Глава 1. Инвентаризация санкционированного и устранение постороннего ПО
Для начала коротко рассмотрим наиболее вероятные сценарии действий внешних злоумышленников. Начнем с ежедневно используемого в офисе или операционной среде предприятия программного обеспечения.
Достаточно серьезную опасность представляют «внешние» компьютеры, которые работают как интернет-ресурсы и оснащены устаревшими версиями ПО, например, веб-сервер Apache, BIND или Sendmail. Поиск и сканирование систем с такими уязвимыми версиями являются первым шагом злоумышленника к проникновению в систему или корпоративную сеть. Практически все хакеры пользуются сетевыми сканерами, позволяющими изучить сетевое окружение атакуемого и найти ресурсы сети, открытые для записи. Это предварительная стадия скрытого вторжения, за которой следует «фишинг». Операция фишинга заключается в подмене рабочего здорового файла «зараженным» или внедрение на сетевые ресурсы предприятия вредоносной программы под видом рабочей программы. Фишинг можно назвать одним из видов мошенничества, которое использует методики «социальной инженерии[1]» в электронной форме.
Другими способами проникновения посредством фишинга могут быть электронные письма с «вирусным» вложением, обман интернет-пользователей через «зараженный» контент уже взломанных сайтов или негласную подмену веб-страниц легальных сайтов сторонних владельцев страницами с вредоносным кодом.
Значительный риск в бизнесе несет использование постороннего программного обеспечения, которое попадает в локальную сеть через неграмотных в вопросах безопасности пользователей. Разъясняйте пользователям их ошибки, создайте в Политике информационной безопасности предприятия правила, которые своевременно пресекут загрузку ПО из сети интернет. Организационными мерами закрывайте такую возможность. Технические мероприятия по фильтрации парка программного обеспечения и устранению постороннего ПО стоят значительно дороже.
Когда пользователи выполняют доступ к вредоносному содержимому с помощью уязвимого браузера или клиентской программы, компьютер скрытно атакуется, предоставляя хакеру возможность проникновения в машину для получения долгосрочного контроля над чужой компьютерной системой. Некоторые сложные проникновения могут использовать уязвимости «нулевого дня»[2][3].
Когда один компьютер скрытно взломан и при этом продолжает эксплуатироваться, злоумышленники часто используют его в качестве «пункта наблюдения» для сбора конфиденциальной информации о пользователе и о других взаимодействующих компьютерах. Такая машина используется и в качестве стартовой точки для проникновения по всей сети. В результате хакер может быстро превратить одну скомпрометированную машину в армию подобных.
Предприятию, не имеющему полного реестра программ, как правило, не удастся устранить проблемы блокировки нарушителей и злоумышленников, а также выявить системы, работающие с уязвимым или вредоносным ПО. Контроль и управление всем ПО предприятия также играет важную роль в планировании и эксплуатации резервного копирования/восстановления информационных систем. Следовательно, без инвентаризации ПО проблемы по размеру больше и возникают чаще.
Инвентаризация ПО, внедренная в рамках всего предприятия, должна охватывать все типы используемых ОС на всех устройствах, включая серверы, рабочие станции и ноутбуки. Механизм инвентаризации должен записывать наименование системного и прикладного ПО, которое установлено на каждом сервере/станции, а также номер версии и релиза (уровень обновления) поименованного ПО.
Комплекс инвентаризации ПО должен быть интегрирован с инвентаризацией аппаратного оборудования таким образом, чтобы все устройства и соответствующее ПО отслеживались из единого центра. Проще говоря, аккуратная и полная инвентаризация ПО может быть противопоставлена обманным трюкам самых хитроумных хакеров. В любом случае без надлежащего контроля за программным обеспечением предприятия невозможно должным образом защитить свои информационные активы.