15.10.2008

Технологии комплексной безопасности Интернет-контента

Ника Комарова, Information Security №4

Ни для кого не секрет, что, предоставляя богатые коммуникационные возможности, глобальная сеть вместе с тем является источником самых различных Web-угроз, а подчас и виртуальным инструментом для осуществления вполне реальных мошенничеств. Пересылая и получая фотографии, скачивая музыку, видеоролики и даже просто просматривая знакомые сайты из папки Favorites, мало кто задумывается над тем, что именно он получил или отослал, и так ли этот контент безобиден, как кажется?
Под контентом обычно понимают собственно наполнение сайта, а в более широком смысле -- любые данные в электронном виде. По сути контент может быть как явным, так и не явным. Понятно, что видимая часть сайта, его наполнение, суть - явный контент. Письмо с присоединенной картинкой -- тоже вполне очевидный контент. Что может быть неявным в контексте информационной безопасности? Обратимся к примеру. Предположим, руководитель направления в какой-либо компании получил письмо. Открыл, прочел, ответил и переслал рабочей группе из числа подчиненных. Стандартная операция, на первый взгляд. Однако если взглянуть на это глазами эксперта в области информационной безопасности, вполне возможно, что картина получит неявный подтекст.
Допустим, в письме, отправленном руководителю, был присоединенный файл -- картинка, презентация и т.п. В теле файла содержался дописанный код с вредоносной нагрузкой, предположим, сетевой червь. Стандартной ситуацией после попадания червя на ПК стала бы массовая саморассылка по контакт-листу этого менеджера. Однако иначе повел бы себя так называемый интеллектуальный тип червя: он подождал бы, пока реципиент сам не отправил бы присоединенный файл кому-то еще. Таким образом, червь организовал бы рассылку самого себя доверенным адресатам. Получатели такого письма (в нашем случае -- рабочая группа) не в состоянии вручную по внешним признакам (имя отправившего, название компании) отфильтровать на входе зараженную таким способом корреспонденцию, тем более что данный адрес очевидно занесен в white list получателя. Иначе говоря, за кажущейся простотой стандартных операций с почтой на деле мы наблюдаем атаку на сетевые ресурсы компании или на конкретных лиц. Адресность, кстати, одна из важных тенденций в области компьютерных угроз сегодняшнего дня. Этот самый червь, о котором шла речь выше, вполне мог быть написан под конкретную задачу, выполняемую в конкретной организации.

Что делать?
Однозначный ответ конечному пользователю: ничего. С нынешним уровнем организации атак, с использованием так называемых "платформ нападения", объединяющих трояна, бот-программу, червя, спам-машину и организатора DoS-атак (например, Storm), конечному пользователю бороться, мягко говоря, не с руки. Персональные решения для контентной фильтрации обладают рядом недостатков и уже проигрывают в борьбе с вредоносным кодом, поступающим через Web и почту. Они низкопроизводительны, редко обновляются (ответственность за это лежит на пользователе, что не гарантирует оперативность апдейтов) и задают слишком много вопросов. ИТ-квалификация среднестатистического пользователя с точки зрения настройки подобных систем опять же в большинстве случаев оставляет желать лучшего.
Однако современные угрозы ИБ невозможно предотвратить без использования технологий контентной фильтрации, в основе которых -- детальный анализ содержимого почтового и Web-трафиков. Постоянное стремление к латентности компьютерных мошенничеств, технологический уровень атак, а также интеллектуальная составляющая вредоносных программ развиваются очень быстро, и для того чтобы обеспечить свою безопасность и бизнеса, необходимо как минимум не уступать, а в идеале -- существенно опережать уровень развития технологий, используемых злоумышленниками. Однако требовать соответствующих знаний от диверсифицированных по уровню квалификации сотрудников по меньшей мере самонадеянно. Напротив, только максимально снизив влияние человеческого фактора на степень безопасности системы, можно достичь приемлемого уровня защиты информационных ресурсов компании. Таким образом, контентные фильтры клиентского уровня не выдерживают критики, особенно если речь идет о корпоративном использовании.

Наиболее адекватным современному уровню угроз решением проблемы очистки контента от вредоносной нагрузки являются шлюзовые системы фильтрации корпоративного трафика.
Основными источниками заражения корпоративных ПК и сетей является Интернет и электронная почта. Поэтому под комплексным подходом к безопасности, обеспечиваемой с помощью средств контентной фильтрации, будем понимать решения, одинаково эффективные как для анализа данных, поступающих через почтовые протоколы, так и через Web. Еще одним обязательным критерием назовем отсутствие какого-либо участия пользователя в вопросах администрирования, обновления и поддержки данных решений. По умолчанию такое решение должно обладать высокой производительностью, а следовательно, минимальным внесением задержки в работу пользователя. Это немаловажно при выборе шлюзового решения, ведь скорость работы напрямую зависит от технологической реализации и режима работы. Допустим, в случае использования фильтра, работающего как прокси-сервер, замедление в работе будет более ощутимым, ведь для анализа поступающего контента он реплицируется на прокси-сервер. Перед тем как разрешить любую активность трафика, прокси-решение просматривает каждый файл и лишь затем доставляет запрашиваемый контент на клиентские рабочие места. Такой подход к фильтрации вызывает паузы в работе и в значительной мере зависит от пропускной способности сети.

Альтернативой прокси-методам выступают технологии, позволяющие "на лету" производить полный досмотр файлов, передаваемых через различные протоколы, на наличие вредоносной нагрузки, причем на проводной скорости или же с незначительным ограничением по пропускной способности сети.
Комплексная безопасность в контексте рассматриваемой темы предполагает совокупность всех аспектов проверки, потребляемых корпорацией контента.

Анализируем почту
Итак, рассмотрим какими возможностями должен обладать контентный фильтр для обеспечения комплексной безопасности при работе пользователя с Web-сервисами, к которым отнесем, в частности, почту.
На сегодняшний день большинство существующих решений, призванных защищать почту от нежелательной корреспонденции (спама) и вредоносного кода, "полагаются" на одну из двух наиболее распространенных технологий среди продуктов класса email security. Одни из них используют репутационный механизм отслеживания несанкционированных рассылок и писем, содержащих подозрительный контент, другие применяют метод сканирования контента каждого письма, поступающего на рабочие станции сети. И тот, и другой методы имеют право на существование по отдельности, однако общий вектор решений для обеспечения безопасности почтового контента однозначно направлен в сторону комплексного подхода. Именно поэтому в наиболее прогрессивных решениях вся поступающая корпоративная корреспонденция анализируется по протоколам SMPT, POP3 и с точки зрения контента, и по источнику рассылки.
В основном лишь на специализированных мероприятиях разработчики таких решений афишируют, как именно они присваивают сайту ту или иную репутацию и какие категории, критерии и система оценок для этого применяются. Для этого могут использоваться и возраст сайта (чем он "старше", тем лучше его репутация), и контент (лингвистический анализ), и наличие адреса в black-листах провайдеров, и многие другие параметры. Хорошей практикой, используемой единицами современных решений для защиты почты, является возможность оценки репутации ресурса по URL-сигнатуре: проверяется характер и схема распределения писем, рассылаемых через конкретный ресурс. Если единовременно уходит несколько сотен тысяч писем с одинаковой темой, отправителем и контентом, велика вероятность того, что речь идет о спам-эпидемии, фишинге или рассылке зараженных писем.
Модули, анализирующие контент письма, также различны. Оценке подвергается сама структура письма. Обычно для этого применяются поведенческие технологии анализа, проверка на наличие кода, способного эксплуатировать уязвимости, а также сверка с RFC. Анализируется сам контент письма на предмет того, является ли оно спамом, элементом фишинг-атаки, содержит ли подозрительные элементы и запрещенные ссылки. Так же производится анализ файла, включающий проверку на возможность реконфигурации, сигнатурный анализ, наличие подозрительных элементов в коде.
"Двойная" технология анализа поступающей почты -- по контенту и репутации -- эффективна для защиты от любых массовых спам- и фишинг-рассылок, зараженных писем, независимо от языка и формата. Такие фильтры обеспечивают защиту почты в реальном времени с момента начала эпидемии, обеспечивая полностью автоматическое детектирование почты с высокой точностью выявления нежелательной корреспонденции.

Фильтруем Web
Что касается фильтрации Web-контента, то здесь основным правилом является максимальное снижение роли отдельно взятого человека -- будь он сотрудником корпорации или домашним пользователем -- на определение политик безопасности при работе в Интернете. Здесь нет никаких фискальных предубеждений -- дело лишь в том, чтобы не заставлять человека принимать решения относительно того, в чем он не является специалистом.
Таким образом, речь стоит вести о комплексной многоуровневой системе защиты, способной выполнять полное инспектирование контента Web-страницы, блокировать или ограничивать доступ к потенциально опасным сайтам (из категорий malware), спам- и фишинг-ресурсам, а также блокировать навязанную рекламу и скрытую переадресацию на зараженные сайты ("drive-by"). Даже этого перечня функциональности продуктов, обеспечивающих безопасную работу в Интернете, уже достаточно для того, чтобы передать эти полномочия в руки специалистов.
Особое внимание при выборе контентного фильтра стоит уделить его возможностям борьбы со шпионским ПО (spyware). Мы достаточно подробно писали об этом в Information Security № 2 (см. стр. 50), однако некоторые непреложные правила следует обозначить повторно. Для определения spyware по сигнатуре на стадии загрузки необходимо контролировать 100% Web-трафика (HTTP, FTP, желательно HTTPS) либо на шлюзе в Интернет, либо на рабочей станции. Это достаточно ресурсоемкая задача, и решить ее без внесения серьезных задержек в работу пользователей могут немногие. На сегодняшний день при борьбе с программами-шпионами, незаметно проникающими на ПК пользователя, недостаточно даже самой полной и регулярно обновляемой базы сигнатур. Большинство антивирусных вендоров в один голос говорят о том, что новые типы вредоносного кода появляются крайне редко, -- в основном речь идет о мутациях существующих вирусов и троянов, все более сложнодетектируемых антивирусными и антишпионскими продуктами. Стоит отметить и тот факт, что уже упомянутые нами "платформы нападения" обычно содержат средства нейтрализации антивирусов, причем, если мы говорим об адресной атаке, используются нейтрализаторы для конкретных средств защиты, используемых на данном предприятии.
Классический сигнатурный анализ, основанный на постоянно пополняемой базе, имеет один существенный недостаток: интервал времени, за которое сигнатура попадает в базу для блокировки кода, обладающего сходным "образом", может быть слишком велик. Скорость распространения вредоносного кода постоянно растет, так как этот критерий по-прежнему является определяющим для обеспечения максимального охвата эпидемией в сжатые сроки. Эффективно бороться с подобного рода атаками можно, только совмещая технологии блокирования шпионского кода по сигнатурам и, что самое важное, по коммуникациям, используемым "шпионами".
Анализ сигнатур коммуникационных протоколов также основан на постоянно актуализирующейся базе распространенных коммуникационных протоколов, используемых spyware для передачи данных наружу. Благодаря этому трафик spyware обнаруживается на шлюзе и блокируется с одновременным уведомлением администратора безопасности о факте определения spyware на определенном компьютере в сети.


Само определение "контент" (от англ. content -- содержание) уже плотно укоренилось в лексиконе русскоговорящих граждан и стало одним из основных понятий для мирового Интернет-сообщества. Наличие контента, его актуальность, эксклюзивность и качество фактически являются показателем деятельности любого электронного ресурса, критерием его популярности, а следовательно, посещаемости и окупаемости (если речь идет о коммерчески ориентированном сайте).