Факторы, способствующие росту рынка ИБ.

Тема 6.

Анализ технологий вредоносных программ и

рынок продуктов информационной безопасности.

Содержание:

6.1. Анализ технологий вредоносных программ.

6.1.1. Общие тенденции развития вредоносных программ.

6.1.2. Rootkit-технологии.

6.1.3. Hoax-программы.

6.1.4. Троянские программы для шантажа и вымогательства.

6.1.5. Инжектирование программного кода как метод скрытого запуска.

6.1.6. Новые методы воровства WebMoney.

6.1.7. Детектирование отладчиков и виртуальных ПК.

6.1.8. Распространение вредоносных программ при помощи Интернет-пейджеров.

6.1.9. USB flash-носители.

6.1.10. Методики рассылки спама.

6.1.11. Современные способы борьбы со спамом.

6.2. Рынок продуктов информационной безопасности и новые технологии.

6.2.1. Рынок программных средств обеспечения информационной безопасности.

6.2.2. Рынок аппаратных систем ИБ.

6.2.3. Рынок услуг управления ИБ (Information Security Services).

6.1. Анализ технологий вредоносных программ.

Несмотря на то, что способов и методов защиты корпоративной информации все больше, угроза для данных по-прежнему сохраняется, так как технологии вредоносных программ развиваются иногда быстрее технологий защиты. Рассмотрим основные тенденции и примеры развития вредоносных программ.

6.1.1. Общие тенденции развития вредоносных программ.

За 2006 год было обнаружено и проанализировано 49 697 уникальных разновидностей вредоносных программ, причем 47 907 из них принадлежит к основным семействам (рис.6.1).

Как видно из диаграммы, 37% всех исследованных программ составляют вредоносные программы типа Trojan-Downloader. Это устойчивая тенденция, которая прослеживается с 2005 г. и связана с тем, что Trojan-Downloader применяется для установки вредоносных программ, обновления их версий и восстановления в случае удаления антивирусом. Большинство исследованных случаев поражения компьютера вредоносным ПО влечет за собой именно запуск типа Trojan-Downloader, вследствие применения эксплойта или методов социальной инженерии. Следующими по распространению являются почтовые и сетевые черви, троянские программы различных типов и программы класса Dialer [9].

Статистический анализ динамики обнаружения ITW (in the Wild) образцов показывает, что разработчики вредоносных программ взяли на вооружение и активно применяют новую технологию борьбы с сигнатурными сканерами. Методика ее крайне проста и заключается в том, что разработчик создает сотни вариантов одной и той же вредоносной программы в течение небольшого промежутка времени.

Рис.6.1 – Процентный состав вредоносных программ по семействам.

Наиболее простые методы получения различных вариантов следующие:

- переупаковка различными упаковщиками и криптерами – может выполняться периодически или в момент запроса файла, набор упаковщиков и их параметров может варьироваться случайным образом. Нередко авторы вредоносных программ применяют модифицированные упаковщики и криптеры, что затрудняет их проверку;

- перекомпиляция файла с внесением модификаций, достаточных для того, чтобы изменились сигнатуры файла, по которым производится его детектирование;

- помещение вредоносного файла в инсталляционный пакет, созданный при помощи инсталляторов типа NSIS (Scriptable Installation System). Наличие открытого исходного кода инсталлятора позволяет немного его модифицировать, что сделает невозможным автоматическую распаковку и анализ в ходе антивирусной проверки.

Перечисленные методики давно известны и могут применяться в различных сочетаниях, что позволяет автору вредоносной программы без особого труда создавать сотни вариантов одной и той же программы без применения классических полиморфных методик.

Анализ технологий, используемых создателями вредоносных программ, показывает, что за 2006 г. не придумано никаких революционно новых технологий - разработчики вредоносного ПО берут количеством, а не качеством. Тем не менее, появилось несколько новинок, которые заслуживают более подробного обсуждения.

По данным [9], системой автоматического мониторинга вирусной активности в день регистрируется в среднем 400 новых уникальных разновидностей вредоносных программ. Рассмотрим некоторые семейства вредоносных программ.

6.1.2. Rootkit-технологии.

В 2006 г. наблюдалось развитие и совершенствование различных типов руткитов и руткит-технологий. Эти технологии применяют многие вредоносные программы, причем существует несколько их направлений:

- руткит-технологии для маскировки, основное назначение которых – маскировка присутствия вредоносной программы и ее компонентов на диске и в памяти, а также маскировка ключей в реестре. Для решения этой задачи чаще всего используется перехват API-функций, причем в современных руткитах встречаются весьма изощренные методики перехвата, например, внедрение кода в неэкспортируемые функции ядра, перехват прерывания Int2E, модификация SYSENTER. Отдельно следует отметить DKOM-руткиты (Direct Kernel Object Manipulation), которые приобретают все большую популярность;

- руткит-технологии для шпионажа – как следует из названия, они применяются для слежения за работой пользователя и сбора конфиденциальной информации. Наиболее характерный пример – Trojan-Spy.Win32.Goldun, который по руткит-принципу перехватывает обмен приложений с Интернетом для поиска в потоке передаваемой информации реквизитов кредитных карт пользователя.

DKOM-руткиты.

Принцип их работы основан на модификации системных структур, описывающих процессы, драйверы, потоки и дескрипторы. Подобное вмешательство в системные структуры, естественно, является недокументированной и весьма некорректной операцией, однако система после подобного вмешательства продолжает более или менее стабильно работать. Практическим последствием такого вмешательства является то, что у злоумышленника появляется возможность манипулирования структурами ядра в собственных целях.

Например, для каждого из запущенных процессов в ядре заводится структура EPROCESS, хранящая массу информации о процессе, в частности его идентификатор (PID) и мя процесса. Эти структуры образуют двусвязный список и используются API-функциями, возвращающими информацию о запущенных процессах. Для маскировки процесса DKOM-руткиту достаточно удалить его структуру EPROCESS из списка. Реализация подобной маскировки крайне проста, и в Интернете можно найти десятки готовых реализаций с исходными текстами.

Более сложные руткиты не ограничиваются удалением структуры маскируемого объекта из списка – они искажают содержащиеся в ней данные. В результате даже если антируткит сможет найти замаскированный процесс или драйверов, то он получит о нем неверную информацию. Ввиду простоты реализации подобные руткиты приобретают все большую популярность, и бороться с ними становится все сложнее. Исследования показали, что наиболее эффективным методом противодействия им является установка в систему монитора, следящего за запуском / завершением процессов и загрузкой / выгрузкой драйверов. Сравнение собранной подобным монитором информации с данными, возвращаемыми системой, позволяет обнаружить произведенные DKOM-руткитом модификации, понять их характер и обнаружить замаскированные процессы и драйверы.

6.1.3. Hoax-программы.

Направление Hoax-программ продолжает активно развиваться, поэтому можно уверенно прогнозировать рост этого семейства в будущем. В буквальном переводе – Hoax – это обман; ложь, мистификация, неправда. Идея Hoax-программ – обман пользователя, чаще всего с целью получения прибыли или похищения конфиденциальной информации. В последнее время наблюдается тенденция криминализации этой отрасли: если еще год назад большинство Hoax-программ производили сравнительно безобидные действия, имитируя заражение компьютера вирусами или SpyWare-кодом, то современные все чаще нацелены на похищение паролей или конфиденциальной информации.

Пример такой программы – это генератор лицензий для «Антивируса Касперского». Программа предлагает для получения сгенерированной лицензии ввести адрес своей электронной почты и пароль на доступ к почтовому ящику. Если доверчивый пользователь сделает это и нажмет кнопку «Получить шифр», то введенные им данные будут переданы злоумышленнику по электронной почте.

Подобных программ за прошедший год обнаружено более сотни: это разнообразные «креки», генераторы карт оплаты сотовых операторов, генераторы номеров кредитных карт, средства «взлома» почтовых ящиков и т.п. общая черта подобных программ – обман пользователя, нацеленный на то, чтобы он самостоятельно ввел некую конфиденциальную информацию. Вторая характерная черта Hoax-приложений – их примитивность: они содержат массу ошибок и некорректностей в программном коде. Подобные программы зачастую создают начинающие вирусописатели.

6.1.4. Троянские программы для шантажа и вымогательства.

Программы данной разновидности впервые появились пару лет назад. Их основная цель – прямой шантаж пользователя и вымогание у него денег за восстановление работоспособности компьютера или расшифровку информации, закодированной троянской программой.

Наиболее часто встречается Trojan.Win32.Krotten, вымогавшего 25 WMZ за восстановление работоспособности компьютера. Эта троянская программа крайне примитивна по устройству, и вся ее работа сводится к модификации сотни ключей в реестре (источник: www.viruslist.com).

Особенность троянских программ этого семейства состоит в том, что для лечения компьютера недостаточно поиска и уничтожения Трояна – необходимо еще восстановить повреждения, нанесенные им системе. Если создаваемые трояном Krotten повреждения реестра устранить довольно легко, то зашифрованную информацию восстановить гораздо сложнее.

Например, создатель шифрующей данные пользователя троянской программы Gpcode постепенно увеличивает длину ключа шифрования, бросая тем самым вызов антивирусным компаниям (источник: www.viruslist.com).

6.1.5. Инжектирование программного кода как метод скрытого запуска.

Данная технология наиболее ярко прослеживается в современных Trojan-Downloader, однако постепенно она начинает внедряться в других вредоносных программах. Методика ее сравнительно проста: вредоносная программа условно состоит из двух частей – «инжектора» и троянского кода. Задача «инжектора» заключается в распаковке и расшифровке троянского кода и его внедрении в некий системный процесс. На этой стадии изученные вредоносные программы различаются методикой внедрения троянского кода:

1. Внедрение путем подмены контекста – принцип такого внедрения предполагает подготовку и расшифровку троянского кода (шаг 1), запуск любого системного процесса, причем при создании процесса он создается в «спящем» (suspended) режиме (шаг 2). Далее инжектор внедряет троянский код в память процесса (причем такое внедрение может производиться поверх машинного кода процесса), после чего модифицирует контекст главного потока таким образом, чтобы управление получал троянский код (шаг 3). После этого запускается главный поток и выполняется троянский код. Данный метод интересен тем, что любой диспетчер процессов будет показывать выполнение легитимной программы (скажем, svchost.exe), но при этом вместо машинного кода легитимной программы в памяти будет находиться и использоваться троянский код. Данный метод позволяет обходить брандмауэры, не обладающие средствами контроля за модификацией памяти процесса и контекста его потоков (рис.6.2) [9].

Рис.6.2 – Внедрение подменой контекста.

2. Внедрение троянских потоков – данный метод идеологически похож на предыдущий, но вместо замены машинного кода процесса троянским и его выполнения в главном потоке производится создание дополнительного потока, в котором выполняется троянский код (шаг 2). Этот метод часто применяется для инжектирования троянского кода в уже существующий процесс без нарушения его работы (рис.6.3) [9].

Рис.6.3 – Внедрение методом создания троянского потока.

6.1.6. Новые методы воровства WebMoney.

В конце 2006 г. был обнаружен новый, достаточно оригинальный метод воровства денег в системе WebMoney. Он основан на внедрении на компьютер пользователя небольшой троянской программы, которая отслеживает, открыто ли окно программы WebMoney. В случае, если оно открыто, осуществляется мониторинг буфера обмена. При обнаружении в буфере текста, начинающегося с «Z», «R» или «E», троянская программа считает, что это номер кошелька получателя, который пользователь скопировал в буфер обмена для ввода в окне WebMoney. Этот номер удаляется из буфера и заменяется на номер «Z», «R» или «E» кошелька злоумышленника. Метод крайне прост в реализации и может быть достаточно эффективным, поскольку номера кошельков действительно чаще всего не вводятся, а копируются через буфер и далеко не все пользователи тщательно проверяют, тот ли номер кошелька вставился из буфера. Данный троян является наглядной демонстрацией изобретательности разработчиков троянских программ.

6.1.7. Детектирование отладчиков и виртуальных ПК.

Методики борьбы с отладчиками, эмуляторами и виртуальными компьютерами известны давно. Их применение затрудняет анализ вредоносной программы для начинающего специалиста, поэтому подобные технологии давно и достаточно успешно применяются разработчиками вредоносного ПО. Однако за прошедший год наметилась новая тенденция: вредоносные программы стали пытаться определять тип компьютера – реальное это железо или эмуляция, созданная программами типа Virtual PC или VMWare. Подобные виртуальные ПК довольно активно применялись и применяются администраторами для изучения подозрительных программ. При наличии проверки в случае запуска на виртуальном ПК (как вариант – под отладчиком) вредоносная программа может просто аварийно завершить свою работу, что помешает произвести ее изучение. Кроме того, подобная проверка нанесет удар по системам типа Norman Sandbox, поскольку их принцип эвристического анализа, в сущности, состоит в запуске изучаемой программы на эмуляторе и исследовании ее работы. В конце 2006 г. специалисты института SANS Том Листон (Tom Liston) и Эд Скудис (Ed Skoudis) опубликовали весьма интересный отчет с описанием техники обнаружения виртуальных машин и борьбы с методами обнаружения (источник: Сайт SANS – http:/handlers.sans.org)

6.1.8. Распространение вредоносных программ при помощи Интернет-пейд-жеров.

Интернет-пейджеры все чаще применяются для внедрения вредоносных программ на компьютеры пользователей. Методика внедрения представляет собой классическую социальную инженерию. С зараженного компьютера от имени ICQ его владельца вредоносная программа рассылает сообщения, призывающие под тем или иным предлогом открыть указанную ссылку. Ссылка ведет на троянскую программу (обычно со смысловым именем типа picture.pif или flach_movie.exe) или на сайт, страницы которого содержат эксплойты. Следует особо отметить тот факт, что распространяются именно ссылки на вредоносные программы, а не их тела.

За 2006 г. было зафиксировано несколько эпидемий, основанных на таком принципе. В России пострадавшими в основном были пользователи ICQ, а распространялись таким образом чаще всего программы категории Trojan-PSW – троянские программы, ворующие пароли пользователей.

Защита от вредоносных программ данного типа крайне проста – не следует открывать подобные ссылки. Однако статистика показывает, что любопытство пользователей нередко перевешивает, тем более если сообщения приходят от имени хорошо известного им человека. В корпоративной среде эффективной мерой является запрет на применение интернет-пейджеров, поскольку в плане безопасности они являются идеальным каналом утечки информации.

6.1.9. USB flash-носители.

Существенное падение цен на flash-носители (а также рост их объема и быстродействия) привело к закономерному эффекту – бурному росту их популярности среди пользователей. Соответственно разработчики вредоносных программ стали создавать программы, заражающие flash-диски. Принцип работы таких программ крайне прост: в корне диска создаются два файла – текстовый файл autorun.inf и копия вредоносной программы. Файл autorun применяется для автозапуска вредоносной программы при подключении диска. Классическим примером такой вредоносной программы является почтовый червь Rays. Важно отметить, что в качестве носителя вируса могут выступать цифровой фотоаппарат, многие сотовые телефоны, MP3-плееры и КПК – они, с точки зрения компьютера (и соответственно червя), неотличимы от flash-диска. При этом наличие вредоносной программы никак не сказывается на работе этих устройств.

Мерой защиты от подобных программ может служить отключение автозапуска, применение антивирусных мониторов для своевременного обнаружения и удаления вируса. Перед угрозой притока вирусов и утечки информации многие компании идут на более жесткие меры – блокируют возможность подключения USB-устройств при помощи специализированного ПО или блокировки USB-драйверов в настройках системы.

6.1.10. Методики рассылки спама.

В последние годы проблема борьбы со спамом стала одной из самых существенных для большинства пользователей Интернета, поскольку, по статистике, более 80% всей получаемой корреспонденции является спамом. Борьба с ним осложняется тем, что спамеры непрерывно совершенствуют свои технологии и разрабатывают новые методики обхода фильтров. Кроме того, существует большая категория писем, которые с равным успехом можно отнести как к спаму, так и к полезной корреспонденции.

Рассылка вручную.

Подобная рассылка может вестись с реального адреса или со специально заведенных для этих целей ящиков на бесплатных почтовых серверах. Такой спам не может быть массовым, и на первый взгляд с ним сравнительно просто бороться: вносить адреса и IP-серверы спамеров в черные списки. Однако если спам рассылается, к примеру, с mail.ru, то внесение IP-адреса mail.ru в черный список блокирует прием почты с любого почтового ящика этого сервера. Блокировка по почтовым адресам свободна от этого недостатка, но она и малоэффективна, поскольку спамеру достаточно будет периодически заводить новые ящики.

Рассылка при помощи специальных программ и утилит.

Этот метод отличается от предыдущего только степенью автоматизации - вместо отправки писем вручную по адресной книге спамер применяет специализированную программу, содержащую базу данных с адресами для рассылки.

Рассылка через некорректно сконфигурированные почтовые серверы.

Данный метод основан на поиске и последующей эксплуатации SMTP-серверов с некорректной настройкой и позволяет использовать их для неавторизованной рассылки спама. Можно выделить два основных случая некорректности:

- почтовый сервер принимает и пересылает письма от неавторизованного пользователя, т.е. является так называемым open relay;

- в настройке почтового сервера установлена опция, предписывающая возвращать отправителю письма, посланные на несуществующий ящик. Обнаружив такой сервер, спамер может подключиться к нему и отправлять письма на заранее известные ему несуществующие почтовые ящики, используя адреса из своей базы рассылки. После приема письма почтовый сервер обнаружит, что его получатель некорректен, и вернет послание по адресу отправителя, то есть отправит спам получателю.

Рассылка с применением web-интерфейса почтовых серверов.

В настоящее время существует множество почтовых серверов, позволяющих отправлять почту через web-интерфейс. Недочеты в механизмах регистрации и авторизации таких серверов могут эксплуатироваться спамерами: при обнаружении уязвимого сервера несложно написать программу, которая будет автоматически регистрировать почтовые ящики и впоследствии использовать их для рассылки спама. С целью борьбы с подобными методикам и разработчики программного обеспечения для подобных серверов применяют сложные методики регистрации, в частности, ввод контрольных кодов, отображаемых на форме регистрации в виде картинки, или многоступенчатое подтверждение регистрации.

Некорректно сконфигурированный прокси-сервер.

Для рассылки спама может применяться любой Socks-, прокси- или HTTP-прокси-сервер, поддерживающий метод CONNECT. Если такой прокси-сервер сконфигурирован некорректно и принимает неавторизованные запросы с произвольных IP-адресов, то он может быть использован спамерами.

Спам-боты и троянские прокси.

Спам-бот – это автономная троянская программа, предназначенная для автоматической рассылки спама с пораженного компьютера. Троянский прокси – это вредоносная программа с функциями прокси-сервера, ее функционирование на пораженном компьютере позволяет злоумышленнику использовать его как прокси-сервер для рассылки спама, проведения атак на другие компьютеры и совершения иных противоправных действий. Многие современные спам-боты активно маскируют свое присутствие по руткит-технологиям и защищаются от удаления. Статистика показывает, что в месяц обнаруживается более 400 ITW-разновидностей подобных программ, из которых порядка 130 являются новыми, уникальными.

Спам-бот – это автономная троянская программа, осуществляющая рассылку спама с зараженного компьютера по заданному алгоритму. Данный метод рассылки спама является самым эффективным по ряду критериев, в частности, против него практически бесполезны фильтры по IP-адресам. Кроме рассылки спама, спам-бот моет решать ряд сопутствующих задач, в частности, пополнять базы данных спамеров почтовыми адресами, найденными на компьютерах пользователей. Механизм работы спам-бота показан на рис.6.4.

Наиболее типичный метод установки спам-бота – при помощи троянского загрузчика. Кроме того, для доставки спам-бота могут применяться почтовые и сетевые черви.

После установки спам-бот связывается с одним из принадлежащих спамерам серверов в Интернете (шаг 1) и передает отчет о своей установке. Адреса этих серверов обычно заданы в теле спам-бота.

Источник: www.viruslist.com.

Рис.6.4 – Схема работы спам-бота.

В отчет спам-бот получает конфигурацию (шаг 2), в которой указано, с каких серверов он должен запрашивать данные для рассылки спама. После получения этой информации он связывается с указанным сервером и получает список e-mail-адресов для рассылки (шаг 3), шаблоны для формирования писем и прочие настройки (шаг 4). После выполнения рассылки спам-бот отсылает отчет, в котором обычно содержится статистика и список адресов, по которым не удалось отправить почту с указанием ошибок. Для обновления версий спам-бота на пораженный компьютер может внедряться Trojan-Downloader или сам спам-бот может наделяться функцией самообновления.

Описанный алгоритм является универсальным, реальные спам-боты могут иметь более простое устройство. Следует отметить, что, кроме рассылки спама, возможно решение еще одной задачи – поиска на почтовом компьютере почтовых адресов для пополнения спамерских баз.

Спам-бот представляет большую угрозу для корпоративных сетей, поскольку его работа приводит к следующим последствиям:

- большому расходу сетевого трафика – в большинстве городов России пока отсутствует безлимитные тарифы, поэтому наличие в сети нескольких пораженных компьютеров может привести к ощутимым финансовым убыткам за счет расхождения трафика;

- многие корпоративные сети для выхода в Интернет используют статические IP-адреса и собственные почтовые серверы. Следовательно, в результате деятельности спам-ботов эти IP-адреса быстро попадут в черный списки антиспам-фильтров, а значит, почтовые серверы в Интернете перестанут принимать почту от корпоративного почтового сервера компании. Исключить свой IP-адрес из черного списка можно, но достаточно сложно, а в случае наличия в сети работающих спам-ботов это будет временной мерой.

Методы противодействия спам-ботам и троянским прокси весьма просты: необходимо блокировать порт 25 для всех пользователей, а в идеале – вообще запретить им прямой обмен с Интернетом, заменив его работой через прокси-серверы. Например, в Смоленскэнерго все пользователи работают с Интернетом только через прокси с системой фильтров, причем ежедневно производится полуавтоматическое изучение протоколов, которое выполняется дежурным администратором-системщиком. Применяемый им анализатор позволяет легко обнаружить аномалии в трафике пользователей и своевременно принять меры по блокированию подозрительной активности. Кроме того, отличные результаты дают IDS-системы (Intrusion Detection System), изучающие сетевой трафик пользователей.

6.1.11. Современные способы борьбы со спамом.

Все современные методики борьбы со спамом можно условно разделить на следующие категории:

1. Методы, основанные на анализе письма – их задача состоит в изучении письма с целью его классификации. Подобный метод решает две задачи: обнаруживает спам и выявляет письма, которые гарантированно не являются спамом. Известно несколько наиболее распространенных методов анализа:

- по формальным признакам;

- по содержимому с использованием сигнатурного анализа (данный метод основан на поиске в тексте письма определенных сигнатур, описанных в обновляемой базе данных);

- по содержимому с применением статистических методик (большинство современных методов данного класса основано на теореме Байеса);

- по содержимому с использованием SURBL (Spam URL Realtime Block Lists – списка блокировки спамерских URL) (идея метода состоит в поиске расположенных в теле письма ссылок и их проверке по базе SURBL. Этот метод эффективен против спама, в котором для обхода фильтров вместо рекламы применяется ссылка на сайт с рекламой).

2. Детекторы массовой рассылки – как следует из названия, их задачей является обнаружение рассылки похожего письма большому количеству абонентов.

3. Методы, основанные на признании отправителя письма в качестве спамера – они опираются на различные черные списки IP- и почтовых адресов. Как и в предыдущем случае, возможно решение обратной задачи – опознание доверенных пользователей или почтовых серверов, от которых необходимо принимать почту в любом случае. Достоинством данного метода является то, что для опознания отправителя в качестве спамера почтовому серверу не требуется принимать письмо, что существенно экономит трафик. Опознание отправителя производится по его IP-адресу. Для проверки адреса можно применять собственные черные и белые списки и использовать сервисы RBL (Real-time Blackhole List) и DNSBL (DNS-based Blackhole List). Сервис DNSBL идеологически похож на DNS – существуют серверы, содержащие динамически обновляемые черные списки. Использующий технологию DNSBL почтовый сервер или спам-фильтр обращается к серверу DNSBL с запросом на проверку IP-адреса.

4. Методы, основанные на верификации обратного адреса отправителя и его домена – простейшим методом защиты является обычный DNS-запрос по имени домена отправителя письма. Если выясняется, что домен отправителя не существует, то, вероятнее всего, адрес отправителя является поддельным. Однако этот метод малоэффективен, поскольку в качестве адреса отправителя спамеры могут использовать реальные адреса, случайным образом выбранные из базы рассылки. Более сложная технология предполагает проверку, допустима ли отправка письма с указанным обратным адресом с данного IP-адреса.

Кроме перечисленных методик существует ряд других, например, методика, основанная на эмуляции устранимой ошибки пересылки почты на SMTP-сервере. Реальный SMTP-сервер отправителя при обнаружении подобной ошибки должен выдержать некоторую паузу и повторить попытку. Большинство спам-ботов этого не делают, поэтому для защиты от них используется данная методика. Другая методика связана с тем, что после получения подозрительного письма антиспам-фильтр может попытаться связаться с отправителем письма и предложить ему тем или иным способом доказать, что он не является спамером. Подобную методику, в частности, практикует фильтр спама на mail.ru.

Рассмотрены только основные современные методики рассылки спама и средства борьбы с ним. В качестве общего вывода можно отметить, что ни один из этих методов борьбы со спамом не является в настоящее время достаточно эффективным. Поэтому в идеале хороший антиспам-фильтр должен использовать все доступные методики и выносить вердикт по совокупности результатов оценки письма с применением различных методик анализа. Кроме того, можно отметить, что простейшие персональные фильтры постепенно теряют свою актуальность, поскольку они плохо обучаются по «злоумышленному», динамически собираемому тексту и бесполезны против изображений.

Что касается тенденции развития вредоносных программ, то на основе проведенного анализа можно утверждать, что будет развиваться направление маскировки от сигнатурных сканеров и защиты от запуска на виртуальных компьютерах и эмуляторах. Следовательно, для борьбы с такими вредоносными программами на первое место выходят различные эвристические анализаторы, брандмауэры и системы проактивной защиты. Flash-диски, цифровые фотоаппараты, MP3-плееры и КПК становятся все большей угрозой для безопасности, поскольку могут выступать носителями вирусов.

Сегодня наблюдается явная криминализация отрасли разработки вредоносных программ, растет доля спам-ботов, троянских прокси, троянских программ для воровства паролей и персональных данных пользователей. В отличие от вирусов и червей, подобные программы могут нанести пользователям ощутимый материальный ущерб. Развитие отрасли троянских программ, осуществляющих шифровку данных пользователям, заставляет задуматься о целесообразности периодического резервного копирования, которое сводит фактически к нулю ущерб от подобного троянского вируса.

2006 год можно смело назвать той отправной точкой, когда наше государство начало заниматься нормативным регулированием информационной безопасности. При этом Россия вступила на тот же путь, по которому Европа и США идут уже несколько десятилетий: появились собственные аналоги всемирно известных западных нормативов – это федеральный закон «О персональных данных», стандарт Банка России по ИТ-безопасности (СТО БР ИББС-1.0-2006), соглашение Basel II и Кодекс корпоративного управления ФСФР. Сегодня в России уже действуют несколько нормативов, которые имеют непосредственное отношение не только к ИТ-безопасности, но и к защите от инсайдеров и утечек.

Необходимо отметить Федеральный закон «О персональных данных». В сферу его действия попадают абсолютно все государственные и частные организации, на попечении которых находятся приватные сведения граждан. Этот закон предъявляет целый ряд требований к безопасности персональных данных, а также предусматривает ответственность для тех лиц, которые украли информацию или пытаются ею злоупотреблять. Все эти требования вступили в силу в феврале 2007 г.

Следующим важным нормативным актом является стандарт Банка России по ИТ-безопасности. В область его действия попадают все предприятия кредитно-финан-совой сферы. Стандарт выдвигает большое количество требований к системе ИТ-безопасности финансовых компаний, объединяя положения международных нормативов и передовой опыт (bast practices). Помимо всего прочего, норматив предусматривает внедрение системы защиты от инсайдеров и механизмов контроля над чувствительной информацией. Однако он носит рекомендательный характер и является необязательным для исполнения. Правда, лидеры банковского сектора ожидают перехода стандарта в разряд обязательных уже через два года.

Не менее важным нормативным актом для кредитно-финансовых организаций является соглашение Basel II, которое выдвигает целый ряд требований к резервированию капитала для покрытия рисков, системе управления рисками и т.д. В частности, оно предписывает всем банкам взять под контроль операционные риски, в состав которых входит угроза утечки и злонамеренных действий инсайдеров. Более того, положения соглашения Basel II являются обязательными для исполнения с 2009 г.

Наконец, публичные компании, представленные на российских фондовых биржах, сталкиваются с Кодексом корпоративного управления ФСФР, который содержит требования к системе внутреннего контроля над действиями инсайдеров. Этот норматив пока является рекомендательным. Правда, есть все основания полагать, что отдельные положения Кодекса ФСФР, включая внутренний контроль, скоро станут обязательными.

Таким образом, нормативное регулирование утечек конфиденциальной и приватной информации в России сегодня уже существует: отечественным организациям приходится иметь дело с несколькими актами и стандартами. Эти нормативные акты влияют на рынок продуктов и услуг информационной безопасности.

6.2. Рынок продуктов информационной безопасности и новые технологии.

Совокупность продуктов и услуг, используемых для обеспечения информационной безопасности, образует рынок информационной безопасности (ИБ) или, как его иногда называют, рынок ИТ-безопасности. Структура рынка ИБ постоянно меняется, новые технологии приводят к изменению ИТ-инфраструктуры предприятия, появляются новые устройства, а значит, требуются новые продукты безопасности.

ПО в сфере ИТ-безопасности охватывает широкий спектр технологий, используемых для обеспечения безопасности компьютеров, информационных систем, Интернет-коммуникаций и транзакций. На базе данного ПО организации могут обеспечивать целостность, конфиденциальность и аутентичность информации, контролировать доступ к информационным ресурсам на основе политик безопасности и предотвращать несанкционированный доступ к ним, защищать ИТ-системы от вирусов, шифровать важные данные, обнаруживать вторжения, выявлять уязвимости и т.п.

Как видно из рис.6.5, для формирования систем обеспечения безопасности компании используются самые разные технологии – как программное, так и аппаратные. При этом нередко система защиты разрабатывается, внедряется и затем поддерживается сторонней по отношению к заказчику организацией. Поэтому рынок ИТ-безопас-ности условно разделяется на три основных сегмента [4]:

- рынок программных средств ИТ-безопасности (Security Software Market);

- рынок аппаратных систем ИТ-безопасности (Security Hardware Market);

- рынок услуг управления ИТ-безопасностью (Security Services Market).

Необходимо отметить, что деление это предполагает некоторое пересечение сегментов, а тенденция к появлению многофункциональных аппаратно-программных комплексов размывает границы данного деления.

Перекрытие последних двух рынков достаточно широко, так как зачастую однозначно отнести ту или иную систему либо технологию к чисто программным или чисто аппаратным средствам довольно сложно.

Источник: IDC, 2006.

Рис.6.5 – Структура рынка ПО для обеспечения ИТ-безопасности.

Единой точки зрения на структуру рынка ПО для обеспечения ИТ-безопасности (Security Software Market) не существует. Наиболее полной представляется структуризация компании IDC, согласно которой к числу основных секторов этого рынка относятся программные средства для аутентификации, авторизации и администрирования (Security 3A), программные брандмауэры и VPN (Firewall / VPN SW), решения для управления безопасностью контента (Secure Content Management, SCM) и ПО для оценки уязвимости и выявления вторжений (Intrusion Detection Software / Vulnerability Assesment, IDS&VA).

Не нашли, что искали? Воспользуйтесь поиском по сайту: