowym, w celu kradzieży danych osobowych (w skr. PII) i do prowadzenia Denial-of-service (w skr. DoS).

Plan reagowania na większy wybuch może obejmować również powyższe scenariusze, ponieważ proces reakcji na szerszą skalę jest niejako rozszerzeniem działań w przypadku poszczególnych, mniejszych infekcji. Zazwyczaj, w ramach pierwszej reakcji, należy tymczasowo samodzielnie użyć wszelkich możliwych i znanych środków, by powstrzymać dalsze rozprzestrzenianie się malware. W niektórych przypadkach, przed ponownym podłączeniem komputera do sieci, może być konieczne poinformowanie administratora lub osoby odpowiedzialnej za ustawienia routera lub firewalla o konieczności zmian ustawień sprzętowych. Na przykład, jeśli malware infekuje system przez określony port sieciowy, zablokowanie go może zapobiec ponownemu zakażeniu, nie zakłócając przy tym transferu innych komunikatów.

 

Pytania końcowe

Czy plan reagowania na atak obejmuje zasady i procedury postepowania w przypadku poszczególnych infekcji złośliwym oprogramowaniem na serwery lub stacje robocze? Jest to scenariusz dla najpopularniejszych ataków malware.

Czy plan reakcji obejmuje zasady i procedury postępowania w wypadku epidemii masowej? Reakcja na masowy atak wymaga zwykle wstępnych działań użytkownika oraz czasu dla personelu technicznego, który zajmie się oczyszczaniem systemów.

Czy organizacja posiada zapasowe zasoby sprzętowe? W wypadku ataku mogą one okazać się niezbędne dla działań załogi technicznej lub do kontynuowania pracy organizacji.

Czy w ramach wsparcia technicznego wyznaczymy wyspecjalizowany team, odpowiedzialny z pomoc wszystkim użytkownikom w naszej organizacji? Większe oddziały mają tendencję do zatrudniania pracowników dedykowanych, natomiast mniejsze rzadziej uciekają się do takich rozwiązań.

 

Wszystkie części poradnika:

Cz. 1. Jak chronić się przed malware – poradnik dla użytkowników systemów Windows

Cz. 2. Identyfikacja potencjalnych zagrożeń

Cz. 3. Ochrona sieci

Cz .4. Ochrona komputerów klienckich

Cz .5. Ochrona serwerów

Cz .6. Zagrożenia fizyczne

Cz .7. Edukacja i plan reakcji

dodany: 31.12.2012 | tagi: , , ,

Jak chronić się przed malware – poradnik dla użytkowników systemów Windows – cz. 4. Ochrona komputerów klienckich

2

Krok 3: Ochrona komputerów klienckich

 

Poprzedni rozdział koncentruje się na poradach dotyczących wdrażania ochrony sieci. Na tym etapie przybliżymy zagadnienia obrony warstwy komputera klienckiego. Istnieje cały szereg metod oraz technologii, które mogą zostać wykorzystane w celu obrony przed atakami wirusowymi. Należy jednak znaleźć rozwiązanie kompromisowe, czyli takie, które pozwoli osiągnąć równowagę między wymaganiami biznesowymi organizacji, a akceptowalnym poziomem ryzyka. Etap ten dzieli się na kilka mniejszych zadań, które należy rozważyć każde z osobna:

 

1. Ograniczenie możliwości ataku.

2. Aktualizacja zabezpieczeń.

3. Ustawienie osobistego firewalla.

4. Instalacja oprogramowania antymalware.

5. Testowanie podatności na ataki.

6. Ograniczenie przywilejów.

7. Ograniczenie dostępu dla nieautoryzowanych aplikacji.

8. Ochrona aplikacji klienckich.

 

Zadanie 1: Ograniczenie możliwości ataku

Pierwsza krokiem ku obronie w warstwie aplikacji jest ograniczenie możliwości ataku na komputer. By zminimalizować możliwości czy liczbę sposobów dających się wykorzystać do ataku na system, należy wyłączyć bądź usunąć wszystkie zbędne aplikacje i/lub usługi. Funkcję scentralizowanego zarządzania komputerami działającymi na systemach operacyjnych Windows wraz z Windows Internet Explorer oraz aplikacjami Microsoft Office) zapewnia Compliance Manager Microsoft Security (w skr. SCM). Głównym zadaniem skanera jest wykrywanie i zapobieganie atakowi, a następnie powiadomienie o zajściu użytkownika i administratora.

 

Zadanie 2: Aktualizacja zabezpieczeń

Sama liczba oraz różnorodność komputerów klienckich podłączonych do sieci firmowej może utrudnić znalezienie przepisu na szybki i niezawodny sposób zarządzania aktualizacjami zabezpieczeń. Microsoft oraz inne firmy opracowały szereg narzędzi, które mogą być pomocne w rozwiązaniu tego problemu. Aby uzyskać więcej informacji dotyczących sposobu zarządzania aktualizacjami w systemach korporacyjnych, zobacz stronę TechCenter.

Ważne: Dodatki do przeglądarek internetowych, takie jak Flash i Adobe Reader to obecnie jedne z najbardziej popularnych celów złośliwych ataków. Z tego powodu ważne jest, aby pamiętać, że użycie samej usługi Microsoft Update i Windows Update nie ochroni komputerów przed złośliwym wykorzystaniem podatnych luk znajdujących się w innym oprogramowaniu.

 

Aktualizacja oprogramowania Microsoftu

Dla małych organizacji lub osób prywatnych, Microsoft oferuje dwa rodzaje update’u, zintegrowanego z funkcją automatycznej aktualizacji w systemie Windows:

Windows Update. Usługa ta umożliwia aktualizację składników systemu Windows oraz sterowników dla urządzeń dostarczanych zarówno przez Microsoft, jak i innych producentów oprogramowania. Windows Update uaktualnia także sygnatury dla antywirusowych produktów Microsoftu oraz swojego Malicious Software Removal Tool (w skr. MSRT). Usługa jest domyślnie włączona w Windowsie.

Microsoft Update. Usługa ta jest poszerzeniem poprzedniej. Zapewnia wszystkie aktualizacje oferowane przez Windows Update oraz update innych programów Microsoftu, takich jak Microsoft Office System, Microsoft SQL Server i Microsoft Exchange Server. Użytkownicy mogą wybrać tę opcję podczas instalacji oprogramowania lub za pośrednictwem witryny Microsoft Update.

Microsoft oferuje również rozwiązania dla opartych o serwer infrastruktur każdej wielkości. Opcje zawierają te same aktualizacje, które dostępne są za pośrednictwem usługi Windows Update i Microsoft Update, ale dają również dodatkowe możliwości kontroli.

Windows Server Update Services (w skr. WSUS). Usługa ta przeznaczona jest dla przedsiębiorstw. WSUS pozwala administratorom IT na wdrażanie najnowszych aktualizacji produktów Microsoftu na komputerach z systemem operacyjnym Windows. Za pomocą usług WSUS, administratorzy mogą w pełni zarządzać aktualizacjami wydawanymi przez Microsoft Update na komputerach będących w sieci.

System Center Configuration Manager. System Center Configuration Manager 2007 R2 wspiera Windows 7 i Windows Server 2008 R2 oraz zapewnia aktualizację systemu operacyjnego, umożliwiając rozwój Configuration Manager. Pozostałe funkcje zawarte w oprogramowaniu obejmują raportowanie stanu klienta, raportowanie SQL i sprawozdania z Forefront Client.

Każde z tych narzędzi aktualizacji zabezpieczeń od Microsoftu charakteryzują określone zalety i cele. Najlepszym rozwiązaniem jest używanie chociaż jednego lub wielu z nich.

Aktualizacja innego oprogramowania

Chociaż Microsoft Update i inne wymienione wcześniej usługi zapewniają aktualizacje dla produktów firmy Microsoft, ważne jest, aby zadbać o strategię aktualizacji całego oprogramowania, a szczególnie tego, które narażone jest na ataki internetowe. Kiedy systemy operacyjne i przeglądarki internetowe stały się bardziej bezpieczne, napastnicy zaczęli zwracać uwagę na wykorzystanie luk w dodatkach do tychże przeglądarek, takich jak np. ActiveX (pozwalający użytkownikom na odtwarzanie popularnych typów formatów multimedialnych bezpośrednio w środowisku przeglądarki). Wiele z tych rozszerzeń nie ma możliwości aktualizacji automatycznej, więc nawet gdy twórcy oprogramowania opublikują poprawkę łatającą luki, użytkownik może w ogóle nie wiedzieć ani że jest ona dostępna, ani w jaki sposób można ją zdobyć i tym samym pozostaje stale podatny na ataki.

Wiele firm oferuje rozwiązania zarządzania poprawkami, łączące aktualizacje zabezpieczeń od różnych dostawców oprogramowania. W celu uproszczenia procesu aktualizacji oprogramowania wszystkich komputerów w sieci firmowej warto zastanowić się nad realizacją jednego z powyższych rozwiązań.

 

Zadanie 3: Ustawienie firewalla

Osobisty firewall (oparty na hoście) stanowi ważną część obrony klienta. Powinien być włączony na wszystkich komputerach klienckich w organizacji, a w szczególności na laptopach, które mogą być używane poza organizacją. Zapora filtruje wszystkie dane wchodzące oraz wychodzące z danego komputera.

 

Zadanie 4: Instalacja oprogramowania antymalware

Wiele programów AV zostało stworzonych tak, by ich obsługa i praca sprawiały użytkownikowi jak najmniej kłopotów, wymagały jak najmniejszej interakcji. Większość z tych programów jest bardzo skuteczna, ale wszystkie wymagają częstych, bieżących aktualizacji bazy wirusów. Każdy program antymalware powinien zapewniać jak najszybszą i bezproblemową możliwość aktualizacji sygnatur, zawierających niezbędne informacje do wykrywania i unieszkodliwiania najnowszych wirusów oraz ich odmian.

Rozwiązania antymalware dla dużych organizacji, pozwalają na scentralizowane monitorowanie i kontrolę oprogramowania na wszystkich komputerach klienckich w firmie. Niektóre programy AV działają w oparciu o proaktywne mechanizmy, takie jak heurystyka, piaskownica (z ang. sandbox) czy metoda skanowania behawioralnego. Sandbox jest mechanizmem bezpieczeństwa, służącym do oddzielania uruchomionych programów, gdy któryś wzbudzi podejrzenia. Często używa się go do testowania niesprawdzonych kodów, podejrzanych programów, witryn czy użytkowników.

Mimo tak nowoczesnych technik, oprogramowanie antywirusowe nadal uważane jest za narzędzie bierne. Jednym z najważniejszych atrybutów stosowania oprogramowania AV jest jego zdolność do szybkiego reagowania i „sprzątanie” sieci po katastrofie wywołanej złośliwym atakiem. Ostatnio niektórzy producenci oprogramowania antymalware umożliwili korzystanie ze swoich produktów w chmurze, przez co programy obsługiwane są przez interfejs WWW. Takie rozwiązanie może ułatwić mniejszym organizacjom korzystanie z oprogramowania AV, ponieważ wyklucza ono fizyczną potrzebę posiadania np. osobnego serwera, a co za tym idzie ponoszenia kosztów zakupu itd.

 

Zadanie 5: Testowanie podatności na ataki

Po konfiguracji systemu, należy upewnić się czy nie istnieją jeszcze jakieś słabość w zabezpieczeniach. Istnieje cały szereg programów umożliwiających skanowanie w celu sprawdzenia wytrzymałości systemu na ataki malware oraz wyszukujących luki, które mogą być wykorzystane do włamania. Najlepiej skonfigurować swoje oprogramowanie tak, by dokonywało rutynowych kontroli bezpieczeństwa systemu.

 

Zadanie 6: Ograniczenie przywilejów

Innym obszarem obrony, którego nie można przeoczyć, jest przypisywanie przywilejów użytkownikom sieci. Zalecane jest przyjęcie takiej polityki, która zapewni użytkownikowi możliwie najmniejszą ilość uprawnień. Takie restrykcje mogą korzystnie wpłynąć na zminimalizowanie skutków szkodliwego oprogramowania, wykorzystującego często uprawnienia użytkowników podczas wykonywania ich pracy.

 

Zadanie 7: Ograniczenie dostępu dla nieautoryzowanych aplikacji

Jeśli jakaś aplikacja świadczy usługi w sieci lub w Internecie, jak IM, naraża ona nasz system na atak. By zminimalizować możliwość ryzyka, warto stworzyć listę aplikacji autoryzowanych.

Aby ograniczyć użytkownikom możliwość uruchomienia nieautoryzowanego programu, można zastosować zasadę „polityki grupowej”. Jest to możliwe już z poziomu systemu Windows XP czy Windows Vista. Narzędzie Zasady Ograniczeń Oprogramowania (z ang. Software Restriction Policies, w skr. SRP) pozwala administratorom na ograniczenie dostępu do aplikacji w oparciu o różne wyznaczniki: w tym hasz pliku (z ang. hash rule), ścieżka (z ang. path rule), przynależność użytkownika do „grupy zaufania” etc. Poniżej przykłady kilku reguł, jakich utworzenie umożliwia SRP.

Hash rule, to reguła bazująca na danych z kryptograficznego „odcisku palca” (czyli skrótu) aplikacji. Zaletą jej zastosowania jest jej stałość. Reguła obowiązuje niezależnie od zmiany nazwy czy lokalizacji programu. Niestety obowiązuje ona tylko dla jednej wersji aplikacji, co oznacza, że po aktualizacji danej aplikacji należy również zadbać o aktualizację reguły o nowe odciski.

Path rule, to reguła opierająca się o lokalizację. Pozwala na zezwalanie lub blokowanie dostępu do tych aplikacji, które znajdują się w konkretnym folderze/dysku. Istnieje możliwość odwołania się do rejestru systemowego.

Certificate rule, to reguła bazująca na certyfikacie. Umożliwia zdefiniowanie klucza, wg którego narzędzie zezwoli na uruchomienie lub zablokuje aplikację podpisaną certyfikatem.

Szczegóły dotyczące reguł SRP oraz ich konfiguracji można znaleźć na stronie wsparcia Microsoftu.

 

Narzędzie SRP spotkało się z zarzutami o trudny sposób konfiguracji. Windows 7 zawiera już zaktualizowaną i ulepszoną wersję SRP, nazywającą się AppLocker. Funkcja ta jest łatwiejsza w obsłudze i zapewnia nowe możliwości i rozszerzenia, zmniejszając tym samym obciążenie administratora. Pomaga ona w kontroli dostępu i sposobu korzystania użytkowników z plików, takich jak pliki wykonywalne, skrypty, pliki Instalatora Windows i Dynamic-Link Library (w skr. DLL). AppLocker nie zastępuje SRP, a działa obok. Należy jednak dokładnie przetestować obie technologie przed ich wdrażaniem, ponieważ jeśli skonfigurujemy je nieprawidłowo, użytkownicy mogą nie być w stanie uruchomić np. niezbędnych, legalnych aplikacji biznesowych.

 

Zadanie 8: Ochrona aplikacji klienckich

Poniżej wyszczególniono sposoby konfiguracji specyficznych aplikacji, które najbardziej narażone są na ataki malware.

 

Przeglądarki internetowe

Użytkownicy powinni pobierać pliki z Internetu lub wykonywać kody jedynie wtedy, jeżeli pochodzą one ze znanego, wiarygodnego źródła. W żadnym wypadku nie należy polegać tylko na wyglądzie witryny lub adresie strony, ponieważ zarówno strona, jak i jej adres mogą być ukryte. Ponadto należy pamiętać o bieżących aktualizacjach dodatków albo całkowicie je odinstalować.

Opracowano wiele różnych technik i technologii mogących pomóc w ocenie wiarygodności przeglądanej witryny. Na przykład Microsoft Internet Explorer używa technologii Microsoft Authenticode, sprawdzającej autentyczność pobranego kodu. Technologia ta sprawdza czy kod ma ważny certyfikat oraz czy tożsamość wydawcy oprogramowania pasuje do certyfikatu. Jeśli witryna przechodzi wszystkie testy pozytywnie, szanse atakującego na przekazanie do systemu złośliwego kodu maleją. Większość najpopularniejszych przeglądarek internetowych pozwala na ograniczenie dostępu dla kodu wykonywanego przez serwer WWW. IE tworzy strefy bezpieczeństwa w zależności od zawartości witryn, które blokują możliwość wykonania szkodliwego kodu.

Na przykład, jeśli jesteśmy przekonani, że coś, co chcemy pobrać w obrębie wewnętrznej sieci jest bezpieczne, możemy wtedy ustawić niski poziom zabezpieczenia. Jednak jeśli źródło pobieranego pliku znajduje się w Internecie lub w grupie witryn z „czarnej listy”, ustawienia bezpieczeństwa można określić na poziomie średnim lub wysokim. Dzięki tym ustawieniom, przeglądarka sprawdzi treści albo wyświetli powiadomienie, np. o podejrzeniu fałszywego certyfikatu, jeszcze zanim użytkownik pobierze plik.

Internet Explorer używa także SmartScreen Filter, który jest podstawową technologią pomagającą w ochronie użytkowników sieci. Cechą SmartScreen jest sprawdzanie reputacji URL, co oznacza, że narzędzie ocenia serwery hostingowe w celu określenia czy nie zawierają one niebezpiecznych treści. Jeśli użytkownik odwiedzi witrynę, która znana jest z dystrybucji złośliwego oprogramowania, Internet Explorer wyświetli wtedy ostrzeżenie oraz zablokuje dostęp do strony.

 

Poczta elektroniczna

Jeśli kiedykolwiek w przeszłości złośliwemu oprogramowaniu udało się przedrzeć do systemu poprzez pocztę elektroniczną, oznacza to, że być może jeszcze nie wszystkie ustawienia zostały odpowiednio skonfigurowane.

Włamywacze bardzo często wykorzystują e-mail do rozprzestrzeniania szkodliwego oprogramowania. W przeszłości kilka poważnych „epidemii” rozprzestrzeniało się przez robaki lub trojany rozsyłane masowo jako załączniki wiadomości. Malware jeszcze czasem rozprzestrzenia się w ten sposób, ale dziś wielu napastników przestawiło się na rozsyłanie wiadomości zawierających bezpośrednie linki do zainfekowanych plików albo do stron pobierania. Można więc rozważyć możliwość ograniczenia zdolności klientów poczty elektronicznej do otrzymywania niektórych typów plików (np. *.exe) lub uniemożliwienia klikania w hiperłącza. Tu również administratorzy mogą zastosować zasadę „polityki grupowej”, chociażby do skonfigurowania programu Microsoft Outlook tak, by przestrzegał pewnych ograniczeń. Na przykład:

• Korzystanie ze stref bezpieczeństwa Internet Explorera, w celu wyłączenia aktywnej zawartości wiadomości e-mail.

• Wyświetlanie wszystkich wiadomości e-mail w formacie zwykłego tekstu.

• Zapobieganie wysłaniu wiadomości bez specjalnego zezwolenia użytkownika.

• Blokowanie w e-mailach niebezpiecznych załączników.

Powyższe środki zaradcze mogą mieć dodatkowo pozytywny wpływ na wydajność systemu. Ponieważ niektóre dynamiczne treści zawarte w wiadomości zostaną wyłączone, zmniejszy się obciążenie łącza. Jednak i tu należy rozważyć możliwość ograniczenia uprawnień względem niezbędnych funkcji czy potrzeb dla funkcjonowania danej organizacji. Na przykład, niektóre aplikacje biznesowe, wykorzystujące e-mail do wykonywania procesów biznesowych, mogą zostać automatycznie zablokowane lub stale wymagać od użytkowników potwierdzenia dostępu do programu Outlook, gdy aplikacja spróbuje wysłać wiadomość.

 

Aplikacje biurowe

Od kiedy aplikacje biurowe stały się bardziej wydajne, zaczęły tym samym być bardziej podatne na ataki malware. Na przykład makrowirusy używają plików makr, utworzonych przez edytory tekstu (szczególnie Microsoft Office), arkusze kalkulacyjne lub inne aplikacje działające w oparciu o replikowanie danych.

Należy więc upewnić się, że wszelkie, najbardziej odpowiednie ustawienia zabezpieczeń zostały włączone we wszystkich aplikacjach operujących takimi plikami.

 

Komunikatory

Możliwość wysłania błyskawicznych wiadomości wpłynęła na usprawnienie komunikacji między użytkownikami na całym świcie. Niestety, zjawisko to zagwarantowało złośliwym programistom nowe możliwości wdarcia się do systemów swoich ofiar. Chociaż wiadomości tekstowe nie są bezpośrednio zagrożone atakiem, większość komunikatorów, w celu usprawnienia komunikacji, umożliwia dodatkowo transfer plików. Proces przesyłania plików uruchamia bezpośredni dostęp do sieci firmowej.

Aby zablokować transfer plików, można włączyć w Zaporze sieciowej proste filtrowanie portów używanych przez komunikator. Na przykład, Windows Live Messenger do przesyłania plików korzysta z wielu portów TCP pomiędzy 6891 i 6900, więc jeśli zapora zablokuje obwody tych portów, transfer plików za pomocą tego programu nie będzie mógł się odbywać. Jednak komputery mobilne będą chronione tylko wtedy, kiedy znajdują się w sieci organizacji. Z tego powodu, należy dodatkowo rozważyć skonfigurowanie firewalla na każdym komputerze.

Może tak się zdarzyć, że nie będziemy mieć możliwości zablokowania danych portów, bo na przykład specyfika pracy organizacji wymaga używania takiego właśnie sposobu komunikacji i przesyłu danych. Wszystkie pliki należy wtedy, przed przeniesieniem dalej, przeskanować programem AV. Jeżeli stacje robocze nie używają oprogramowania AV w czasie rzeczywistym, tzn. nie skanują plików na bieżąco, można skonfigurować komunikator tak, by automatycznie przekazywał przychodzące pliki do skanowania przez wyspecjalizowane oprogramowanie. Można skonfigurować w ten sposób np. Windows Live Messenger.

Poniższej pokazujemy jak włączyć funkcję skanowania przesyłanych plików w Windows Live Messenger 2009.

1. W głównym oknie programu Windows Live Messenger, kliknij przycisk Pokaż menu, kliknij Menu narzędzia, a następnie kliknij polecenie Opcje.

2. W oknie nawigacji kliknij ikonę Transfer plików.

3. W polu wyboru wybierz Skanuj w poszukiwaniu wirusów.

4. Teraz można wykonać jedną z następujących czynności:

• Kliknij przycisk Przeglądaj, wybierz oprogramowanie AV, z którego korzystasz, a następnie kliknij przycisk OK.

Uwaga: Poprawne działanie procesu może wymagać dodatkowych ustawień w programie AV. Należy więc sprawdzić w instrukcji wymagania naszego oprogramowania.

• Kliknij przycisk Zainstaluj, aby pobrać i zainstalować Windows Live OneCare – skaner plików przesłanych przez Microsoft Windows Live Messenger.

Po wykonaniu czynności oprogramowanie antymalware będzie automatycznie skanować wszystkie pliki odebrane przez Windows Live Messenger.

Zaleca się, na ile to możliwe, ograniczenie liczby komputerów, uprawnionych do korzystania z klientów sieci peer-to-peer (w skr. P2P). Aplikacje ograniczające oprogramowanie, takie jak AppLocker, mogą być pomocne w zablokowaniu użytkownikom możliwości uruchamiania aplikacji P2P. Jeżeli wyeliminowanie takiego oprogramowania nie jest możliwe należy pamiętać, że jego działanie zwiększa ryzyko ataków złośliwego oprogramowania.

 

Pytania końcowe

 

Czy istnieją jakieś prawne obawy ze względu na geograficzną lokalizacje używanych aplikacji? Niektóre wymogi prawne i międzynarodowe regulacje mogą zakazywać używania wybranych aplikacji w określonych regionach geograficznych.

Czy używane przez organizację komputery spełniają wymogi do uruchomienia mieszanki oprogramowania antymalware bez uszczerbku dla wydajności ich działania?

Czy poszczególne komputery klienckie zostały odpowiednio skonfigurowane do skutecznego zarządzania bezpieczeństwem? Niektóre technologie omówione w powyższym kroku, jak AppLocker, są kompatybilne tylko z niektórymi wersjami systemu Windows. Należy więc upewnić się, że posiadane komputery są w stanie spełnić wszystkie, niezbędne elementy planu ochrony.

Czy organizacja posiada odpowiednie narzędzia do centralnego zarządzania zabezpieczeniami oraz do egzekwowania przyjętej polityki? „Polityka grupowa”, System Center Configuration Manager oraz inne narzędzia i rozwiązania mogą znacznie ułatwić wdrażanie i egzekwowanie aktualizacji oraz wpłynąć na proces zmian w działaniu całej organizacji.

Czy w przyszłości organizacja planuje jakieś inwestycje w aplikacje, które będą wymagały ochrony? Czy któreś z poniższych, ewentualnych zmian, należy uwzględnić w palnie obrony przed malware:

– Nabycia lub sprzedaże.

– Aplikacje, z których trzeba będzie zrezygnować bądź wymienić je na nowe.

– Rozrost lub spadek rozmiaru plików.

– Wprowadzenie nowych aplikacji, wymagających ochrony.

Jaki harmonogram aktualizacji da najlepszą ochronę komputerów? Harmonogram należy dopasować do oczekiwań i możliwości biznesowych organizacji.

Czy strategia obrony zapewni również odpowiednią ochronę użytkownikom mobilnym, korzystającym z zasobów organizacji? Podczas projektowania strategii obrony komputerów przed malware, łatwo przeoczyć niektóre segmenty infrastruktury. Należy uwzględnić takie czynniki, jak zdalny dostęp, dostęp do Internetu, a także wsparcie dla innych oddziałów.

 

Wszystkie części poradnika:

Cz. 1. Jak chronić się przed malware – poradnik dla użytkowników systemów Windows

Cz. 2. Identyfikacja potencjalnych zagrożeń

Cz. 3. Ochrona sieci

Cz .4. Ochrona komputerów klienckich

Cz .5. Ochrona serwerów

Cz .6. Zagrożenia fizyczne

Cz .7. Edukacja i plan reakcji

dodany: 26.12.2012 | tagi: , , ,

Jak chronić się przed malware – poradnik dla użytkowników systemów Windows – cz. 3. Ochrona sieci

3

Krok 2: Ochrona sieci

 

Poprzedni rozdział dotyczył procesu identyfikacji i oceny potencjalnych zagrożeń w przypadku ataku złośliwego oprogramowania. Drugi etap koncentruje się na ochronie warstwy sieciowej. Ataki odbywające się przez sieć stanowią największą liczbę zarejestrowanych przypadków działania złośliwego oprogramowania. Malware wykorzystuje zazwyczaj słabości w obronie sieci obwodowej, w celu uzyskania dostępu do wewnętrznych urządzeń hostujących naszej infrastruktury IT. Urządzeniami podatnymi na ataki mogą być komputery, serwery, routery czy nawet firewalle. P, Jednym z najtrudniejszych do rozwiązania problemem jest pogodzenie wymogów działania systemu informatycznego ze skuteczną jego obroną. Na przykład Win32/Taterf, to rodzina robaków, które rozprzestrzeniają się za pośrednictwem wirtualnych dysków sieciowych (mapowanie). Z punktu widzenia działania infrastruktury danej organizacji, rezygnacja z mapowania dysków, w większości przypadków, może być niemożliwa. Należy więc osiągnąć możliwy kompromis pomiędzy biznesowymi wymaganiami organizacji, a akceptowalnym poziomem ryzyka.

Wiele organizacji przyjęło wielowarstwowy projekt swojej sieci, który obejmuje zarówno wewnętrzne, jak i zewnętrzne struktury. Takie podejście bezpośrednio zgadza się z modelem „Obrony w głąb”, ponieważ daje możliwość osobnego kontrolowania każdej warstwy sieci.

Zauważyć można również pewien trend w ograniczaniu dostępu dla użytkowników sieci wewnętrznej. Pozwala to na zmniejszenie ogólnej ekspozycji na ataki, celem których jest uzyskanie dostępu do sieci wewnętrznej. My opiszemy tylko jeden model obrony sieci. W celu obrony różnych modeli sieci z powodzeniem zastosować można niniejsze wytyczne.

 

Pierwszym krokiem obrony sieci jest ochrona sieci obwodowej. Mechanizmy obronne mają na celu zapobieganie rozprzestrzenianiu się złośliwego oprogramowania. Typowy atak malware odbywa się przez kopiowanie plików na komputer docelowym. W związku z powyższym, organizacja obrony antymalware powinna objąć ograniczenie dostępu do danych organizacji dla upoważnionych pracowników, np. za pośrednictwem szyfrowanej, wirtualnej sieci prywatnej (z ang. Virtual Private Network , w skr. VPN). Należy pamiętać o zabezpieczeniu sieci bezprzewodowych, jeśli takich używamy.

Założeniem tego etapu jest dostarczenie informacji do zapewnienia bezpieczeństwa sieci na wymaganym poziomie identyfikacji, autoryzacji, szyfrowania oraz ochrony przed bezpośrednim wtargnięciem nieautoryzowanego napastnika. Jednak w tym momencie obrona antymalware nie jest kompletna. Kolejnym zadaniem jest skonfigurowanie obrony sieciowej tak, by wykrywała i filtrowała ataki malware, wykorzystujące narzędzia komunikacji, takie jak e-mail, przeglądarki czy komunikatory.

 

Zadanie 1: Implementacja ochrony sieci

 

Kilku producentów oferuje kompleksowe rozwiązania ochrony sieci, łączące usługi antymalware z zabezpieczeniami przed innymi rodzajami zagrożeń. Jednym z takich produktów jest Forefront Threat Management Gateway 2010 (w skr. TMG), następca Microsoft ISA Server. Forefront TMG zapewnia stale aktualizowane, zintegrowane, łatwe do zarządzania (co zmniejsza koszty obsługi) oraz wielowarstwowe zabezpieczenie. Aby uzyskać więcej informacji o Forefront, kliknij stronę produktu.

Chociaż produkty, takie jak Forefront TMG, pełnią wiele ważnych funkcji, aplikacja ta skupia się wyłącznie na obszarach, które mają bezpośredni związek z ochroną przed złośliwym oprogramowaniem.

 

„Obrona w głąb”

Korzystanie z oprogramowania antymalware kilku różnych dostawców jest kluczowym elementem skutecznej strategii „Obrony w głąb”. Silniki skanowania i metody wykrywania sygnatur różnią się w zależności od dostawców. Każdy sposób może mieć swoje zalety i wady. Często silniki skanowania i wykrywania sygnatur, zamiast skanować każdy bajt w każdym pliku, wspólnie identyfikują nie tylko charakterystyczne cechy kodu wirusów, ale dokładnie określają miejsca w pliku, w których może ukrywać się wirus. Zagrożenie, któremu uda się przedrzeć przez jeden silnik skanowania może zostać wykryte przez drugi lub trzeci silnik. Symultaniczne używanie oprogramowania różnych producentów zwiększa więc szansę na wykrycie i zablokowanie zagrożenia. Niestety zwiększa to koszty oraz komplikuje proces czy specyfikę ochrony.

Wiele programów AV, w tym Microsoft Forefront Protection 2010 dla Exchange Server, można skonfigurować do korzystania z wielu silników skanowania. Zapewnia to lepszą ochronę przed zagrożeniami wchodzącymi do sieci. Korzystanie z takich rozwiązań może również zapewnić ochronę wielu wyodrębnionych wcześniej warstw.

 

System wykrywania włamań

Ponieważ sieć obwodowa jest częścią wrażliwą na ataki, bardzo ważne jest, żeby systemy zarządzania mogły jak najszybciej wykrywać i zgłaszać próby włamania. Rolą systemu wykrywania włamań (z ang. Network Intrusion Detection System, w skr. NID) jest właśnie zapewnienie szybkiego wykrywania i raportowania zewnętrznych ataków. Chociaż system NID jest częścią ogólnej koncepcji bezpieczeństwa systemu, a nie konkretnego narzędzia antymalware, wiele z pierwszych objawów zewnętrznego ataku pokrywa się ze specyfiką działania malware. Na przykład, niektóre złośliwce wykorzystują skanowanie IP w celu znalezienia systemów podatnych na zakażenie. Z tego powodu powinniśmy skonfigurować swój system NID tak, by ostrzegał personel odpowiedzialny za bezpieczeństwo o każdym nietypowym zachowaniu sieci. W tym celu wykorzystać można na przykład narzędzia czy zapory NID, zintegrowane z innymi usługami sieciowymi.

 

Blokowanie złośliwego ruchu

Blokowanie złośliwego ruchu uważane jest nie tylko za użyteczne, ale za niezbędne. W procesie korzystania z nowoczesnych technologii internetowych, monitorowanie i filtrowanie komunikacji sieciowej pozwala na wykrycie podejrzanych zachowań, podobnych do działania malware. Tradycyjnie filtrowanie wykonywano przy użyciu firewalli. Niestety, pozwalało ono jedynie na filtrowanie ruchu sieciowego na podstawie źródła i docelowego adresu IP, konkretnego TCP lub portu UDP. Nowsze programy zostały zaopatrzone w „inteligentną” funkcję filtrowania, która rozpoznaje pewne cechy złośliwego ruchu. Na przykład „System kontroli sieci” (z ang. Network Inspection System, w skr. NIS), będący funkcją Forefront TMG, opiera się o znane luki w zabezpieczeniach oprogramowania Microsoftu.

Inną techniką, wykorzystywaną do wykrywania i blokowania złośliwego ruchu, jest „Filtrowanie warstwy aplikacji” (z ang. Application layer filtering, w skr. ALF). ALF działa w warstwie modelu sieci OSI (z ang. Open System Interconnection), co pozwala na zbadanie i filtrowanie przepływających treści. Zastosowanie ALF, wraz ze standardowym pakietem filtrowania, znacznie zwiększa bezpieczeństwo. Na przykład, można ustawić filtrowanie ruchu w porcie 80 używając standardowego firewalla.Rozwiązanie to nie zapewnia jednak wystarczającej ochrony. Dodatkowe zastosowanie ALF pozwoliłoby organizacji na sprawdzanie wszystkich danych przechodzących przez port 80 z serwerów WWW oraz na zapewnienie, że nie zawierają one żadnego podejrzanego kodu.

Forefront TMG może filtrować aplikacje przechodzące przez firewall. Przeglądane witryny i e-maile mogą być skanowane w celu wykrycia podejrzanych danych, np. spamu lub malware. Narzędzie ALF w Forefront TMG umożliwia głębokie analizy zawartości, w tym charakteryzuje się zdolnością do wykrywania i sprawdzania poprawności ruchu za pomocą dowolnego portu i protokołu.

 

Zabezpieczenie urządzeń oraz połączeń

Wiele organizacji umożliwia swoim pracownikom połączenia czy komunikację między urządzeniami, takimi jak komputery stacjonarne, laptopy, tablety, smartfony, urządzenia dedykowane etc. Postęp w technologii mobilnych urządzeń i rosnąca akceptacja dla pracy zdalnej wymuszają dołożenie większych starań w zapewnieniu pracownikom działów IT możliwości bezpiecznego łączenia się z siecią z dowolnego miejsca w dowolnym czasie. Z badania przeprowadzonego w lipcu 2012r. przez B2B International dla Kaspersky Lab wynika, że aż 33% firm zezwala swoim pracownikom na nieograniczony (a co za tym idzie – niezabezpieczony) dostęp do zasobów firmowych z poziomu smartfonów.

Network Access Protection (w skr. NAP), funkcja systemu Windows Server 2008 i Windows Server 2008 R2, umożliwia administratorom ustawienie minimalnych wymagań dla urządzeń łączących się z siecią i egzekwowanie ograniczenia dostępu dla urządzeń, które nie spełniają minimalnych wymagań. NAP może być używany na komputerach klienckich pracujących na systemie Windows XP z dodatkiem Service Pack 3 (w skr. SP3), Windows Vista i Windows 7, a także Mac OS X i Linux.

Aby ułatwić firmom zapoznanie się ze współczesnymi zagrożeniami oraz metodami walki z nimi, również eksperci z Kaspersky Lab przygotowali specjalną stronę o nazwie „Be ready”. Witryna zawiera wiele porad, które mogą pomóc w stworzeniu skutecznej polityki bezpieczeństwa, uwzględniającej prywatne smartfony, tablety i laptopy pracowników, a także szczegółowe informacje na temat rozwiązań Kaspersky Lab dla firm.

 

Zabezpieczanie kanałów komunikacji

Od lat poczta elektroniczna czy aplikacje umożliwiające szybką komunikację (z ang. Instant message, w skr. IM) jak Microsoft Lync, to w wielu organizacjach rutynowe narzędzie pracy. Kompleksowa obrona przed malware powinna zapewnić również ochronę przed zagrożeniami, przekazywanymi przez e-maile i komunikatory. Dwa produkty z linii Forefront zapewniają usługę lokalnego skanowania oraz blokowanie niebezpiecznych typów plików i hiperłączy. Są to: Forefront Protection 2010 for Exchange Server i Forefront Security for Office Communications Server. Istnieje również możliwość ochrony poczty elektronicznej w chmurze – Forefront Online Protection for Exchange.

 

 

Bezpieczne korzystanie z Internetu

Złośliwe oprogramowanie rozprzestrzenia się dziś głównie przez Internet. Włamywacze mogą używać wyszukanej socjotechniki oraz wykorzystywać luki w przeglądarkach i popularnych dodatkach do zainstalowania swojego oprogramowania. Skuteczna strategia „Obrony w głąb” obejmuje monitorowanie pod kątem wykrywania szkodliwego ruchu w sieci i warstwie hosta.

Rozwiązania, które chronią ruch internetowy, zwykle pracują w każdym poziomie „Domenowego systemu nazw” (z ang. Domain Name System, w skr. DNS) lub poziomie bramy serwera. Podejście ogólne polega na filtrowaniu wychodzących żądań HTTP na jeden z dwóch sposobów:

Lista zablokowanych. Przed umożliwieniem połączenia zapora sprawdza czy adres nie znajduje się na czarnej liście połączeń. Użytkownicy mogą łączyć się tylko z tymi witrynami, które się tam nie znajdują.

Lista adresów dozwolonych. Zapora pozwala na komunikację tylko tym adresom, które zostały wpisane na zatwierdzoną przez organizację listę witryn dozwolonych.

Pierwsze podejście polega na aktywnym procesie identyfikacji tych stron internetowych, które mogą być problemem i dodaniu ich do listy. Ze względu na bezmiar i zmienną naturę Internetu, podejście to wymaga albo rozwiązań zautomatyzowanych, albo ograniczenia się do blokowania tylko niewielkiej liczby adresów, co nie daje kompleksowego zabezpieczenia. Drugie podejście zapewnia lepszą ochronę, ponieważ jego restrykcyjny charakter umożliwia kontrolę wszystkich stron udostępnianych użytkownikom systemu. Jednak drugie podejście niesie pewne niebezpieczeństwo. W wyniku badań nad zaufaniem strony, niezbędne użytkownikom adresy mogą wypaść jako podejrzane. Dla wielu organizacji, ze względu na charakter pracy, takie podejście może okazać się zbyt restrykcyjne.

Skuteczne filtrowanie adresów ULR opiera się o wykorzystanie informacji z różnych źródeł. Na przykład, program Web Protection dla Forefront TMG opiera się o Microsoft Reputation Services (W skr. MRS), czyli na globalnym systemie, ściągającym dane z różnorodnych źródeł, pochodzących zarówno od Microsoftu, jak i innych dostawców. Jego celem jest ustalenie bezpieczeństwa miliardów stron internetowych, w ponad 80 kategoriach, w tym w kontekście zawartości złośliwego oprogramowania.

Dopuszczanie i blokowanie list pozwala na ochronę jedynie wtedy, gdy użytkownik korzysta z chronionego komputera wewnątrz organizacji. Takie rozwiązanie nie daje ochrony, gdy użytkownik łączy się bezpośrednio z Internetem podczas nieobecności w biurze, narażając się tym samym na atak. Jeśli potrzebujemy filtru ULR dla użytkowników mobilnych, należy rozważyć możliwości jego wprowadzenia. Jednak takie rozwiązanie może prowadzić do poważnych utrudnień w zarządzaniu, szczególnie w organizacjach charakteryzujących się dużą liczbą użytkowników/pracowników zdalnych.

 

Pytania końcowe

Aby upewnić się, czy odpowiednio zidentyfikowaliśmy założenia opisane w powyższym rozdziale, należy odpowiedzieć na następujące pytania:

Czy sprzęt sieciowy, jaki posiada organizacja, spełni wymagania do uruchomienia zestawu oprogramowania AV, nie pogarszając tym samym wydajności pracy komputerów? Uwzględnianie w planach wydatków firmy ewentualnej wymiany sprzętu jest niezbędnym krokiem w projektowaniu infrastruktury sieciowej.

Jak będzie wyglądał najodpowiedniejszy dla naszej organizacji harmonogram aktualizacji oprogramowania? Harmonogram update’ów należy dostosować do oczekiwań i możliwości organizacji.

Czy organizacja musi zapewnić swoim pracownikom opcje zdalnego dostępu do zasobów firmowych? Należy upewnić się, że do chronionych danych i aplikacji dostęp będą mieli wyłącznie upoważnieni użytkownicy.

Czy projekt sieci umożliwia administratorowi odpowiedni dostęp tak, by z każdego miejsca mógł zidentyfikować i odeprzeć atak złośliwego oprogramowania? Podczas ustalania dostępu do sieci łatwo przeoczyć niektóre jej segmenty. Należy uwzględnić takie czynniki, jak zdalny dostęp, dostęp do Internetu, a także wsparcie dla innych oddziałów.

 

Wszystkie części poradnika:

Cz. 1. Jak chronić się przed malware – poradnik dla użytkowników systemów Windows

Cz. 2. Identyfikacja potencjalnych zagrożeń

Cz. 3. Ochrona sieci

Cz .4. Ochrona komputerów klienckich

Cz .5. Ochrona serwerów

Cz .6. Zagrożenia fizyczne

Cz .7. Edukacja i plan reakcji

dodany: 25.12.2012 | tagi: , ,

Jak chronić się przed malware – poradnik dla użytkowników systemów Windows – cz. 2. Identyfikacja potencjalnych zagrożeń

5

Krok 1: Identyfikacja potencjalnych zagrożeń

 

Przed przystąpieniem do zorganizowania skutecznej obrony przed złośliwym oprogramowaniem ważne jest, aby zrozumieć jak w ogóle funkcjonuje nasza infrastruktura. Należy stwierdzić w jakiś sposób narażone są jej poszczególne części. Aby zaprojektować najlepsze rozwiązanie ochrony, należy w pełni ocenić ryzyko niebezpieczeństwa. Malware wykorzystuje kilka typowych sposobów infekcji i te, podczas oceny potencjalnego ryzyka, warto rozważyć jako pierwsze. Najbardziej popularne to:

Skanowanie, a później wykorzystanie otwartych portów. Scanning dostarcza wielu zyskownych informacji dla potencjalnego włamywacza, np. o liczbie komputerów czy usług uruchamianych w sieci.

Wnikanie przez pocztę elektroniczną.

Rozprzestrzenianie się z nośników wymiennych, jak np. dyski USB.

 

Model podejścia „Obrony w głąb”

 

Następnym krokiem, po wskazaniu i dokumentowaniu ryzyka zachwiania bezpieczeństwa w naszej organizacji, jest zorganizowanie ochrony przed złośliwym oprogramowaniem. Doskonałym punktem wyjścia dla tego procesu jest model podejścia „Obrony w głąb”. Pozwala on na ochronę wielopłaszczyznową. Poniższy rysunek przedstawia kolejne warstwy, składające się na model „Obrony w głąb”:

Rys. 2. Szczegółowe warstwy modelu „Obrony w głąb”.

 

Rysunek przedstawia każdy obszar infrastruktury, jaki należy rozważyć przy projektowaniu obrony przed malware. Warto wrócić do tego schematu, po przeczytaniu całego poradnika.

Poszczególne obszary mogą być dowolnie modyfikowane, w zależności od naszych indywidualnych wymagań czy możliwości. Na potrzeby tego artykułu wyszczególniliśmy następujące „warstwy”:

Dane. Zagrożenia w warstwie danych wynikają z luk, które potencjalny atakujący może wykorzystać w celu uzyskania dostępu do danych konfiguracyjnych, danych organizacji lub unikalnych danych używanego urządzenia. Podstawowe założenia ochrony na poziomie tej warstwy, to kwestie odpowiedzialności prawnej, wynikającej np. z utraty lub kradzieży. Mogą to być wrażliwe na publikację, poufne dane biznesowe, dane użytkowników czy prywatne magazyny informacji o klientach.

Aplikacje. Zagrożenia w tej warstwie wynikają z luk umożliwiających dostęp do uruchomionych aplikacji. Każdy wykradziony kod wykonywalny może być potem wykorzystany do ataku na system. Podstawowe kwestie, dotyczące organizacji obrony w tej warstwie, to uniemożliwienie dostępu do plików binarnych, wykorzystywanych przez aplikacje, ograniczenie dostępu do hosta poprzez luki w zabezpieczeniach usług nasłuchujących aplikacji oraz kontrola właściwego gromadzenia specyficznych danych tak, by nie dostały się w posiadanie niepowołanych osób.

Host. Zabezpieczeniem tej warstwy zajmuje się zazwyczaj producent, który zapewnia Service Packi i poprawki do oprogramowania antymalware. Zagrożeniem w tej warstwie mogą być ataki poprzez wykorzystanie luk w oprogramowaniu. Atakujący mogą eksploatować je w różny sposób. Przykładem może być celowe przeciążanie buforu pamięci. W warstwie tej ważne są prewencyjne działania, uniemożliwiające dostęp do plików binarnych, które zawierają informacje o systemie operacyjnym, jak również ograniczenie dostępu do hosta za pośrednictwem luk w zabezpieczeniach systemu operacyjnego.

Sieć wewnętrzna. Zagrożenia dla sieci wewnętrznej organizacji w dużej mierze dotyczą poufnych danych przesyłanych za pośrednictwem tejże sieci. Wymagania w zakresie łączności pomiędzy stacjami roboczych znajdującymi się w sieci wewnętrznej mogą nieść wiele zagrożeń.

Sieć obwodowa (Jeden lub więcej komputerów, które mają połączenie z Internetem przez zewnętrzny router i połączenie z  siecią wewnętrzną). Podstawowe zagrożenia w tej warstwie, to dostęp do portów wykorzystywanych przez protokoły komunikacyjne przesyłające dane pomiędzy maszynami, np.: Transmission Control Protocol (w skr. TCP) oraz Protokół Pakietów Użytkownika ( z ang. User Datagram Protocol, w skr. UDP).

Fizyczne zagrożenia. W tej warstwie zagrożenia wynikają z możliwości fizycznego dostępu ewentualnego atakującego do zasobów chronionych. Warstwa ta obejmuje wszystkie poprzednie poziomy, ponieważ fizyczny dostęp do danych umożliwia tym samym dostęp do wszystkich innych warstw. Podstawowym problemem jest tu bezpośrednia możliwość zainfekowania komputerów z pominięciem zabezpieczeń sieci obwodowej i wewnętrznej. Haker może próbować zaatakować przy użyciu wymiennych nośników, takich jak pendrive, kopiując po prostu zainfekowany plik bezpośrednio do hosta.

Zasady, procedury oraz świadomość. Dla każdej z warstw modelu bezpieczeństwa „Obrony w głąb” istnieją niezbędne do spełnienia zasady, procedury czy wymagania. Ważne jest, aby promować w naszej organizacji świadomość zagrożeń. W wielu przypadkach nieznajomość ryzyka może prowadzić do naruszenia bezpieczeństwa. Z tego powodu, ciągłe dokształcanie się w praktykach zabezpieczających, świadomość najnowszych taktyk socjotechniki oraz cech złośliwego oprogramowania, ma zasadnicze znaczenie dla ochrony naszej organizacji przed malware. Niestety, napastnik może przezwyciężyć wszystkie zabezpieczenia, dlatego permanentne kształcenie powinno być integralną częścią każdego modelu bezpieczeństwa i obrony przed malware.

Organizacja może położyć nacisk na tę warstwę, na obronie której szczególnie jej zależy. Najważniejsze, by wyeliminować słabe bądź w ogóle pominięte punkty struktury obronnej.

Wydaje się, że strategie obronne warstw Danych, Aplikacji oraz Hosta można połączyć. Mimo, że mechanizmy obronne w obrębie tych warstw mają szereg wspólnych strategii, to różnice w realizacji obrony zwykłego komputera i serwera są na tyle wystarczające, aby uzasadnić unikalne podejście do każdej z nich.

Strategie obrony warstw Sieci wewnętrznej i Sieci obwodowej również mogą być wspólne, ponieważ technologie z nimi związane są takie same. Różnice mogą polegać na fizycznym położeniu urządzeń czy używanej technologii.

 

Pytania końcowe

 

Na koniec każdego rozdziału warto zadać sobie pytania, dzięki którym możemy sprawdzić czy zrozumieliśmy założenia oraz cele danego etapu. Po przeczytaniu opisu pierwszego kroku powinniśmy upewnić się, że prawidłowo zidentyfikowaliśmy potencjalne ryzyko ataku malware. Oto pytania pomocnicze:

Czy organizacja działa zgodnie z przyjętymi zasadami, normami i praktykami? Czy wymogi prawne wymuszają na naszej organizacji procedury służące ochronie danych lub usług oraz zgłaszanie utraty takich danych lub przerw w świadczeniu usługi w wyniku ataku złośliwego oprogramowania? Nad naszą firmą może ciążyć litera prawa, np.: Ustawa Sarbanesa-Oxley (nazywana też SOX lub SarOx), mająca na celu odbudowanie zaufania inwestorów poprzez poprawę jakości i wiarygodności sprawozdawczości finansowej. Możemy także podlegać szeregowi wymogów w zakresie certyfikatów, np.: ISO/IEC 27001 – międzynarodowa norma standaryzująca systemy zarządzania bezpieczeństwem informacji czy PCI DSS (z ang. Payment Card Industry Data Security Standard) – światowy standard ustalony przez organizacje finansowe w celu ochrony danych osobowych posiadaczy kart oraz informacji związanych z ochroną danych osobowych. Oczywiście, kontrola nad wspominanymi normami może być utrzymywana w ramach standardowego procesu biznesowego oraz dostarczanych przez nas usług IT.

Czy zaproponowane rozwiązania są zgodne z obowiązującymi wymogami?

Czy istnieją jakieś przepisy, wymagające zgłoszenia zainteresowanych stron w przypadku, jeśli organizacja straci kontrolę nad danymi osobowymi (ustawa o ochronie danych)?

Czy istnieją jakieś prawne obawy ze względu na geograficzną lokalizację używanych serwerów, komputerów czy aplikacji oraz znajdujących się na nich danych? Niektóre wymogi prawne oraz regulacje międzynarodowe mogą zakazywać używania wybranych aplikacji lub przetrzymywania niektórych danych w określonych regionach geograficznych.

Czy organizacja posiada kopie zapasowe systemów serwerów, komputerów, aplikacji oraz danych? Backup może okazać się niezbędnym elementem neutralizacji szkodliwych skutków złośliwego ataku.

Jaki powinien wyglądać odpowiedni dla naszej organizacji harmonogram aktualizacji oprogramowania serwerów oraz komputerów?

Czy nasi pracownicy zostali odpowiednio uświadomieni oraz przeszkoleni tak, aby potrafili szybko zareagować na próbę ataku? Edukacja pracowników jest podstawowym wymogiem kompleksowej obrony przed złośliwym oprogramowaniem. Szkolenie jest integralną częścią każdego modelu bezpieczeństwa i obrony przed malware.

Czy jakieś wewnętrzne zobowiązania naszej firmy nie wymagają odpowiednich działań oraz reakcji w przypadku ataku złośliwego oprogramowania? Wiele organizacji korzysta z umów o poziomie usług, np. SLA (z ang. Service level agreement) – opisująca zakres i porządek oferowanego wsparcia technicznego czy umów o usługach między działami, np. OLA (z ang. Operational-level agreement). Należy wziąć pod uwagę wszelkie zobowiązania dotyczące ewentualnego ataku złośliwego oprogramowania, ustalone w podobnych umowach.

 

Wszystkie części poradnika:

Cz. 1. Jak chronić się przed malware – poradnik dla użytkowników systemów Windows

Cz. 2. Identyfikacja potencjalnych zagrożeń

Cz. 3. Ochrona sieci

Cz .4. Ochrona komputerów klienckich

Cz .5. Ochrona serwerów

Cz .6. Zagrożenia fizyczne

Cz .7. Edukacja i plan reakcji

dodany: 20.12.2012 | tagi: , ,

Jak chronić się przed malware – poradnik dla użytkowników systemów Windows – cz. 1.

0

Jesteś administratorem firmowej sieci i przeraża Cię perspektywa utraty służbowych danych? Nie czujesz się bezpiecznie korzystając z Internetu w swoim domu? To dobrze trafiłeś. Rozpoczynamy cykl publikacji poradnika obrony przed malware. W kilku kolejnych odsłonach postaramy się przybliżyć jak stworzyć kompleksową strategię obrony przed złośliwym oprogramowaniem, nie pomijając przy tym żadnych elementów infrastruktury. Po przejściu 7 kroków „Obrony w głąb” będziesz mieć pewność, że zrobiłeś wszystko dla bezpieczeństwa swoich danych.

 

Po co i dla kogo jest ten poradnik?

 

Niniejszy poradnik ma na celu dostarczenie najnowszych informacji, pomocnych w zaplanowaniu najlepszej i najbardziej opłacalnej strategii obrony przed złośliwym oprogramowaniem, zwanym malware (z ang. malicious software). W naszych poradach podpieramy się autorytatywnymi wytycznymi od ekspertów z firmy Microsoft. Przewodnik ten traktuje temat ogólnie, dlatego przeznaczony jest zarówno dla specjalistów IT oraz architektów zabezpieczeń sieciowych w większych organizacjach, jak i dla zwykłych, domowych użytkowników. Dodatkowo podajemy odnośniki do szczegółowych informacji na temat danego zagadnienia. Zasady oraz wskazówki tu przytoczone, mogą być pomocne w planowaniu nowej infrastruktury albo podczas rozbudowywania już istniejącej. Nasz poradnik ma za zadanie przede wszystkim:

• Pomóc poznać i zrozumieć zagrożenia.

• Wskazać zalecenia i instrukcje do obrony.

• Pokazać ewentualne konsekwencje poszczególnych rozwiązań.

• Dostarczyć wskazówek dla organizacji i przedsiębiorstw do zaplanowania skutecznej obrony przed malware.

Poradnik obejmuje 7 głównych kroków, zawierających zadania ogólne oraz porady dotyczące zagadnień konkretnych. Każdy rozdział został opatrzony pytaniami końcowymi, pomocnymi w sprawdzeniu czy dobrze zrozumieliśmy jego treść.

 

Wprowadzenie do ochrony przed malware

 

Mimo, że wiele małych i średnich organizacji wykorzystuje oprogramowanie AV, nowe wirusy, robaki i inne formy złośliwego oprogramowania wciąż infekują znaczna liczbę komputerów. Malware rozprzestrzenia się dziś z zastraszającą prędkością oraz na tak wiele różnych sposobów, że stało się szczególnie powszechne. Trudno wytłumaczyć, dlaczego pomimo instalacji oprogramowania antywirusowego, twórcom malware wciąż udaje się odnosić sukcesy w swojej działalności. Można jednak wskazać kilka niezmiennie typowych sytuacji, sprzyjających rozwojowi i rozprzestrzenianiu się złośliwców:

• Klikanie w załączniki podejrzanych e-maili.

• Nierozpoznawanie przez programy AV najnowszych wirusów.

• Beztroska oraz zbytnia ufność użytkowników w możliwości firewalla.

• Brak aktualnych poprawek do oprogramowania serwerów.

Sukcesy przestępców, wykorzystujących cyberprzestrzeń pokazują, że standardowe podejście do oprogramowania antymalware może już nie być wystarczające dla każdego komputera w organizacji. Infekcje rozprzestrzeniają się z przerażającą prędkością. Twórcy malware działają szybciej niż przemysł oprogramowania AV jest w stanie wykryć, zidentyfikować i dostarczyć skutecznych narzędzi antywirusowych. Złośliwi programiści używają coraz bardziej zaawansowanych technik i form, co znacznie uniemożliwia wykrycie szkodliwego oprogramowania. Wśród takich technik warto wyszczególnić kilka najważniejszych:

 

Socjotechnika. Atakujący przesyła wiadomość naśladującą oficjalne komunikaty lub informacje pochodzące od administratora systemu. Taka strategia wpływa na wiarygodność wiadomości i zwiększa prawdopodobieństwo, że użytkownicy wykonają pożądane zadanie i zainfekują swój system.

Botnety. Są to całe sieci tzw. komputerów-zombie, zainfekowanych złośliwym oprogramowaniem. Mogą być zdalnie sterowane przez atakującego. Są odpowiedzialne za większość wysyłanego dziś spamu.

Kradzież adresów e-mail. Twórcy wykradają z zainfekowanych systemów adresy e-mail, dzięki którym mogą docierać do nowych ofiar.

Spamowy czarny rynek. Skradzione adresy e-mail mogą być wymieniane przez cyberprzestępców na nowe warianty złośliwego oprogramowania, narzędzia czy kody źródłowe wirusów. Mogą być także sprzedawane innym, zainteresowanym wykorzystaniem takich adresów, np. do produkcji i dystrybucji spamu.

Zagnieżdżenie w silnikach poczty. Wiele form złośliwego oprogramowania wykorzystuje dziś silniki poczty elektronicznej. Wpływa to na niezwykłą szybkość i skalę ekspansji malware.

Wykorzystywanie dodatków do przeglądarek. Twórcy malware coraz częściej wykorzystują luki w dodatkach do przeglądarek.

Wykorzystanie nowych technologii internetowych. Kiedy jakieś narzędzie internetowe zyskuje popularność, twórcy złośliwego oprogramowania szybko badają w jaki sposób mogą wykorzystać je dla swoich korzyści. Stosując przeróżne techniki, takie jak web scraping (dosł. ‚zeskrobywanie’ – polegjące na wydobywaniu danych z używanego przez nas programu), mogą wyciągać z popularnych witryn personalia użytkowników. Często sami użytkownicy ułatwiają pracę phisherów (‚wyłudzaczy’), przez używanie tych samych loginów i haseł na różnych witrynach. Haker może łatwo wykorzystać dane zdobyte na jednym portalu do ataku na innym, np. skorzystać z naszego konta w serwisie banku czy na portalu aukcyjnym.

 

Planowanie ochrony przed złośliwym oprogramowaniem

 

Wszystkie organizacje powinny wdrażać rozwiązania antywirusowe w swoich strukturach sieciowych. Rozwiązania te powinny zapewniać jak najwyższy poziom ochrony. Jednak wiele firm, nawet po zainstalowaniu oprogramowania, nadal zostaje zarażona. W naszym poradniku proponujemy inne podejście do problemu złośliwego oprogramowania. Przyjrzymy się rodzajowi strategii, nazywanemu „Obrona w głąb” (z ang. defense-in-depth). Pojęcie to obejmuje trzy poziomy bezpieczeństwa:

prewencję (czyli zapobieganie),

nadzór (w tym wykrywanie i przewidywanie zagrożeń),

minimalizację negatywnych skutków.

 

Kolejne części poradnika:

Cz. 2. Identyfikacja potencjalnych zagrożeń

Cz. 3. Ochrona sieci

Cz .4. Ochrona komputerów klienckich

Cz .5. Ochrona serwerów

Cz .6. Zagrożenia fizyczne

Cz .7. Edukacja i plan reakcji

dodany: 06.12.2012 | tagi: , ,

(Nie)bezpieczne aplikacje biznesowe – część 3

9

Jak chronić aplikacje biznesowe?

Redukowanie ryzyka zagrożeń aplikacji biznesowych ma na celu zmniejszenie go do poziomu akceptowalnego. Zadaniem środków ochrony jest zapewnienie poufności, integralności i dostępności informacji przetwarzanych za pomocą aplikacji biznesowych.

Budując system ochrony informacji dla aplikacji biznesowej istotne znaczenie stanowią zabezpieczenia programowe, które powinny obejmować: odpowiednią ochronę dostępu na poziomie logicznym, odpowiedni poziom ochrony kryptograficznej oraz integralności informacji oraz podpis elektroniczny dla uwierzytelniania i niezaprzeczalności.

(więcej…)