Материалы распечатаны с сайта OSzone.net. Дальнейшее применение материалов в других печатных изданиях, включая электронные статьи, должно сопровождаться указанием имени сайта OSzone.net и имени автора, если присутствует.

Стратегии управления рисками, связанными с вредоносными программами OSzone.net » Microsoft » Информационная безопасность » Стратегии управления рисками, связанными с вредоносными программами

Иcточник: Microsoft TechNet Опубликована: 06.04.2007

Введение

Ознакомьтесь с этим руководством по безопасности для компаний среднего размера. Корпорация Майкрософт надеется, что приведенные в документе сведения помогут создать более безопасную и производительную вычислительную среду.

Аннотация

Вредоносные программы становятся всё более сложными и изощренными, поэтому необходимо использовать программные и аппаратные средства, помогающие предотвращать угрозы и атаки с их стороны.

Угрозы со стороны вредоносных программ очень дорого обходятся компаниям среднего размера в плане технологий и операций защиты от атак и реагирования на них. Появление Интернета значительно расширило спектр внешних угроз, которым подвержены компании среднего размера. В то же время никуда не делись и прежние серьезные угрозы, такие как внутренние атаки.

Внутренние атаки, имеющие наивысший потенциал для нанесения ущерба, являются результатом деятельности занимающих ключевые посты сотрудников организации (инсайдеров), например администраторов сети. Инсайдеры, участвующие во вредоносной деятельности, могут преследовать определенные цели, например установку троянской программы или несанкционированный просмотр файловой системы, имея при этом доступ к компьютерам на вполне законных основаниях. Еще чаще такие сотрудники не имеют дурных намерений, но могут способствовать проникновению вредоносной программы, непреднамеренно подключив зараженные компьютеры или устройства к внутренней сети. Это приводит к нарушению целостности или конфиденциальности системы, отрицательное влияет на ее производительность и доступность, а также емкость хранилища данных.

Анализируя внутренние и внешние угрозы, многие организации среднего размера начинают интересоваться системами, помогающими осуществлять наблюдение за сетью и обнаруживать атаки. К таким системам относятся и ресурсы, помогающие в режиме реального времени управлять рисками, связанными с вредоносными программами.

Обзор

Этот документ содержит сведения о стратегиях управления рисками, связанными с вредоносными программами, в компаниях среднего размера. Этот документ состоит из четырех основных разделов: «Введение», «Определение», «Трудности» и «Решения».

Определение

В этом разделе объясняется, что представляют собой вредоносные программы (и что не является вредоносными программами), рассказывается об их характеристиках и управлении рисками.

Трудности

В этом разделе описываются многие основные трудности, связанные с вредоносными программами, с которыми сталкиваются компании среднего размера, в частности:

•	обычные активы информационной системы;
•	Общие угрозы
•	Уязвимости
•	обучение конечных пользователей и разъяснение правил поведения;
•	нахождение равновесия между управлением рисками и потребностями бизнеса.

Решения

Этот раздел содержит дополнительные сведения о политиках, подходах и стратегиях, в число которых входят:

•	физические и логические политики;
•	упреждающие и реагирующие подходы к защите от вредоносных программ и вирусов;
•	стратегии, помогающие сократить риск заражения вредоносными программами.

Также в этом разделе рассматриваются оценки и управление рисками, связанными с вредоносными программами, как часть стратегий по предотвращению угроз от вредоносных программ. Данный раздел также содержит сведения о средствах наблюдения и создания отчетов, предназначенных для поиска, обнаружения и сообщения о действиях вредоносных программ.

Для кого предназначено это руководство

Этот документ в первую очередь предназначен для руководителей и ИТ-специалистов компаний среднего размера. Он призван помочь им лучше разобраться в угрозах, исходящих от вредоносных программ, понять, как защититься от этих угроз и быстро и адекватно отреагировать на атаку вредоносных программ.

Определение

Вредоносные программы — это краткое название для вредоносного программного обеспечения. Это собирательное название для вирусов, червей и троянских программ, которые намеренно выполняют вредоносные действия на компьютере. С технической точки зрения, вредоносная программа — это любой вредоносный код.

Сведения о различных типах вредоносных программ

В следующих подразделах описываются различные категории вредоносных программ.

Скрытые угрозы

•

Троянская программа. Программа, кажущаяся полезной или безвредной, но содержащая скрытый код, предназначенный для использования уязвимости или нанесения ущерба компьютеру, на котором эта программа выполняется. Троянские программы (также называемые троянским кодом) наиболее часто поступают к пользователям с сообщениями электронной почты, в которых неверно указываются назначение и функции программы. Троянские программы выполняют свою миссию, активируя вредоносный заряд при запуске.

Вредоносные программы, заражающие компьютер

•

Червь. В червях используется самораспространяющийся вредоносный код, который может автоматически распространяться от одного компьютера к другому по сети. Червь может выполнять вредоносные действия, например потреблять сетевые ресурсы или ресурсы локального компьютера, порой приводя к возникновению атаки вида «отказ в обслуживании». Некоторые черви могут выполняться и распространяться без вмешательства пользователя, в то время как другие требуют, чтобы пользователь выполнил код червя, чтобы он мог распространиться. Помимо размножения черви могут выполнять и другие действия.

•

Вирус. В вирусах используется код, специально ориентированный на самостоятельное размножение. Вирусы распространяются с одного компьютера на другой, присоединяясь к программе-носителю. Вирусы могут повреждать аппаратные средства, программное обеспечение и данные. При выполнении основной программы выполняется и код вируса, который заражает другие программы, а иногда производит и еще какие-то действия.

Вредоносные программы, используемые для извлечения прибыли

•

Программы-шпионы. Этот тип программного обеспечения называют иногда шпионскими роботами или отслеживающим программным обеспечением. Программы-шпионы используют другие виды мошеннических программ, которые выполняют на компьютере определенные действия без ведома пользователя. Эти действия включают в себя сбор личных данных и изменение настроек интернет-обозревателя. Помимо раздражения программы-шпионы становятся причиной множества разных проблем: от снижения общей производительности компьютера до нарушения конфиденциальности личных данных. Веб-узлы, распространяющие программы-шпионы, используют разные уловки, чтобы заставить пользователей загрузить и установить эти программы на свои компьютеры. К таким уловкам относится введение пользователей в заблуждение и скрытое объединение программ-шпионов в пакеты с другим программным обеспечением, которое может быть необходимо пользователю, например бесплатными программами для обмена файлами.

•

Программы для показа рекламы. Тип программного обеспечения, показывающего рекламу. В частности, к этому типу относятся определенные исполняемые приложения, основным предназначением которых является доставка рекламного содержимого неожиданным или нежелательным для пользователя способом либо в неожиданном или нежелательном контексте. Многие рекламные приложения выполняют также функции слежения за пользователем, следовательно, их можно классифицировать как технологии отслеживания. Некоторые клиенты могут захотеть удалить программу для показа рекламы, если они возражают против такого отслеживания, не желают смотреть рекламу, показываемую программой, или недовольны ее влиянием на производительность компьютера. И наоборот, некоторые пользователи могут пожелать оставить определенные рекламные программы, если их присутствие компенсирует стоимость нужного программного продукта или услуги либо если эти программы показывают полезную или интересную рекламу, например, предлагающую альтернативу или дополнения к тому, что пользователь ищет.

Дополнительные сведения см. в статье Malware (Вредоносные программы) энциклопедии Wikipedia по адресу http://en.wikipedia.org/wiki/Malware (эта ссылка может указывать на содержимое полностью или частично на английском языке) и в разделе What is Malware? (Что такое вредоносные программы?)руководства по углубленной защите от вирусов по адресу www.microsoft.com/technet/security/topics/serversecurity/avdind_2.mspx#ELF (эта ссылка может указывать на содержимое полностью или частично на английском языке).

Сведения о поведении вредоносных программ

Различные характеристики, присущие каждой категории вредоносных программ, зачастую очень похожи. Например, и вирус, и червь используют сеть в качестве механизма распространения. Однако вирус ищет файлы для заражения, в то время как червь просто пытается скопировать себя. В следующем разделе приведены краткие объяснения типичных характеристик вредоносных программ.

Атакуемые системы

Для того чтобы атака вредоносной программы оказалась успешной, атакуемый компьютер должен иметь ряд определенных компонентов. Перечисленные ниже компоненты являются типичными примерами тех типов компонентов, которые могут быть необходимы вредоносной программе для атаки на узел:

•	Устройства. Некоторые вредоносные программы атакуют только устройства определенного типа, например персональные компьютеры, компьютеры Apple Macintosh или даже карманные компьютеры (КПК). Все более популярными целями для атаки становятся мобильные устройства, например сотовые телефоны.
•	Операционные системы. Для успешной атаки вредоносным программам может потребоваться определенная операционная система. Например, вирус CIH или «Чернобыль» конца 1990-х годов мог атаковать компьютеры только с Microsoft® Windows® 95 или Windows 98. Более новые операционные системы более безопасны. К сожалению, вредоносные программы также совершенствуются.
•	Приложения. Для успешного выполнения своих действий или распространения вредоносным программам может потребоваться, чтобы на атакуемом компьютере было установлено определенное приложение. Например, появившийся в 2002 году вирус LFM.926 мог атаковать только в том случае, если на локальном компьютере могли выполняться файлы Shockwave Flash (SWF).

Объекты-носители

Если вредоносная программа является вирусом, она предпримет попытку заразить целевой объект-носитель (также известный как хозяин). Количество и тип целевых объектов-носителей меняется в широких пределах для различных видов вредоносных программ, но в следующем списке приведены наиболее распространенные примеры целевых носителей.

•	Исполняемые файлы. Эти носители являются целью вирусов «классического» типа, которые распространяются, прикрепляясь к программе-хозяину. Помимо типичных исполняемых файлов с расширением EXE для этой цели могут также использоваться файлы со следующими расширениями: COM, .SYS, DLL, OVL, OCX и PRG.
•	Сценарии. Атаки, при которых в качестве носителей выступают сценарии, направлены на файлы, в которых используются языки сценариев, например Microsoft Visual Basic® Script, JavaScript, AppleScript или Perl Script. Примеры расширений файлов этого типа: VBS, JS, WSH и PRL.
•	Макросы. Эти носители являются файлами, поддерживающими язык макрокоманд определенного приложения, например текстового редактора, электронных таблиц или приложения баз данных. Например, вирусы могут использовать макроязык Microsoft Word и Lotus Ami Pro для выполнения ряда действий, начиная с хулиганских (переставление в документе слов местами или изменение цветов) и заканчивая вредоносными (форматирование жесткого диска компьютера).

Механизмы распространения

При атаке может использоваться один или несколько различных методов распространения между компьютерами. Этот раздел содержит сведения о ряде наиболее часто встречающихся механизмов распространения, используемых вредоносными программами.

•	Сменные носители. Передача файлов — это исторически первый и, вероятно, наиболее эффективный (или являвшийся таковым до последнего времени) метод переноса компьютерных вирусов и иных вредоносных программ. Первоначально в качестве механизма переноса использовались дискеты, затем — компьютерные сети, а теперь осваиваются новые носители, такие как USB-устройства и Firewire. Скорость распространения не так высока, как у вредоносных программ, распространяющихся по сети, однако, эта угроза всегда актуальна, и ее трудно полностью искоренить ввиду наличия необходимости в обмене данными между компьютерами.
•	Общие сетевые ресурсы. Когда компьютеры получили возможность подключаться друг к другу по сети, создатели вредоносных программ получили новый механизм распространения, позволивший превзойти возможности сменных носителей для распространения вредоносного кода. Плохо организованная безопасность общих сетевых ресурсов создает среду, в которой вредоносные программы могут распространяться на большое количество компьютеров, подключенных к сети. Этот способ в значительной степени вытеснил способ, связанный с использованием сменных носителей.
•	Одноранговые сети. Для передачи файлов в одноранговой сети пользователю необходимо сначала установить клиентский компонент файлообменного приложения, который будет использовать сеть.

Дополнительные сведения см. в разделе Malware Characteristics (Характеристики вредоносных программ)руководства по углубленной защите от вирусов по адресу www.microsoft.com/technet/security/topics/serversecurity/avdind_2.mspx#EQAAC (эта ссылка может указывать на содержимое полностью или частично на английском языке).

Что не подпадает под определение вредоносного программного обеспечения

Существуют разные угрозы, которые не считаются вредоносным программным обеспечением, поскольку не являются компьютерными программами, написанными с вредоносными намерениями. Тем не менее, эти угрозы могут иметь последствия для безопасности или причинить финансовые убытки компаниям среднего размера. В следующем списке приведены типичные примеры угроз, которые следует учитывать и осознавать при разработке комплексной стратегии безопасности.

•	Шуточное программное обеспечение. Шуточные приложения разрабатываются, чтобы вызвать улыбку либо, в худшем случае, потратить чье-либо время. Эти приложения существуют столь же долго, сколько люди используют компьютеры. Поскольку эти приложения не разрабатывались с вредоносными намерениями и их можно рассматривать как шутку, они не могут считаться вредоносным программным обеспечением в терминах данного руководства. Существует множество шуточных приложений, выполняющих различные действия: от интересных экранных эффектов до забавных анимационных роликов и игр.
•	Мистификации. Примером мистификации является ложное сообщение о вирусе, которого на самом деле не существует. Как и в случае с отдельными видами вредоносных программ, при мистификациях используются методы социотехники, призванные обманным путем заставить пользователя выполнить какое-либо действие. Однако при мистификациях не выполняется никакого кода: мошенник обычно просто пытается обмануть жертву. Типичным примером мистификации является сообщение электронной почты или цепочка сообщений, где говорится об обнаружении нового типа вируса и предлагается предупредить друзей, переслав им это сообщение. Этот тип обманного сообщения приводит к потере времени, потреблению ресурсов почтового сервера и уменьшению пропускной способности сети. Тем не менее, мистификации также могут причинить ущерб, если в них предлагается изменить конфигурацию компьютера (например удалить разделы реестра или системные файлы).
•	Аферы. Типичным примером аферы является сообщение электронной почты, мошенническим путем заставляющее получателя раскрыть личные данные, которые можно использовать в незаконных целях (например сведения о банковском счете). Одной из разновидностей афер является прием, известный под названием «фишинг», а также как «подмена торговой марки» или «афера с карточками».
•	Нежелательная почта. Нежелательная почта — это незапрошенная электронная почта, созданная для рекламы какого-либо товара или услуги. Это явление обычно вызывает раздражение, однако нежелательная почта не является вредоносным программным обеспечением. Тем не менее, значительное увеличение количества отправляемых нежелательных сообщений является проблемой для инфраструктуры Интернета. Нежелательная почта также приводит к снижению производительности труда сотрудников, которым каждый день приходится просматривать и удалять такие сообщения.
•	Файлы «cookie» из Интернета. Файлы«cookie» из Интернета — это текстовые файлы, сохраняемые на компьютере пользователя веб-узлами, которые он посещает. Файлы«cookie» содержат и предоставляют создающим их на компьютере пользователя веб-узлам сведения для идентификации пользователя, а также другие сведения о посещении пользователя, необходимые веб-узлам. Файлы «cookie» являются законным средством, используемым многими веб-узлами для отслеживания сведений о посетителе. К сожалению, известно, что некоторые разработчики веб-узлов используют файлы «cookie» для сбора сведений без ведома пользователя. Некоторые из них обманывают пользователей или не упоминают о своих политиках. Например, они могут отслеживать предпочтения при работе в Интернете для множества различных веб-узлов, не ставя пользователя в известность об этом. Разработчики веб-узлов могут впоследствии использовать эти сведения для настройки рекламы, которую пользователь видит на веб-узле, что можно рассматривать как вторжение в частную жизнь.

Дополнительные подробные сведения о вредоносных программах и их характеристиках см. в руководстве по углубленной защите от вирусов на веб-узле Microsoft TechNet по адресу www.microsoft.com/technet/security/topics/serversecurity/avdind_0.mspx (эта ссылка может указывать на содержимое полностью или частично на английском языке).

Сведения об управлении рисками и вредоносных программах

Корпорация Майкрософт понимает под управлением рисками процесс выявления рисков и их воздействия.

Внедрение плана управления рисками, связанными с безопасностью, может представлять слишком большую сложность для компаний среднего размера. В числе возможных проблем можно назвать недостаток собственного опыта, бюджетных ресурсов или документации для подрядчиков.

Управление рисками, связанными с безопасностью, представляет собой упреждающий подход, который может помочь компаниям среднего размера в планировании собственных стратегий противодействия угрозам со стороны вредоносных программ.

Формальный процесс управления рисками, связанными с безопасностью, позволяет компаниям среднего размера работать наиболее эффективным в экономическом отношении способом с известным и приемлемым уровнем риска для бизнеса. Этот процесс также помогает выстроить последовательный и четкий путь к организации и определению приоритетов в условиях ограниченных ресурсов с целью управления рисками.

Для упрощения задач по управлению рисками корпорация Майкрософт разработала руководство по управлению рисками, связанными с безопасностью (эта ссылка может указывать на содержимое полностью или частично на английском языке), которое содержит сведения об указанных ниже четырех процессах.

1.	Оценка риска. Выявление и ранжирование рисков для бизнеса.
2.	Поддержка принятия решений. Определение и оценка управляющих решений на основе заданного процесса анализа «затраты-выгода».
3.	Внедрение управления. Развертывание и применение управляющих решений, помогающих снизить уровень риска для бизнеса.
4.	Оценка эффективности программы. Анализ эффективности процесса управления рисками и проверка обеспечения средствами управления предполагаемого уровня защиты.

Подробное рассмотрение этой темы выходит за рамки данной статьи. Однако для планирования, развертывания и внедрения стратегии решений для рисков, связанных с вредоносными программами, необходимо понимание данной идеи и процессов. На следующем рисунке показаны четыре основных процесса управления рисками.

Рис. 1. 4 основных процесса управления рисками

Дополнительные сведения об управлении рисками см. в статье «Руководство по управлению рисками, связанными с безопасностью» на веб-узле Microsoft TechNet.

Трудности

Атаки вредоносных программ могут осуществляться по различным направлениям и различными способами, используя определенное слабое место. При выполнении оценки рисков компаниям среднего размера рекомендуется определить не только уязвимые места, но и уровень риска, приемлемый для данной компании. Компаниям среднего размера необходимо разработать стратегии уменьшения рисков, связанных с вредоносными программами.

Ниже перечислены некоторые трудности, возникающие при уменьшении рисков, связанных с вредоносными программами, в системах организаций среднего размера.

•	Общие активы информационной системы.
•	Общие угрозы
•	Уязвимости
•	Обучение пользователей
•	Нахождение равновесия между управлением рисками и потребностями бизнеса.

Общие активы информационной системы

Средства защиты информационных систем обеспечивают необходимые сведения для управления безопасностью в компаниях среднего размера. Термин «общие активы информационной системы» относится как к физическим, так и логическим аспектам компании. Они могут включать в себя серверы, рабочие станции, программное обеспечение и пользовательские лицензии.

Данные о деловых контактах сотрудников, мобильные компьютеры, маршрутизаторы, данные о сотрудниках, стратегические планы, внутренние веб-узлы и пароли сотрудников являются общими активами информационной системы. Полный список приведен в Приложении A «Общие активы информационной системы» в конце этого документа.

Распространенные угрозы

Способы, используемые вредоносными программами для атаки на компании среднего размера, иногда называются направлениями атаки и представляют собой области, которые требуют наиболее пристального внимания при разработке эффективного решения для уменьшения рисков, связанных с вредоносными программами. В число распространенных угроз входят стихийные бедствия, механические неисправности, действия злоумышленников и неосведомленных пользователей, социотехника, вредоносный мобильный код, а также недовольные сотрудники. Столь широкий диапазон угроз представляет трудности не только для компаний среднего размера, но и для компаний любого размера.

Приложение B «Общие угрозы» в конце этого документа содержит обширный список угроз, которым могут быть подвержены компании среднего размера.

Уязвимости

Уязвимости представляют собой слабые места в процедурах и политиках безопасности информационной системы, административном управлении, физическом размещении, внутреннем управлении и других областях, которые могут использоваться для получения несанкционированного доступа к сведениям или прерывания критически важных процессов.  Уязвимости бывают как физическими, так и логическими. В их число входят стихийные бедствия, механические неисправности, неправильные настройки программного обеспечения, необновленное программное обеспечение и человеческие ошибки. Приложение C «Уязвимости» в конце этого документа содержит обширный список уязвимостей, которые могут проявляться в компаниях среднего размера.  

Обучение пользователей

Когда речь идет о физической и логической информационной безопасности, главной уязвимостью зачастую оказываются не недостатки компьютеров или программного обеспечения, а пользователи компьютеров. Сотрудники могут допускать такие распространенные ошибки как хранение своих паролей там, где их могут увидеть другие, загрузка и открытие вложений электронной почты, которые содержат вирусы, или оставление компьютера включенным на ночь. Поскольку человеческий фактор оказывает значительное влияние на компьютерную безопасность, обучение сотрудников, ИТ-персонала и руководства должно быть приоритетной задачей. Столь же важно выработать у всех сотрудников полезные привычки, связанные с безопасностью. Эти подходы являются наиболее экономичными для организации в долгосрочной перспективе. В процессе обучения пользователей необходимо снабдить рекомендациями, помогающими избежать вредоносных действий, и предоставить сведения о возможных угрозах и способах их предотвращения. Пользователи должны твердо усвоить перечисленные ниже правила обеспечения безопасности.

•	Никогда не отвечать на запросы по электронной почте финансовых или личных сведений.
•	Никогда не сообщать пароли.
•	Не открывать подозрительные вложения электронной почты.
•	Не отвечать на любые подозрительные или нежелательные сообщения электронной почты.
•	Не устанавливать не прошедшие проверку приложения.
•	Блокировать компьютеры, если они не используются, используя защищенную паролем экранную заставку или диалоговое окно CTRL-ALT-DELETE.
•	Включить брандмауэр.
•	Использовать на удаленных компьютерах надежные пароли.

Политики

Для реализации рекомендаций по обеспечению безопасности политики и утвержденные процедуры обязательно должны быть изложены в письменном виде. Необходимыми условиями эффективности всех ИТ-политик являются их поддержка со стороны высшего руководящего звена, наличие механизма реализации, способов информирования и обучения пользователей. В частности, политики могут охватывать перечисленные ниже сферы.

•	Методы обнаружения вредоносных программ на компьютере.
•	Процедуры сообщения о возможном заражении.
•	Действия, которые должны выполнять пользователи, чтобы помочь специалисту по устранению неполадок (например сообщить о последнем действии, выполненном перед заражением компьютера).
•	Процессы и процедуры избавления от уязвимостей операционных систем и приложений, которыми могут воспользоваться вредоносные программы.
•	Управление обновлениями, использование руководств по конфигурации системы безопасности и контрольных списков.

Нахождение равновесия между управлением рисками и потребностями бизнеса.

Инвестирование в процесс управления рисками помогает подготовить компании среднего размера к формулировке приоритетов, планированию борьбы с угрозами и устранению новых угроз и уязвимостей.

Расходы на ИТ-безопасность могут определяться ограничениями бюджета, но хорошо структурированная методика управления рисками при эффективном использовании способна помочь руководству выбрать подходящие средства управления для обеспечения защитных функций, необходимых для выполнения поставленных задач.

Компаниям среднего размера необходимо найти тонкую грань равновесия между управлением рисками и потребностями своего бизнеса. Ниже перечислены вопросы, которые могут быть полезны при нахождении равновесия между управлением рисками и потребностями бизнеса.

•	Следует ли компании самостоятельно настраивать свои компьютеры или это должен сделать поставщик оборудования или программного обеспечения? Сколько это будет стоить?
•	Следует ли использовать балансировку нагрузки или кластеризацию в качестве механизмов обеспечения высокого уровня доступности приложений? Что необходимо сделать для внедрения этих механизмов?
•	Необходимо ли установить сигнализацию в серверной комнате?
•	Следует ли использовать системы на основе электронных ключей для всего здания или серверной комнаты?
•	Какой бюджет компания может выделить на компьютерные системы?
•	Какой бюджет компания может выделить на техническую поддержку и обслуживание?
•	Сколько денег компания потратила на компьютерные системы (обслуживания оборудования и программного обеспечения) в прошедшем году?
•	Сколько компьютеров имеется на главном объекте компании? Ведется ли инвентаризация компьютерного оборудования и программного обеспечения?
•	Хватает ли мощности старых компьютеров для запуска большей части необходимого программного обеспечения?
•	Сколько необходимо новых или модернизированных компьютеров? Какое количество будет оптимальным?
•	Должен ли у каждого пользователя быть принтер?

Более подробные сведения по управлению рисками см. в руководстве по управлению рисками, связанными с безопасностью.

Решения

В этом разделе рассматриваются различные стратегии управления рисками, связанными с вредоносными программами, включая упреждающий и реагирующий подходы к вредоносным программам, физические и логические политики. Также обсуждаются методы проверки, такие как средства создания отчетов и наблюдения.

Разработка стратегий уменьшения рисков, связанных с вредоносными программами

При разработке стратегий уменьшения рисков, связанных с вредоносными программами, важно задать необходимые ключевые рабочие точки, в которых можно реализовать обнаружение или блокировку вредоносных программ. Когда дело доходит до управления рисками, связанными с вредоносными программами, не следует полагаться исключительно на отдельное устройство или технологию как на единственную линию обороны. Более предпочтительные методы должны включать многоуровневый подход, использующий механизмы упреждения и реагирования по всей сети. Антивирусное программное обеспечение играет в этой области ключевую роль, однако оно не должно быть единственным средством обнаружения атак вредоносных программ. Дополнительные подробные сведения о многоуровневом подходе см. в разделе The Malware Defense Approach (Подход к защите от вредоносных программ) руководства по углубленной защите от вирусов.

Далее подробно рассматриваются перечисленные ниже ключевые рабочие точки.

•	Оценка рисков, связанных с вредоносными программами.
•	Физическая безопасность.
•	Логическая безопасность.
•	Сравнение политик и процедур упреждения и реагирования.
•	Развертывание и управление.

Оценка рисков, связанных с вредоносными программами

При оценке рисков, связанных с вредоносными программами, компаниям среднего размера необходимо помнить о направлениях атаки, наиболее уязвимых для угроз. Как они защищены и в какой степени? Необходимо рассмотреть перечисленные ниже вопросы.

•	Установлен ли в компании брандмауэр? Брандмауэры являются важной составляющей защиты периметра. Сетевой брандмауэр обычно является первой линией защиты компьютеров, сетей и важных данных организации от внешних угроз. Компаниям среднего размера следует использовать программные или аппаратные брандмауэры.
•	Имеет ли компания возможность провести внутренний или внешний анализ для поиска уязвимостей? Каким образом анализируются собранные сведения? Для поиска ошибок в конфигурации или уязвимостей рекомендуется использовать такое средство как Microsoft Baseline Security Analyzer (MBSA). Также можно доверить процесс поиска уязвимостей сторонней организации, наняв другую компанию для оценки системы защиты и выдачи рекомендаций по внесению необходимых улучшений. Примечание.   MBSA представляет собой простое в использовании средство, разработанное для ИТ-специалистов, позволяющее малым и средним компаниям определить состояние системы безопасности в соответствии с рекомендациями по безопасности корпорации Майкрософт. Оно также предлагает рекомендации по устранению уязвимостей. Использование MBSA для обнаружения общих ошибок в конфигурации системы безопасности и отсутствующих обновлений системы безопасности на компьютерах компании помогает улучшить управление безопасностью.
•	Имеется ли в наличии план оценки резервного копирования и восстановления? Убедитесь в наличии плана резервного копирования и эффективной работе сервера резервного копирования.
•	Сколько видов антивирусных программ используется в организации? Установлено ли на всех компьютерах антивирусное программное обеспечение? Использование единственной антивирусной платформы может подвергнуть компанию риску, поскольку каждая программа имеет сильные и слабые стороны.
•	Используется ли в компании беспроводная сеть? Если да, то включены ли средства защиты беспроводной сети и правильно ли выполнена их настройка? Даже если обычная сеть надежно защищена, незащищенная беспроводная сеть может подвергнуть компанию недопустимому риску в безопасной в остальных отношениях среде. Старые беспроводные стандарты, например WEP, легко взламываются, поэтому необходимо провести исследование, чтобы убедиться в том, что используется подходящее решение для обеспечения безопасности беспроводной сети.
•	Обучены ли сотрудники мерам предосторожности, связанным с вредоносными программами? Имеют ли они представление о рисках, связанных с вредоносными программами? Вредоносные программы используют для распространения методы социотехники, а наиболее эффективной защитой от методов социотехники является обучение.
•	Имеется ли сформулированная в письменном виде политика предотвращения или устранения угроз, связанных с вредоносными программами? Как часто эта политика пересматривается? Реализуется ли она? Насколько точно персонал придерживается этой политики? Убедитесь в том, что пользователи обучены мерам по предотвращению угроз, связанных с вредоносными программами. Очень важно, чтобы все эти сведения были документированы; необходимо наличие и использование учитывающих приведенные выше сведения письменной политики и процедур. Эту политику необходимо пересматривать при любых изменениях, чтобы гарантировать эффективность и действенность принятых политик.

Физическая безопасность

Физическая безопасность заключается в ограничении доступа к оборудованию в целях предотвращения нежелательных манипуляций, краж, человеческих ошибок и последующих простоев, вызванных этими действиями.

Хотя физическая безопасность является более общей проблемой безопасности, чем вредоносное программное обеспечение, невозможно защититься от вредоносных программ, не имея плана эффективной физической защиты всех клиентских, серверных и сетевых устройств в инфраструктуре организации.

Следующий список содержит критически важные для создания плана эффективной физической защиты элементы.

•	Безопасность здания. Кто имеет доступ в здание?
•	Кадровая безопасность. Насколько ограничены права доступа сотрудников?
•	Точки доступа к сети. Кто имеет доступ к сетевому оборудованию?
•	Серверы. Кто имеет права доступа к серверам?
•	Рабочие станции. Кто имеет права доступа к рабочим станциям?

Если один из этих элементов уязвим, существует повышенная вероятность того, что вредоносным программам удастся обойти внешние и внутренние защитные барьеры сети, чтобы заразить компьютер в сети. Защита доступа к помещениям и компьютерному оборудованию должна быть фундаментальным элементом стратегий безопасности.

Более подробные сведения см. в статье 5-Minute Security Advisor - Basic Physical Security (5-минутное руководство по безопасности — основы физической безопасности).

Логическая безопасность

Программные меры безопасности для информационных систем в компаниях среднего размера включают доступ пользователей по идентификатору и паролю, проверку подлинности и права доступа, и каждый из этих компонентов критически важен для управления рисками, связанными с вредоносными программами. Эти меры безопасности гарантируют, что только пользователи, прошедшие проверку, могут выполнять действия или получать доступ к сведениям на определенном сервере или рабочей станции в сети. Администраторы должны настроить компьютеры таким образом, чтобы они соответствовали рабочей функции пользователя компьютера. Настройка этих мер безопасности включает перечисленные ниже действия.

•	Ограничение доступных прикладных и служебных программ только необходимыми для исполнения служебных обязанностей.
•	Усиленный контроль над ключевыми системными каталогами.
•	Более тщательный аудит.
•	Использование политик с наименьшими привилегиями
•	Ограничение использования сменных носителей, например дискет.
•	Кому необходимо предоставить права администратора сервера резервного копирования, почтовых серверов и файловых серверов?
•	Кто должен иметь доступ к папкам отдела кадров?
•	Какие привилегированные права необходимо предоставить для общих папок подразделений?
•	Может ли рабочая станция использоваться различными пользователями? Если да, какой уровень доступа необходимо предоставить? Разрешено ли пользователям устанавливать программное обеспечение на своих рабочих станциях?

Идентификаторы пользователя, идентификаторы для входа в систему или учетные записи и имена пользователей являются уникальными личными идентификаторами пользователей компьютерной программы или сети, доступной нескольким пользователям. Проверка подлинности — это процесс проверки того, что лицо или объект является тем, кем представляется. Примерами проверки подлинности являются подтверждение источника и целостности сведений, например проверка цифровой подписи или проверка идентификатора пользователя или компьютера. Для повышения безопасности настоятельно рекомендуется, чтобы каждая учетная запись для входа в систему имела пароль — секретные данные для проверки подлинности, используемые для контроля доступа к ресурсу или компьютеру. После входа пользователя в сеть необходимо задать соответствующие права доступа. Например, определенный пользователь может иметь доступ к папке отдела кадров, но с правами только для чтения и не имея возможности вносить какие-либо изменения.

Ниже перечислены некоторые проблемы логической безопасности.

•	Рекомендации, связанные с паролями, например срок действия пароля и его сложность.
•	Резервное копирование данных и программного обеспечения.
•	Конфиденциальные сведения и важные данные — используйте шифрование там, где это необходимо.

Необходимо обеспечить функции проверки подлинности и авторизации, соответствующие целям использования и приемлемому уровню риска. Необходимо обращать внимание как на серверы, так и на рабочие станции. Все вышеупомянутые элементы логической безопасности должны быть четко прописаны, обязательны к использованию и доступны для всех сотрудников компании в качестве контрольных точек.

Сравнение упреждающих и реагирующих политик и процедур

Для управления рисками, связанными с вредоносным программным обеспечением, используются два основных подхода: упреждающий и реагирующий. Упреждающие подходы включают все меры, направленные на предотвращение успешных атак на компьютеры или сеть. Реагирующие подходы — это процедуры, используемые в компаниях среднего размера после обнаружения проникновения в компьютеры или их заражения троянской программой или иной вредоносной программой.

Реагирующие подходы

При нарушении системы защиты компьютера или сети должен запускаться процесс реагирования. Реакция на нарушение безопасности — это метод изучения проблемы, анализа ее причин, минимизации последствий, устранения проблемы и документирования каждого действия в рамках реагирования для последующего использования.

Наряду с мерами, предпринимаемыми для предотвращения будущих бизнес-потерь, у каждой компании также имеются план действий на случай таких потерь, если упреждающие меры оказались неэффективными или просто не были приняты. Методы реагирования включают в себя планы аварийного восстановления, переустановку операционных систем и приложений на скомпрометированных компьютерах и переключение на другие компьютеры, находящиеся в других местах. Наличие соответствующего набора мер реагирования и готовность к их выполнению так же важны, как и наличие упреждающих мер.

На следующей диаграмме иерархии реагирующих откликов показаны действия при инцидентах с участием вредоносных программ. Дополнительные сведения об этих действиях приведены ниже.

Рис. 2. Иерархия реагирующих откликов

•	Защита жизни и безопасности людей. Если в число подверженных опасности компьютеров входят системы жизнеобеспечения, их отключение может быть недопустимым. Возможно, такие компьютеры удастся изолировать от сети логически, перенастроив маршрутизаторы и коммутаторы, не прерывая их работу по оказанию помощи пациентам.
•	Изоляция ущерба. Изоляция нанесенного атакой ущерба позволяет ограничить дополнительный ущерб. Защитите важные данные, программное обеспечение и оборудование как можно быстрее.
•	Оценка ущерба. Немедленно сделайте копии жестких дисков на всех серверах, которые были атакованы, и сохраните эти копии для последующего использования в суде. Затем оцените ущерб.
•	Определение причины ущерба. Чтобы определить происхождение атаки, необходимо понять, какие ресурсы были целью атаки и какие уязвимости использовались для получения доступа или нарушения работы. Проверьте конфигурацию системы, установленные исправления, системные журналы, журналы и дневники аудита на непосредственно подвергшихся атаке компьютерах, а также сетевых устройствах, которые осуществляли маршрутизацию трафика на эти компьютеры.
•	Устранение ущерба. Очень важно как можно быстрее устранить ущерб, чтобы восстановить нормальную работу компании и восстановить все данные, которые были потеряны при атаке.
•	Пересмотр политик реагирования и обновления. После завершения этапов документирования и восстановления необходимо тщательно пересмотреть политики реагирования и обновления.

Что следует делать, если компьютеры в сети заражены вирусами? В следующем списке содержатся примеры реагирующего подхода.

•	Убедитесь в том, что брандмауэр работает. Установите контроль над входящим и исходящим трафиком на компьютерах и в сети.
•	В первую очередь разберитесь с наиболее вероятными подозреваемыми. Устраните наиболее распространенные угрозы со стороны вредоносных программ, а затем проверьте наличие неизвестных угроз.
•	Изолируйте зараженный компьютер. Отключите его от сети и Интернета. Остановите распространение заражения на другие компьютеры в сети в процессе очистки.
•	Изучите методы контроля над заражением и методы очистки.
•	Загрузите последние обновления антивирусных баз, выпущенные поставщиками антивирусного программного обеспечения.
•	Убедитесь в том, что антивирусные системы настроены на проверку всех файлов.
•	Запустите полную проверку компьютера.
•	Восстановите отсутствующие или поврежденные данные.
•	Удалите или вылечите зараженные файлы.
•	Убедитесь в том, что компьютеры очищены от вредоносных программ.
•	Подключите очищенные компьютеры к сети.

Примечание.   Важно убедиться в том, что на всех компьютерах запущены последние версии антивирусного программного обеспечения и процессы регулярного автоматического обновления антивирусных баз. В частности, необходимо, чтобы антивирусное программное обеспечение регулярно обновлялось на переносных компьютерах, используемых мобильными работниками.
Ведите базу данных или журнал, в которых указывается, какие пакеты исправления были установлены на наиболее важные системы организации: компьютеры с доступом в Интернет, брандмауэры, внутренние маршрутизаторы, базы данных и фоновые серверы.

Упреждающие подходы

Упреждающий подход к управлению рисками имеет множество преимуществ перед реагирующим подходом. Вместо того чтобы ждать наступления неприятностей, а затем реагировать на них, можно свести к минимуму саму возможность возникновения неприятностей. Необходимо создать план защиты важных активов организации путем внедрения средств контроля для устранения риска использования уязвимостей вредоносными программами.

Эффективный упреждающий подход позволяет компаниям среднего размера уменьшить количество нарушений безопасности, которые могут возникнуть в будущем. Однако полное исчезновение таких проблем маловероятно. Поэтому необходимо продолжать совершенствование процессов реагирования на нарушения безопасности при одновременной разработке долгосрочных упреждающих подходов. В следующем списке приведено несколько примеров упреждающих мер, которые помогают управлять рисками, связанными с вредоносными программами.

•	Установите на оборудование и маршрутизаторы последние версии микропрограмм, следуя рекомендациям производителей.
•	Установите последние исправлений для системы безопасности для серверных и иных приложений.
•	Подпишитесь на организованные производителями почтовые рассылки по безопасности и устанавливайте исправления по мере необходимости.
•	Убедитесь в том, что на всех компьютерах с операционными системами корпорации Майкрософт установлены последние версии антивирусного программного обеспечения.
•	Убедитесь в том, что запущены процессы регулярного автоматического обновления антивирусных баз. Примечание.   В частности, важно, чтобы регулярно производилось обновление антивирусного программного обеспечения на переносных компьютерах, используемых мобильными работниками.
•	Ведите базу данных, которая содержит сведения об установленных исправлениях.
•	Просматривайте журналы безопасности.
•	Включите брандмауэры по периметру или на компьютерах.
•	Воспользуйтесь программой для поиска уязвимостей, например Microsoft Baseline Security Analyzer, для обнаружения на компьютерах ошибок в конфигурации и отсутствующих обновлений системы безопасности.
•	Используйте учетные записи пользователей с наименьшими привилегиями. При нарушении безопасности процессов с низкими привилегиями они причинят меньше ущерба, чем процессы с высокими привилегиями. Таким образом, использование учетной записи, отличной от учетной записи администратора при выполнении ежедневных задач обеспечивает пользователю дополнительную защиту от заражения вредоносными программами, внешних и внутренних атак на систему безопасности, случайных или намеренных изменений системных настроек и конфигураций и случайного или намеренного доступа к конфиденциальным программам или документам.
•	Обеспечьте реализацию политики использования надежных паролей. Надежные пароли уменьшают вероятность получения злоумышленником дополнительных прав доступа путем атаки методом подбора пароля. Надежные пароли обычно удовлетворяют перечисленным ниже требованиям. • Содержат 15 или более знаков. • Никогда не содержат имен учетных записей, реальных имен или имя компании в любом виде. • Никогда не содержат полных слов, жаргонных терминов или иных удобных для подбора элементов. • Радикальным образом отличаются от предыдущих паролей и не создаются путем приращения. • Используют по крайней мере три из следующих типов знаков: - Заглавные буквы (A, B, C...) - Строчные буквы (a, b, c...) - Цифры (0, 1, 2...) - Знаки, не являющиеся буквами или цифрами (@, &, $...) - Знаки из кодировки Юникод (?, ƒ, λ...)

Дополнительные сведения о политиках паролей см. в разделе Password Best practices (Рекомендации по выбору пароля) на веб-узле Microsoft TechNet.

Углубленная защита

Упреждающий подход к управлению рисками, связанными с вредоносными программами, в корпоративной среде среднего размера должен включать в себя использование многоуровневого углубленного подхода к защите ресурсов от внешних и внутренних угроз. Углубленная защита (иногда называемая углубленной безопасностью или многоуровневой безопасностью) используется для описания эшелонирования защитных контрмер для создания единой среды безопасности, не имеющей единой точки сбоя. Уровни безопасности, формирующие стратегию углубленной безопасности, должны включать в себя развертывание защитных мер, начиная с внешних маршрутизаторов на всем пути до местоположения ресурса и во всех промежуточных точках. Развертывание нескольких уровней безопасности может гарантировать, что, в случае преодоления одного из уровней обороны остальные уровни обеспечат необходимую безопасность для защиты ресурсов.

в этом разделе рассматривается модель углубленной безопасности, которая является отличной отправной точкой для понимания концепции. Эта модель определяет семь уровней безопасности, разработанных для того, чтобы попыткам нарушить безопасность компаний среднего размера противостоял надежный набор средств защиты. Каждый набор способен отразить атаку на нескольких различных уровнях.

Подробные определения каждого уровня можно изменять в соответствии с требованиями и приоритетами безопасности различных организаций. На следующем рисунке представлены уровни модели углубленной безопасности.

Рис. 3. Модель углубленной безопасности

Главная | Видео | Новости | Microsoft | Железо | Программы | СУБД | Форум