В рубрику "Дайджест" | К списку рубрик | К списку авторов | К списку публикаций
С наступлением эпохи Web 2.0 (сетевого пространства двухсторонних коммуникаций) у компаний появилась необходимость в поиске баланса между желанием сотрудников иметь беспрепятственный доступ к Интернет-ресурсам и жесткими требованиями корпоративной безопасности
На протяжении многих лет Интернет оставался относительно одномерной областью, в которой отображение статических страниц HTML осуществлялось в однонаправленной среде клиент-сервер. Участие пользователя в этих операциях было минимально. Однако угрозы в этой среде угрозы были и по-прежнему являются вполне реальными.
Свободный доступ
Web 2.0 представляет собой пространство, содержание которого создается при участии самих пользователей. Эта среда объединяет социальные сети, сервисы закладок, файлообменные сайты, блоги, википедии, одноранговые сети Р2Р, Ajax-приложения и RSS-потоки.
Контролировать такую среду силами и средствами служб ИТ и безопасности невозможно. Всего несколько лет назад основным переносчиком вирусов служил почтовый протокол SMTP. В мире Web 2.0 SMTP-протокол более не является таковым - теперь в письмах содержится лишь ссылка на Web-сайт, которую доверчивый пользователь может загрузить и стать жертвой использования динамического ресурса для злонамеренных целей. Хакерскиетехнологии позволяют, используя DNS-протокол, маскировать опасный Web-pecypc под легальный сайт, чтобы получить доступ к корпоративной сети через браузер пользователя.
Динамический, социальный, коллективный
Web 2.0 по определению является динамической, социальной и коллективной средой Именно пользователи предоставляют данные для работы приложений и сервисов Web 2.0 типа MySpace и Google Earth. И электронная почта лишь один из многих способов обмена данными. Открытость и коллективность такой среды -главное, на что делают ставку хакеры.
Современные пользователи Интернета обмениваются информацией различными способами, и предотвратить утечку корпоративной информации становится все сложнее и сложнее. В отличие от почтовых отправлений (письмо можно удалить, а вместе с ним и полученные данные), размещение информации в блогосфере может привести к масштабному ущербу. Кроме того, пользователи желают получать неограниченный доступ к различным сетевым приложениям, а также использовать такие сервисы, как электронная почта, видеоконференц-связь и пр. В последнее время многие компании предпочитают создавать базы данных (например, CRM) как сетевые хостинг-инфраструктуры. Это позволяет снижать расходы на администрирование ИТ и избегать проблем, связанных с применением традиционных приложений.
Однако хакеры быстро нашли уязвимые места Web-приложений. Web 2.0 представляет собой удобное пространство для "фитинга" - вид мошенничества, при котором злоумышленник, используя имя известных финансовых, банковских или других учреждений, обманным путем заставляет пользователя предоставить ему важную персональную информацию. Многие "фишинг -сайты, сконструированные с помощью RIA-приложений, выглядят настолько безопасными и легальными, что не вызывают подозрений даже у опытных пользователей и средств защиты более раннего поколения. Мобильные схемы атак не позволяют отследить хакера.
Спефицика RIA-приложений заключается в том, что большая часть операционных задач загружается на клиентские машины через клиентскую подсистему, являющуюся дополнительным модулем браузера. Чаще всего вредоносный код попадает в компьютер именно через эту подсистему. Особенно уязвимыми для сетевых атак являются RIA-приложения, использующие элементы ActiveX.
Легальный не значит безопасный
Небезопасными стали и легальные Web-сайты. Злоумышленники могут внедрять вирусный XML-код в архитектуру популярных сайтов. Часто для этих целей используются ресурсы, предоставляющие услуги передачи потокового видео (например, YouTube). Чтобы оценить угрозу, достаточно подумать о том, что ежедневно подобные ресурсы посещают миллионы пользователей. К сожалению, решить проблему глобальной блокировкой популярных ресурсов нельзя, поскольку некоторые пользовали применяют их в деловых целях.
Угрозу представляют и сайты, использующие шифрование SSL. Большинство решений сетевой безопасности не контролируют SSL-канал, по которому передаются зашифрованные данные; SSL не защищает данные от кражи. Хакеры также могут создавать Web-серверы с поддержкой SSL и использовать их для целей фи-шинга. Жертвам рассылаются электронные письма, замаскированные под официальные запросы. Загружая ссылку, найденную в письме, пользователь закачивает на свой компьютер программу-бот, которая, используя одну и ту же сессию SSL, позволяет похищать важную информацию из корпоративной сети. Большинство фильтров сетевой безопасности не могут идентифицировать такие атаки. В результате образуется канал неконтролируемого обмена информацией.
Как защитить компанию?
Очевидно, что блокирование доступа ктем или иным ресурсам не представляет собой решение проблемы сетевой безопасности. Прежде всего, надежную защиту могут обеспечивать средства, позволяющие сканировать на наличие вирусов и других угроз любые Web-сайты в режиме реального времени.
Полезным может стать внедрение корпоративной политики, позволяющей без ущерба производительности сотрудников контролировать использование сервисов IM и Skype, а также файлообменных сетей Р2Р.
Не помешает и повышение осведомленности ИТ-специалистов и сотрудников служб безопасности о технологиях фишинга. Необходимо исключить возможность размещения пользователями информации на сайтах высокой степени риска. Специалисты по безопасности и ИТ должны контролировать обмен данными по популярным протоколам связи типа RTSP, MMS, IM, SSL и Р2Р. На рынке уже присутствуют продукты, которые наряду с антивирусной защитой, спам-фильтром и другими стандартными функциями позволяют комплексно реализовать обеспечение сетевой безопасности на описанном выше уровне.
По материалам Platform
www.info4security.com
Опубликовано: Журнал "Системы безопасности" #4, 2008
Посещений: 7401
В рубрику "Дайджест" | К списку рубрик | К списку авторов | К списку публикаций
