Chronimy przed złośliwością

„Chronimy przed złośliwością”
Tendencje i kierunki rozwoju zagrożeń oraz
rynku rozwiązań antywirusowych
Informacje prasowe, statystyki policyjne oraz raporty organizacji zajmujących się
badaniem poziomu bezpieczeństwa i zagrożeń nie pozostawiają złudzeń – każda nawet
najmniejsza możliwość ataku czy „złośliwości” nie tylko może być, ale wręcz jest obecnie
wykorzystywana.
Zagrożenia
Truizmem jest stwierdzenie, że poziom zabezpieczeń jest zawsze krok za
wymyślanymi atakami – w takiej sytuacji liczy się również refleks dostawcy rozwiązania.
Znamienne jest w tej sytuacji to, iż gradacja możliwości precyzowania okresu aktualizacji
oprogramowania antywirusowego, możliwa do określenia przez użytkownika, ewoluowała z
dni i godzin do minut. Powód jest dosyć oczywisty - przy obecnych przepustowościach łączy
teletransmisyjnych i mocach przetwarzania serwerów - wystarcza przysłowiowa chwila
nieuwagi, aby zagrożenie rozprzestrzeniło się błyskawicznie, a co gorsza z użyciem naszych
zasobów i niejednokrotnie propagując, wbrew naszej woli, dane pieczołowicie chronione
w sieciach wewnętrznych.
Sytuację zagrożenia potęgują „gadgety” z rozmachem wprowadzane przez
„wiodących” dostawców oprogramowania przyprawiając o siwy włos specjalistów
odpowiedzialnych za bezpieczeństwo firm. To, co ma ułatwić życie pracowników
i administratorów, wbrew deklaracjom i zapewnieniom producentów o należytym traktowaniu
wszelkich aspektów bezpieczeństwa, doprowadza wielokrotnie do paraliżu funkcjonalnego w
naszej firmie, u naszych partnerów handlowych i, co może mniej bolesne, u naszej
konkurencji.
Inną klasą zagrożeń jest ewidentny brak edukacji użytkowników i niski poziom
świadomości możliwych zagrożeń. Okresowo obiegają Internet wirusy klasy „wirus albański”,
który zachęca do usunięcia sobie dowolnie wybranych kilku plików, a następnie przesłanie
tej zachęty do kolejnych adresatów. W tym konkretnym przypadku oczywiście należy
założyć, iż jedynym skutkiem ubocznym działania listu jest rozbawienie użytkowników.
Diametralnie inaczej wyglądają skutki działania wiadomości, które utrzymane w poważnym,
profesjonalnym tonie informują o potencjalnym zagrożeniu, któremu możemy zapobiec
jedynie poprzez błyskawiczną profilaktykę. Wdrażając otrzymane w ten sposób porady sami
stajemy się narzędziem destrukcji – zaczynamy np. usuwać pliki niezbędne do poprawnego
funkcjonowania systemu (!), zaś wrodzona życzliwość większości z nas skłania nas do
propagowania tych ostrzeżeń dalej – do przyjaciół, znajomych – byle szybciej ich ostrzec
i uchronić ich cenne dane. Efekt, niestety, jest odwrotny – nie wspominając już o potencjalnej
możliwości zachwiania stosunków towarzyskich i wszelkich dotychczasowych serdecznych
znajomości....
Tendencje i kierunki rozwoju zagrożeń oraz rynku rozwiązań antywirusowych
Ochrona
Dziś już nikt nie ma wątpliwości, iż fragmentaryczne traktowanie ochrony, a co za tym
idzie brak podejścia spójnego i kompleksowego w tej dziedzinie prowadzi do złudnego
poczucia bezpieczeństwa. Okazuje się ono niejednokrotnie być bardziej szkodliwym, niż
założony brak ochrony. Dobrze, jeśli działania prewencyjne wynikają z przemyślanej polityki
bezpieczeństwa firmy, konsekwentnie i skrupulatnie realizowanej. Gorzej, jeśli są to
poczynania chaotyczne, jednak wciąż lepiej, niż liczenie na łut szczęścia.
Rozważając kierunki i tendencje rozwoju rozwiązań służących do ochrony
antywirusowej należy wziąć pod uwagę dwie klasy zastosowań – osobistą oraz korporacyjną,
która de facto może zawierać w sobie również tę pierwszą. Ich ścieżki rozwoju, wachlarz
możliwości oraz funkcjonalność sporo się różnią, jednak, co najważniejsze, zakładają jeden
wspólny cel – skuteczną ochronę.
Systemy osobiste
Wdrażając ochronę osobistą w zastosowaniach domowych, czy też SOHO jesteśmy
zmuszeni borykać się nie tylko z wirusami, ale też wziąć pod uwagę aspekty ochrony samej
stacji roboczej, na której pracujemy.
Analizując rynek bardziej zaawansowanych rozwiązań osobistych widzimy, że
zaczyna się przenikanie wielu aspektów ochrony na różnych poziomach funkcjonalnych –
są oferowane hybrydy zdolne nie tylko do kontroli antywirusowej, ale i do ochrony samego
systemu operacyjnego poprzez wbudowywane mechanizmy typu personal firewall.
Daje się również zauważyć na rynku tendencję odwrotną do wyżej podanej.
Rozwiązania tworzone początkowo, jako personal firewall przewidują obecnie możliwość
integracji z systemami antywirusowymi, wspomagając tym samym kontrolę połączeń
i przesyłanych danych.
W następnych krokach rozwoju systemów antywirusowych - być może - należy
spodziewać się powszechnej integracji z mechanizmami Intrusion Detection lub klasyfikacji
i kontroli przesyłanych treści – np. blokowanie niepożądanych URL-i jako potencjalnie
niebezpiecznych.
Jedyne, na co musi być uczulony użytkownik, to zachowanie reżimu aktualizacji
używanego oprogramowania. Na szczęście architektura współczesnych systemów zakłada
tzw. aktualizację przyrostową, czyli pobierane są jedynie nowe wzorce wirusów - oszczędza
to oczywiście czas i pieniądze płacone operatorom za czas trwania połączenia z Internetem.
Koszt niewielki, a cena spokoju – nie do przecenienia.
Systemy korporacyjne
Rozpatrując rozwiązania korporacyjne, należy zakładać przesunięcie środka
ciężkości związanego z głównymi celami stawianymi takim systemom, w odróżnieniu od
systemów ochrony osobistej. Dążenie do centralizacji zarządzania, wymuszanie pewnych
reguł funkcjonowania na użytkownikach, minimalizacja ruchu sieciowego poprzez centralną
dystrybucję aktualizacji, itp., to główne kryteria oceny. Ponadto, oprócz ochrony stacji
roboczych musimy uwzględnić zabezpieczenie serwerów z danymi, integrację z serwerami
aplikacyjnymi używanymi np. do wspomagania obiegu dokumentów, itp.
© 2003 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE
2
Tendencje i kierunki rozwoju zagrożeń oraz rynku rozwiązań antywirusowych
Pożądanym efektem jest również możliwość zablokowania opcji wyłączenia
mechanizmów kontroli przez użytkownika, tak aby nie stała się ona w żadnym wypadku
opcjonalna, ale zawsze była obowiązkowa.
Co ciekawe - istnieją obecnie rozwiązania ochrony sieci, które, dzięki wykorzystaniu
agentów na stacjach użytkowników, w momencie próby wyjścia na zewnątrz weryfikują np.
datę ostatniej aktualizacji oprogramowania antywirusowego klienta, decydując
o przepuszczeniu połączenia lub jego odrzuceniu.
Nieco inną odmianą zastosowań są systemy współdziałające bezpośrednio z
korporacyjnymi systemami typu firewall, które z definicji kontrolują wszelki ruch w
kluczowych punktach sieci. W takich punktach wykorzystuje się mechanizm przekierowania
całego lub jedynie wskazanego [np. ze względu na lokalizację nadawcy/odbiorcy, adres
e−mail/domenę nadawcy/odbiorcy] ruchu sieciowego na skaner antywirusowy, który
weryfikuje zawartość sesji i w połączeniu z systemem zaporowym akceptuje ją lub terminuje.
Zamiast podsumowania
Ciekawa, choć niezbyt zabawna dla zainteresowanego może być analiza sytuacji,
kiedy to uznajemy, iż ochrona antywirusowa nie jest sprawą specjalnie dla nas istotną.
Niestety w naszych realiach, jak się okazuje, nie jest to specjalnie wydumaną abstrakcją. Nie
zauważamy przez tygodnie i miesiące, aby ginęły nam pliki, co dostrzeglibyśmy dosyć
szybko. System nie zachowywał się bardziej niestabilnie, niż dotąd miało to miejsce. Po
pewnym czasie, mimochodem, decydujemy się na aktualizację oprogramowania
antywirusowego. Wówczas okazuje się, iż nasza sieć jest od dłuższego czasu zainfekowana
takim rodzajem wirusa, który przekłamuje dane liczbowe – zmieniając je np. w sposób
losowy. Teraz w jednej chwili staje się jasne dlaczego nasi klienci kochają nas za udzielone
w ofertach rabaty, a wyniki finansowe firmy od pewnego czasu, mimo ogromu, wydawałoby
się owocnych, starań z naszej strony, nie napawają optymizmem.
Równie groźna sytuacja - kiedy wirus, oczywiście wbrew naszej woli, bez
wyświetlenia okienka z uprzejmym pytaniem o przyzwolenie, zaczyna rozsyłanie naszych
poufnych danych po świecie. Jeśli do przyjaciół i zawarte tam treści są „neutralne” – nie ma
problemu, gorzej jeśli do konkurencji, a dane mają dla nas kluczowe znaczenie lub
odpowiadamy osobiście za zachowanie ich poufności.
Przykłady równie sugestywne można mnożyć długo pisząc kolejne czarne
scenariusze. Jeśli lubimy ryzyko i stać nas na nie – mamy powody do radości – atrakcji nam
na pewno nie braknie przez długie lata......
Więcej informacji na temat przedstawionych w artykule rozwiązań:
http://www.clico.pl/software/esafe/
http://www.clico.pl/software/checkpoint/html/opsec.html
http://www.clico.pl/software/tm/
© 2003 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE
3