Больше, чем просто защита

www.viruslab.ru

Защита данных в сфере ИТ-безопасности похожа на защиту пассажиров автотранспорта, обе можно разбить на несколько областей и видов защитных систем. Есть активные компоненты - набор механизмов, нацеленных на снижение риска вирусной инфекции или атаки. В машинах это хорошие тормоза и рулевая система, шины и амортизаторы, или надежный двигатель. В ИТ-системах это антивирусные программы, антиспамовые фильтры, брандмауэры и т.д.

Однако элементы, снижающие вероятные травмы пассажиров автомобиля в случае инцидента, такие как ремни безопасности, воздушные подушки, зоны деформации и т.д. тоже часто считаются активными элементами защиты.

Но кто отвечает за подобную защиту в ИТ-системах? Справляться с хакерскими атаками или вирусами, которые пробрались в сеть благодаря неосторожности пользователей, обычно является задачей начальника ИТ-отделов. Нет такой системы, которая бы предоставляла по настоящему активный сервис защиты. Только провайдеры, понимающие потребность их клиентов в глобальной безопасности способны предлагать решения активной защиты данных.

В мире защиты данных, внедрение активной защиты является исключительно простым, и одновременно очень сложным процессом - многое зависит от службы работы с клиентами. Например, некоторые производители, более заинтересованные в продаже боксовых продуктов, чем в предложении активной защиты, не могут позволить себе предлагать клиентам круглосуточную службу технической поддержки.

Но ИТ-безопасность должна идти дальше этих двух понятий. Автомобильные компании не беспокоятся о дорожных знаках или состоянии автострад. Данная стадия защиты, стадия превентивной защиты, не находится под их ответственностью, а находится в руках правительства и строителей шоссе.

Однако говоря о превентивной защите ИТ, должен быть кто-то, кто заботится о ней. Несмотря на то, что все осознают опасность резкого поворота на скорости выше 100 км/ч, водителей следует предупреждать о нем или же шоссе должно быть построено так, чтобы не представлять такой опасности.

Можно ли знать, какие пункты являются опасными в ИТ-системе, и избежать инцидентов? Конечно. Когда появляется новый червь, он использует ряд методов, известных всем. При краже информации, вредоносное ПО использует ряд ограниченных и широко-известных методик. Именно такие ‘умения’ вредоносных программ позволяют устанавливать контроль над действиями, выполняемыми компьютерами так, чтобы системы получили превентивную защиту.

Такая защита позволит заблокировать попытки выполнения в системе вредоносных действий, не требуя способности идентификации кода, запускающего их. Однако это проще сказать, чем внедрить, особенно если мы взглянем на текущее предложение решений ИТ-безопасности. Очень немногие компании способны предложить такую защиту и почти никто из них не готов к ее эффективному развертыванию.

Но мы должны идти еще дальше. Для провайдеров решений, защита клиентов не заканчивается на обнаружении и уничтожении вируса. Да, инцидент был предотвращен и все по-прежнему работает. Но почему случился инцидент? Как определенному коду удалось распространиться?

В основном хакеры пользуются предлагаемыми Интернетом возможностями для легкого обмана неосторожных пользователей. Например, бесплатный веб-хостинг с возможностью анонимного использования сервисов или запутанная регистрация доменов, при которой нужно приложить массу усилий, чтобы узнать реальное имя владельца домена. Таким образом, вредоносный код может быть размещен на сайте, владельца которого будет очень сложно найти, а сайт - закрыть.

Однако философия защиты отдельного продукта не должна ограничиваться программным обеспечением, а должна идти еще дальше. Это именно то, что делают некоторые компании. PandaLabs, отдел Panda Software, обнаруживающий и модифицирующий вредоносные коды является одним из таких редких примеров.

Работа антивирусной лаборатории не заканчивается на создании вакцины. Если этот код используют веб-сервер для хранения своих компонентов или просто действует как шлюз для выполнения действий, осуществляется звонок провайдеру, предупреждающий их об опасности, которая невольно оказалась в их руках.

К счастью, в большинстве случаев проблему удается решить парой телефонных звонков, но иногда все оказывается гораздо сложнее. Модифицировать DNS, к примеру, может быть довольно легко, но это также просто и для кибер-преступника, создавшего код. Закрытый сайт может быть быстро открыт заново, с помощью внесения лишь нескольких изменений.

Как бы быстро и эффективно не работали эксперты безопасности, они должны сражаться с рядом процессов и локальных несовместимостей, усложняющих их работу. Правовые системы не адаптированы к Интернету, и когда делается попытка какого-либо согласования, законодательства, возникают разного рода конфликты. Некоторые системы более требовательны, чем прочие, некоторые страны считают определенные действия более серьезными, чем другие державы… Только взгляните на рассматриваемый закон об идентификационных картах в Великобритании: в то время, как он вызывает там шквал дискуссий, в соседних странах, например Франции, то, что граждане должны подтверждать свою личность считается абсолютно нормальным. И обе страны - части Евросоюза!

В конце концов, нет общего законодательства для определенных действий. Поэтому кибер-преступность можно считать одной из правовых брешей между различными странами, использующими сеть без границ - Интернет. Все, что остается пользователям и администраторам - самозащита, поскольку Интернет, по крайней мере пока, является миром, где преступники гуляют на свободе.

 


Страница сайта http://silicontaiga.ru
Оригинал находится по адресу http://silicontaiga.ru/home.asp?artId=5644