Útoky virů hrozí ze všech stran

Poté, co Mathias objevil díry, kterými může nebezpečný kód proniknout antivirovou ochranou, vypracoval bojový plán. ...


Poté, co Mathias objevil díry, kterými může nebezpečný kód proniknout
antivirovou ochranou, vypracoval bojový plán.
Když vyslovíte slovo virus před ostříleným profesionálem z oblasti ochrany
informací, pravděpodobně se zarazí a bude to vydávat za problém informačních
technologií. Až donedávna jsem si myslel to samé.
Nikdy jsem virům nevěnoval velkou pozornost. Vždyť v operačních centrech nebo v
IT skupině se vždycky našel nějaký energický mladý zaměstnanec, který byl
virovým guru. Uměl nazpaměť přeříkat jména většiny virů, zařadit je do
příslušných kategorií (bootovací, souborové, e-mailoví červi) a byl obeznámen s
nejnovějšími populárními nástroji na jejich odstranění. Pro většinu takových
lidí se ochrana před viry stala koníčkem, téměř až posedlostí.
Mě naproti tomu vždycky více zajímaly oblasti jako detekce narušení sítě,
ochranné prostředky privátní sítě, šifrování, single sign-on, infrastruktura
veřejného klíče a tak dále. Ale poté, co nedávno navštívil mou kancelář náš CIO
(Chief Information Officer) a ptal se mě na situaci ohledně virů, rozhodl jsem
se o tuto věc zajímat blíže. V mé firmě se už dlouho mluvilo o podnikové
antivirové ochraně, filtrování obsahu na gatewayích a o hlídání obsahu
e-mailových příloh, ale až dosud nikdo tyto věci neuvedl do pohybu. Bylo čím
dál jasnější, že dokud někdo neučiní první krok, nic se v této věci nezmění.
V současné době je naše firma proti virům na svých počítačích chráněna pouze
antivirovým programem od společnosti McAfee.
com. Při restartu jakéhokoliv počítače se díky našemu nastavení automaticky
nainstaluje aktualizace souboru s informacemi potřebnými pro detekci virů,
kterou nejpozději s dvouměsíční periodou poskytuje výrobce. Bohužel uživatelé
nevypínají své počítače každý den, takže si nikdy nemůžeme být jisti, zda je
vždy každý počítač řádně ochráněn. Mohli bychom používat podnikový software pro
správu softwarových updatů, který by aktualizace posílal automaticky, ale v
této chvíli musíme spoléhat na to, že uživatelé budou své počítače restartovat.
Tento problém lze snadno zvládat tím, že připomínáme zaměstnancům, aby
pravidelně vypínali své stroje. A navíc postupně investujeme do výše zmíněných
nástrojů pro správu našeho softwarového prostředí.
Ale to není jediný problém. Protože antivirový software nebyl správně
nainstalován, uživatelé ho mohou vyřadit z činnosti. Kdybychom měli jen pár
stovek počítačů, asi by nebylo velkým problémem jejich překonfigurování. My ale
vlastníme více než 4 000 počítačů rozesetých po stovkách našich kanceláří a
několika různých lokalitách. Navrhuji proto, abychom do budoucna prosadili
nastavení striktního desktopového profilu, který by omezil možnosti uživatele
zastavit běh kritického softwaru nebo provádět změny v jeho konfiguraci.

Vstupní brány nákazy
Snažíme se chránit firmu nejen proti virům. Nebezpečné kódy mohou mít vlastně
čtyři podoby: mohou to být viry, červi, trojští koně a hybridní programy. Než
navrhnu obranné strategie, měl bych shrnout, jak se tyto programy mohou do
firmy dostat. Jaké jsou tedy jejich nejčastější vstupní brány?

Externí média
Ta jsou nejčastějšími prostředky nákazy. Jedná se o diskety, mechaniky Zip,
CD-ROMy a periferní úložiště. Technologie USB (univerzální sériové sběrnice) je
báječná. Zapojte 250MB zipkovou mechaniku do USB portu, a ejhle je tu
automatická detekce a mechanika je připojena, než napočítáte do deseti. S
externími médii se můžeme vypořádat tak, že vyřadíme z činnosti všechny
disketové jednotky a USB, sériové i paralelní porty na jednotlivých desktopech.
Můžeme počítače nakonfigurovat tak, aby do BIOSu a k nastavení jednotlivých
desktopů měl přístup pouze administrátor. A pro ty jednotlivce, kteří to
potřebují, můžeme vytvořit výjimky. Tito zaměstnanci budou ale muset předložit
písemný souhlas svých nadřízených. Dále budou požádáni o podpis dokumentace,
kde potvrdí, že jsou si vědomi příslušných rizik a že umějí správně používat
externí média.

E-mail
Jde o druhý nejpopulárnější prostředek nákazy. My používáme Microsoft Exchange
Server, který postupně stahuje e-maily z unixovského serveru (Unix Sendmail
server). E-mailové přílohy jsou známým místem průniku virů, hlavně v podobě
spustitelných souborů. Zaměstnanci je přesto bez rozmyslu otevírají. Jedním
způsobem, jak si poradit s tímto problémem, je blokovat na gatewayích všechny
příchozí přílohy indikované spustitelnými příponami jako .exe, .com nebo .vbs.
Jinou možností je použití metody pískoviště (sandbox method), která oddělí
přílohu od e-mailu, spustí ji a otestuje v chráněné oblasti systému.
Bezpečnostní software spustí podezřelý kód, zhodnotí jeho výsledek, a pokud se
jedná o nebezpečný kód, rovnou přílohu odstraní z e-mailu.
Rozhodl jsem se zavést systém odstraňování příloh, protože 95 % zaměstnanců
nepotřebuje takové přílohy dostávat. Pro ty, kteří je potřebují, můžeme udělat
výjimku a software jim příslušným způsobem nakonfigurovat.

Webové e-maily
Když zaměstnanci používají své webové prohlížeče k přístupu k Yahoo, Hotmailu
nebo k jiným webovým e-mailovým službám, mohou obejít podnikové e-mailové
filtry a zavléct nebezpečné kódy do společné infrastruktury. Uživatelé Savvy
mohou dokonce nakonfigurovat své outlookové prohlížeče tak, aby jim stahovaly
osobní e-maily z internetových účtů.
Naše firma by mohla omezit přístup na tyto stránky pomocí ochranných prostředků
na firewallu, ale to by bylo administrativně příliš náročné. Místo toho jsme se
rozhodli kombinovat antivirový software na jednotlivých desktopech s rozumnou
strategií, která omezí přístup uživatelů k soukromým i webovým e-mailům z
firemních počítačů.

Stahování
Uživatelé mohou na své počítače zavléct nebezpečné kódy při stahování programů
z internetu. Protože 95 % našich zaměstnanců nepotřebuje stahovat takové
soubory, plánujeme jim tuto možnost zablokovat prostřednictvím našeho firewallu.

Operační systém
Neaktualizované operační systémy se poslední dobou staly obětmi několika
červových programů. Červy se šíří přes internet a napadají webové servery
cestou nechráněných portů. Naše firma musí vybudovat taktiku, která zajistí, že
administrátoři budou pravidelně instalovat správné patche.

Zaměstnanci
To jsou tedy technické otázky. Ale jednou z nejdůležitějších metod k prevenci
útoků nebezpečných kódů je školení zaměstnanců. Sestavil jsem v PowerPointu
prezentaci, kterou jsme dali našim zaměstnancům k dispozici a kde se
vysvětluje, jaké typy nebezpečných kódů existují, jak se vyhnout nákaze a jaké
kroky podniknout, když k ní už došlo. Všichni zaměstnanci budou o hrozících
rizicích i o příslušné obraně informováni jednak při vstupních pohovorech, ale
i během každoročního školení.
Určitě existují další metody, které mohou zaměstnanci použít k přenosu
škodlivých kódů do naší firemní infrastruktury. Domnívám se ale, že jsem
poukázal na mnoho z potenciálních míst nákazy. Je samozřejmé, že pokud by se v
síti objevil uživatel, který by se rozhodl škodit záměrně, výše zmíněná
opatření by byla nedostačující.

Internetové odkazy
Většina firem produkujících antivirový software nabízí širokou škálu produktů
na filtrování obsahu (content filtering), odstraňování (stripping) e-mailových
příloh a ochranu před viry na desktopech i serverech. Používám a jsem spokojený
s následujícími produkty:
- VirusScan od McAfee.com
(corporate.mcafee.com/content/software_products/default.asp)
- Norton AntiVirus od Symantecu
(enterprisesecurity.symantec.com/content/productlink.cfm#0)
- F-Secure Anti-Virus od F-Secure (www.f-secure.com/products/anti-virus)
- SurfinShield od Finjan Software (www.finjan.com)

Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.