Стратегии управления рисками, связанными с вредоносными программами

Трудности

Атаки вредоносных программ могут осуществляться по различным направлениям и различными способами, используя определенное слабое место. При выполнении оценки рисков компаниям среднего размера рекомендуется определить не только уязвимые места, но и уровень риска, приемлемый для данной компании. Компаниям среднего размера необходимо разработать стратегии уменьшения рисков, связанных с вредоносными программами.

Ниже перечислены некоторые трудности, возникающие при уменьшении рисков, связанных с вредоносными программами, в системах организаций среднего размера.

•	Общие активы информационной системы.
•	Общие угрозы
•	Уязвимости
•	Обучение пользователей
•	Нахождение равновесия между управлением рисками и потребностями бизнеса.

Общие активы информационной системы

Средства защиты информационных систем обеспечивают необходимые сведения для управления безопасностью в компаниях среднего размера. Термин «общие активы информационной системы» относится как к физическим, так и логическим аспектам компании. Они могут включать в себя серверы, рабочие станции, программное обеспечение и пользовательские лицензии.

Данные о деловых контактах сотрудников, мобильные компьютеры, маршрутизаторы, данные о сотрудниках, стратегические планы, внутренние веб-узлы и пароли сотрудников являются общими активами информационной системы. Полный список приведен в Приложении A «Общие активы информационной системы» в конце этого документа.

Распространенные угрозы

Способы, используемые вредоносными программами для атаки на компании среднего размера, иногда называются направлениями атаки и представляют собой области, которые требуют наиболее пристального внимания при разработке эффективного решения для уменьшения рисков, связанных с вредоносными программами. В число распространенных угроз входят стихийные бедствия, механические неисправности, действия злоумышленников и неосведомленных пользователей, социотехника, вредоносный мобильный код, а также недовольные сотрудники. Столь широкий диапазон угроз представляет трудности не только для компаний среднего размера, но и для компаний любого размера.

Приложение B «Общие угрозы» в конце этого документа содержит обширный список угроз, которым могут быть подвержены компании среднего размера.

Уязвимости

Уязвимости представляют собой слабые места в процедурах и политиках безопасности информационной системы, административном управлении, физическом размещении, внутреннем управлении и других областях, которые могут использоваться для получения несанкционированного доступа к сведениям или прерывания критически важных процессов.  Уязвимости бывают как физическими, так и логическими. В их число входят стихийные бедствия, механические неисправности, неправильные настройки программного обеспечения, необновленное программное обеспечение и человеческие ошибки. Приложение C «Уязвимости» в конце этого документа содержит обширный список уязвимостей, которые могут проявляться в компаниях среднего размера.  

Обучение пользователей

Когда речь идет о физической и логической информационной безопасности, главной уязвимостью зачастую оказываются не недостатки компьютеров или программного обеспечения, а пользователи компьютеров. Сотрудники могут допускать такие распространенные ошибки как хранение своих паролей там, где их могут увидеть другие, загрузка и открытие вложений электронной почты, которые содержат вирусы, или оставление компьютера включенным на ночь. Поскольку человеческий фактор оказывает значительное влияние на компьютерную безопасность, обучение сотрудников, ИТ-персонала и руководства должно быть приоритетной задачей. Столь же важно выработать у всех сотрудников полезные привычки, связанные с безопасностью. Эти подходы являются наиболее экономичными для организации в долгосрочной перспективе. В процессе обучения пользователей необходимо снабдить рекомендациями, помогающими избежать вредоносных действий, и предоставить сведения о возможных угрозах и способах их предотвращения. Пользователи должны твердо усвоить перечисленные ниже правила обеспечения безопасности.

•	Никогда не отвечать на запросы по электронной почте финансовых или личных сведений.
•	Никогда не сообщать пароли.
•	Не открывать подозрительные вложения электронной почты.
•	Не отвечать на любые подозрительные или нежелательные сообщения электронной почты.
•	Не устанавливать не прошедшие проверку приложения.
•	Блокировать компьютеры, если они не используются, используя защищенную паролем экранную заставку или диалоговое окно CTRL-ALT-DELETE.
•	Включить брандмауэр.
•	Использовать на удаленных компьютерах надежные пароли.

Политики

Для реализации рекомендаций по обеспечению безопасности политики и утвержденные процедуры обязательно должны быть изложены в письменном виде. Необходимыми условиями эффективности всех ИТ-политик являются их поддержка со стороны высшего руководящего звена, наличие механизма реализации, способов информирования и обучения пользователей. В частности, политики могут охватывать перечисленные ниже сферы.

•	Методы обнаружения вредоносных программ на компьютере.
•	Процедуры сообщения о возможном заражении.
•	Действия, которые должны выполнять пользователи, чтобы помочь специалисту по устранению неполадок (например сообщить о последнем действии, выполненном перед заражением компьютера).
•	Процессы и процедуры избавления от уязвимостей операционных систем и приложений, которыми могут воспользоваться вредоносные программы.
•	Управление обновлениями, использование руководств по конфигурации системы безопасности и контрольных списков.

Нахождение равновесия между управлением рисками и потребностями бизнеса.

Инвестирование в процесс управления рисками помогает подготовить компании среднего размера к формулировке приоритетов, планированию борьбы с угрозами и устранению новых угроз и уязвимостей.

Расходы на ИТ-безопасность могут определяться ограничениями бюджета, но хорошо структурированная методика управления рисками при эффективном использовании способна помочь руководству выбрать подходящие средства управления для обеспечения защитных функций, необходимых для выполнения поставленных задач.

Компаниям среднего размера необходимо найти тонкую грань равновесия между управлением рисками и потребностями своего бизнеса. Ниже перечислены вопросы, которые могут быть полезны при нахождении равновесия между управлением рисками и потребностями бизнеса.

•	Следует ли компании самостоятельно настраивать свои компьютеры или это должен сделать поставщик оборудования или программного обеспечения? Сколько это будет стоить?
•	Следует ли использовать балансировку нагрузки или кластеризацию в качестве механизмов обеспечения высокого уровня доступности приложений? Что необходимо сделать для внедрения этих механизмов?
•	Необходимо ли установить сигнализацию в серверной комнате?
•	Следует ли использовать системы на основе электронных ключей для всего здания или серверной комнаты?
•	Какой бюджет компания может выделить на компьютерные системы?
•	Какой бюджет компания может выделить на техническую поддержку и обслуживание?
•	Сколько денег компания потратила на компьютерные системы (обслуживания оборудования и программного обеспечения) в прошедшем году?
•	Сколько компьютеров имеется на главном объекте компании? Ведется ли инвентаризация компьютерного оборудования и программного обеспечения?
•	Хватает ли мощности старых компьютеров для запуска большей части необходимого программного обеспечения?
•	Сколько необходимо новых или модернизированных компьютеров? Какое количество будет оптимальным?
•	Должен ли у каждого пользователя быть принтер?

Более подробные сведения по управлению рисками см. в руководстве по управлению рисками, связанными с безопасностью.

Решения

В этом разделе рассматриваются различные стратегии управления рисками, связанными с вредоносными программами, включая упреждающий и реагирующий подходы к вредоносным программам, физические и логические политики. Также обсуждаются методы проверки, такие как средства создания отчетов и наблюдения.

Разработка стратегий уменьшения рисков, связанных с вредоносными программами

При разработке стратегий уменьшения рисков, связанных с вредоносными программами, важно задать необходимые ключевые рабочие точки, в которых можно реализовать обнаружение или блокировку вредоносных программ. Когда дело доходит до управления рисками, связанными с вредоносными программами, не следует полагаться исключительно на отдельное устройство или технологию как на единственную линию обороны. Более предпочтительные методы должны включать многоуровневый подход, использующий механизмы упреждения и реагирования по всей сети. Антивирусное программное обеспечение играет в этой области ключевую роль, однако оно не должно быть единственным средством обнаружения атак вредоносных программ. Дополнительные подробные сведения о многоуровневом подходе см. в разделе The Malware Defense Approach (Подход к защите от вредоносных программ) руководства по углубленной защите от вирусов.

Далее подробно рассматриваются перечисленные ниже ключевые рабочие точки.

•	Оценка рисков, связанных с вредоносными программами.
•	Физическая безопасность.
•	Логическая безопасность.
•	Сравнение политик и процедур упреждения и реагирования.
•	Развертывание и управление.

Оценка рисков, связанных с вредоносными программами

При оценке рисков, связанных с вредоносными программами, компаниям среднего размера необходимо помнить о направлениях атаки, наиболее уязвимых для угроз. Как они защищены и в какой степени? Необходимо рассмотреть перечисленные ниже вопросы.

•	Установлен ли в компании брандмауэр? Брандмауэры являются важной составляющей защиты периметра. Сетевой брандмауэр обычно является первой линией защиты компьютеров, сетей и важных данных организации от внешних угроз. Компаниям среднего размера следует использовать программные или аппаратные брандмауэры.
•	Имеет ли компания возможность провести внутренний или внешний анализ для поиска уязвимостей? Каким образом анализируются собранные сведения? Для поиска ошибок в конфигурации или уязвимостей рекомендуется использовать такое средство как Microsoft Baseline Security Analyzer (MBSA). Также можно доверить процесс поиска уязвимостей сторонней организации, наняв другую компанию для оценки системы защиты и выдачи рекомендаций по внесению необходимых улучшений. Примечание.   MBSA представляет собой простое в использовании средство, разработанное для ИТ-специалистов, позволяющее малым и средним компаниям определить состояние системы безопасности в соответствии с рекомендациями по безопасности корпорации Майкрософт. Оно также предлагает рекомендации по устранению уязвимостей. Использование MBSA для обнаружения общих ошибок в конфигурации системы безопасности и отсутствующих обновлений системы безопасности на компьютерах компании помогает улучшить управление безопасностью.
•	Имеется ли в наличии план оценки резервного копирования и восстановления? Убедитесь в наличии плана резервного копирования и эффективной работе сервера резервного копирования.
•	Сколько видов антивирусных программ используется в организации? Установлено ли на всех компьютерах антивирусное программное обеспечение? Использование единственной антивирусной платформы может подвергнуть компанию риску, поскольку каждая программа имеет сильные и слабые стороны.
•	Используется ли в компании беспроводная сеть? Если да, то включены ли средства защиты беспроводной сети и правильно ли выполнена их настройка? Даже если обычная сеть надежно защищена, незащищенная беспроводная сеть может подвергнуть компанию недопустимому риску в безопасной в остальных отношениях среде. Старые беспроводные стандарты, например WEP, легко взламываются, поэтому необходимо провести исследование, чтобы убедиться в том, что используется подходящее решение для обеспечения безопасности беспроводной сети.
•	Обучены ли сотрудники мерам предосторожности, связанным с вредоносными программами? Имеют ли они представление о рисках, связанных с вредоносными программами? Вредоносные программы используют для распространения методы социотехники, а наиболее эффективной защитой от методов социотехники является обучение.
•	Имеется ли сформулированная в письменном виде политика предотвращения или устранения угроз, связанных с вредоносными программами? Как часто эта политика пересматривается? Реализуется ли она? Насколько точно персонал придерживается этой политики? Убедитесь в том, что пользователи обучены мерам по предотвращению угроз, связанных с вредоносными программами. Очень важно, чтобы все эти сведения были документированы; необходимо наличие и использование учитывающих приведенные выше сведения письменной политики и процедур. Эту политику необходимо пересматривать при любых изменениях, чтобы гарантировать эффективность и действенность принятых политик.

Физическая безопасность

Физическая безопасность заключается в ограничении доступа к оборудованию в целях предотвращения нежелательных манипуляций, краж, человеческих ошибок и последующих простоев, вызванных этими действиями.

Хотя физическая безопасность является более общей проблемой безопасности, чем вредоносное программное обеспечение, невозможно защититься от вредоносных программ, не имея плана эффективной физической защиты всех клиентских, серверных и сетевых устройств в инфраструктуре организации.

Следующий список содержит критически важные для создания плана эффективной физической защиты элементы.

•	Безопасность здания. Кто имеет доступ в здание?
•	Кадровая безопасность. Насколько ограничены права доступа сотрудников?
•	Точки доступа к сети. Кто имеет доступ к сетевому оборудованию?
•	Серверы. Кто имеет права доступа к серверам?
•	Рабочие станции. Кто имеет права доступа к рабочим станциям?

Если один из этих элементов уязвим, существует повышенная вероятность того, что вредоносным программам удастся обойти внешние и внутренние защитные барьеры сети, чтобы заразить компьютер в сети. Защита доступа к помещениям и компьютерному оборудованию должна быть фундаментальным элементом стратегий безопасности.

Более подробные сведения см. в статье 5-Minute Security Advisor - Basic Physical Security (5-минутное руководство по безопасности — основы физической безопасности).

Логическая безопасность

Программные меры безопасности для информационных систем в компаниях среднего размера включают доступ пользователей по идентификатору и паролю, проверку подлинности и права доступа, и каждый из этих компонентов критически важен для управления рисками, связанными с вредоносными программами. Эти меры безопасности гарантируют, что только пользователи, прошедшие проверку, могут выполнять действия или получать доступ к сведениям на определенном сервере или рабочей станции в сети. Администраторы должны настроить компьютеры таким образом, чтобы они соответствовали рабочей функции пользователя компьютера. Настройка этих мер безопасности включает перечисленные ниже действия.

•	Ограничение доступных прикладных и служебных программ только необходимыми для исполнения служебных обязанностей.
•	Усиленный контроль над ключевыми системными каталогами.
•	Более тщательный аудит.
•	Использование политик с наименьшими привилегиями
•	Ограничение использования сменных носителей, например дискет.
•	Кому необходимо предоставить права администратора сервера резервного копирования, почтовых серверов и файловых серверов?
•	Кто должен иметь доступ к папкам отдела кадров?
•	Какие привилегированные права необходимо предоставить для общих папок подразделений?
•	Может ли рабочая станция использоваться различными пользователями? Если да, какой уровень доступа необходимо предоставить? Разрешено ли пользователям устанавливать программное обеспечение на своих рабочих станциях?

Идентификаторы пользователя, идентификаторы для входа в систему или учетные записи и имена пользователей являются уникальными личными идентификаторами пользователей компьютерной программы или сети, доступной нескольким пользователям. Проверка подлинности — это процесс проверки того, что лицо или объект является тем, кем представляется. Примерами проверки подлинности являются подтверждение источника и целостности сведений, например проверка цифровой подписи или проверка идентификатора пользователя или компьютера. Для повышения безопасности настоятельно рекомендуется, чтобы каждая учетная запись для входа в систему имела пароль — секретные данные для проверки подлинности, используемые для контроля доступа к ресурсу или компьютеру. После входа пользователя в сеть необходимо задать соответствующие права доступа. Например, определенный пользователь может иметь доступ к папке отдела кадров, но с правами только для чтения и не имея возможности вносить какие-либо изменения.

Ниже перечислены некоторые проблемы логической безопасности.

•	Рекомендации, связанные с паролями, например срок действия пароля и его сложность.
•	Резервное копирование данных и программного обеспечения.
•	Конфиденциальные сведения и важные данные — используйте шифрование там, где это необходимо.

Необходимо обеспечить функции проверки подлинности и авторизации, соответствующие целям использования и приемлемому уровню риска. Необходимо обращать внимание как на серверы, так и на рабочие станции. Все вышеупомянутые элементы логической безопасности должны быть четко прописаны, обязательны к использованию и доступны для всех сотрудников компании в качестве контрольных точек.

Сравнение упреждающих и реагирующих политик и процедур

Для управления рисками, связанными с вредоносным программным обеспечением, используются два основных подхода: упреждающий и реагирующий. Упреждающие подходы включают все меры, направленные на предотвращение успешных атак на компьютеры или сеть. Реагирующие подходы — это процедуры, используемые в компаниях среднего размера после обнаружения проникновения в компьютеры или их заражения троянской программой или иной вредоносной программой.

Реагирующие подходы

При нарушении системы защиты компьютера или сети должен запускаться процесс реагирования. Реакция на нарушение безопасности — это метод изучения проблемы, анализа ее причин, минимизации последствий, устранения проблемы и документирования каждого действия в рамках реагирования для последующего использования.

Наряду с мерами, предпринимаемыми для предотвращения будущих бизнес-потерь, у каждой компании также имеются план действий на случай таких потерь, если упреждающие меры оказались неэффективными или просто не были приняты. Методы реагирования включают в себя планы аварийного восстановления, переустановку операционных систем и приложений на скомпрометированных компьютерах и переключение на другие компьютеры, находящиеся в других местах. Наличие соответствующего набора мер реагирования и готовность к их выполнению так же важны, как и наличие упреждающих мер.

На следующей диаграмме иерархии реагирующих откликов показаны действия при инцидентах с участием вредоносных программ. Дополнительные сведения об этих действиях приведены ниже.

Рис. 2. Иерархия реагирующих откликов

•	Защита жизни и безопасности людей. Если в число подверженных опасности компьютеров входят системы жизнеобеспечения, их отключение может быть недопустимым. Возможно, такие компьютеры удастся изолировать от сети логически, перенастроив маршрутизаторы и коммутаторы, не прерывая их работу по оказанию помощи пациентам.
•	Изоляция ущерба. Изоляция нанесенного атакой ущерба позволяет ограничить дополнительный ущерб. Защитите важные данные, программное обеспечение и оборудование как можно быстрее.
•	Оценка ущерба. Немедленно сделайте копии жестких дисков на всех серверах, которые были атакованы, и сохраните эти копии для последующего использования в суде. Затем оцените ущерб.
•	Определение причины ущерба. Чтобы определить происхождение атаки, необходимо понять, какие ресурсы были целью атаки и какие уязвимости использовались для получения доступа или нарушения работы. Проверьте конфигурацию системы, установленные исправления, системные журналы, журналы и дневники аудита на непосредственно подвергшихся атаке компьютерах, а также сетевых устройствах, которые осуществляли маршрутизацию трафика на эти компьютеры.
•	Устранение ущерба. Очень важно как можно быстрее устранить ущерб, чтобы восстановить нормальную работу компании и восстановить все данные, которые были потеряны при атаке.
•	Пересмотр политик реагирования и обновления. После завершения этапов документирования и восстановления необходимо тщательно пересмотреть политики реагирования и обновления.

Что следует делать, если компьютеры в сети заражены вирусами? В следующем списке содержатся примеры реагирующего подхода.

•	Убедитесь в том, что брандмауэр работает. Установите контроль над входящим и исходящим трафиком на компьютерах и в сети.
•	В первую очередь разберитесь с наиболее вероятными подозреваемыми. Устраните наиболее распространенные угрозы со стороны вредоносных программ, а затем проверьте наличие неизвестных угроз.
•	Изолируйте зараженный компьютер. Отключите его от сети и Интернета. Остановите распространение заражения на другие компьютеры в сети в процессе очистки.
•	Изучите методы контроля над заражением и методы очистки.
•	Загрузите последние обновления антивирусных баз, выпущенные поставщиками антивирусного программного обеспечения.
•	Убедитесь в том, что антивирусные системы настроены на проверку всех файлов.
•	Запустите полную проверку компьютера.
•	Восстановите отсутствующие или поврежденные данные.
•	Удалите или вылечите зараженные файлы.
•	Убедитесь в том, что компьютеры очищены от вредоносных программ.
•	Подключите очищенные компьютеры к сети.

Примечание.   Важно убедиться в том, что на всех компьютерах запущены последние версии антивирусного программного обеспечения и процессы регулярного автоматического обновления антивирусных баз. В частности, необходимо, чтобы антивирусное программное обеспечение регулярно обновлялось на переносных компьютерах, используемых мобильными работниками.
Ведите базу данных или журнал, в которых указывается, какие пакеты исправления были установлены на наиболее важные системы организации: компьютеры с доступом в Интернет, брандмауэры, внутренние маршрутизаторы, базы данных и фоновые серверы.

Упреждающие подходы

Упреждающий подход к управлению рисками имеет множество преимуществ перед реагирующим подходом. Вместо того чтобы ждать наступления неприятностей, а затем реагировать на них, можно свести к минимуму саму возможность возникновения неприятностей. Необходимо создать план защиты важных активов организации путем внедрения средств контроля для устранения риска использования уязвимостей вредоносными программами.

Эффективный упреждающий подход позволяет компаниям среднего размера уменьшить количество нарушений безопасности, которые могут возникнуть в будущем. Однако полное исчезновение таких проблем маловероятно. Поэтому необходимо продолжать совершенствование процессов реагирования на нарушения безопасности при одновременной разработке долгосрочных упреждающих подходов. В следующем списке приведено несколько примеров упреждающих мер, которые помогают управлять рисками, связанными с вредоносными программами.

•	Установите на оборудование и маршрутизаторы последние версии микропрограмм, следуя рекомендациям производителей.
•	Установите последние исправлений для системы безопасности для серверных и иных приложений.
•	Подпишитесь на организованные производителями почтовые рассылки по безопасности и устанавливайте исправления по мере необходимости.
•	Убедитесь в том, что на всех компьютерах с операционными системами корпорации Майкрософт установлены последние версии антивирусного программного обеспечения.
•	Убедитесь в том, что запущены процессы регулярного автоматического обновления антивирусных баз. Примечание.   В частности, важно, чтобы регулярно производилось обновление антивирусного программного обеспечения на переносных компьютерах, используемых мобильными работниками.
•	Ведите базу данных, которая содержит сведения об установленных исправлениях.
•	Просматривайте журналы безопасности.
•	Включите брандмауэры по периметру или на компьютерах.
•	Воспользуйтесь программой для поиска уязвимостей, например Microsoft Baseline Security Analyzer, для обнаружения на компьютерах ошибок в конфигурации и отсутствующих обновлений системы безопасности.
•	Используйте учетные записи пользователей с наименьшими привилегиями. При нарушении безопасности процессов с низкими привилегиями они причинят меньше ущерба, чем процессы с высокими привилегиями. Таким образом, использование учетной записи, отличной от учетной записи администратора при выполнении ежедневных задач обеспечивает пользователю дополнительную защиту от заражения вредоносными программами, внешних и внутренних атак на систему безопасности, случайных или намеренных изменений системных настроек и конфигураций и случайного или намеренного доступа к конфиденциальным программам или документам.
•	Обеспечьте реализацию политики использования надежных паролей. Надежные пароли уменьшают вероятность получения злоумышленником дополнительных прав доступа путем атаки методом подбора пароля. Надежные пароли обычно удовлетворяют перечисленным ниже требованиям. • Содержат 15 или более знаков. • Никогда не содержат имен учетных записей, реальных имен или имя компании в любом виде. • Никогда не содержат полных слов, жаргонных терминов или иных удобных для подбора элементов. • Радикальным образом отличаются от предыдущих паролей и не создаются путем приращения. • Используют по крайней мере три из следующих типов знаков: - Заглавные буквы (A, B, C...) - Строчные буквы (a, b, c...) - Цифры (0, 1, 2...) - Знаки, не являющиеся буквами или цифрами (@, &, $...) - Знаки из кодировки Юникод (?, ƒ, λ...)

Дополнительные сведения о политиках паролей см. в разделе Password Best practices (Рекомендации по выбору пароля) на веб-узле Microsoft TechNet.

Углубленная защита

Упреждающий подход к управлению рисками, связанными с вредоносными программами, в корпоративной среде среднего размера должен включать в себя использование многоуровневого углубленного подхода к защите ресурсов от внешних и внутренних угроз. Углубленная защита (иногда называемая углубленной безопасностью или многоуровневой безопасностью) используется для описания эшелонирования защитных контрмер для создания единой среды безопасности, не имеющей единой точки сбоя. Уровни безопасности, формирующие стратегию углубленной безопасности, должны включать в себя развертывание защитных мер, начиная с внешних маршрутизаторов на всем пути до местоположения ресурса и во всех промежуточных точках. Развертывание нескольких уровней безопасности может гарантировать, что, в случае преодоления одного из уровней обороны остальные уровни обеспечат необходимую безопасность для защиты ресурсов.

в этом разделе рассматривается модель углубленной безопасности, которая является отличной отправной точкой для понимания концепции. Эта модель определяет семь уровней безопасности, разработанных для того, чтобы попыткам нарушить безопасность компаний среднего размера противостоял надежный набор средств защиты. Каждый набор способен отразить атаку на нескольких различных уровнях.

Подробные определения каждого уровня можно изменять в соответствии с требованиями и приоритетами безопасности различных организаций. На следующем рисунке представлены уровни модели углубленной безопасности.

Рис. 3. Модель углубленной безопасности