Смогут ли браузеры противостоять новым угрозам?
Смогут ли браузеры противостоять новым угрозам?
Смогут ли браузеры противостоять новым угрозам?
01.09.2008
Сегодня наиболее опасной формой распространения вредоносного кода становится Интернет и автоматическая загрузка файлов без ведома пользователя. Поэтому ИТ-администраторам и сотрудникам предприятий следует пересмотреть список инструментов и приемов, применяемых для защиты компьютеров и данных. Это особенно важно в связи с тем, что известные Web-сайты, работающие на законных основания, превращаются в основной источник распространения вредоносного кода.
Мы знаем, что киберпреступники используют два способа. Первый заимствован из области фишинга. Авторы вредоносного кода создают новые домены и Web-сайты так быстро, что средства фильтрации URL-адресов и базы данных вирусных сигнатур за ними просто не успевают. Цель заключается в том, чтобы найти некоторое количество жертв прежде, чем компании, занимающиеся обеспечением безопасности, обновят сигнатуры. Второй способ – взлом Web-сайтов. Сами сайты работают как обычно, но внесенные изменения приводят посетителей к вредоносному контенту.
Примером сочетания этих двух типов Интернет-угроз является сеть зомбированных компьютеров Asprox. Первоначально она была создана для фишинга – попыток заразить компьютеры ничего не подозревающих пользователей с помощью создаваемых на короткое время Web-сайтов. Но за последние несколько месяцев Asprox трансформировалась в средство атак на легитимные сайты с помощью ввода SQL-запросов. Через Google злоумышленники автоматически находят и взламывают Web-сайты, на которых используются уязвимые сценарии на базе Active Server Pages, и вставляет в них объект IFrame, который перенаправляет посетителей к вредоносному коду.
Согласно некоторым источникам, большинство содержащих такой код Web-страниц размещено сейчас на легитимных сайтах. В отчете об угрозах безопасности за июль 2008 г. (July 2008 Security Threat Report Update) исследовательской лаборатории компании Sophos утверждается, что 90% зараженных Web-страниц, обнаруженных ею в первой половине этого года, принадлежит сайтам, работающим на законных основаниях, но тем или иным образом взломанным. В отчете говорится также, что в этот период лаборатория ежедневно находила в среднем свыше 16 тыс. новых инфицированных страниц.
Изменения в характере распространения вредоносного кода требуют от ИТ-администраторов поиска новых способов обеспечения безопасности корпоративных активов и рекомендаций, которых от них ждут рядовые пользователи.
Поскольку регулярно посещаемые пользователем легитимные сайты, например принадлежащие банкам, магазинам или социальным сетям, уже не являются гарантированно "чистыми", старое правило противодействовать вирусным атакам, просто не щелкая мышкой по ссылкам в электронных сообщениях, уже не работает.
Действительно, если главным рассадником вредоносного кода становится легитимный сайт, о котором неизвестно, заслуживает ли он доверия, необходимо найти технический способ, позволяющий решить этот вопрос и вселить в пользователя определенную уверенность, что в момент посещения сайта тот вполне безопасен, причем не пять месяцев назад, не часом раньше, а именно в данную минуту.
Поставщики средств безопасности экспериментируют с различными новыми технологиями, пытаясь найти средства борьбы с современными Интернет-угрозами. Ведь используемый сейчас в антивирусных платформах метод распознавания файлов на основе базы сигнатур оказывается неэффективным против новых видов атак.
Современные технологии, применяемые для расширения возможностей браузера, проверяют репутацию Web-сайта, производят потоковое сканирование трафика и блокировку скриптов. А разработчики антивирусов включают в свои платформы дополнительные функции эвристического и поведенческого анализа.
Большинство этих надстроек над браузерами призвано навести порядок на "диком Западе", с которым можно сравнить принадлежащие частным лицам ПК под управлением Microsoft Windows. Корпоративные пользователи сегодня в меньшей степени страдают от Интернет-угроз, поскольку ИТ-администраторы организовали крепкую линию обороны, защищающую как сети, так и сами ПК.
Например, специальное оборудование для предотвращения вторжений или шлюзовое устройство для анализа потока Интернет-данных могут обнаружить и заблокировать исходящий Web-трафик, если он имеет сходство с активностью зомбированных компьютеров, и входящий трафик, если он содержит вредоносный код. Однако решения для защиты на уровне сети не защитят пользователей, которые применяют мобильные устройства за пределами офисов.
Разработчики корпоративных решений в области безопасности внесли значительные усовершенствования во встроенные системы обнаружения вторжений и анализа Интернет-трафика. Решение принимается после анализа поведения кода или обнаружения его сходства с уже известными угрозами, и в случае малейших подозрений код блокируется до его попадания в файловую систему.
Существуют различные подходы, которые администраторам необходимо проанализировать перед началом развертывания соответствующего ПО. Одни продукты подключаются к браузеру, чтобы целенаправленно изучать поведение таких элементов, как ActiveX и JavaScript. Другие производят более полное сканирование передаваемого по протоколу HTTP трафика и определяют, от кого исходит направленный в Интернет запрос – от браузера, приложения электронной почты или из иного источника. Бывают и продукты, встраиваемые в корпоративную платформу безопасности.
Некоторые компании, специализирующиеся на обеспечении защиты, меняют способ выявления вредоносного кода. Trend Micro, например, переходит от рассылки сигнатур (когда сигнатуры периодически обновляются во всей корпоративной сети) к выдаче информации о наличии угрозы по запросу прямо через Интернет (на современном ИТ-языке – "из облака").
Поток исправлений
Корпоративные ИТ-службы могут поддаться искушению и внедрить для защиты удаленных работников инструменты, предназначенные для индивидуальных пользователей. Однако подобные эксперименты весьма опасны. В большинстве продуктов такого рода не предусмотрено централизованное управление, поэтому в каждом конкретном случае обновление должно производиться индивидуально. Кроме того, такие продукты различаются по степени поддержки различных браузеров, поэтому они могут конфликтовать с устаревшими, но еще важными корпоративными Web-приложениями.
Copyright © 2018-2022, ООО "ГРОТЕК"