Еще пять-шесть лет назад защитить корпоративную сеть от угроз можно было простой комбинацией антивируса и межсетевого экрана, однако сейчас такими средствами не обойтись - с "парадного входа" больше никто не атакует, да и стратегия вредоносных программ существенно изменилась.
Вполне естественно, что все более изощренные способы проникновения вредоносных программ в ИС предприятия и рост ущерба от них требуют постоянного совершенствования системы информационной безопасности (ИБ). С другой стороны, тотальная защита должна быть просто фантастической, поскольку сеть офиса фирмы может быть потенциально уязвима для различного рода внешних воздействий, включая интернет-соединения, каналы связи между центральным офисом и удаленными филиалами, коммуникации с бизнес-партнерами и т. д. Применение брандмауэров или внедрение технологий виртуальных частных сетей (VPN) может снизить размер нанесенного ущерба или риска, однако необходимый комплексный уровень защиты при этом обеспечен не будет. Возможно, именно поэтому стоит определить, от каких угроз в первую очередь нужно защищать свои компьютеры и особенно хранящиеся в них данные.
Первая тенденция рынка состоит в том, что преступники отказываются от методики массированных атак при помощи сетевых червей и рассылок троянских программ. Дело в том, что антивирусная индустрия создала внушительную инфраструктуру противодействия начиная с самого первого уровня защиты - обнаружения в почтовом трафике множества копий одного и того же файла (что является первичным признаком массовой рассылки) - и заканчивая сложными уровнями защиты, включающими в себя как программное обеспечение, так и аппаратные межсетевые экраны. Фактически с момента появления первых экземпляров червя в сети до выпуска антивирусных баз с процедурами его обнаружения и лечения проходит максимум один-два часа, а чаще - всего несколько минут. Это значительно, если не полностью, снижает эффективность подобных вирусных атак.
Вторая тенденция заключается в "профессиональной заточке" рынка компьютерных вирусов. Вполне закономерно, что после разгула "дикого" рынка компьютерных вирусов преступники-одиночки объединяются в международные группировки, влияние которых на рынке вредоносных программ уже настолько выросло, что привело к изменению, ломке устоявшихся тенденций развития многих классов вредоносных программ (TrojWare, VirWare, AdWare). Как отмечают аналитики из "Лаборатории Касперского" и Trend Micro, доминирующей тенденцией 2005 г. становится развитие рынка профессионально исполненных вредоносных программ. Особенно неприятно усиливающееся распространение Trojan-Spy и Trojan-PSW, которые покушаются на финансовые данные пользователя - главным образом учетные данные для доступа к интернет-банкам и номера кредитных карточек (кто-то хранит их в текстовых файлах). Практически все украденные виртуальные данные используются для нелегального доступа к сетевым и финансовым ресурсам пользователей, а также для последующей перепродажи.
Третья тенденция - это четкий выбор объекта атаки, что понятно: тратить время для взлома базы данных о клиентах пиццерии никому не интересно. Преступники предпочитают атаковать конкретные крупные цели. В первую очередь их интересует банковская и персональная информация пользователей - номера кредитных карт, номера карт социального страхования и прочие атрибуты, которыми обладает современный человек в компьютеризированном обществе. Именно эти данные могут быть использованы другими людьми в собственных целях - для кражи денег со счетов, подделки документов и банковских карт, различных видов вымогательства и шантажа. Либо - для промышленного шпионажа (информация о состоянии дел конкурентов, их финансовые документы, личные данные сотрудников и многое другое, что находится в компьютерной сети организации).
Четвертая тенденция - электронный шантаж. Часто забрать большой массив данных из взломанной компьютерной сети невозможно чисто физически - информационный поток будет обнаружен, утечка пресечена. Поэтому "вирусописатели-умельцы" создали новый тип вредоносных программ, основной целью которых является шифровка данных на компьютере пользователя с последующим требованием денежного выкупа за возможность вернуть обратно свою собственность (первой ласточкой такого типа стал вирус Win32.Gpcode). Обычно деньги требуют перевести через многочисленные системы электронных платежей, проследить получателя в которых довольно сложно. Подавляющее большинство зараженных компьютеров находится в коммерческих учреждениях, среди пострадавших практически нет домашних пользователей. Это навело экспертов из "Лаборатории Касперского" на мысль о том, что методом проникновения скорее всего выступала логическая бомба - то есть программа-закладка в каком-то специфическом бухгалтерском или банковском ПО, которым пользуются все пострадавшие организации. Ряд пользователей вступили в переписку со злоумышленником и, видимо, заплатили требуемую сумму, не зная о том, что применяемые преступником алгоритмы шифрования файлов весьма примитивны и легко поддаются расшифровке при помощи антивирусной программы с соответствующей процедурой определения и лечения.
Наконец, пятая тенденция - это использование вирусов в политических целях. В мае 2005 г. миллионы пользователей электронной почты в Западной Европе получили письма с текстами праворадикального толка. Их содержание выражало точку зрения автора на приближающиеся выборы в Европарламент и голосование по вопросу Европейской конституции. Эти письма были посланы при помощи компьютеров, зараженных червем Sober, а точнее, его новым вариантом - Sober.q. О том, что политика может стать одной из основных движущих сил в будущих киберугрозах, говорят постоянные кибервойны, идущие в Азии. Многолетняя война между индийскими и пакистанскими хакерами, в ходе которой, кстати, был создан червь Lentin (Yaha), не прекращается и поныне. В этом году разразился очередной политический конфликт между Китаем и Японией - беспорядки происходили и в киберпространстве, когда китайские хакеры атаковали ряд государственных серверов в Японии. Подобные инциденты регулярно случаются и между Китаем и Тайванем, а также в Южной Корее.
В итоге можно отметить, что нынешний год характеризуется постепенным переходом от крупных, массовых эпидемий к более избирательным, точечным атакам. Проявления этого подхода встречаются практически повсеместно: во взломах сайтов, в спам-рассылках, в распространении новых вредоносных программ. При этом подобные программы разрабатываются профессиональными программистами, деятельность которых основана на экономической целесообразности.
С автором можно связаться по адресу: mb@viem.ru.
