Разрешить всё запретить.
Всего за какую-то дюжину лет компьютерный андерграунд стремительно прошёл путь от хулиганствующих элементов формата «16 forever» до международных организованных кибер-банд и спонсируемых правительствами сложных целевых атак на промышленные системы. По разным причинам первые старались заразить как можно больше компьютеров - именно на такие атаки были нацелены традиционные антивирусы и, кстати, очень даже в этой борьбе преуспели. Новые угрозы прямо противоположны - кибер-негодяи прекрасно понимают анти-малварные технологии, стараются быть как можно незаметнее и всячески ограничивают ареал распространения своих зловредов. Что вполне резонно …
Да, андерграунд изменился, но секюрити-парадигма, увы, осталась там же: большинство компаний продолжают использовать «дедовский» способ противостояния современным угрозам при помощи технологий, «заточенных» под массовые эпидемии. В итоге, в борьбе против малвары они остаются на позициях реактивной защиты, которая всегда оказывается на шаг позади нападающего. Ведь мы говорим о неизвестных угрозах, на которые еще не наложены файловые или поведенческие сигнатуры, антивирус может их просто не детектить. А сегодняшние кибер-негодяи (не говоря о кибер-военщине) в процессе разработки очень тщательно проверяют насколько их вредоносы детектятся антивирусами!
Такое положение вещей тем более парадоксально, что в арсенале секюрити индустрии есть реализованные в продуктах и «готовые к употреблению» альтернативные концепции защиты, способные совладать с новыми угрозами. Об обной из таких концепций сейчас и пойдёт речь.
В компьютерной безопасности разделяют два подхода к защите: «разрешено всё, что явно не запрещено» (Default Allow) и «всё запрещено, что явно не разрешено» (Default Deny - я уже кратко писал о нём). Как вы догадываетесь, это две противоположные позиции в балансе между функциональностью и безопасностью. При «Default Allow» у всех запускаемых приложений есть карт-бланш творить что угодно и антивирус тут выполняет функцию отца-спасителя - он контролирует эти действия и, если может, то лихорадочно затыкает новые «дыры» (а «дыры» разного уровня критичности, как известно, появляются регулярно). У «Default Deny» противоположный подход - по умолчанию приложениям запуск вообще запрещён, если они не находятся в списке доверенных.
На самом деле, помимо неизвестной малвары у компаний (в частности их IT-служб) есть и много другого «головняка», связанного с Default Allow. Во-первых, установка непродуктивного софта и сервисов (игрушки, коммуникаторы, P2P-клиенты … - список зависит от политики конкретной организации). Во-вторых, установка несертифицированного и потому потенциально опасного (уязвимого) софта, через который злоумышленники могут проникнуть в корпоративную сеть. В-третьих, установка служебных программ удалённого управления, допускающие доступ к компьютерам без подтверждения со стороны пользователя. С первыми двумя, вроде, всё понятно, а вот третье требует пояснения.
Мы недавно провели исследование вопроса: «какие действия сотрудников, связанные с самостоятельной установкой ПО нарушают принятые правила IT-безопасности?» Результаты в диаграмме ниже, при этом 50% - это именно разнообразные программы удалённого управления, установленные самими сотрудниками или сисадминами для удалённого доступа к внутренним ресурсам или, наоборот, для доступа к компьютерам для их диагностики и «ремонта».
Цифра говорящая, это действительно большая проблема.
Важно то, что при расследовании причин установки средств удалённого администрирования никто точно не может объяснить, кто, когда и зачем это ставил. Работающие сотрудники ссылаются на уже уволенных коллег. Традиционный антивирус такие программы не блокирует, и так как на множестве ПК уже есть подобные программы, то почти наверняка никто никогда не заметит этого. А если и заметят, то решат, что это установлено ИТ и не придадут никакого значения. Такая ситуация типична для больших сетей. Выходит, что сотрудник может поставить своему коллеге такую программу и это останется незамеченным. Или же сотрудник может получить доступ к своему или чужому компьютеру из внешней сети. Что ещё более опасно - этой «легитимной» лазейкой могут злоупотребить как сторонние кибер-негодяи, так и бывшие сотрудники.
В итоге корпоративная сеть обрастает «зоопарком» софта, при этом никто уже и не помнит кто, когда и зачем его ставил. И предотвратить появление такого «зоопарка» можно именно при помощи «Default Deny».
На первый взгляд идея «Default Deny» достаточно проста. Но это только на бумаге. Реализовать её на практике - задача нетривиальная. Тут есть три ключевых момента - (1) нужна большая, хорошо категоризированная база проверенных легитимных программ, (2) набор технологий, обеспечивающих максимальную автоматизацию процесса внедрения и (3) качественный инструмент для контроля над реализацией режима.
Сейчас будет «рекламная пауза» :) - кратко расскажу как это делается в наших корпоративных продуктах.
В общих чертах процесс выглядит следующим образом:
На первом этапе проводится автоматическая инвентаризация - система собирает информацию обо всех установленных на компьютерах и сетевых ресурсах приложениях. Дальше - их категоризация (тоже делается автоматически). Здесь на помощь приходит наша «облачная» база данных проверенного софта (Whitelisting), которая содержит данные о 530+ миллионах безопасных файлов, разложенных по 96 категориям - именно она помогает сисадмину решить что хорошо и что плохо. На этом этапе уже формируется реальная картина что же на самом деле происходит в сети и кто чем «балуется». Поэтому можно переходить к классификации - распределению обнаруженного софта по доверенным или запрещённым группам в соответствии с политикой безопасности и с учётом прав отдельных сотрудников и их групп. К примеру, категория «мультимедиа» может быть доступна только отделу маркетинга и запрещена для остального персонала. Дополнительно можно даже составить расписание для каждого приложения и сотрудника - когда, кому и чем можно пользоваться. Например, после рабочего дня всем запускать SETI@Home :)
Перед постановкой на боевое дежурство обязательно проверяем реализацию «Default Deny» - тестируем и получаем отчёт у кого что отключится после внедрения каждого конкретного правила. Согласитесь, не очень хотелось бы лишить босса, к примеру, его любимой «Цивилизации» :) Разумеется, тестирование тоже проходит автоматически.
После ввода в строй «Default Deny» ожидаемая «рутина» мониторинга и эксплуатации. При помощи технологии Trusted Updaters доверенные приложения обновляются как им и положено. Сисадмину выводится подробная информация кто, когда и что пытался запустить из запрещённого списка. Причём пользователи могут отправить заявку на разрешение определённого приложения прямо из клиента KES.
Спросите: а нафига вообще тогда нужен антивирус?
Ну, прежде всего, с технологической точки зрения такого понятия как «антивирус» уже давно не существует. Несмотря на то, что до сих пор есть такая категория софта :) Даже самые простые персональные продукты сегодня (говорю за нас) - это навороченные комплексные пакеты. А в корпоративных решениях роль классического антивируса … ну, не знаю, может 10-15%. Остальное - системы предотвращения сетевых вторжений, поиска уязвимостей, проактивной защиты, централизованное управление, контроль веб-трафика и внешних устройств и многое другое, плюс, конечно, контроль над приложениями, замешанный на грамотной реализации режима «Default Deny». С другой стороны антивирус как технология сигнатурного анализа никуда не делась. До сих пор это эффективный инструмент лечения активного заражения и восстановления файлов и незаменимая часть многоуровневой защиты.
Возвращаясь к «Default Deny». Казалось бы, вот оно - бери, юзай и наслаждайся. В действительности ситуация не столь радужная. Сколько я ни говорил и с нашими сейлами и с заказчиками - у широкой публики есть предубеждение перед этой технологией как перед всем новым. Часто слышу «у нас такая творческая компания, мы не хотим ограничивать сотрудников в выборе софта… у нас такая свободолюбивая культура… ну, ещё вы слышали про BYOD…». Люди! О чём речь? Разрешайте, всё, что посчитаете нужным и безопасным! Всего-то делов внести в базу данных новое приложение или поставить галочку в правильном месте в системе управления защитой - 10 секунд! Большинство людей действуют из лучших побуждений, а «Default Deny» просто убережёт их от ошибки.
В общем, очень рекомендую. Наш «Default Deny» протестировали в лаборатории West Coast Labs; Gartner регулярно именует этот подход будущим IT-безопасности. Я уверен, что мир находится на пороге широкого принятия этой технологии, а это способно вообще перевернуть борьбу с кибер-злом. Вместо того, чтобы реактивно следовать развитию угроз компании сами будут устанавливать правила игры и быть на шаг впереди компьютерного андерграунда.
Начать будущее можно прямо сейчас разумным запретом неразумных действий.
Да, андерграунд изменился, но секюрити-парадигма, увы, осталась там же: большинство компаний продолжают использовать «дедовский» способ противостояния современным угрозам при помощи технологий, «заточенных» под массовые эпидемии. В итоге, в борьбе против малвары они остаются на позициях реактивной защиты, которая всегда оказывается на шаг позади нападающего. Ведь мы говорим о неизвестных угрозах, на которые еще не наложены файловые или поведенческие сигнатуры, антивирус может их просто не детектить. А сегодняшние кибер-негодяи (не говоря о кибер-военщине) в процессе разработки очень тщательно проверяют насколько их вредоносы детектятся антивирусами!
Такое положение вещей тем более парадоксально, что в арсенале секюрити индустрии есть реализованные в продуктах и «готовые к употреблению» альтернативные концепции защиты, способные совладать с новыми угрозами. Об обной из таких концепций сейчас и пойдёт речь.
В компьютерной безопасности разделяют два подхода к защите: «разрешено всё, что явно не запрещено» (Default Allow) и «всё запрещено, что явно не разрешено» (Default Deny - я уже кратко писал о нём). Как вы догадываетесь, это две противоположные позиции в балансе между функциональностью и безопасностью. При «Default Allow» у всех запускаемых приложений есть карт-бланш творить что угодно и антивирус тут выполняет функцию отца-спасителя - он контролирует эти действия и, если может, то лихорадочно затыкает новые «дыры» (а «дыры» разного уровня критичности, как известно, появляются регулярно). У «Default Deny» противоположный подход - по умолчанию приложениям запуск вообще запрещён, если они не находятся в списке доверенных.
На самом деле, помимо неизвестной малвары у компаний (в частности их IT-служб) есть и много другого «головняка», связанного с Default Allow. Во-первых, установка непродуктивного софта и сервисов (игрушки, коммуникаторы, P2P-клиенты … - список зависит от политики конкретной организации). Во-вторых, установка несертифицированного и потому потенциально опасного (уязвимого) софта, через который злоумышленники могут проникнуть в корпоративную сеть. В-третьих, установка служебных программ удалённого управления, допускающие доступ к компьютерам без подтверждения со стороны пользователя. С первыми двумя, вроде, всё понятно, а вот третье требует пояснения.
Мы недавно провели исследование вопроса: «какие действия сотрудников, связанные с самостоятельной установкой ПО нарушают принятые правила IT-безопасности?» Результаты в диаграмме ниже, при этом 50% - это именно разнообразные программы удалённого управления, установленные самими сотрудниками или сисадминами для удалённого доступа к внутренним ресурсам или, наоборот, для доступа к компьютерам для их диагностики и «ремонта».
Цифра говорящая, это действительно большая проблема.
Важно то, что при расследовании причин установки средств удалённого администрирования никто точно не может объяснить, кто, когда и зачем это ставил. Работающие сотрудники ссылаются на уже уволенных коллег. Традиционный антивирус такие программы не блокирует, и так как на множестве ПК уже есть подобные программы, то почти наверняка никто никогда не заметит этого. А если и заметят, то решат, что это установлено ИТ и не придадут никакого значения. Такая ситуация типична для больших сетей. Выходит, что сотрудник может поставить своему коллеге такую программу и это останется незамеченным. Или же сотрудник может получить доступ к своему или чужому компьютеру из внешней сети. Что ещё более опасно - этой «легитимной» лазейкой могут злоупотребить как сторонние кибер-негодяи, так и бывшие сотрудники.
В итоге корпоративная сеть обрастает «зоопарком» софта, при этом никто уже и не помнит кто, когда и зачем его ставил. И предотвратить появление такого «зоопарка» можно именно при помощи «Default Deny».
На первый взгляд идея «Default Deny» достаточно проста. Но это только на бумаге. Реализовать её на практике - задача нетривиальная. Тут есть три ключевых момента - (1) нужна большая, хорошо категоризированная база проверенных легитимных программ, (2) набор технологий, обеспечивающих максимальную автоматизацию процесса внедрения и (3) качественный инструмент для контроля над реализацией режима.
Сейчас будет «рекламная пауза» :) - кратко расскажу как это делается в наших корпоративных продуктах.
В общих чертах процесс выглядит следующим образом:
На первом этапе проводится автоматическая инвентаризация - система собирает информацию обо всех установленных на компьютерах и сетевых ресурсах приложениях. Дальше - их категоризация (тоже делается автоматически). Здесь на помощь приходит наша «облачная» база данных проверенного софта (Whitelisting), которая содержит данные о 530+ миллионах безопасных файлов, разложенных по 96 категориям - именно она помогает сисадмину решить что хорошо и что плохо. На этом этапе уже формируется реальная картина что же на самом деле происходит в сети и кто чем «балуется». Поэтому можно переходить к классификации - распределению обнаруженного софта по доверенным или запрещённым группам в соответствии с политикой безопасности и с учётом прав отдельных сотрудников и их групп. К примеру, категория «мультимедиа» может быть доступна только отделу маркетинга и запрещена для остального персонала. Дополнительно можно даже составить расписание для каждого приложения и сотрудника - когда, кому и чем можно пользоваться. Например, после рабочего дня всем запускать SETI@Home :)
Перед постановкой на боевое дежурство обязательно проверяем реализацию «Default Deny» - тестируем и получаем отчёт у кого что отключится после внедрения каждого конкретного правила. Согласитесь, не очень хотелось бы лишить босса, к примеру, его любимой «Цивилизации» :) Разумеется, тестирование тоже проходит автоматически.
После ввода в строй «Default Deny» ожидаемая «рутина» мониторинга и эксплуатации. При помощи технологии Trusted Updaters доверенные приложения обновляются как им и положено. Сисадмину выводится подробная информация кто, когда и что пытался запустить из запрещённого списка. Причём пользователи могут отправить заявку на разрешение определённого приложения прямо из клиента KES.
Спросите: а нафига вообще тогда нужен антивирус?
Ну, прежде всего, с технологической точки зрения такого понятия как «антивирус» уже давно не существует. Несмотря на то, что до сих пор есть такая категория софта :) Даже самые простые персональные продукты сегодня (говорю за нас) - это навороченные комплексные пакеты. А в корпоративных решениях роль классического антивируса … ну, не знаю, может 10-15%. Остальное - системы предотвращения сетевых вторжений, поиска уязвимостей, проактивной защиты, централизованное управление, контроль веб-трафика и внешних устройств и многое другое, плюс, конечно, контроль над приложениями, замешанный на грамотной реализации режима «Default Deny». С другой стороны антивирус как технология сигнатурного анализа никуда не делась. До сих пор это эффективный инструмент лечения активного заражения и восстановления файлов и незаменимая часть многоуровневой защиты.
Возвращаясь к «Default Deny». Казалось бы, вот оно - бери, юзай и наслаждайся. В действительности ситуация не столь радужная. Сколько я ни говорил и с нашими сейлами и с заказчиками - у широкой публики есть предубеждение перед этой технологией как перед всем новым. Часто слышу «у нас такая творческая компания, мы не хотим ограничивать сотрудников в выборе софта… у нас такая свободолюбивая культура… ну, ещё вы слышали про BYOD…». Люди! О чём речь? Разрешайте, всё, что посчитаете нужным и безопасным! Всего-то делов внести в базу данных новое приложение или поставить галочку в правильном месте в системе управления защитой - 10 секунд! Большинство людей действуют из лучших побуждений, а «Default Deny» просто убережёт их от ошибки.
В общем, очень рекомендую. Наш «Default Deny» протестировали в лаборатории West Coast Labs; Gartner регулярно именует этот подход будущим IT-безопасности. Я уверен, что мир находится на пороге широкого принятия этой технологии, а это способно вообще перевернуть борьбу с кибер-злом. Вместо того, чтобы реактивно следовать развитию угроз компании сами будут устанавливать правила игры и быть на шаг впереди компьютерного андерграунда.
Начать будущее можно прямо сейчас разумным запретом неразумных действий.