В свете новых хакерских и вирусных атак, которые в 2017 г. были нацелены не только на корпорации, но и на общественные учреждения, включая учебные заведения и больницы, а также на частных пользователей, тема информационной безопасности стала исключительно резонансной. Доступно о текущих проблемах ИТ-безопасности и влиянии средств виртуализации на защиту информационных систем вы узнаете под катом.
Поговорим сначала о фактах. По данным компании «Лаборатория Касперского» частота появления вирусов, начиная с 1994 г, когда она составляла примерно один вирус в час, выросла до 5–6 вирусов в секунду. Компания Bitdefender, в целом подтверждает этот факт, считая, что каждый месяц появляется более 12 млн новых версий вредоносных программ, т.е. более 400 тыс. каждый день. Исследование Mandiant показало, что организациям в среднем требуется около пяти месяцев, чтобы обнаружить нарушения безопасности компании, причем в половине случаев компаниям требуется внешняя помощь, чтобы решить проблему.
Эпидемия червя Carbanak в течение двух лет принесла около 1 млрд долл. убытков, пострадало более 30 стран мира. Заражение происходило через файлы, вложенные в сообщения электронной почты, которые эксплуатировали уязвимости в Microsoft Office. Пострадали JPMorgan, HSBC, Halifax, Barclays, а в общей сложности — более ста банков. В результате один только банк JPMorgan запланировал израсходовать более 0,5 млрд долл. на ИТ-безопасность. В среднем, по данным «Лаборатории Касперского», корпоративные структуры ежегодно тратят 800 тыс. долл. на восстановление после кибератак. Почему это происходит?
Во-первых — потому, что современные компьютерные платформы изначально разрабатывались в 1990-е гг., когда невозможно было учесть требования к безопасности конца 2010-х гг. Именно это привело к тому, что антивирусные системы и сетевые экраны стали обязательной надстройкой для любого операционного окружения, а несвоевременное обновление антивируса и операционной системы неизбежно делает систему уязвимой.
Во-вторых — потому, что в мире значительно увеличилось число подключенных к Интернету клиентских устройств, уязвимых для вирусов и вредоносных программ. Соответственно, во много раз выросло количество конечных пользователей — а порог их компьютерной грамотности и порог защищенности компьютерных систем, разумеется, «сполз» до крайне низкого уровня.
Очень симптоматично: далеко не все понимают опасность киберкриминала. В среднем 73% пользователей осведомлены о том, что самую большую опасность для их электронных данных представляют киберпреступники и хакеры, но согласитесь, что это не 100% (а ведь если вы спросите, кто ворует кошельки, 100% ответят — воры). Интересно, что американцы остерегаются киберпреступников гораздо меньше, чем жители стран азиатско-тихоокеанского региона — 61% против 82.
В-третьих — потому, что многие администраторы информационных систем могли бы выполнять свою работу, скажем так, несколько лучше. Если бы во всех корпоративных структурах хотя бы устанавливались вовремя все обновления, у таких вирусов, как Petya и WannaCry, попросту не было бы шансов. Такие меры, как регулярное резервное копирование данных, офлайновое хранение резервных файлов, ограничение административных привилегий и сегментация корпоративной сети, позволили бы существенно снизить ущерб, но сейчас даже не о них.
Судите сами. Уязвимость сетевого протокола SMB операционной системы Microsoft Windows, которой позднее (сейчас я скажу, когда именно) воспользовался вирус WannaCry, была опубликована Microsoft еще в феврале 2017 г. 14 марта 2017 г. — не то чтобы очень оперативно, но уж как смогла — Microsoft выпустила серию обновлений, призванных нейтрализовать уязвимость во всех поддерживаемых операционных системах.
А тотальное распространение WannaCry началось 12 мая 2017 г. За первые четыре дня атаки пострадали около 300 тыс. пользователей в 150 странах. У них было два месяца на то, чтобы установить патчи. В этом свете беспрецедентная акция Microsoft, которая на следующий день после начала атаки выпустила обновления даже для неподдерживаемых операционных систем, выглядела по меньшей мере наивно и вызвала не то чтобы справедливые, но понятные нарекания специалистов, которые писали в Twitter сообщения вроде: «Microsoft давно пора прекратить выпуск патчей к Windows XP и Windows 2003, потому что тем самым они сами мешают избавиться от устаревших программных систем в корпорациях» и «О нет. Прекратите поддержку Windows XP. Если она не может умереть с честью, просто дайте ей загнуться...».
Домашние компьютеры были и остаются слабым звеном в цепи информационной безопасности. Пользователи с чистой совестью пользуются для постоянной работы учетной записью администратора. Злую шутку играет менталитет пользователей, которые считают, что если на их компьютерах нет никаких секретных данных, то и хакерам они не интересны. Конечно же, они не думают о том, что их компьютеры используются для DDoS-атак — или, в лучшем случае, для майнинга биткоинов.
Или возьмите недавнюю атаку на рестораны. Сотрудники ресторанов получали электронные письма с приложениями, которые назывались «menu.rtf», «Olive Garden.rtf» или «Chick Fil A Order.rtf». Вложенные RTF-файлы использовали OLE-объекты и запускали обфусцированный JavaScript-кода — при открытии RTF-документа жертва видела большой значок конверта и предложение открыть его двойным щелчком мыши, после чего, как правило, по собственной воле запускала код, который позволял злоумышленникам извлечь из корпоративной сети любую информацию, в том числе о движении денежных средств…
А ведь есть простое правило — если вам ничего не должны были присылать, но прислали, не надо первым же делом открывать присланный документ или щелкать ссылку. Ведь это правило гигиены, не менее важное, чем поддерживать последние обновления операционной системы и антивирусного пакета — ну и, при наличии соответствующих навыков, отключать неиспользуемые службы и т.п.
Строго говоря, «виртуализованный» — не значит «защищенный от кибератак». Предназначение гипервизора и связанных с ним служб — помочь организации эффективно организовать все операции, связанные с администрированием информационной системы, предоставлением ресурсов, оптимизацией производительности и обеспечением информационной безопасности. Условие, необходимое для того, чтобы все это работало — как это ни скучно, опять изучение матчасти ИТ-администраторами.
Почему, например, до сих пор еще не все знают, что выключить или остановить виртуальную машину — не значит защитить ее от атаки злоумышленников? Напротив, такие машины становятся фокусом для атаки, «направлением главного удара», потому что их защита не обновляется, антивирус не может обновлять антивирусную базу. Аналогично, «золотые» образы рабочих станций являются точно такой же точкой уязвимости, потому что их, как правило, обновляют крайне нерегулярно, раз в 3–4 месяца.
Поэтому в общем случае на простой, казалось бы, вопрос о том, можно ли считать терминальный сервис более безопасным, чем работу на локальном компьютере, однозначного ответа нет. Все зависит от того, как настроить систему. Теоретически терминальный сервис более защищен, чем локальная машина, потому что на локальном устройстве пользователя ничего не находится. Туда, где в действительности происходит выполнение рабочей нагрузки, пользователь отправляет нажатия клавиш и щелчки мышью, а в ответ получает изменения картинки, и безопасность полностью находится в руках администратора. Но если администратор не следует правилам, открывает лишние порты, не использует дополнительные сервисы, не обеспечивает блокирования рабочего места, проверки места подключения и устройства подключения — о защищенном рабочем месте говорить смешно. Грамотный администратор, который следует лучшим практикам безопасности с точки зрения настройки сервисов, обеспечит наилучшую защиту виртуальной среды.
Один из типовых плюсов виртуальной среды — возможность использовать «золотой» образ виртуальной машины, которую мы сегодня уже поминали. С одной стороны, «золотой» образ защищен от изменений, если пользователь испортил виртуальную машину, это очень просто исправить при помощи «золотого» образа. Но это не подменяет необходимости применять антивирус. Сам «золотой» образ, как мы уже знаем, необходимо регулярно обновлять. А что будет, если «золотой» образ заразится вирусом? Что произойдёт при последующей перезагрузке виртуальных машин на тысячу человек?
Вот почему имеет смысл использовать решения, обеспечивающие защиту виртуальных сред. Например, я уже упоминал о нашем партнере Bitdefender — его решение Hypervisor Memory Introspection позволяет сканировать память гипервизора, чтобы не устанавливать агента внутри виртуальных машин и, соответственно, не перегружать их сетевой активностью и обновлениями. Правда, если администратор ресторана получит по почте сообщение с вредоносным вложением, маскирующимся под завтрашнее меню, и сохранит это вложение, то ему уже ничто не поможет, кроме актуального антивирусного решения, предназначенного для работы в виртуализованной среде. Такое решение, как Kaspersky Security для виртуальных сред, использует специального агента, который, работая в виртуальной инфраструктуре, проверяет только те хэши, которые кажутся подозрительными, и система централизовано уведомляет о хэшах этих виртуальных машин. Это системно снижает нагрузку на дисковую подсистему и на ресурсы процессора.
И конечно, не стоит забывать о безопасном удалённом доступе, такая система как Citrix NetScaler ADC, обеспечивает важнейшие сетевые функции — балансировку сетевых приложений, безопасность приложений и ресурсов, организацию удаленного доступа к корпоративной сети предприятия — не дублируя функциональность специализированных решений для обеспечения информационной безопасности, но работая как часть плана обеспечения непрерывности бизнеса. Например, защиту трафика веб-приложений, самих веб-приложений и сетевых ресурсов обеспечит наше решение NetScaler Web Application Firewall. Если организация требует обеспечить шифрование данных, но не по штатному американскому стандарту, который использует Citrix, а по стандарту, утвержденному ГОСТ, мы предлагаем специализированные решения от наших партнеров, например, компании «С-Терра», а другой интересный продукт «Привратник» компании Совинтегра, обеспечивает аутентификацию в XenDesktop по сертификатам ГОСТ. А если остановился основной центр обработки данных компании, NetScaler переключит пользователей на работу с резервным ЦОД, используя GSLB (возможность глобальной балансировки нагрузки между географически разделёнными площадками), пока специализированное программно-аппаратное решение для репликации данных восстанавливает основной ЦОД.
Чтобы ответить на этот вопрос, не обязательно считать возврат на инвестиции. Просто оцените, что потеряет ваш бизнес в случаях уничтожения данных, простоев информационной системы и других видов ущерба. Сравните это с теми затратами, которые вы понесете при приобретении того или иного продукта — системы виртуализации, антивирусного комплекса и т.п. — а также его внедрении и обучении персонала работе с ним.
Далее — выберите программный или программно-аппаратный комплекс, который будет решать необходимые вам задачи, и стоимость которого будет достаточно мала по сравнению с возможным ущербом, и спокойно приобретайте его.
О своеобразии текущего момента
Поговорим сначала о фактах. По данным компании «Лаборатория Касперского» частота появления вирусов, начиная с 1994 г, когда она составляла примерно один вирус в час, выросла до 5–6 вирусов в секунду. Компания Bitdefender, в целом подтверждает этот факт, считая, что каждый месяц появляется более 12 млн новых версий вредоносных программ, т.е. более 400 тыс. каждый день. Исследование Mandiant показало, что организациям в среднем требуется около пяти месяцев, чтобы обнаружить нарушения безопасности компании, причем в половине случаев компаниям требуется внешняя помощь, чтобы решить проблему.
Эпидемия червя Carbanak в течение двух лет принесла около 1 млрд долл. убытков, пострадало более 30 стран мира. Заражение происходило через файлы, вложенные в сообщения электронной почты, которые эксплуатировали уязвимости в Microsoft Office. Пострадали JPMorgan, HSBC, Halifax, Barclays, а в общей сложности — более ста банков. В результате один только банк JPMorgan запланировал израсходовать более 0,5 млрд долл. на ИТ-безопасность. В среднем, по данным «Лаборатории Касперского», корпоративные структуры ежегодно тратят 800 тыс. долл. на восстановление после кибератак. Почему это происходит?
Во-первых — потому, что современные компьютерные платформы изначально разрабатывались в 1990-е гг., когда невозможно было учесть требования к безопасности конца 2010-х гг. Именно это привело к тому, что антивирусные системы и сетевые экраны стали обязательной надстройкой для любого операционного окружения, а несвоевременное обновление антивируса и операционной системы неизбежно делает систему уязвимой.
Во-вторых — потому, что в мире значительно увеличилось число подключенных к Интернету клиентских устройств, уязвимых для вирусов и вредоносных программ. Соответственно, во много раз выросло количество конечных пользователей — а порог их компьютерной грамотности и порог защищенности компьютерных систем, разумеется, «сполз» до крайне низкого уровня.
Очень симптоматично: далеко не все понимают опасность киберкриминала. В среднем 73% пользователей осведомлены о том, что самую большую опасность для их электронных данных представляют киберпреступники и хакеры, но согласитесь, что это не 100% (а ведь если вы спросите, кто ворует кошельки, 100% ответят — воры). Интересно, что американцы остерегаются киберпреступников гораздо меньше, чем жители стран азиатско-тихоокеанского региона — 61% против 82.
В-третьих — потому, что многие администраторы информационных систем могли бы выполнять свою работу, скажем так, несколько лучше. Если бы во всех корпоративных структурах хотя бы устанавливались вовремя все обновления, у таких вирусов, как Petya и WannaCry, попросту не было бы шансов. Такие меры, как регулярное резервное копирование данных, офлайновое хранение резервных файлов, ограничение административных привилегий и сегментация корпоративной сети, позволили бы существенно снизить ущерб, но сейчас даже не о них.
Судите сами. Уязвимость сетевого протокола SMB операционной системы Microsoft Windows, которой позднее (сейчас я скажу, когда именно) воспользовался вирус WannaCry, была опубликована Microsoft еще в феврале 2017 г. 14 марта 2017 г. — не то чтобы очень оперативно, но уж как смогла — Microsoft выпустила серию обновлений, призванных нейтрализовать уязвимость во всех поддерживаемых операционных системах.
А тотальное распространение WannaCry началось 12 мая 2017 г. За первые четыре дня атаки пострадали около 300 тыс. пользователей в 150 странах. У них было два месяца на то, чтобы установить патчи. В этом свете беспрецедентная акция Microsoft, которая на следующий день после начала атаки выпустила обновления даже для неподдерживаемых операционных систем, выглядела по меньшей мере наивно и вызвала не то чтобы справедливые, но понятные нарекания специалистов, которые писали в Twitter сообщения вроде: «Microsoft давно пора прекратить выпуск патчей к Windows XP и Windows 2003, потому что тем самым они сами мешают избавиться от устаревших программных систем в корпорациях» и «О нет. Прекратите поддержку Windows XP. Если она не может умереть с честью, просто дайте ей загнуться...».
Домашние компьютеры были и остаются слабым звеном в цепи информационной безопасности. Пользователи с чистой совестью пользуются для постоянной работы учетной записью администратора. Злую шутку играет менталитет пользователей, которые считают, что если на их компьютерах нет никаких секретных данных, то и хакерам они не интересны. Конечно же, они не думают о том, что их компьютеры используются для DDoS-атак — или, в лучшем случае, для майнинга биткоинов.
Или возьмите недавнюю атаку на рестораны. Сотрудники ресторанов получали электронные письма с приложениями, которые назывались «menu.rtf», «Olive Garden.rtf» или «Chick Fil A Order.rtf». Вложенные RTF-файлы использовали OLE-объекты и запускали обфусцированный JavaScript-кода — при открытии RTF-документа жертва видела большой значок конверта и предложение открыть его двойным щелчком мыши, после чего, как правило, по собственной воле запускала код, который позволял злоумышленникам извлечь из корпоративной сети любую информацию, в том числе о движении денежных средств…
А ведь есть простое правило — если вам ничего не должны были присылать, но прислали, не надо первым же делом открывать присланный документ или щелкать ссылку. Ведь это правило гигиены, не менее важное, чем поддерживать последние обновления операционной системы и антивирусного пакета — ну и, при наличии соответствующих навыков, отключать неиспользуемые службы и т.п.
Виртуализация поможет!
Строго говоря, «виртуализованный» — не значит «защищенный от кибератак». Предназначение гипервизора и связанных с ним служб — помочь организации эффективно организовать все операции, связанные с администрированием информационной системы, предоставлением ресурсов, оптимизацией производительности и обеспечением информационной безопасности. Условие, необходимое для того, чтобы все это работало — как это ни скучно, опять изучение матчасти ИТ-администраторами.
Почему, например, до сих пор еще не все знают, что выключить или остановить виртуальную машину — не значит защитить ее от атаки злоумышленников? Напротив, такие машины становятся фокусом для атаки, «направлением главного удара», потому что их защита не обновляется, антивирус не может обновлять антивирусную базу. Аналогично, «золотые» образы рабочих станций являются точно такой же точкой уязвимости, потому что их, как правило, обновляют крайне нерегулярно, раз в 3–4 месяца.
Поэтому в общем случае на простой, казалось бы, вопрос о том, можно ли считать терминальный сервис более безопасным, чем работу на локальном компьютере, однозначного ответа нет. Все зависит от того, как настроить систему. Теоретически терминальный сервис более защищен, чем локальная машина, потому что на локальном устройстве пользователя ничего не находится. Туда, где в действительности происходит выполнение рабочей нагрузки, пользователь отправляет нажатия клавиш и щелчки мышью, а в ответ получает изменения картинки, и безопасность полностью находится в руках администратора. Но если администратор не следует правилам, открывает лишние порты, не использует дополнительные сервисы, не обеспечивает блокирования рабочего места, проверки места подключения и устройства подключения — о защищенном рабочем месте говорить смешно. Грамотный администратор, который следует лучшим практикам безопасности с точки зрения настройки сервисов, обеспечит наилучшую защиту виртуальной среды.
Один из типовых плюсов виртуальной среды — возможность использовать «золотой» образ виртуальной машины, которую мы сегодня уже поминали. С одной стороны, «золотой» образ защищен от изменений, если пользователь испортил виртуальную машину, это очень просто исправить при помощи «золотого» образа. Но это не подменяет необходимости применять антивирус. Сам «золотой» образ, как мы уже знаем, необходимо регулярно обновлять. А что будет, если «золотой» образ заразится вирусом? Что произойдёт при последующей перезагрузке виртуальных машин на тысячу человек?
Вот почему имеет смысл использовать решения, обеспечивающие защиту виртуальных сред. Например, я уже упоминал о нашем партнере Bitdefender — его решение Hypervisor Memory Introspection позволяет сканировать память гипервизора, чтобы не устанавливать агента внутри виртуальных машин и, соответственно, не перегружать их сетевой активностью и обновлениями. Правда, если администратор ресторана получит по почте сообщение с вредоносным вложением, маскирующимся под завтрашнее меню, и сохранит это вложение, то ему уже ничто не поможет, кроме актуального антивирусного решения, предназначенного для работы в виртуализованной среде. Такое решение, как Kaspersky Security для виртуальных сред, использует специального агента, который, работая в виртуальной инфраструктуре, проверяет только те хэши, которые кажутся подозрительными, и система централизовано уведомляет о хэшах этих виртуальных машин. Это системно снижает нагрузку на дисковую подсистему и на ресурсы процессора.
И конечно, не стоит забывать о безопасном удалённом доступе, такая система как Citrix NetScaler ADC, обеспечивает важнейшие сетевые функции — балансировку сетевых приложений, безопасность приложений и ресурсов, организацию удаленного доступа к корпоративной сети предприятия — не дублируя функциональность специализированных решений для обеспечения информационной безопасности, но работая как часть плана обеспечения непрерывности бизнеса. Например, защиту трафика веб-приложений, самих веб-приложений и сетевых ресурсов обеспечит наше решение NetScaler Web Application Firewall. Если организация требует обеспечить шифрование данных, но не по штатному американскому стандарту, который использует Citrix, а по стандарту, утвержденному ГОСТ, мы предлагаем специализированные решения от наших партнеров, например, компании «С-Терра», а другой интересный продукт «Привратник» компании Совинтегра, обеспечивает аутентификацию в XenDesktop по сертификатам ГОСТ. А если остановился основной центр обработки данных компании, NetScaler переключит пользователей на работу с резервным ЦОД, используя GSLB (возможность глобальной балансировки нагрузки между географически разделёнными площадками), пока специализированное программно-аппаратное решение для репликации данных восстанавливает основной ЦОД.
Стоит ли игра свеч?
Чтобы ответить на этот вопрос, не обязательно считать возврат на инвестиции. Просто оцените, что потеряет ваш бизнес в случаях уничтожения данных, простоев информационной системы и других видов ущерба. Сравните это с теми затратами, которые вы понесете при приобретении того или иного продукта — системы виртуализации, антивирусного комплекса и т.п. — а также его внедрении и обучении персонала работе с ним.
Далее — выберите программный или программно-аппаратный комплекс, который будет решать необходимые вам задачи, и стоимость которого будет достаточно мала по сравнению с возможным ущербом, и спокойно приобретайте его.