Система мгновенного обмена сообщениями: друг или недруг?

В конце 90-ых с ростом популярности интернета люди обнаружили, что электронная почта является отличным способом общения с другими пользователями. IRC (Internet Relay Chat) был большим в то время, равно как и форумы, но ярые поклонники наряду с представителями бизнеса нуждались в общении в режиме реального времени. Так появились приложения с возможностями мгновенного обмена сообщениями, которые, будучи способными поддерживать коммуникацию в режиме реального времени, стали очень полезным инструментом. Возможность мгновенной передачи мыслей и файлов стала еще более полезной. Сегодня по сравнению с электронной почтой мгновенные сообщения используются гораздо чаще. Некоторые организации используют системы мгновенного обмена сообщениями, как основное средство общения.

IM, как инструмент предприятия, может быть довольно эффективным, но любой инструмент можно использовать ненадлежащим образом, особенно если он не контролируется должным образом. Лучшим способом управления любой коммуникацией является обеспечение того, чтобы коммуникация проходила через центральную точку, такую как шлюз. Поставщики работали над этим и создали клиентов с поддержкой шлюзов, которые работают в качестве внешних или внутренних IM решений.

Идеальной будет конечная точка, которая полностью защищена, даже если она (в виде мобильного устройства или ноутбука) покидает пределы корпоративной сети. Если конечная точка имеет должный уровень защиты, как например системы предотвращения вторжений на узел (Host Intrusion Prevention System – HIPS) в сочетании с личным файерволом и определением вредоносного ПО, то конечная точка будет более надежной.

Сегодня социальные контакты по электронным средствам являются весьма распространенными, и некоторые компании поощряют такую культуру, технологии web 2.0 и 3.0 имеют приложения, которые делают это возможным, и клиенты стали не так востребованы. В большинстве случаев необходим лишь обозреватель, действительные компьютерные технологии удаленного ресурса (cloud computing) теперь возможны, что делает подключение к друзьям, семье и коллегам через интернет обычным делом.

Совместное использование файлов, ссылок, содержимого и прочих средств позволяет предоставлять доступ большим группам в течение секунд.

Каковы угрозы?

Недавно существовало множество уязвимых мест систем IM. Поставщики антивирусных программ осознают, что черви, вирусы и прочее вредоносное ПО может распространяться посредством IM и создают новые средства защиты, чтобы снизить эти риски.

В принципе, несколько сетей могут быть взаимосвязаны путем неправильного использования IM, и по этой причине структурированный механизм защиты является обязательным. Если ваши пользователи используют IM, то необходимо решение защиты шлюза. Конечная точка является тем местом, куда загружаются файлы, а это представляет еще одну угрозу. Поставщики антивирусного ПО теперь предлагают решения, способные сканировать загружаемые IM клиентом файлы.

Ссылки, передаваемые использованием IM представляют собой дополнительный риск, использование приложений брандмауэров в корпоративной LAN может снизить риск, но возникает более серьезная проблема, когда пользователи используют свои корпоративные машины за пределами предприятия. В незащищенных сетях в периметре отсутствуют брандмауэры прикладного уровня, а это означает, что коммуникация менее безопасная, по этой причине конечная точка нуждается в решении брандмауэра на базе узла с возможностью сканирования.

Другие узлы в одной незащищенной сети LAN зачастую совместно используют подключение; эти машины, как правило, менее безопасны и в большей степени подвержены атакам, а в некоторых случаях заражены неизвестным вредоносным кодом. Этот вредоносный код может распространяться на любое устройство, которое имеется в удаленной LAN. Более того совместное использование файлов является типичным для таких удаленных сетей, особенно по системам IM, так как пользователь работает в передвижном режиме (travel mode), а это означает, что нормальный уровень доступа к ресурсам ограничен и также представляет собой дополнительную уязвимость.

Вредоносный код обычно атакует ресурсы машин и пытается использовать обычные порты для добавления нагрузки, лишь брандмауэры прикладного уровня в сети в качестве шлюза или брандмауэры узлов могут снизить потенциальные риски такого характера. Некоторое ПО систем мгновенного обмена сообщениями работает через зашифрованные порты типа 443, создавая трудности брандмауэрам сеансового уровня, поскольку брандмауэры сеансового уровня имеют ограниченные возможности осмотра на зашифрованных портах. Эта дверь широко открыта, и многие инфекции зачастую попадают в системы посредством непроверенных загрузок файлов.

Перегрузки буфера являются обычным делом в мире IM; это может вызвать открытие зараженных портов, что позволяет использовать неавторизированные приложения и коммуникации через только что открытие порты. Также частой является ситуация, когда вредоносный код повреждает или отключает решения защиты, чтобы действовать незамечено.

В некоторых организациях, где политикой запрещается использовать коммуникации Instant Messaging, пользователи нашли способ обойти технический контроль брандмауэра с помощью веб сайтов на базе HTTPS. Эти веб сайты эффективно обходят сканирование и дают доступ этим пользователям. Проблема заключается в том, что некоторые из этих сайтов намеренно завладевают данными и мандатами в шпионских целях.

Каковы риски?

Вирусы, вредоносный код, шпионское ПО, отказ работы служб, удаленный контроль, неавторизированный мониторинг, утечка данных, несанкционированный поток данных, раскрытие конфиденциальной информации компании, потеря производительности, удаленный доступ.

Так как IM еще не учитывает механизмы аутентификации, такие как двухфакторная аутентификация, заимствование прав и несанкционированный доступ весьма возможны.

Некоторые черви распространяются посредством ссылок, которые передаются в весь список контактов (например, W32.Aplore.A@mm), после чего они устанавливают программный модуль в обозреватель, и тут начинается веселье. Некоторые черви обновляют файлы, и когда эти системные файлы выполняются, загружается уникальный троянский код. Черные ходы и зашифрованные туннели являются распространенными для интернет серверов.

Некоторые черви настолько быстрые и агрессивные, что за семь секунд программа Symantec предоставила отчет о том, что более 500,000 машин были заражены и зомбированы (Zombified).

Такие угрозы, как посредники, кража паролей, раскрытие информации, утечки данных и прочие подобные угрозы вполне возможны и создают значительный уровень риска для любого пользователя и предприятия.

Когда организации рассматривают использование IM в качестве рабочего инструмента, часто конфиденциальность передаваемых данных принимается во внимание, в отличие от электронной почты, в которой весь трафик передается чистым текстом, если только не выполняется настройка шифрования. Системы IM оснащены собственным шифрованием, доступным практически для всех платформ, но не являются настройкой по умолчанию.

Зачатую шифрование не используется в силу того, что о нем мало известно, а также есть множество преград на пути к успешному применению шифрования. Так каково же будет решение? При выборе системы IM следует отдавать предпочтение такой системе, у которой шифрование встроено.

Межсетевые подключения возможны, некоторые клиенты имеют возможность сетевого соединения, при котором создается мост между сетями, когда оба клиента IM работают в режиме онлайн. Это делается для того, чтобы пользователи могли играть друг с другом в игры или для того, чтобы пиринговые передачи файлов были более прямыми и быстрыми. В большинстве случаев трафик другой сети также пересекает эти виртуальные соединения. В одном случае, который мне довелось расследовать, более семи сетей были соединены группой геймеров. Некоторые из этих локальных сетей принадлежали производственным компаниям, другие принадлежали финансовым и законодательным органам.

Удивительно количество клиентов, которые оснащены возможностью совместного использования сети и межсетевых подключений по https и другим распространенным открытым портам. Некоторые из клиентов используются для поддержки, другие используются в личных чатах.

Каковы преимущества?

• Низкие расходы на коммуникацию.
• Немедленный ответ.
• Более быстрый возврат.
• Немедленный доступ к файлам.
• Подход, ориентированный на сотрудничество.

Есть ли баланс?

При использовании разумной политики безопасности и адекватного технического контроля можно достичь равновесия. Применение брандмауэров прикладного уровня с возможностями осмотра пятого поколения более надежно защитит сеть. Корпоративные серверы IM, которые сканируют и управляют исходящими подключения и действуют в роли прокси серверов, могут обеспечить более хорошую управляемость и контроль над большим количеством клиентов. Строгая политика безопасности, которую можно внедрить и применить путем использования сетевого и технического контроля конечной точки, является обязательным условием. Осведомленность и образованность пользователей является ключевым моментом, а целостный и структурированный подход обеспечит удобное и безболезненное использование систем мгновенного обмена сообщениями.

Заключение

В этой статье мы рассмотрели, как можно использовать системы IM во благо предприятий и отдельных пользователей; мы также рассмотрели риски и угрозы, связанные с этой технологией. Основой является то, что уменьшение уровня простоты в использовании, функциональности сотрудничества и коммуникации в реальном времени делает эту технологию соблазнительной. Поиск равновесия и способов эффективного управления решением сопряжен с собственными трудностями, но в настоящее время он приносит все больше плодов.