СИСТЕМНЫЙ АНАЛИЗ, УПРАВЛЕНИЕ И ОБРАБОТКА ИНФОРМАЦИИ
УДК 004.056.53
ЗАЩИТА ОТ ВРЕДОНОСНОГО ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ С ПОМОЩЬЮ КОМПЛЕКСА ЛЕГИТИМНЫХ ПРОГРАММНЫХ ПРОДУКТОВ
Е.Д. Босова, В. А. Селищев
Рассмотрены меры и средства защиты компьютерных ресурсов предприятия от несанкционированного доступа посредством легитимного программного обеспечения.
Ключевые слова: вредоносные программы, легитимное программное обеспечение, технические меры защиты информации, организационные меры защиты информации, средства защиты информации.
Неправомерное использование разнообразной информации, обрабатываемой на предприятии, может нанести существенный ущерб. В настоящее время почти вся информация хранится на компьютерах, а значит, подвергается автоматизированной обработке, что значительно увеличивает риск потерь. Крайне важна информация, в которой содержатся сведения о том, каким образом работает база данных или ее содержимое, поэтому раскрытие такой информации сыграет на руку конкурентам.
В настоящее время почти в любой сфере производства задействованы различные информационные технологии. В связи с тем, что темпы информатизации общества превышают темпы развития других отраслей, находятся люди, которые используют это не в благих намерениях. Безопасность - одна из самых важных задач, которую решают специалисты по защите информации на различных предприятиях. Для этого они регулярно применяют обновленные методы по защите информации. Но и злоумышленники не стоят на месте и придумывают все новые и новые способы несанкционированного доступа, изменения и удаления информации.
Одним из видов проникновения в информационную систему по обработке конфиденциальной информации является программный, под которым понимают внедрение вредоносной программы, способствующее частичному или полному доступу к данным предприятия.
3
Средства антивирусной защиты на предприятиях не гарантируют стопроцентной безопасности и того, что вредоносная программа не попадет в то или иное устройство. Существует ряд легитимных (законных) программ с сомнительным функционалом, который можно использовать для несанкционированного доступа. Однако это программное обеспечение (ПО) состоит в списках разрешенных и вполне законных антивирусных. Именно из такой программы злоумышленник может собрать новое ПО, которое будет носить вредоносный характер.
В связи с этим вопрос о защите информации от подобного рода ПО является актуальным, несмотря на наличие хороших, на первый взгляд, антивирусов.
Как правило, методика защиты информации от несанкционированного доступа (ЗИ от НСД) включает в себя такие меры, как [1]:
- организационные;
- технические.
Организационные меры состоят из деятельности по обеспечению физической защиты, разработки организационно-распорядительной документации и проведения мероприятий по обучению сотрудников.
Технические меры, в свою очередь, включают в себя различные способы и методы по предотвращению утечки и определению уровня доступности информации третьим лицам с помощью программных и аппаратных средств.
Общий список мер представлен на рисунке.
Классификация мер по защите от легитимного вредоносного
программного обеспечения
Организационные меры включают в себя повышение уровня осведомленности персонала предприятия в области информационной безопасности [2]. Благодаря этому появляется возможность снизить количество преднамеренных или непреднамеренных действий работника, которые могут привести к утечке важной информации, полному или частичному отказу работы информационной системы или нарушению доступа к ресурсам.
4
Для повышения уровня осведомленности персонала в области защиты информации необходима разработка следующей документации: программы повышения осведомленности, плана реализации данной программы, политики обучения персонала в сфере информационной безопасности и методики оценки уровня осведомленности персонала.
Данное обучение также можно проводить в таких формах, как очная, дистанционная и самостоятельное изучение курсов. Однако последняя форма является самой неэффективной, ибо не дает должного результата. Для постоянного обучения сотрудников очное обучение невыгодно, так как отрыв от работы негативно сказывается на функционировании предприятия.
Наиболее эффективным является комплекс мер по обучению персонала, который включает в себя: очное обучение посредством проведения лекций по обеспечению информационной безопасности, информационные рассылки персоналу с актуальными вопросами информационной безопасности и важными изменениями в законодательстве этой сферы, консультации на совещаниях по вопросам защиты информации.
Следует отметить, что оценка уровня осведомленности необходима как для анализа полученных персоналом знаний, так и для оформления отчетной документации об усвоении материала.
В свою очередь технические меры по защите информации включают в себя такие программные и аппаратные решения, как:
- антивирусная защита;
- персональный межсетевой экран;
- сегментирование информационной системы;
- средства защиты информации от несанкционированного доступа (СЗИ от НСД).
По отдельности использовать данные меры не очень эффективно, однако, если использовать их в комплексе, то можно добиться достаточно неплохого уровня защищенности информационной системы.
Под антивирусной защитой понимается ПО, которое обеспечивает защиту от вредоносных программ.
Существуют сигнатурные и эвристические методы обнаружения вредоносного ПО. Под сигнатурными понимают методы, основанные на сравнении файла с уже известными вирусами из базы сигнатур. В свою очередь под эвристическими понимают методы, основанные на предположении, что сканируемый файл уже был подвержен заражению.
На первый взгляд может показаться, что антивирус неспособен обнаружить легитимное вредоносное ПО, однако существует ряд случаев, когда антивирусы весьма неплохо справляются с этой задачей.
При попытках обнаружить легитимное вредоносное ПО эвристические методы вряд ли дадут результаты, так как поведение такого ПО является законным. Поэтому данный метод не гарантирует защиты, однако если повысить чувствительность и подозрительность эвристического анализатора, то он начнет вызывать ложные срабатывания в большом количестве.
В настоящее время существует достаточно много простых способов, которые помогут обойти эвристический анализатор, так как прежде чем распространить программу, зараженную вирусами, ее разработчики изучают распространенные антивирусные программы, чтобы избежать ее детектирования при эвристическом сканировании.
Сигнатурные методы могут помочь обнаружить вредоносное ПО, которое распространяется уже достаточно длительное время и при этом содержимое файла не меняется. Одной из особенностей сигнатурного анализа является точное определение типа вируса.
Персональный межсетевой экран - это программное средство защиты информации, предназначенное для фильтрации проходящего сетевого трафика на компьютере. Метод защиты с помощью данной программы не является затратным и работает по принципу «белого» списка, то есть пропускаются лишь те соединения, которые разрешены [3].
На данный момент разработчики различных средств по защите информации включают функционал межсетевого экранирования. Межсетевой экран является дополнительным модулем таких средств защиты информации, как Dallas Lock и Secret Net Studio.
Метод сегментирования информационной системы подразумевает разделение общей сети предприятия на две части [4]:
1) имеющую доступ к внутренней сети организации и не имеющую доступ в Интернет;
2) не имеющую доступ к внутренней сети организации и имеющую доступ в Интернет.
Благодаря этому методу можно получить абсолютно безопасную внутреннюю сеть предприятия и в то же время в случае необходимости иметь выход в Интернет.
Организовать данный метод можно несколькими способами:
1) созданием отдельного помещения с компьютерами для выхода в сеть Интернет;
2) установкой сервера на базе Windows с доступом в Интернет и представлением доступа по Remote Desktop Protocol с компьютеров сотрудников;
3) установкой двух компьютеров для сотрудников, которым необходимо работать одновременно в Интернете и внутренней сети предприятия.
У каждого способа сегментирования есть свои плюсы и минусы, но вне зависимости от этого с каждым из них рекомендуется применять технологии аппаратного межсетевого экранирования.
При создании помещения с компьютерами для выхода в сеть Интернет необходимо учитывать следующее:
1) наличие отдельного помещения;
2) необходимость сотрудников отлучаться от своего рабочего места для доступа к сети Интернет;
3) экономическую целесообразность.
На каждый компьютер ставится средство защиты информации от несанкционированного доступа, чтобы запретить подключение съемных носителей. Также можно установить на компьютеры операционную систему Linux для дальнейшего использования их в виде терминалов, где пользователям будут доступны только необходимые программы.
При установке сервера на базе Windows с доступом в Интернет и представление доступа по Remote Desktop Protocol с компьютеров сотрудников существует ряд преимуществ:
1) отсутствие необходимости иметь отдельное помещение;
2) отсутствие необходимости сотрудникам удаляться со своего рабочего места.
При использовании данного способа не обязательно устанавливать на сервер СЗИ от НСД. В случае необходимости можно установить их на сервер, чтобы контролировать входы и осуществлять мониторинг доступа к ресурсам. Благодаря вариациям данного метода можно сделать его самым экономически выгодным для предприятия.
При установке двух компьютеров для сотрудников, которым необходимо работать одновременно в Интернете и во внутренней сети предприятия, этот способ с точки зрения реализации самый затратный; он позволяет не отлучаться с рабочего места для выхода в Интернет, однако два компьютера на рабочем столе сотрудника занимают достаточно много места.
При использовании данного способа в случае необходимости устанавливают СЗИ от НСД, чтоб запретить подключение съемных носителей, из-за которых может произойти заражение компьютера по работе с конфиденциальной информацией вирусами. Конечно, запрет съемных носителей можно осуществить с помощью штатных средств Windows, но такое решение является не самым безопасным, и отсутствует возможность контроля данного запрета.
СЗИ от НСД - программные, аппаратные или программно-аппаратные средства, предназначенные для предотвращения или затруднения НСД к информации. К наиболее распространенным СЗИ от НСД относят Secret Net и Dallas Lock [5].
Основные защитные функции, реализуемые различными программными СЗИ от НСД:
1) контроль доступа сотрудников в информационную систему предприятия;
2) разграничение доступа пользователей;
3) регистрация событий, связанных с безопасностью, и их хранение;
4) создание для сотрудников предприятия замкнутой программной
среды;
5) контроль за перемещением конфиденциальной информации в информационной системе предприятия;
6) контроль вывода конфиденциальных данных для печати;
7) контроль целостности защищаемой информации;
7
8) контроль за безвозвратным уничтожением содержимого файлов при их удалении.
СЗИ от НСД позволяют: запретить запуск программ по решению администратора, а также создать замкнутую программную среду. В основном данный метод используется в государственных учреждениях, так как на коммерческих предприятиях может быть нарушен рабочий процесс из-за не совсем правильно настроенных «белых» списков.
Рассмотрим пример настройки замкнутой программной среды СЗИ от НСД Dallas Lock:
1) войти в систему от лица пользователя, права которого необходимо ограничить;
2) установить на компьютер сотрудника пакет прикладных программ, используемый во время рабочего процесса для выполнения должностных обязанностей;
3) выйти из этой учетной записи и войти под именем администратора, запустить оболочку администратора, создать специальную группу и включить пользователя с ограниченными правами в эту группу;
4) для данной группы в глобальных настройках запретить запуск всех программ (вкладка «Контроль ресурсов» => «Глобальные» => «Параметры ФС по умолчанию»);
5) в дескрипторе «Параметры ФС по умолчанию» включить полный аудит отказов;
6) настроить неактивный режим работы Dallas Lock (Основное меню => «Настройка режимов работы» => «Настроить неактивный режим»). В окне настройки необходимо включить «мягкий режим» контроля доступа. Дополнительно очистить журнал ресурсов;
7) перезагрузить компьютер и осуществить вход в операционную систему под учетной записью пользователя. Далее запустить ПО, с которым пользователь будет иметь право работать;
8) выйти из учетной записи пользователя и войти под учетной записью администратора, запустить оболочку администратора, открыть журнал ресурсов;
9) используя фильтр, найти все ресурсы с результатом «ошибка». Каждому из них в свойстве «Права для файлов» назначить дискреционные права для группы «только чтение»;
10) отключить «мягкий режим» и по необходимости отключить ранее выставленный «аудит доступа».
В результате создания замкнутой программной среды полностью исключается внедрение вредоносных программ от сотрудников и в итоге можно запускать только те программы, которые разрешены администратором.
Таким образом, антивирусная защита может лишь частично решить проблему обнаружения легитимного вредоносного программного обеспечения. Установка антивирусных программ является одним из первых шагов на пути к борьбе с такого рода ПО, но несмотря на это антивирус не
8
сразу начинает детектировать легитимное ПО, что является угрозой для целостности и нормального функционирования информационной системы.
Наиболее рациональным способом сегментирования информационной системы является установка сервера на базе Windows с доступом в Интернет и представление доступа по Remote Desktop Protocol с компьютеров сотрудников. Следует отметить, что данный метод - один из самых дешевых и наименее трудозатратен как для проектировщика системы защиты информации, так и для сотрудников предприятия, благодаря экономии времени на перемещение к компьютерам для выхода в сеть Интернет.
Персональный межсетевой экран следует устанавливать только в том случае, когда он не будет создавать помех рабочему процессу, а будет делать его стабильным и бесперебойным.
Список литературы
1. Грибунин В.Г., Чудовский В.В. Комплексная система защиты информации на предприятии: учеб. пособие. М.: Академия, 2009. 416 с.
2. Милославская Н.Г., Сенаторов М.Ю., Толстой А.И. Технические, организационные и кадровые аспекты управления информационной безопасностью: учеб. пособие для вузов. 2-е изд., испр. М.: Горячая линия Телеком, 2014. 214 с.
3. Духан Е.И., Синадский Н.И., Хорьков Д.А. Программно-аппаратные средства защиты компьютерной информации. Екатеринбург: УрГУ, 2008. 240 с.
4. Шаньгин В.Ф. Защита информации в компьютерных системах и сетях. ИНФРАМ, 2011. 416 с.
5. Спицын В.Г. Информационная безопасность вычислительной техники. Томск: Эль Контент, 2011. 148 с.
Босова Екатерина Дмитриевна, студентка, bosova19091999@gmail. com, Россия, Тула, Тульский государственный университет,
Селищев Валерий Анатольевич, канд. техн. наук, доцент, [email protected], Россия, Тула, Тульский государственный университет
PROTECTION AGAINST MALICIOUS SOFTWARE SOFTWARE, USING A SET OF LEGITIMATE SOFTWARE PRODUCTS
E.D. Bosova, V.A. Selishev
The main threats arising in the processing of information in the electronic network of information exchange are considered. The basic ways of protection of information processed in the organization from methods of social engineering are offered.
Key words: information, threats of information, social engineering, information protection.
Bosova Ekaterina Dmitrievna, student, bosova19091999@gmail. com, Russia, Tula, Tula State University,