Введение
Ознакомьтесь с этим руководством по безопасности для компаний среднего
размера. Корпорация Майкрософт надеется, что приведенные в документе
сведения помогут создать более безопасную и производительную
вычислительную среду.
Аннотация
Вредоносные программы становятся всё более сложными и изощренными,
поэтому необходимо использовать программные и аппаратные средства,
помогающие предотвращать угрозы и атаки с их стороны.
Угрозы со стороны вредоносных программ очень дорого обходятся компаниям
среднего размера в плане технологий и операций защиты от атак и
реагирования на них. Появление Интернета значительно расширило спектр
внешних угроз, которым подвержены компании среднего размера. В то же время
никуда не делись и прежние серьезные угрозы, такие как внутренние
атаки.
Внутренние атаки, имеющие наивысший потенциал для нанесения ущерба,
являются результатом деятельности занимающих ключевые посты сотрудников
организации (инсайдеров), например администраторов сети. Инсайдеры,
участвующие во вредоносной деятельности, могут преследовать определенные
цели, например установку троянской программы или несанкционированный
просмотр файловой системы, имея при этом доступ к компьютерам на вполне
законных основаниях. Еще чаще такие сотрудники не имеют дурных намерений,
но могут способствовать проникновению вредоносной программы,
непреднамеренно подключив зараженные компьютеры или устройства к
внутренней сети. Это приводит к нарушению целостности или
конфиденциальности системы, отрицательное влияет на ее производительность
и доступность, а также емкость хранилища данных.
Анализируя внутренние и внешние угрозы, многие организации среднего
размера начинают интересоваться системами, помогающими осуществлять
наблюдение за сетью и обнаруживать атаки. К таким системам относятся и
ресурсы, помогающие в режиме реального времени управлять рисками,
связанными с вредоносными программами.
Обзор
Этот документ содержит сведения о стратегиях управления рисками,
связанными с вредоносными программами, в компаниях среднего размера. Этот
документ состоит из четырех основных разделов: «Введение», «Определение»,
«Трудности» и «Решения».
Определение
В этом разделе объясняется, что представляют собой вредоносные
программы (и что не является вредоносными программами), рассказывается об
их характеристиках и управлении рисками.
Трудности
В этом разделе описываются многие основные трудности, связанные с
вредоносными программами, с которыми сталкиваются компании среднего
размера, в частности:
| • |
обычные активы информационной системы; |
| • |
Общие угрозы |
| • |
Уязвимости |
| • |
обучение конечных пользователей и разъяснение правил
поведения; |
| • |
нахождение равновесия между управлением рисками и потребностями
бизнеса. |
Решения
Этот раздел содержит дополнительные сведения о политиках, подходах и
стратегиях, в число которых входят:
| • |
физические и логические политики; |
| • |
упреждающие и реагирующие подходы к защите от вредоносных
программ и вирусов; |
| • |
стратегии, помогающие сократить риск заражения вредоносными
программами. |
Также в этом разделе рассматриваются оценки и управление рисками,
связанными с вредоносными программами, как часть стратегий по
предотвращению угроз от вредоносных программ. Данный раздел также содержит
сведения о средствах наблюдения и создания отчетов, предназначенных для
поиска, обнаружения и сообщения о действиях вредоносных программ.
Для кого предназначено это руководство
Этот документ в первую очередь предназначен для руководителей и
ИТ-специалистов компаний среднего размера. Он призван помочь им лучше
разобраться в угрозах, исходящих от вредоносных программ, понять, как
защититься от этих угроз и быстро и адекватно отреагировать на атаку
вредоносных программ.
Определение
Вредоносные программы — это краткое название для вредоносного
программного обеспечения. Это собирательное название для вирусов, червей и
троянских программ, которые намеренно выполняют вредоносные действия на
компьютере. С технической точки зрения, вредоносная программа — это любой
вредоносный код.
Сведения о различных типах вредоносных программ
В следующих подразделах описываются различные категории вредоносных
программ.
Скрытые угрозы
| • |
Троянская программа. Программа, кажущаяся полезной или
безвредной, но содержащая скрытый код, предназначенный для
использования уязвимости или нанесения ущерба компьютеру, на котором
эта программа выполняется. Троянские программы (также называемые
троянским кодом) наиболее часто поступают к пользователям с
сообщениями электронной почты, в которых неверно указываются
назначение и функции программы. Троянские программы выполняют свою
миссию, активируя вредоносный заряд при
запуске. |
Вредоносные программы, заражающие компьютер
| • |
Червь. В червях используется самораспространяющийся
вредоносный код, который может автоматически распространяться от
одного компьютера к другому по сети. Червь может выполнять
вредоносные действия, например потреблять сетевые ресурсы или
ресурсы локального компьютера, порой приводя к возникновению атаки
вида «отказ в обслуживании». Некоторые черви могут выполняться и
распространяться без вмешательства пользователя, в то время как
другие требуют, чтобы пользователь выполнил код червя, чтобы он мог
распространиться. Помимо размножения черви могут выполнять и другие
действия. |
| • |
Вирус. В вирусах используется код, специально
ориентированный на самостоятельное размножение. Вирусы
распространяются с одного компьютера на другой, присоединяясь к
программе-носителю. Вирусы могут повреждать аппаратные средства,
программное обеспечение и данные. При выполнении основной программы
выполняется и код вируса, который заражает другие программы, а
иногда производит и еще какие-то действия. |
Вредоносные программы, используемые для извлечения прибыли
| • |
Программы-шпионы. Этот тип программного обеспечения
называют иногда шпионскими роботами или отслеживающим программным
обеспечением. Программы-шпионы используют другие виды мошеннических
программ, которые выполняют на компьютере определенные действия без
ведома пользователя. Эти действия включают в себя сбор личных данных
и изменение настроек интернет-обозревателя. Помимо раздражения
программы-шпионы становятся причиной множества разных проблем: от
снижения общей производительности компьютера до нарушения
конфиденциальности личных данных.
Веб-узлы, распространяющие программы-шпионы, используют разные
уловки, чтобы заставить пользователей загрузить и установить эти
программы на свои компьютеры. К таким уловкам относится введение
пользователей в заблуждение и скрытое объединение программ-шпионов в
пакеты с другим программным обеспечением, которое может быть
необходимо пользователю, например бесплатными программами для обмена
файлами. |
| • |
Программы для показа рекламы. Тип программного
обеспечения, показывающего рекламу. В частности, к этому типу
относятся определенные исполняемые приложения, основным
предназначением которых является доставка рекламного содержимого
неожиданным или нежелательным для пользователя способом либо в
неожиданном или нежелательном контексте. Многие рекламные приложения
выполняют также функции слежения за пользователем, следовательно, их
можно классифицировать как технологии отслеживания. Некоторые
клиенты могут захотеть удалить программу для показа рекламы, если
они возражают против такого отслеживания, не желают смотреть
рекламу, показываемую программой, или недовольны ее влиянием на
производительность компьютера. И наоборот, некоторые пользователи
могут пожелать оставить определенные рекламные программы, если их
присутствие компенсирует стоимость нужного программного продукта или
услуги либо если эти программы показывают полезную или интересную
рекламу, например, предлагающую альтернативу или дополнения к тому,
что пользователь ищет. |
Дополнительные сведения см. в статье Malware
(Вредоносные программы) энциклопедии Wikipedia по адресу
http://en.wikipedia.org/wiki/Malware (эта ссылка может указывать на
содержимое полностью или частично на английском языке) и в разделе What
is Malware? (Что такое вредоносные программы?)руководства по
углубленной защите от вирусов по адресу
www.microsoft.com/technet/security/topics/serversecurity/avdind_2.mspx#ELF
(эта ссылка может указывать на содержимое полностью или частично на
английском языке).
Сведения о поведении вредоносных программ
Различные характеристики, присущие каждой категории вредоносных
программ, зачастую очень похожи. Например, и вирус, и червь используют
сеть в качестве механизма распространения. Однако вирус ищет файлы для
заражения, в то время как червь просто пытается скопировать себя. В
следующем разделе приведены краткие объяснения типичных характеристик
вредоносных программ.
Атакуемые системы
Для того чтобы атака вредоносной программы оказалась успешной,
атакуемый компьютер должен иметь ряд определенных компонентов.
Перечисленные ниже компоненты являются типичными примерами тех типов
компонентов, которые могут быть необходимы вредоносной программе для атаки
на узел:
| • |
Устройства. Некоторые вредоносные программы атакуют только
устройства определенного типа, например персональные компьютеры,
компьютеры Apple Macintosh или даже карманные компьютеры (КПК). Все
более популярными целями для атаки становятся мобильные устройства,
например сотовые телефоны. |
| • |
Операционные системы. Для успешной атаки вредоносным
программам может потребоваться определенная операционная система.
Например, вирус CIH или «Чернобыль» конца 1990-х годов мог атаковать
компьютеры только с Microsoft® Windows® 95 или Windows 98. Более
новые операционные системы более безопасны. К сожалению, вредоносные
программы также совершенствуются. |
| • |
Приложения. Для успешного выполнения своих действий или
распространения вредоносным программам может потребоваться, чтобы на
атакуемом компьютере было установлено определенное приложение.
Например, появившийся в 2002 году вирус LFM.926 мог атаковать только
в том случае, если на локальном компьютере могли выполняться файлы
Shockwave Flash (SWF). |
Объекты-носители
Если вредоносная программа является вирусом, она предпримет попытку
заразить целевой объект-носитель (также известный как хозяин). Количество
и тип целевых объектов-носителей меняется в широких пределах для различных
видов вредоносных программ, но в следующем списке приведены наиболее
распространенные примеры целевых носителей.
| • |
Исполняемые файлы. Эти носители являются целью вирусов
«классического» типа, которые распространяются, прикрепляясь к
программе-хозяину. Помимо типичных исполняемых файлов с расширением
EXE для этой цели могут также использоваться файлы со следующими
расширениями: COM, .SYS, DLL, OVL, OCX и PRG. |
| • |
Сценарии. Атаки, при которых в качестве носителей
выступают сценарии, направлены на файлы, в которых используются
языки сценариев, например Microsoft Visual Basic® Script,
JavaScript, AppleScript или Perl Script. Примеры расширений файлов
этого типа: VBS, JS, WSH и PRL. |
| • |
Макросы. Эти носители являются файлами, поддерживающими
язык макрокоманд определенного приложения, например текстового
редактора, электронных таблиц или приложения баз данных. Например,
вирусы могут использовать макроязык Microsoft Word и Lotus Ami Pro
для выполнения ряда действий, начиная с хулиганских (переставление в
документе слов местами или изменение цветов) и заканчивая
вредоносными (форматирование жесткого диска
компьютера). |
Механизмы распространения
При атаке может использоваться один или несколько различных методов
распространения между компьютерами. Этот раздел содержит сведения о ряде
наиболее часто встречающихся механизмов распространения, используемых
вредоносными программами.
| • |
Сменные носители. Передача файлов — это исторически первый
и, вероятно, наиболее эффективный (или являвшийся таковым до
последнего времени) метод переноса компьютерных вирусов и иных
вредоносных программ. Первоначально в качестве механизма переноса
использовались дискеты, затем — компьютерные сети, а теперь
осваиваются новые носители, такие как USB-устройства и Firewire.
Скорость распространения не так высока, как у вредоносных программ,
распространяющихся по сети, однако, эта угроза всегда актуальна, и
ее трудно полностью искоренить ввиду наличия необходимости в обмене
данными между компьютерами. |
| • |
Общие сетевые ресурсы. Когда компьютеры получили
возможность подключаться друг к другу по сети, создатели вредоносных
программ получили новый механизм распространения, позволивший
превзойти возможности сменных носителей для распространения
вредоносного кода. Плохо организованная безопасность общих сетевых
ресурсов создает среду, в которой вредоносные программы могут
распространяться на большое количество компьютеров, подключенных к
сети. Этот способ в значительной степени вытеснил способ, связанный
с использованием сменных носителей. |
| • |
Одноранговые сети. Для передачи файлов в одноранговой сети
пользователю необходимо сначала установить клиентский компонент
файлообменного приложения, который будет использовать
сеть. |
Дополнительные сведения см. в разделе Malware
Characteristics (Характеристики вредоносных программ)руководства по
углубленной защите от вирусов по адресу
www.microsoft.com/technet/security/topics/serversecurity/avdind_2.mspx#EQAAC
(эта ссылка может указывать на содержимое полностью или частично на
английском языке).
Что не подпадает под определение вредоносного программного
обеспечения
Существуют разные угрозы, которые не считаются вредоносным программным
обеспечением, поскольку не являются компьютерными программами, написанными
с вредоносными намерениями. Тем не менее, эти угрозы могут иметь
последствия для безопасности или причинить финансовые убытки компаниям
среднего размера. В следующем списке приведены типичные примеры угроз,
которые следует учитывать и осознавать при разработке комплексной
стратегии безопасности.
| • |
Шуточное программное обеспечение. Шуточные приложения
разрабатываются, чтобы вызвать улыбку либо, в худшем случае,
потратить чье-либо время. Эти приложения существуют столь же долго,
сколько люди используют компьютеры. Поскольку эти приложения не
разрабатывались с вредоносными намерениями и их можно рассматривать
как шутку, они не могут считаться вредоносным программным
обеспечением в терминах данного руководства. Существует множество
шуточных приложений, выполняющих различные действия: от интересных
экранных эффектов до забавных анимационных роликов и игр. |
| • |
Мистификации. Примером мистификации является ложное
сообщение о вирусе, которого на самом деле не существует. Как и в
случае с отдельными видами вредоносных программ, при мистификациях
используются методы социотехники, призванные обманным путем
заставить пользователя выполнить какое-либо действие. Однако при
мистификациях не выполняется никакого кода: мошенник обычно просто
пытается обмануть жертву. Типичным примером мистификации является
сообщение электронной почты или цепочка сообщений, где говорится об
обнаружении нового типа вируса и предлагается предупредить друзей,
переслав им это сообщение. Этот тип обманного сообщения приводит к
потере времени, потреблению ресурсов почтового сервера и уменьшению
пропускной способности сети. Тем не менее, мистификации также могут
причинить ущерб, если в них предлагается изменить конфигурацию
компьютера (например удалить разделы реестра или системные
файлы). |
| • |
Аферы. Типичным примером аферы является сообщение
электронной почты, мошенническим путем заставляющее получателя
раскрыть личные данные, которые можно использовать в незаконных
целях (например сведения о банковском счете). Одной из
разновидностей афер является прием, известный под названием
«фишинг», а также как «подмена торговой марки» или «афера с
карточками». |
| • |
Нежелательная почта. Нежелательная почта — это
незапрошенная электронная почта, созданная для рекламы какого-либо
товара или услуги. Это явление обычно вызывает раздражение, однако
нежелательная почта не является вредоносным программным
обеспечением. Тем не менее, значительное увеличение количества
отправляемых нежелательных сообщений является проблемой для
инфраструктуры Интернета. Нежелательная почта также приводит к
снижению производительности труда сотрудников, которым каждый день
приходится просматривать и удалять такие сообщения. |
| • |
Файлы «cookie» из Интернета. Файлы«cookie» из Интернета —
это текстовые файлы, сохраняемые на компьютере пользователя
веб-узлами, которые он посещает. Файлы«cookie» содержат и
предоставляют создающим их на компьютере пользователя веб-узлам
сведения для идентификации пользователя, а также другие сведения о
посещении пользователя, необходимые веб-узлам.
Файлы «cookie» являются законным средством, используемым многими
веб-узлами для отслеживания сведений о посетителе. К сожалению,
известно, что некоторые разработчики веб-узлов используют файлы
«cookie» для сбора сведений без ведома пользователя. Некоторые из
них обманывают пользователей или не упоминают о своих политиках.
Например, они могут отслеживать предпочтения при работе в Интернете
для множества различных веб-узлов, не ставя пользователя в
известность об этом. Разработчики веб-узлов могут впоследствии
использовать эти сведения для настройки рекламы, которую
пользователь видит на веб-узле, что можно рассматривать как
вторжение в частную жизнь. |
Дополнительные подробные сведения о вредоносных программах и их
характеристиках см. в руководстве
по углубленной защите от вирусов на веб-узле Microsoft TechNet по
адресу
www.microsoft.com/technet/security/topics/serversecurity/avdind_0.mspx
(эта ссылка может указывать на содержимое полностью или частично на
английском языке).
Сведения об управлении рисками и вредоносных программах
Корпорация Майкрософт понимает под управлением рисками процесс
выявления рисков и их воздействия.
Внедрение плана управления рисками, связанными с безопасностью, может
представлять слишком большую сложность для компаний среднего размера. В
числе возможных проблем можно назвать недостаток собственного опыта,
бюджетных ресурсов или документации для подрядчиков.
Управление рисками, связанными с безопасностью, представляет собой
упреждающий подход, который может помочь компаниям среднего размера в
планировании собственных стратегий противодействия угрозам со стороны
вредоносных программ.
Формальный процесс управления рисками, связанными с безопасностью,
позволяет компаниям среднего размера работать наиболее эффективным в
экономическом отношении способом с известным и приемлемым уровнем риска
для бизнеса. Этот процесс также помогает выстроить последовательный и
четкий путь к организации и определению приоритетов в условиях
ограниченных ресурсов с целью управления рисками.
Для упрощения задач по управлению рисками корпорация Майкрософт
разработала руководство по управлению рисками, связанными с
безопасностью (эта ссылка может указывать на содержимое полностью или
частично на английском языке), которое содержит сведения об указанных ниже
четырех процессах.
|
1. |
Оценка риска. Выявление и ранжирование рисков для
бизнеса. |
|
2. |
Поддержка принятия решений. Определение и оценка
управляющих решений на основе заданного процесса анализа
«затраты-выгода». |
|
3. |
Внедрение управления. Развертывание и применение
управляющих решений, помогающих снизить уровень риска для
бизнеса. |
|
4. |
Оценка эффективности программы. Анализ эффективности
процесса управления рисками и проверка обеспечения средствами
управления предполагаемого уровня защиты. |
Подробное рассмотрение этой темы выходит за рамки данной статьи. Однако
для планирования, развертывания и внедрения стратегии решений для рисков,
связанных с вредоносными программами, необходимо понимание данной идеи и
процессов. На следующем рисунке показаны четыре основных процесса
управления рисками.
Рис. 1. 4 основных процесса управления
рисками
Дополнительные сведения об управлении рисками см. в статье «Руководство по управлению рисками, связанными с
безопасностью» на веб-узле Microsoft TechNet.
