Подписаться
Читать в телеграм
Может быть мы победили? Ведь все производители средств защиты прошли очень серьезный путь в развитии и повышении зрелости своих технологий и продуктов. Каждое интегрированное сетевое средство защиты имеет в своем составе очень гибкие механизмы обнаружения атак и блокирования вредоносных активностей. А если помните, всего несколько лет назад нужно было доказывать, зачем в сети нужны средства обнаружения атак, а технологии предотвращения вторжений и активной безопасности вообще казались сказочными. Сегодня это норма. Про антивирусы, межсетевые экраны и говорить не приходится. Каждый ИТ-специалист знает, что по утрам нужно чистить зубы, на входе в сеть нужно ставить экран, а на рабочем месте – антивирус. Все? Мы не оставили злоумышленникам ни единого шанса?
Подозреваю, что ответить утвердительно будет очень сложно. Буквально недавно к нам обратились две компании с одним и тем же вопросом – некоторые рабочие стации заблокировались и просят отправить куда-то SMS, чтобы получить код разблокировки. Вылечить эту проблему, вообще говоря, не сложно. Но важен сам факт. Ведь вирусные заражения страшны в первую очередь тем, что это в некотором смысле индикатор – лакмусовая бумажка общего состояния защищенности ИС и качества системы защиты информации. Если у вас возник инцидент с вирусами, это значит, что какой-то из каналов их проникновения не закрыт, кто-то получил его по почте или принес на флэшке, это значит что антивирусные базы не обновились вовремя или пользователь смог отключить антивирус. Это значит, что у вас нет полного контроля за вашей информационной системой, процессы управления информационной безопасностью дали сбой. А это чревато.
При этом хочу отметить, что активность классических вирусов несколько снизилась, массовые эпидемии уже не так часто развиваются. Сильно возросла их целенаправленность. Вирус ради вируса уже не пишут. Их пишут исключительно ради денег. Это часть одной большой «пищевой цепочки». Участником каждой серьезной сетевой атаки, взлома системы, хищения всегда является вирус или троян. Бот-сети, украденные пароли, ключи, с которых начинается атака – дело их рук. В недавнем инциденте в одном из российских банков была осуществлена атака на систему дистанционного банковского обслуживания. Была попытка перевести деньги со счетов клиентов. При этом криптографические ключи были украдены злоумышленниками с помощью специально разосланного по клиентам банка трояна.
Почему такое возможно в эпоху развитой безопасности и торжества защитных технологий? Типичных ошибок две.
Первая. Когда что-то делаешь, что-то строишь или от кого-то защищаешься нельзя это делать с закрытыми глазами. Только с комарами можно бороться на ощупь. Во всех остальных ситуациях вы должны контролировать достижение цели: попали – не попали, убили – не убили. Вы построили забор. Просто так к вам уже никто не проникнет. Но кто знает, может быть, воры начали через верх лазить и пора сверху колючую проволоку натягивать? Или наоборот снизу копают? Ровно тоже самое с системами безопасности. Если вы не мониторите состояние вашей системы, не отслеживаете логи, не разбираете каждый инцидент, то у вас завязаны глаза, а вокруг – грабли. Да, согласен, ежедневный анализ логов дело очень трудоемкое и рутинное. Но без него никуда. Если у вас два сервера, то заставьте себя и сделайте это. Если пять и на двух площадках, то возьмите специального человека. Если больше – начинайте думать про системы автоматизированного сбора лога и анализа событий.
Вторая. Такая же нудная. Защита рабочих мест конечных пользователей. Сам процесс не всегда приятен, пользователи всегда сложные.
К ним нужно прислушиваться, оценивать, что они в состоянии выполнить, а что нет. Многократно объяснять и показывать. Если вы хотите предложить решение, которое им сильно усложнит работу – не тратьте время. Они найдут способ этого не делать. Вы всегда будете искать компромисс. Но если не построить надежной защиты конечных рабочих мест, то так и будут ваши пользователи спрашивать, а нужно ли отправлять SMS, чтобы разблокировать компьютер. Даже один компьютер, на котором не обновлен антивирус – это рассадник заразы по всей сети.
Вот этим двум проблемам и будет посвящен нынешний номер нашего издания. Мы расскажем о практических подходах к построению центров оперативного мониторинга и защите рабочих мест пользователей на примере технологий Symantec.
