Безопасность в Интернет

Атаки атаками, но, как показывает статистика, около 70% всех наших неприятностей происходит по вине вирусов. Поэтому я, как и обещал, предлагаю вашему вниманию статью кандидата технических наук Евгения Судова, в которой рассматриваются стратегические вопросы политики антивирусной безопасности, рано или поздно возникающие перед каждым руководителем.

Но сначала хотел привести еще несколько откликов на статью от 26.10.00

"В общем-то тект пресловутой публикации от 26.10.00 попахивает крайним непрофессионализмом, но тема интересная. Вот только в следующий раз попытайтесь сделать:

• Расчет необходимых скоростей передачи данных из WNOC (World Network Oper Centre) до компа клиента (и никакие суперсекретные драйвера не помогут, даже если они и есть).
• Расчет частотных характеристик канала для использования мифического драйвера Майкра
• Расчет заработной платы менеджера, который сообщил Вам о наличии таком драйвере
• Подумайте о том, ну на хрена Майкру данные о нас, бедных пиратах -- берешь просто списки клиентов интернет-провайдеров и вот они все пираты на листе.

"Добрый день, Было бы интересно в свете следующей объявленной темы прочитать о действующих реализациях антивирусной защиты на корпоративном уровне с рассмотрением таких аспектов, как централизованное обновление и сбор статистики, антивирусная политика на файловых и почтовых серверах, proxy_серверах, сравнительная стоимость решений.

PS: а предыдущий выпуск читать было действительно странновато, сразу вспомнились ребята с горящими глазами, которые несколько лет назад уверяли руководителя крупного выч. центра в том, что все его компьютеры по ночам передают накопленные данные в ЦРУ и предлагали свои услуги по "вырыванию зубов".

С уважением, Сергей Адмиральский"

Друзья! Хотел бы попросить вас кто располагает материалами по вопросу, описанному в следующем письме, или мог бы написать сам -- откликнитесь, я помещу ваш материал в одном из выпусков с указанием выходных данных.

"Есть предложения -- рассказать о заголовках E-mail, которые очень о многом могут рассказать. A то дело дошло до того, что у нас тут выборы мэра в городе, так какие-то люди рассылают агитацию по E-mail. Рассказать о службе DNS, командах netstat и nbtstat, net (кстати совсем не каждый может работать с этими командами) -- они очень и очень полезны, увидеть например свежего трояна они помогут.

С наилучшими пожеланиями,Федор"

О политике и экономике антивирусной защиты

Проблема, которую решают специалисты, отвечающие за обеспечение антивирусной безопасности в крупных организациях, на самый поверхностный взгляд выглядит следующим образом: обеспечить защиту компьютерной системы от вирусов. Примерно так может звучать формулировка из должностной инструкции, составленной специалистом по работе с кадрами. Для человека, имеющего хотя бы самое общее представление о компьютерной сети, та же проблема будет звучать уже иначе: обеспечить максимальную антивирусную защиту при минимальных затратах. Ну а если взглянуть еще внимательнее, то мы столкнемся с громадным перечнем практических, экономических и организационных вопросов, которые рано или поздно встают перед специалистом. Такими стратегическими вопросами являются:

• что дешевле: предотвратить заражение или лечить?
• как оценить допустимые затраты на обеспечение антивирусной безопасности?
• что является объектом защиты и какова требуемая степень защищенности?
• как организовать защиту?

Сколько это стоит?

Определим затраты на ликвидацию последствий произошедшей вирусной атаки как сумму затрат на "лечение" и восстановление работоспособности компьютерной системы (Sres) и потерь из-за вынужденного простоя (Sdis).

Например, рассмотрим систему, состоящую из 400 компьютеров. Допустим, что в среднем на "лечение" и восстановление файлов на каждом компьютере потребуется 15 минут. Таким образом, общие потери времени составят 100 часов (400x0,25 часа). При зарплате сотрудника в 1000 долл. в месяц стоимость одного часа будет равна 5,7 долл. Следовательно, прямые затраты составят 570 долл. При наличии 5 сотрудников длительность работы сократится в пять раз. Итого 20 часов, в течение которых система все же останется неработоспособной. А сколько будут стоить 20 часов вынужденного простоя компьютерной системы банка? А если из-за этого "зависнет" межбанковский кредит? Предлагаем читателю продолжить этот расчет с теми исходными данными, которые покажутся ему наиболее подходящими. Если учесть, что стоимость сетевой антивирусной системы такого масштаба редко превышает 5000 - 7000 долл., то перефразируя известную пословицу, становится очевидным, что один "переезд" (внедрение антивирусной системы) окупится одним несостоявшимся "пожаром" (вирусной эпидемией).

Напрашивается вывод: предотвратить - дешевле, чем лечить; при этом уровень экономически допустимых затрат на приобретение и внедрение антивирусной системы можно оценить в размере 5 - 10% от потенциальных потерь от вирусной атаки.

Теперь следующий вопрос. При существующем многообразии вирусов и их мутаций предотвратить заражение может только полнофункциональная антивирусная система, имеющая в своем арсенале все известные технологии борьбы с "болезнями": не только сканер-полифаг, но и резидентный on-line-монитор, средства контроля программной целостности (CRC) и эвристического поиска вирусных сигнатур. Во-первых, как известно, нет единого лекарства от всех болезней. Во-вторых, если мы ограничимся лишь консервативными методами, то можем проиграть в затратах. Посмотрим, что получится, если мы решим ограничиться только ежедневным сканированием. Для этого можно воспользоваться методикой, предложенной Дэвидом Дж. Стэнгом (David J. Stang, Norman Technical Report #4: Evaluating Anti-Virus Software).

Допустим, что в некой организации создано 400 компьютеризированных рабочих мест на базе PC. Среднее время сканирования жесткого диска одного компьютера некой программой составляет 5 минут (время зависит от характеристик компьютера, программы-сканера и размера жесткого диска). Следовательно, в год на сканирование всех компьютеров уходит 520000 минут (260*400*5), или 8666 часов. Пусть средний сотрудник, работающий с компьютером, получает 1000 долл. в месяц В месяце -- 22 рабочих дня и 176 рабочих часов. Тогда, стоимость одного часа равна 5,7долл., а затраты в год на сканирование жестких дисков в этой организации составят 49,399 долл. Первое возражение, которое вы уже, наверное, произнесли: "Ну что такое пять минут, на перекуры тратится куда больше времени." Согласен. Только на перекуры тратится другое время. А эти пять минут - именно те минуты, которые пользователь проводит у компьютера.

Теперь желающие могут ввести коэффициенты, которые больше подходят для его организации и рассчитать, во сколько же обходится только эта процедура.

Кажется очевидным, что лучше чуть-чуть потесниться и найти 8 - 12 Кбайтов свободного места в оперативной памяти, скажем в UMB, где разместится "недремлющее око" резидентного монитора, контролирующее все вирусоподобные проявления и предотвращающее малейшие попытки вирусного заражения. А сканирование лучше осуществлять прямо на сервере, так как в сетевых антивирусных системах это обычная опция.

Следующий, не менее важный вопрос, -- проблема администрирования и затраты, связанные с этим. Нетрудно подсчитать, сколько времени уходит у системных администраторов на установку и конфигурирование антивирусной защиты на каждом компьютере сети, а впоследствии - на обновление таблиц вирусных сигнатур. Ясно, что только сетевая антивирусная система, имеющая нормальные средства централизованной инсталляции, конфигурирования и обновления может снять эту головную боль и все неоправданные затраты.

Вот где они, десятки тысяч долларов, потраченные на ничем необоснованные затраты и потери, которые можно было бы избежать, используя экономически разумные решения в области антивирусной защиты

Политика

Если мы пришли к согласию, что важно не просто купить антивирусные программы, установить их на каждом рабочем месте и постоянно обновлять, но также продумать, как именно будет построена работа по эффективной антивирусной защите в организации, то имеет смысл говорить о разработке стратегии антивирусной безопасности (АВБ).

Прежде всего определим цель стратегии антивирусной безопасности. Это -- эффективное предотвращение заражения вирусами информационной системы организации. Другими словами, не максимально быстрое обнаружение и удаление появляющихся вирусов, а создание условий, при которых уже само появление вируса на пользовательской машине или, еще хуже, на сервере будет рассматриваться как ЧП.

В основе всей стратегии АВБ организации должны лежать следующие разделы:

1. политика антивирусной безопасности;
2. план работ по обеспечению антивирусной безопасности;
3. порядок действий в критических ситуациях.

Разумеется, каждая организация работает с различным уровнем информационной безопасности и в разных условиях информационной среды. То, что совершенно неприемлемо, например, для банка (использование сотрудниками дискет, принесенных из дома), может являться нормой работы в редакции газеты или в агентстве новостей. Поэтому все элементы стратегии организации должны полностью соответствовать целям и задачам, решаемым ее информационной системой, и специфике тех условий, в которых эта организация работает. Забегая вперед отмечу, что и приобретаемая антивирусная система должна полностью отвечать требованиям принятой стратегии.

Перечисленные документы должны быть утверждены в высших инстанциях организации не только потому, что затрагивают вопросы безопасности и надежности информационной системы, но и потому, что в определенной степени регламентируют деятельность всех сотрудников фирмы.

В документе, который будет называться "Политика антивирусной безопасности", необходимо определить:

• перечень и степень защиты информационных ресурсов организации. Нормальной является ситуация, когда различные виды информации имеют разную степень АВ защиты. Например, система обработки банковской информации должна иметь иные степень и методы защиты, нежели справочная юридическая база данных того же банка;
• структуру и обязанности подразделения, ответственного за антивирусную безопасность. Причем это необязательно должно быть выделенное звено; такая работа может быть возложена на службу информационной безопасности, если она есть, или на одно из подразделений службы автоматизации. Важно, чтобы эта группа была, чтобы она несла ответственность за продумывание и исполнение этой работы;
• список документов, перечисляющих обязанности и ответственность различных групп пользователей за соблюдение норм и правил антивирусной безопасности. Распределение пользователей по группам трудностей вызвать не может, а перечень обязанностей (использование процедур АВБ) и ответственность персонала -- вопрос более деликатный. Можно и нужно привести некоторые рекомендации по составлению такого перечня, но это уже выходит за рамки данной статьи;
• требования к инструментам АВБ, т.е. к антивирусным системам, которые будут установлены в организации.

При разработке политики АВБ специалисты должны руководствоваться следующим критерием: чем выше требования к информационной безопасности, тем более централизованным должно быть управление антивирусными средствами, тем "прозрачнее" для пользователя должен осуществляться процесс защиты от вирусов, тем меньше у пользователей должно оставаться возможностей для вмешательства в этот процесс.

План работ по обеспечению антивирусной безопасности касается в основном группы, отвечающей за обеспечение защиты от вирусов. В него могут входить:

• периодический анализ и оценка ситуации по обеспечению антивирусной безопасности. Необходимость такого анализа очевидна -- это исходный материал для корректировки всей стратегии АВБ. Как его проводить, какими инструментами пользоваться? Ответы на эти вопросы есть. Но начать следует с малого. Пусть первый анализ будет проведен методом экспертных оценок, где экспертами будут выступать сотрудники различных служб Департамента автоматизации, и пусть в опросном листе будет всего 5 - 10 вопросов, касающихся удобства пользования средствами и процедурами антивирусной безопасности, оценки степени защищенности системы, предложения по изменению и улучшению состояния дел;
• порядок обновления средств антивирусной безопасности. Чем больше в системе компьютеров, тем сложнее эта процедура, тем выше требования к антивирусной программе по автоматическому выполнению этой процедуры;
• контроль за состоянием средств АВБ. Причем не только на пользовательских станциях, но и на серверах;
• контроль за соблюдением персоналом тех обязанностей по обеспечению АВБ, которые были определены при создании "Политики антивирусной безопасности".
• схема обучения определенных категорий пользователей необходимым для их работы приемам АВБ.

Порядок действий в критических ситуациях, т. е. в тех случаях, когда вирусная инфекция в силу каких-либо причин все же попала в систему, разрабатывается после завершения создания и внедрения предыдущих этапов. Такая ситуация может никогда и не возникнуть, но сам факт создания документа вселит в персонал уверенность, что даже в самых сложных случаях вопросы будут решаться оперативно и продуманно.

Прежде всего в этом документе должна быть отражена классификация чрезвычайных ситуаций. Вряд ли стоит относить к чрезвычайным ситуациям самые простые случаи -- обнаружение антивирусной системой инфекции на рабочей станции с моментальным отключением ее от сети (естественно, когда АВ система это предусматривает). Однако обнаружение вируса или вирусоподобных признаков на сервере (например, изменение контрольных сумм сразу нескольких файлов) или в архиве -- это уже ЧП. В классификации надо отразить и степень поражения системы: насколько глубоко инфекция успела проникнуть в систему.

В зависимости от класса ситуации предусматривается тот или иной порядок работы:

• немедленное предотвращение распространения инфекции;
• документирование (фиксация) состояния системы, которое будет в дальнейшем использовано для анализа ситуации и поиска причин происшедшего;
• определение степени поражения системы. Это выполняется только самыми квалифицированными специалистами;
• уничтожение вирусной инфекции;
• восстановление работоспособности системы или ее части.

Данную статью можно считать попыткой подойти к систематизации опыта деятельности по разработке мер антивирусной безопасности с точки зрения компьютерной логистики - науки об управлении информационными ресурсами системы для оптимизации ее деятельности. Хотелось бы надеяться, что подход к этой проблеме не покажется слишком сложным или искусственным.

Искренне ваш, А.Бочаров