СОВРЕМЕННЫЕИНТЕРНЕТ-УГРОЗЫ

РУКОВОДСТВО ПОСАМООБОРОНЕ

2010 Г.

РЕШЕНИЯ IRONPORT ДЛЯ ЗАЩИТЫ ЭЛЕКТРОННОЙПОЧТЫ И ОБЕСПЕЧЕНИЯ WEB-БЕЗОПАСНОСТИ

Спам, вирусы, шпионское ПО, фарминг, троянские кони – неизбежные риски,сопряженные с пользованием Интернета – становятся все более опасными дляпользователей. Хотя некоторые из этих компьютерных атак имеют многолетнююисторию, мотивы их создателей со временем существенно изменились, а сами

атаки стали намного более разрушительными и сложными.

Если раньше действия компьютерных хакеров мотивировались жаждой славы, теперь ихдвижущей силой является обыкновенная жадность. Образ хакера-одиночки подростковоговозраста, пытающегося самостоятельно создать себе имя, окончательно ушел в прошлое.Сегодня хакеров интересуют только способы присвоения денег. Этой цели они нередкодостигают, кооперируясь с организованными преступными группировками, по заказу которыхустраивают атаки, позволяющие добыть “легкие деньги” с меньшим риском по сравнению сторговлей наркотиками или проституцией. Хакеры входят в контакт с этими группировкамичерез тайные форумы или посредством вербовки в университетской среде и предлагают своиуслуги тому, кто сможет предложить самую высокую цену. В организованных преступныхгруппировках сегодня имеются собственные “центры интернет-преступности”. Хакерыявляются либо полноправными участниками организации, либо нанимаются “внештатно”.

Другим уходящим в прошлое свойством атак была их чрезвычайная заметность. Например,вирус “I Love You” был призван наделать как можно больше шума. Сегодня же атаки носятскрытный характер: хакер меньше всего заинтересован привлечь к себе внимание. Например,фишинговая атака может продолжаться всего 2 часа, которых хакеру достаточно для того,чтобы собрать некоторый объем информации, не рискуя оказаться обнаруженным.

Еще один важный момент: прежде атаки были массивными и были призваны причинитьмаксимальный ущерб наибольшему числу сетей. Уже упоминавшийся “I Love You” –подходящий пример вируса, нацеленного на максимально возможное число пользователей.Сегодня атаки часто носят точечный характер, иногда затрагивая только одну компанию. Ихцель, например, может состоять в хищении секретной технологии производства илипроникновении в одну конкретную сеть. Фишинг, шпионское ПО, атаки с переназначениемсообщений об ошибке – все эти атаки и угрозы теперь нередко нацелены на узкую группупользователей или компаний.

Чтобы противостоять угрозам, новым формам атак и новым побуждениям хакеров, компаниидолжны реализовать решения, отвечающие сегодняшнему состоянию Интернета, и уразработчиков и издателей решений в сфере безопасности не остается иного выбора, кроменепрерывного новаторства с акцентом на упреждение.

Эта брошюра содержит обзор основных видов атак, получивших наиболее широкоераспространение в Интернете в настоящее время, а также различного вредоносного ПО,используемого хакерами. Мы также проанализируем решения, которые необходимореализовать для противодействия этим угрозам в современном деловом мире.

СОДЕРЖАНИЕ ФИШИНГ. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4

ВРЕДОНОСНОЕ ПО . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5

Вирусы и черви . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5

Шпионское ПО . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6

Троянские кони . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

Руткиты . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

СЕТИ КОМПЬЮТЕРОВ-ЗОМБИ (БОТНЕТЫ) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8

Определение и сфера применения . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8

Как ПК превращается в зомби? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9

Сеть Storm и ее потомки – новые поколения зомби . . . . . . . . . . . . . . . . . . . . . 11

МЕХАНИЗМЫ РАСПРОСТРАНЕНИЯ УГРОЗ . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

Вам письмо... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

Web-угрозы: резкий рост популярности . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

Внедрение контента на легитимные сайты . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15

Стремительный рост многообразия приложений, проходящих через интернет-шлюз . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16

СПАМ: УСИЛИТЕЛЬ АТАК . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17

Игра в кошки-мышки . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17

Меньше продаж – больше угроз . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20

Атаки со сбором данных из каталога . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21

Атаки с использованием подставного обратного адреса . . . . . . . . . . . . . . . . . 22

ЧТО МОЖНО ПРЕДПРИНЯТЬ ДЛЯ ПРОТИВОДЕЙСТВИЯ ЭТИМ УГРОЗАМ? . 22

Защита почтового шлюза . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23

Защита web-трафика . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24

Решения Cisco IronPort . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27

ПРИЛОЖЕНИЯ

Cisco IronPort C-Series . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29

Cisco IronPort S-Series . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30

3

4

ФИШИНГ

При классической фишинг-атаке хакер создает фиктивный сайт, используякорпоративные цвета и символику известной на рынке компании, и рассылает поэлектронной почте пользователям приглашение его посетить, обычно – чтобывыудить у них конфиденциальную информацию (например, пароли).

Пользователи подключаются к фиктивному сайту и дарят свои данные хакеру.

Этот вид атак популярен ввиду доступности в Интернете множества готовых к использованиюфишинговых “комплектов”, которые содержат инструменты, позволяющие даже начинающимхакерам с очень скромным техническим мастерством легко проводить атаки. Эти комплектымогут содержать полнофункциональное приложение для разработки web-сайтов (для созданияподдельных сайтов-двойников, неотличимых от оригинала), а также программное обеспечениедля автоматической рассылки спама по электронной почте.

Классический метод фишинга с использованием электронной почты в настоящее времяпереживает застой, уступая место новым тенденциям, из которых наиболее популярной,несомненно, является фарминг. Фарминг-атака не требует рассылки электронной почты.Пользователи, подключаясь к интернет-сайту, например, своего банка, автоматически и без ихведома переадресуются на сайт злоумышленника, где они вводят свой код и пароль (которыеперехватываются хакером). Затем сайт злоумышленника возвращает пользователей налегитимный сайт. Фарминг-атака, таким образом, абсолютно незаметна для пользователя и вцелом представляет большую сложность с точки зрения обнаружения.

Отмечается существенный рост так называемого целевого фишинга. Этот тип фишингааналогичен точечной военной операции: в нем, в отличие от классического фишинга,электронная почта рассылается целевой группе адресатов, например сотрудникам компании,при этом сообщение выглядит намного более достоверным. Хакер может представиться,например, директором отдела кадров или администратором сети и запросить у служащихконфиденциальную информацию (пароли и т. п.). В другом сценарии хакер якобы от лицаконтролирующего органа просит компанию раскрыть конфиденциальную техническуюинформацию о продукте.

Эта форма атак позволяет хакерам получать коммерческую и техническую информацию(секретные технологии производства, корпоративные и коммерческие показатели и т. п.). Так хакеры используют фишинг для заработка, например путем продажи собраннойинформации конкурирующим фирмам.

Пользователи, допустившие незначительную опечатку (классическим примером был сайтgoogkle.com), могут попасть на опасный сайт, который заразит их компьютер без их ведома.Такой способ использования опечаток в адресах для распространения вирусов называетсятайпсквоттингом. Хакер создает сайт с написанием адреса, похожим на адресизвестного сайта, и размещает на нем вредоносный программный код. Согласноисследованию, проведенному Рабочей группой по противодействию фишингу (Anti-PhishingWorking Group, APWG), более трети фишинг-сайтов теперь также являются площадками для

5

размещения вредоносного ПО. Таким образом, хакеры не только крадут у пользователейконфиденциальную информацию, но и тайно внедряют на их рабочие станции шпионское ПО,которое продолжает похищать данные! Сайты, участвующие в фишинговых или фарминговыхатаках, остаются в онлайне только на очень короткое время: фактически средняяпродолжительность существования фишинг-сайта сейчас составляет 3 дня. Таким образом,хакеры больше не рискуют оказаться пойманными: они не медлят с закрытием сайтов,которые уже помогли им собрать достаточный объем конфиденциальной информации.

ВРЕДОНОСНОЕ ПО

ВИРУСЫ И ЧЕРВИ

Слово “вирус” стало универсальным термином для всех категорий вредоносногопрограммного кода. Однако с технической точки зрения вирусом называетсявредоносный код, который копирует собственное тело в другие коды илидокументы. Подавляющее большинство вирусов проникает в сети через шлюз

электронной почты. Почтовые вирусы часто принимают форму вложений, которыеаприори являются легитимными файлами, но содержат вредоносный программный код.Иногда вирусы также поступают в виде зашифрованных или защищенных файлов, чточрезвычайно затрудняет их обнаружение антивирусным программным обеспечением.Основная цель вируса – привести в негодность компьютер или сеть.

Червь – разновидность самовоспроизводящегося вредоносного ПО. Некоторые черви запоследние годы стали громкими новостями, наводняя сети и причиняя существенный ущерб.Чтобы проникнуть на ПК, черви используют уязвимости в системе безопасности. После этогоони сканируют сеть, разыскивая другие рабочие станции с подобными уязвимостями. Этотмеханизм позволяет червям распространяться на большое количество компьютеров всего занесколько часов. В отличие от других типов вирусов, оригинальным свойством червейявляется то, что их распространение не требует участия пользователя. Для запускабольшинства вирусов необходимы определенные действия пользователя (открытие вложенияв электронной почте, запуск приложения, перезагрузка компьютера и т. п.). Черви же способныраспространяться полностью самостоятельно. Например, вирус Explore.zip способен находитьпочтовые клиенты, такие как Microsoft Outlook, и рассылать себя всем контактам в адреснойкниге.

В настоящее время классические вирусы уходят со сцены. Хакеров уже не столь активноинтересуют способы создать видимые нарушения или уничтожить данные. Им болееинтересны возможности добычи информации или превращения рабочих станций в зомби (см.стр. 8).

-

6

ШПИОНСКОЕ ПО

Шпионское ПО – это программное обеспечение, устанавливаемое на рабочихстанциях, которое собирает информацию и отправляет ее внешнимпиратским серверам. На сегодня насчитывается более 150 000 различныхшпионских программ, и это число стабильно растет. Шпионское ПО стало

поистине международной проблемой: ведущие “производители” находятся не только вРоссии, восточноевропейских странах и Китае, но также в Западной Европе и США.

Чрезвычайно опасная подкатегория шпионского ПО – клавиатурные шпионы. Они могут вфоне записывать все нажатые пользователем клавиши.

Хакеры объединяют клавиатурные шпионы с более сложными модулями, например,программа может фиксировать сетевой адрес банковского сайта, запоминать имяпользователя и пароль и отправлять эту информацию на сервер злоумышленника, который в дальнейшем сможет использовать эти данные для вывода денег с взломанного банковскогосчета пользователя. Клавиатурные шпионы теперь также применяются для сбораконфиденциальной коммерческой информации. Например, клавиатурный шпион накомпьютере финансового директора или исполнительного директора может похитить важнуюкоммерческую информацию или секретные данные, например корпоративные планысокращения персонала или выпуска нового продукта. Клавиатурные шпионы имеют доступ ковсем приложениям: они могут извлекать информацию с web-страниц и взаимодействовать спрограммным обеспечением обмена сообщениями и базами данных.

Экранные шпионы представляют собой развитие клавиатурных шпионов: в дополнение ксбору данных с клавиатуры и мыши они могут одновременно делать снимки экрана, связываятаким образом нажатие клавиши или щелчок мыши с определенным экраном. Этот видвредоносного кода позволяет обойти системы безопасности, используемые некоторыми web-сайтами, где пользователи должны указывать свои реквизиты при помощи виртуальнойэкранной клавиатуры (эта мера специально предназначалась для противодействияклавиатурным шпионам).

Другая форма шпионского ПО – перехватчик запросов браузера, который изменяетнастройки браузера на компьютере и переадресует запросы пользователя (неверновведенные URL-адреса, начальные страницы и другие запросы) на нежелательные илизараженные сайты. Одним из первых представителей этого жанра была программа Cool WebSearch (CWS), которая переадресовывала обращения к несуществующим URL-адресам насобственную поисковую систему. Такие программы теперь чаще используются длянейтрализации механизмов безопасности в сети. Например, некоторые перехватчикибраузеров переадресовывают пользователя на страницу с сообщением типа: “Внимание! Вашкомпьютер заражен шпионским ПО!” Страница появляется на экране после того, какпользователь щелкнет мышью всплывающее окно, которое на самом деле установитшпионское ПО на его компьютер! Другие подобные механизмы открывают web-страницутолько после того, как пользователь согласится купить программу для удаления шпионскогоПО. Перехватчики запросов браузеров создают ощутимые помехи в перемещении по web-сайтам и представляют угрозу для безопасности компаний.

7

ТРОЯНСКИЕ КОНИ

Троянские кони – еще одна форма вредоносного ПО, которое заражаеткомпьютеры, маскируясь под безвредные приложения. Затем троянский коньоткрывает в зараженной системе “потайной ход” (скрытый порт), соединяется ссервером злоумышленника и загружает с него одну или несколько вредоносных

программ. Троянские кони могут, в частности, распространяться через сайты с видеоклипами, для просмотра которых требуется установить специальный кодек.Вместе с кодеком пользователи без своего ведома загружают троянского коня, которыйустанавливается на компьютере в фоновом режиме.

Чтобы не быть обнаруженным, сам троянский конь почти никогда не содержит вредоносныйкод. Он устанавливается и только потом получает вредоносный код с внешнего сервера,иногда используя сетевые порты, отличные от порта 80 (стандартный порт протокола HTTP). В отличие от вирусов и червей, троянские кони автоматически не копируются: для ихвыполнения требуется вмешательство пользователя. Вместе с тем экспоненциальный ростweb-контента и приложений каждый день создает новые возможности для интеллектуальныхтроянских коней.

Резкий всплеск подобных угроз обусловлен интенсивным использованием троянских коней ворганизации “сетей компьютеров-зомби” или ботнетов (см. стр. 8).

РУТКИТЫ

Еще одна форма чрезвычайно опасного вредоносного ПО – руткиты. Руткит – этопрограмма, которая внедряется непосредственно в ядро операционной системыкомпьютера, обходя ограничения системных механизмов безопасности. Руткитымогут также скрывать “потайные ходы”, устроенные на компьютере троянскими

конями. В работе операционных систем центральное место обычно занимаютинтерфейсы программирования приложений (API). Например, открытие документа – этодействие, связанное с определенным API-интерфейсом. Руткит позволяетманипулировать API-интерфейсами. Таким образом, например, когда операционнаясистема запрашивает определенный документ, руткит имеет возможность подставитьвместо документа любой другой объект. Такой уровень подчинения делаетпротиводействие практически невозможным: как только руткит оказался в компьютере,лучший выход – переустановка всей системы.

В 2005 г. компания Sony BMG издавала компакт-диски, которые при их воспроизведении воперационной системе Windows тайно устанавливали руткиты. Этот инцидент получилширокую огласку в СМИ и привлек внимание общественности к проблеме руткитов, известнойранее только компьютерным специалистам.

8

СЕТИ КОМПЬЮТЕРОВ-ЗОМБИ (БОТНЕТЫ)

ОПРЕДЕЛЕНИЕ И СФЕРА ПРИМЕНЕНИЯ

Компьютер-зомби – это компьютер, на котором без ведома пользователяустановлен вредоносный программный код, не выполнявший никакихнежелательных действий во время его установки. После установки вредоносногоПО хакер может удаленно обратиться к зараженному компьютеру, чтобы

инициировать атаку или выполнить любое другое злонамеренное действие. Зараженныйкомпьютер, таким образом, становится зомби, который должен подчинятьсяраспоряжениям хакера без ведома владельца компьютера. Такие зараженные машинывсе чаще объединяются хакерами в специальные сети. Эти сети компьютеров-зомбиназываются ботнетами и относятся к разряду самых серьезных угроз компьютернойбезопасности. Становится чрезвычайно трудно определить местонахождение реальногоинициатора атаки, тем более что хакеры используют сети компьютеров-зомби,рассредоточенных по разным странам.

В общем случае для управления ботнетом хакеры применяют сервер команд и управления,который рассылает распоряжения компьютерам-зомби.

По данным специалистов, в Интернете в настоящее время насчитывается порядка 75–100 миллионов компьютеров-зомби.

Хакеры используют компьютеры-зомби в нескольких различных целях.

Распределенные атаки, вызывающие отказ в обслуживании (DDoS) Ботнеты широко применяются для организации распределенных атак, вызывающих отказ вобслуживании (DDoS). Компьютеры-зомби атакуют HTTP-шлюзы или интернет-сайты,подключаясь к ним одновременно и полностью расходуя их ресурсы, чтобы воспрепятствоватьих функционированию в штатном режиме или полностью вывести их из строя. Такая атакаможет привести к колоссальным убыткам для бизнеса (например, в случае интернет-компаний). Необходимо отметить, что некоторые хакеры сдают свои ботнеты в аренду. Теперь,арендуя компьютеры-зомби для организации DDoS-атаки, можно атаковать системыконкурента и вывести из строя его сайты!

Аналогичным образом можно организовывать DDoS-атаки посредством электронной почты,рассылая большое число сообщений для исчерпания ресурсов почтового агента (MTA).Сервер в этом случае вынужден прерывать легитимные подключения или отклонять реальныепочтовые сообщения.

Спам Ботнеты также часто используются для рассылки спама. Спамеры в этом случае скрываютсяза компьютерами-зомби, которые выполняют “грязную” часть работы за них. По оценкам CiscoIronPort, в настоящее время 80 % спама во всем мире поступает с компьютеров-зомби. В крупной спам-атаке могут быть задействованы зомби, рассеянные по территории несколькихстран.

9

ФишингЗомби также используются хакерами для запуска фишинг-атак: сообщения электронной почтысо ссылками на мошеннические сайты рассылаются с компьютеров постороннихпользователей, что затрудняет определение местонахождения хакера.

Кибервымогательство: интернет-шантаж Наконец, зомби положили начало явлению, названному в СМИ “кибервымогательством”.Хакеры обращаются к компаниям и просят заплатить выкуп, если те не хотят подвергнутьсясетевой атаке с несколькими тысячами зомби. Этот тип атаки и шантажа успел получитьчрезвычайно широкое распространение. Например, в ходе исследования, проведенного вСША Школой государственной политики им. Г. Джона Хайнца III при Университете Карнеги-Меллон в сотрудничестве с изданием Information Week, 17 % компаний-респондентовпризнали, что были жертвами кибервымогательства.

КАК ПК ПРЕВРАЩАЕТСЯ В ЗОМБИ?Предупреждения о вирусахВ настоящее время термин “предупреждение о вирусе” чаще употребляется в отношениираспространения червей и троянских коней, посредством которых хакеры удаленнозавладевают компьютерами, чем в отношении распространения реальных вирусов. Вместе стем вирусные атаки все еще очень агрессивны и представляют существенную проблему длякомпаний с точки зрения безопасности. Фактически предупреждение предполагает несколькоэтапов:

1. Вредоносный код, в большинстве случаев эксплуатирующий уязвимости впрограммном обеспечении, обнаруживается в мировом масштабе.

2. Ведущий разработчик антивирусного/антишпионского пакета мобилизуетисследовательские группы для поиска мер противодействия.

3. Ведущий разработчик антивирусного/антишпионского пакета рассылает сигнатурунового вируса своим клиентам.

4. Каждый клиент должен установить в своей системе описание характеристик.

Таким образом, между обнаружением вредоносного кода и установкой новой базы сигнатури/или реализацией исправления, если таковое будет выпущено для устранения уязвимости впрограммном обеспечении, проходит несколько часов или даже дней. Бывает и так, что новаябаза сигнатур или исправление не устанавливаются никогда. Пока существует такое “окно”,сети остаются полностью уязвимыми для вредоносного ПО.

С 2005 г. основной целью вредоносного кода после распространения является взятиекомпьютера под свой контроль и превращение его в зомби.

С 2007 г. большинство атак возникает с участием вредоносного кода, распространяемогоботнетом Storm и его преемниками. Этот механизм был задуман для распространениявредоносного кода компьютерами-зомби для превращения других ПК в зомби (см. стр. 11).

10

Объем вредоносного кода, распространяемого по электронной почте, за прошедшие годыуменьшился, поскольку компании теперь чаще используют почтовые шлюзы. Хакерыпереключились на WWW для распространения самых разнообразных угроз, используя вбольшинстве случаев зараженные сайты.

Предупреждения об URL-адресах Хотя предупреждения о вирусах, распространяющихся через файлы вложений в почтовыхсообщениях, по-прежнему поступают чаще всего, с 2007 года значительно увеличилась доляпредупреждений о распространении вирусов через URL-адреса в сообщениях.

Этот новый метод распространения вредоносного ПО позволяет хакерам обходитьдинамический карантин, равно как и обычные вирусные фильтры. Чаще всего подобные атакипринимают форму спама, содержащего ссылки, по которым пользователи попадают назараженные сайты (см. также стр. 21). Эти сайты загружают вредоносное ПО на ПК, которыестановятся неотъемлемой частью ботнета.

11

СЕТЬ STORM И ЕЕ ПОТОМКИ: НОВЫЕ ПОКОЛЕНИЯ ЗОМБИ

В2007 году появилось новое поколение ботнетов – сеть Storm. По данныманалитиков Cisco, участниками ботнета Storm в период с января 2007 г. пофевраль 2008 г. в разное время стали около 40 миллионов компьютеров повсему миру. В высшей точке своего развития ботнет Storm создавал более 20 %

всего спам-трафика в Интернете, а число одновременно подключенных его участниковдостигало 1,4 млн. зараженных компьютеров. Он продолжил заражать или повторнозаражать приблизительно по 900 000 компьютеров в месяц.

В ботнете Stormиспользовались различныетехнологии, которые частоназывают технологиями Web 2.0. Этот ботнет скрытен,чрезвычайно подвижен идинамичен как по своемумасштабу, так и по своимдействиям. В немприменяются смешанныеметодики атаки,объединяющие электроннуюпочту и WWW. В частности,ботнет Storm был источникомспам-атак с использованиемфайлов Excel, PDF или MP3(см. стр. 20).

Ключевые характеристики сети Storm- Самовоспроизводство: распространение ботнета Storm происходит с участием пользователя.Для этого применяется простой принцип – социотехника, т. е. злоупотребление довериемпользователя к содержанию полученного сообщения. Ботнет Storm автоматически рассылаетогромные объемы спама для самовоспроизводства. Эти сообщения содержат URL-адреса, покоторым пользователи попадают на зараженные сайты, где на их компьютеры автоматическизагружается (см. описание скрытой загрузки на стр. 15) вредоносный программный код,эксплуатирующий уязвимость web-браузера. После заражения эти ПК становятсянеотъемлемой частью ботнета Storm.

- Координация: ботнет Storm использует некоторые из входящих в него компьютеров дляпроведения спам-кампаний. Рассылаемые сообщения адресуют пользователей к зараженнымweb-страницам, размещенным на других ПК в ботнете. Этот прием демонстрируетизощренность владельцев сети и скоординированный характер организуемых через нее атак.

- Одноранговая архитектура: в прошлом классические ботнеты управлялись хакером черезсервер команд и управления. Для ожидания команд от хакера ботнеты часто использовали

Вредоносное ПО во вложенияхсообщений электронной почты

12

протокол интернет-чата (IRC). Однако эта архитектура имела слабое звено: блокированиедоступа к серверу команд и управления “обезглавливало” ботнет, делая егонеработоспособным. Сеть Storm децентрализована: в ней компьютеры-зомбинепосредственно соединяются друг с другом в одноранговом режиме, сводя на нольконтрмеры разработчиков решений в области безопасности (например, занесение IP-адресовобнаруженных командных серверов в черный список).

- Универсальность: ботнет Storm может использоваться для множества типов атак:классический спам, спам для привлечения в сеть, фишинг, DDoS, и т. п. На его счету есть дажевторжения в сети мгновенного обмена текстовыми сообщениями и отправка спама в блоги.Таким образом, этот ботнет представляет угрозу для самых разнообразных сетевыхпротоколов. Хотя вредоносное ПО обычно проектируется для разового использования,“платформа вредоносного ПО”, которой является Storm, является представителем нового типаархитектуры, который, несомненно, будет скопирован и усовершенствован в последующиегоды.

- Механизм самообороны: для обеспечения собственной долговечности ботнет Stormсодержит ряд функций самообороны. В ответ на чрезмерно пристальное наблюдение за собойон может запускать (потенциально автоматизируемые) DDoS-атаки. Storm подобным образомустраивал массивные атаки на исследователей в сфере безопасности, разработчиковрешений и другие организации, борющиеся со спамом.

Storm вошел в историю как образец нового поколения ботнетов. Тем не менее постояннообнаруживаются новые сети, такие как Kraken & Asprox, которые пытаются оспоритьпервенство Storm в сфере взлома через Интернет. В частности, ботнет Kraken объединял всвоем составе ПК, принадлежащие, по консервативным оценкам, от 50 до 500 наиболеесостоятельных международных компаний, демонстрируя тем самым, что участь статьзараженным зомби постигает не только ПК обычных пользователей, но и компьютерынекоторых компаний-ветеранов фронта информационной безопасности.

В 2008 г. ботнет Asprox также стал одной из наиболее эффективных сетей зомби в историиИнтернета.

По данным Cisco, Asprox успевал внедриться за сутки на 31 000 сайтов, превращая тысячинастольных компьютеров в зараженных зомби.

Первая половина 2009 г. была отмечена очередным рекордным пиком хакерской активностиблагодаря сети Conficker.

Червь Conficker начал эксплуатировать уязвимые устройства (используя уязвимость Windows)в последнем квартале 2008 г. и продолжал размножаться в начале 2009 г., стремительнораспространяясь по миллионам систем и заражая ежедневно десятки тысяч новыхкомпьютеров.

Эпидемии Conficker были отмечены в приблизительно 150 странах: наибольшее количествозараженных систем пришлось на Бразилию, Китай и Россию. Быстро стало понятно, что цельчервя – построить массивный ботнет, возможно, крупнейший за все время. Этот ботнет вдальнейшем мог бы с прибылью использоваться для запуска новых атак с рассылкой спамаили распространением вредоносного ПО. Ботнет Conficker остается активным и сегодня, хотятемпы заражения замедлились.

13

МЕХАНИЗМЫ РАСПРОСТРАНЕНИЯ УГРОЗ

На протяжении многих лет вредоносный код попадал в корпоративные системы поэлектронной почте. С развитием угроз компании вооружились различными видами решенийдля безопасности: антивирусное ПО на ПК, файловых серверах, почтовых серверах ипочтовых шлюзах, динамические карантинные решения, способные блокироватьподозрительные файлы до опубликования антивирусных характеристик, а также специальныерешения для фильтрации почтового трафика с целью блокирования определенных типовфайлов.

Ответным шагом хакеров стало развитие механизмов заражения через WWW, что позволилоим обходить эти решения, ориентированные только на электронную почту.

ВАМ ПИСЬМО...

90 % глобального трафика электронной почты сегодня составляет спам.Электронная почта остается наиболее существенным механизмомзаражения корпоративной сети. Даже сейчас, по некоторым оценкам,приблизительно 80 % вредоносного кода проникает в компании именно

через электронную почту. Вирусы и другие формы вредоносного кода могут приходить вформе вложений, но заразиться можно и при простом чтении или предварительномпросмотре почтовых сообщений. В последнем случае угроза заражения компьютераисходит от автоматизированных сценариев.

WEB-УГРОЗЫ: РЕЗКИЙ РОСТПОПУЛЯРНОСТИ

На WWW сегодня приходится 20 % случаев проникновения вредоносного кода вкорпоративные вычислительные системы. Этот процент устойчиво растет.

По сравнению с электронной почтой заражение посредством WWW часто имеет намногоболее разрушительные последствия. Ведь когда пользователи получают спам или вирус поэлектронной почте, они хорошо знают об этом (даже если реагировать слишком поздно, как вслучае с вирусами). Но в случае WWW мы имеем дело со шпионским или вредоносным ПО,которое по определению относится к категории скрытых угроз. Пользователи не знают, что ихПК заражен, и это делает заражение еще более опасным.

Итак, каковы способы заражения через WWW?

14

Атаки ”в нагрузку”: вредоносное ПО скрывается в легитимном приложении Изначально вредоносное ПО может быть скрыто в априори безвредном приложении. Например, пользователь загружает из Интернета видеоролик, для просмотра котороготребуется загрузить кодек. Пользователь загружает и устанавливает кодек. Видеоролик теперьможно просмотреть, но пользователь вместе с кодеком неосознанно загрузил и установилшпионское ПО.

Социотехнические приемы, побуждающие пользователя загружать вредоносный код Другая распространенная форма заражения через WWW – ситуация, когда пользовательщелкает мышью рекламный баннер или всплывающее окно, которое загружает вредоносноеПО. В таких случаях хакеры побуждают пользователя щелкнуть всплывающее окно, в которомсодержится заманчивая реклама или порнографическое изображение. Иногда пользователюпредлагается перейти по ссылке, чтобы начать сканирование на предмет вредоносного ПО, вто время как щелчок мышью на самом деле приведет к загрузке шпионской программы!

С 2008 г. атаки, задействующие как электронную почту, так и WWW, прогрессируютрекордными темпами. Они часто используют актуальные новостные сюжеты, такие как победаОбамы в 2008 г. или эпидемия свиного гриппа в 2009 г.

По-настоящему иллюстративным примером недавней социотехнической атаки стала пандемиягриппа H1N1 (“свиного гриппа”), начавшаяся в апреле 2009 г. Она быстро привела к пандемиидругого рода – размножению спам-сообщений, использующих тему свиного гриппа в качествеприманки для пользователя. В конце апреля 2009 г. киберпреступники начали рассылать спам-сообщения с темами типа “Опасения по поводу эпидемии свиного гриппа в США” или “Свинойгрипп в Голливуде”. Внимание получателей, щелкавших по ссылкам, вознаграждалосьсообщениями, призывавшими их купить несуществующие профилактические препараты отсвиного гриппа со ссылками на различные web-сайты известных продавцов поддельнойфармпродукции.

На пике этой “пандемии” доля спама, посвященного свиному гриппу, составляла почти 4 %глобального спам-трафика.

Скрытая загрузка, т. е. автоматическая загрузка вредоносного ПО с использованиемуязвимости web-обозревателя Наконец, загрузка вредоносного ПО все чаще происходит незаметно для пользователя: емудаже не требуется щелкать мышью в каком-либо окне. Вредоносное ПО попростуэксплуатирует уязвимость web-браузера для установки на ПК. Эта форма автоматическойзагрузки, происходящая без вмешательства пользователя и не вызывающая у негоподозрений, теперь отвечает за большинство заражений через WWW. Скрытые загрузки частообъединяются с атаками на основе тега iFrame или внедрением вредоносного контента насайты Web 2.0. Эти виды атак описаны в следующем параграфе.

15

ВНЕДРЕНИЕ КОНТЕНТА НАЛЕГИТИМНЫЕ САЙТЫ

Опасность скрытых загрузок усугубляется тем, что чаще всего источникамизаражения являются сайты, не вызывающие подозрений. По сути, свыше 87 %всех web-угроз сегодня исходят от легитимных web-сайтов, эксплуатируемыхзлоумышленниками. Это означает, что большинство вредоносного ПО

загружается не с потенциально опасных сайтов (музыкальных, порнографических и т. п.),а с легитимных ресурсов, которые становятся потенциально опасными в результатекаскадных HTTP-ссылок. Фактически любой web-сайт, связанный с электроннойторговлей, может публиковать у себя рекламу, которая ссылается на сайты,распространяющие эту рекламу, которые в свою очередь адресуют пользователей насайты с размещенными изображениями и так далее. В конце цепочки может стоятьвредоносный код, который в итоге окажется на ПК пользователя! Кроме того, согласноаналитическим материалам White Hat Security (статистическому отчету о безопасностиweb-сайтов), 9 из 10 сайтов уязвимы для атаки.

Атаки посредством тега iFrameВесьма большое число атак, нацеленных на web-браузеры, теперь используют теги iFrameязыка HTML.

Язык HTML основан на использовании тегов для отображения и визуальной разметкиинформации, текста, образов, аудио- и видеоматериалов и т. п., присутствующих на web-странице. Тег iFrame – один из компонентов языка HTML, используемый при создании web-страниц в Интернете.

В числе более известных тегов – <b> для полужирного шрифта, <font> для определенияправил представления текстовых символов (размер, цвет и т. п.), <script> для встраиваниякода сценариев, например сценариев на языке JavaScript для активации или расширенияфункциональных возможностей страниц, <frame> для разбиения страницы на экранныеобласти и т. п. Тег iFrame обозначает “встроенную область” (inline frame) и записывается вязыке HTML как <iFrame>. Он служит для вставки другого HTML-документа в HTML-страницу.

В отличие от тега <frame>, который с точки зрения программирования делит HTML-страницуна области, содержащие различные страницы с одного и того же сервера, тег <iFrame>используется для вставки в web-страницу информации, хранящейся на других сайтах вИнтернете. Web-дизайнеры чаще всего используют тег <iFrame> для включения в страницурекламных объявлений, которые хранятся на специализированных серверах. Классическийсценарий iFrame-атаки состоит в следующем:

1. Хакер, используя уязвимость web-сервера или недоработки в коде страницы,несанкционированно изменяет одну из страниц web-сайта (предположим, страницуновостного сайта ). Подобный сайт, как правило, является легитимным новостнымпорталом и поэтому относится к категории доверенных сайтов. Хакер добавляет водной из страниц сайта тег iFrame, который переадресовывает пользователей безих ведома на сайт, содержащий вредоносный контент и находящийся в ведении

16

хакера; предположим, . Кроме того, хакер делает этот тег невидимым, используясоответствующую инструкцию HTML.

2. Пользователи, подключаясь к популярному сайту, загружают содержащийся насайте материал в свой web-браузер. Если они просматривают страницу,зараженную хакером, то на ПК попадает страница с невидимым тегом iFrame.

3. Пока пользователи читают страницу сайта newsonline.com, в тайне от нихустанавливается соединение с сайтом yourspyware.com. Затем на их ПКавтоматически загружается вредоносное ПО, например троянский конь, для чегоиспользуется уязвимость в web-браузере.

4. Теперь у хакера есть доступ к ПК пользователей через “потайные ходы”,открытые троянским конем. Зараженные ПК могут, например, войти в состав сетикомпьютеров-зомби. Либо хакер может загрузить на них программу типа“клавиатурный шпион”, которая похитит личные данные пользователей ПК.

Злоумышленники используют все более и более сложные приемы для обхода механизмовобнаружения, например, путем многократной переадресации между захваченным легитимнымсайтом и конечным сайтом, распространяющим вредоносное ПО.

Использование сайтов Web 2.0 Другой распространенный прием – использование сайтов Web 2.0, позволяющихпользователям размещать на страницах свой контент, например, посредством форумов иблогов. Контент, размещенный пользователем, может представлять собой как обычный текст,так и текст с тегами HTML, например ссылками на изображения или другой внешний контент.Хакер может подобным образом непосредственно на сайте социальной сети размещатьссылки на зараженные сайты, вызывающие выполнение вредоносного кода на ПК другихпользователей. Жертвами этого типа атаки становились сайты MySpace, Facebook и дажеYouTube. Все больше пользователей посещают такие сайты с рабочего компьютера, создаваяриск заражения всей сети.

СТРЕМИТЕЛЬНЫЙ РОСТМНОГООБРАЗИЯ ПРИЛОЖЕНИЙ,РАБОТАЮЩИХ ЧЕРЕЗ ИНТЕРНЕТ-ШЛЮЗ

На протяжении последних нескольких лет на базе Интернета было создано многоновых применений, некоторые из которых получили широкое признание иприменение на глобальном рынке. Порты 80 и 443 ранее использовались толькодля web-трафика, теперь их предназначение изменилось.

Мгновенный обмен сообщениямиПочти во всех компаниях мира можно найти пользователей, общающихся посредством системмгновенного обмена сообщениями, таких как MSN или Skype. Но эти же системы могут статьисточником вредоносных файлов, заражающих корпоративную сеть.

17

Web-почтаПодавляющее большинство корпоративных пользователей проверяют свои персональныепочтовые ящики в рабочее время с корпоративного ПК. Безусловно, сообщения,доставляемые через web-порталы электронной почты, могут содержать вредоносныевложения так же, как это имеет место при доставке по протоколу SMTP.

Обмен файлами и хранение файлов на web-ресурсахТакие web-сайты, как Megaupload и Rapidshare, помогают пользователям обмениватьсякрупными файлами. Хотя эти решения полезны для обхода ограничений, присущих вложениямв электронной почте, они могут использоваться и для передачи зараженных файлов. Впоследнее время популярность этих приложений резко возросла, породив новые проблемы вбезопасности корпоративных сетей.

Одноранговые сети для обмена файлами (P2P)Несмотря на все меры по его сдерживанию, обмен файлами через P2P-сети по-прежнемуявляется частым явлением в большинстве корпоративных сетей.

SSL-трафик и приложения с поддержкой шифрованияТрафик SSL, обеспечивающий шифрование потока данных между корпоративнымпользователем и внешним web-сайтом, защищает конфиденциальные данные, одновременносоздавая реальную уязвимость внутри сети. Поскольку SSL-трафик в принципе невозможноанализировать посредством фильтров интернет-шлюза, он может также использоваться длязагрузки вредоносного ПО. Под предлогом обеспечения конфиденциальности некоторыеприложения, такие как Skype, используют закрытые протоколы шифрования и, таким образом,абсолютно неподконтрольны!

СПАМ: УСИЛИТЕЛЬ АТАК

ИГРА В КОШКИ-МЫШКИ

Официального определения термина “спам” не существует. Само словопроисходит от названия британской марки второсортной консервированнойветчины (SPAM как сокращение от “SPiced hAM” – “ветчина с пряностями”). Водном из самых известных скетчей культовой британской комедийной труппы

“Монти Пайтон” актеры досаждали друг другу тем, что все время вставляли в разговорслово “спам”.

Сегодня слово “спам” обычно характеризует незапрошенные массовые рассылки сообщенийпо электронной почте множеству получателей. Спам в лучшем случае раздражает получателя,в худшем – становится угрозой для безопасности.

С 2002 года спам прочно вошел в нашу электронную почту. Этот поток нежелательныхсообщений движим жадностью. Спамеры вначале делали деньги на продаже различныхпродуктов с низкой маржей прибыли (биологически активных пищевых добавок, ипотечныхкредитов по низким ставкам, эргономичных мышей и т. п.), но нередко занимались инезаконными действиями (мошенничеством с кредитными картами, распространением

18

порнографии, незаконной продажей фармпрепаратов и т. п.). Эта прибыль была впоследствииреинвестирована в технологии и инфраструктуру распространения спама. Сегодня спам – это“усилитель атак”, с которым нужно считаться. Спамеры используют в своих интересах бреши вбезопасности корпоративных сетей, осуществляя сбор адресов электронной почты, запускаяфишинг-атаки, распространяя вирусы и т. п.

Первоначальным ответом компаний и пользователей на появление спама стали фильтры первогопоколения. Они были главным образом основаны на эвристическом анализе: на основаниисодержавшихся в сообщении слов посредством весовых коэффициентов вычисляласьвероятность принадлежности сообщения к спаму. Столкнувшись с широким распространениемподобных решений, спамеры стали разрабатывать новую, более совершенную тактику,позволяющую им обходить фильтры. Началась игра в кошки-мышки, в которой спамерыизобретают новые уловки для проникновения через сеть, в ответ на что разработчики средств дляборьбы со спамом вырабатывают новую меру противодействия, что в свою очередь ведет квыработке спамерами новой тактики и так далее.

На протяжении первых трех поколений каждый раз устранялись недостатки предыдущегопоколения, но общей чертой всех решений был один фундаментальный недостаток.Разработчики решений фактически находились во власти спамеров, работая со средой,подконтрольной спамерам, – содержанием сообщения. Это все равно, что строить дом нашатком фундаменте. Применяя все более и более сложные методы маскировки, спамерысумели обходить большинство фильтров на основе содержания. Например, спамеры сталидробить слова (слово “Viagra” блокировалось, “V.i.a.g.r.a.” – нет).

Следующим шагом стало появление в большинстве спам-сообщений фрагментов текста, неимеющих признаков спама – часто технических терминов или цитат из книг. В числе другихприемов – замена букв цифрами (например, буквы “O” на ноль – 0).

Объемы спама на протяжении последних нескольких лет росли даже быстрее, чем раньше:объем спам-сообщений увеличился в 6 раз с начала 2006 г. по конец 2008 г., превысив 190 миллиардов сообщений в день.

Недавний взрыв объясняется двумя основными причинами: экспоненциальным ростомботнетов, рассмотренных в начале этого документа, и появлением новых методик навооружении спамеров.

Спам в виде изображений, впервые проявившийся массово в 2006 г, внес основной вклад врезкое увеличение трафика. Такой спам распространяется в виде вложения (GIF или JPG),содержащего текст, в то время как в теле сообщения осмысленный текст отсутствует. Этополная противоположность классических спам-сообщений, которые содержат открытый тексти/или URL-адрес, требующий щелчка мышью, и поддаются анализу в фильтрах для защиты отспама. Нейтрализуя множество методик защиты от спама, спам в виде изображений снизилэффективность перехвата и увеличил объем нежелательных сообщений, получаемых поэлектронной почте. Изощренные преступники использовали спам в виде изображений длянепрекращающегося потока атак, приносящих выгоду немногим за счет всех остальных.Пример. В виде изображений рассылались предложения купить акции мелкой фирмы.Некоторые получатели наивно реагировали на приманку, скупая акции и искусственнораздувая их цену, а спамеры получали быструю прибыль от продажи большого лота акций,приобретенного ими заранее. Эти мошенники разработали сложные способы “украшения”

19

изображений и рассылки спама, распространяя миллиарды сообщений и размещая свойкапитал на открытых, строго регулируемых фондовых рынках. Следствия подобных атак –разгневанные акционеры и нарушения в работе систем электронной почты – были лишьмелкими неудобствами для их организаторов.

Разработчики решений для защиты от спама на основе анализа содержания смогли быстроотреагировать и внести подобные изображения в свои базы признаков, но спамерыпредприняли ответные меры, сделавшие спам-изображения еще более эффективныморудием. Главное новшество состояло в создании множества случайных вариантовизображения, все из которых не имели видимых отличий для получателя, но были полностьюразличными с точки зрения спам-фильтров. Например, спамеры отправляли файл форматаGIF с беспорядочно нанесенными мелкими точками. Они также экспериментировали соттенками цветов, толщиной рамок, фоном и даже со шрифтом символов, создавая вариантыодного и того же изображения с тонкими отличиями. Наконец, они научились разбиватьизображение на множество второстепенных изображений, из которых составлялось исходное.Способ разбиения был в каждом сообщении уникальным. Во всех этих случаях получатель нечувствовал различия, но контрольные суммы файлов были разными, и средства борьбы соспамом на основе характеристик оказывались не в состоянии распознать различные вариантыодного и того же спама.

Стремясь противодействовать новаторским приемам киберпреступников, издатели фильтровна основе содержания были вынуждены применять все более строгие критерии, рискуяповысить процент ложных срабатываний – непреднамеренного удаления легитимныхсообщений, содержащих слова, свойственные спаму.

В 2007 г. спамеры отказались от изображений в пользу спама “с вложениями”. Спам-атакистановились все более кратковременными, но все более частыми, и каждый раз применяласьразная методика.

Таким образом, последовательность мгновенных атак была отмечена появлением более 20различных типов вложений: PDF, Excel, MP3, и т. п. Спам содержался не в теле сообщения, аво вложенном файле формата Excel, PDF или MP3.

0

20

40

60

80

100

120

140

160

180

200

01/2007

02/2007

03/2007

04/2007

05/2007

06/2007

07/2007

08/2007

09/2007

10/2007

11/2007

12/2007

01/2008

02/2008

03/2008

04/2008

05/2008

06/2008

07/2008

08/2008

09/2008

10/2008

Среднесуточный

объем спама

Месяц

Сре

дне

суто

чное

чис

ло

спам

-соо

бщен

ий

20

Единственное решение для большинства обычных фильтров спама, не имевших механизмовуглубленного анализа вложений, состояло в том, чтобы, например, систематическиблокировать все файлы формата Excel или PDF. Это было бы непрактичным решением сточки зрения большого числа ложных положительных срабатываний, не говоря уже опотенциальных жалобах пользователей, работе которых существенно бы помешаланевозможность получать файлы определенного типа.

Спамеры никогда не отказывались от новаторства и применяли все более прогрессивныеметодики для обхода механизмов, изобретаемых издателями и интеграторами решений вобласти безопасности. Увеличение объемов спама, проходящего через сеть, снижаетпроизводительность работы пользователей, повышает нагрузку на специалистов,обслуживающих компьютерный парк, и ставит под угрозу безопасность корпоративной сети.

МЕНЬШЕ ПРОДАЖ– БОЛЬШЕ УГРОЗ

Наконец, существенным изменениемтенденции с 2007 г. стало то, что спамтеперь реже рассылается для продажипродуктов, чем для развития ботнетов.

Главной целью спама изначально была продажапродуктов (фармпрепаратов, ипотечных кредитовс низкой процентной ставкой, акций фирм и т. п.).Сегодня же большинство спам-сообщенийсодержат ссылки на web-сайты,распространяющие вредоносный код дляколичественного и территориальногорасширения ботнетов, рассылающих спам. Такимобразом, использование спама как инструментапродаж идет на убыль, уступая место спаму какусилителю атак.

На практике координируемые самораспространяющиеся ботнеты, такие как сеть Storm,устраивают атаки с рассылкой коротких сообщений, содержащих URL-адрес, которыйнаправляет пользователей на зараженный сайт в составе “галактики” Storm, с единственнойцелью заражения большего числа компьютеров и увеличения контингента машин-зомби,управляемых через сеть.

Таким образом, спам ставит новые рекорды. Спамеры отреагировали на усилениеоборонительных мер издателями решений в области безопасности, попросту увеличив числорассылаемых сообщений. В итоге число спам-сообщений, попадающих в папки входящихсообщений пользователей, остается неизменным. В этом свете эффективность системпредотвращения спама сегодня актуальна как никогда.

Приемы, используемые спамерами, становятся все более сложными и отрабатываются все

21

быстрее – бесполезно пытаться блокировать спам при помощи фильтров, анализирующихтолько содержание сообщения. Внимание необходимо также уделять репутации отправителя иURL-адреса, содержащегося в сообщении.

Компании, намеренные преградить спаму дорогу к пользователям, должны внедрять не толькорешения для защиты электронной почты, но также и системы web-безопасности.

АТАКИ СО СБОРОМ ДАННЫХ ИЗКАТАЛОГА

Спамеры также регулярно устраивают атаки со сбором данных из каталога, целькоторых – найти действующие адреса электронной почты в конкретном домене.Для этого спамеры перебирают большое количество сочетаний имени ифамилии, обращаясь к одному и тому же домену. Если сообщение об ошибке

для конкретного адреса возвращено не будет, спамер предположит, что этот адресдействителен и добавит его в список действующих адресов для конкретной компании.

Основная цель этих атак – сбор списков почтовых адресов для последующей рассылки спамаили перепродажи их списков спамерам. Однако этот тип атаки теперь также используется дляпопыток проникновения в корпоративную сеть. Фактически в условиях все большегораспространения Active Directory и концепции единой учетной записи, хакеры, собравшиесписок действующих корпоративных адресов электронной почты, могут попытаться проникнутьв сеть, подобрав пароль для адреса, одновременно часто являющегося идентификаторомучетной записи. Для защиты от подобных атак недостаточно инструментальных средствбезопасности – необходимо установить почтовый агент (MTA) с развитыми возможностямиуправления сообщениями об ошибках и, возможно, даже функциями защиты от атак со сборомданных из каталога.

22

АТАКИ С ИСПОЛЬЗОВАНИЕМПОДСТАВНОГО ОБРАТНОГО АДРЕСА

Спамеры также применяют ботнеты для организации другого типа опасных атак, вкоторых жертва атаки перегружается большим объемом отклоненныхсообщений. Когда спам-сообщение рассылается тысячам получателей (как приклассической рассылке, так и при сборе данных из каталога), многие из

адресатов оказываются несуществующими. Почтовый агент, в чьем домене эти адресаотсутствуют, обычно направляет отправителю сообщения, информирующие его об ошибкев адресе. Это означает, что в случае спам-атаки отправителю, т. е. спамеру, вероятно,потребуется принять тысячи сообщений об ошибках.

Во избежание этой проблемы спамеры, производящие массовую рассылку в один илинесколько доменов, в качестве обратного адреса могут указывать адрес компании, которуюони хотят атаковать почтовым трафиком. Тогда все сообщения об ошибках будутвозвращаться этой компании.

Этот вид атаки дает хакеру/спамеру двойное преимущество: разослать спам, не разбираясь свозвращенными сообщениями, и одновременно атаковать компанию, создав для нее рискотказа в обслуживании.

По оценкам, более 55 % из 500 крупнейших международных корпораций становилисьжертвами этого типа атаки, на который в настоящее время приходится 9 % почтового трафикаво всем мире.

ЧТО МОЖНО ПРЕДПРИНЯТЬ ДЛЯПРОТИВОДЕЙСТВИЯ ЭТИМ УГРОЗАМ?

Темпы распространения вредоносного ПО устойчиво растут во всем мире независимо отразмера компании и несмотря на то, что больше чем 65 % компаний, становившихся жертвамиатак, имели на своих рабочих станциях антивирусы или решения для защиты от шпионскогоПО. В исследовании, недавно проведенном в США, подразделение Cisco IronPort оценилоежегодный ущерб от вредоносного ПО в 150 долл. для каждого ПК. И эта сумма включает всебя только прямые затраты на проверку и очистку парка компьютеров от вредоносного кодабез учета убытков в тысячи или даже миллионы долларов, которые могут быть понесены врезультате утечки конфиденциальных данных или заражения вирусом.

Последовательный характер и многопротокольная природа этих новых атак делает обычныерешения для защиты неэффективными. Например, обычные спам-фильтры на основесодержания перегружены объемами обрабатываемого спама и не справляются смногообразием используемых приемов. Обычные прокси-серверы WWW (используемые длякэширования трафика и фильтрации по категориям URL-адресов для контроля доступасотрудников в Интернет) теперь также не отвечают требованиям защиты пользователей от

23

новых угроз, связанных с потоком HTTP-трафика, которые были описаны в первой части этогодокумента.

Как было показано ранее, эти угрозы используют две главные среды для распространенияпочти всех видов вредоносного ПО: электронную почту и WWW. Поэтому в вашей организациинеобходимо реализовать решение, отвечающее специфике каждой из двух сред. Ограниченияв применимости этих двух сред обмена информацией различны, поэтому в одном решениитрудно объединить эффективную защиту электронной почты и web-трафика. В следующемразделе мы обсудим отдельные решения для двух типов коммуникационных шлюзов.

ЗАЩИТА ПОЧТОВОГО ШЛЮЗА Почтовый агент – главное звено в защите электронной почты

Первым важным элементом в построении компаниями безопасной и эффективнойинфраструктуры электронной почты является не средство безопасности, а сампочтовый агент. Возможности агента должны отвечать сегодняшним требованиям:управление большим количеством одновременных подключений и

интеллектуальное управление соединениями и очередями для реализации актуальныхрешений, позволяющих защитить интернет-репутацию компании. Агент должен такжефильтровать и лимитировать трафик на основе доменов для адекватного реагирования наразличные типы атак.

Для повышения эффективности почтовый агент должен хорошо стыковаться с решениями длязащиты от спама, объединяющими комплексный контекстный анализ содержания и анализрепутации отправителя, а также с антивирусными решениями, средствами фильтрацииконтента и решениями для шифрования электронной почты.

Контроль спама на основе проверки репутации отправителя Мы уже показали, как быстро меняются методы работы спамеров. Обычные спам-фильтры,анализирующие содержание сообщения, не успевают за темпами этих новаций. Такиерешения должны предугадывать все новые возможные методики и собирать характеристикикаждого варианта, что на практике неосуществимо. Отныне простого анализа содержанияспама недостаточно. Для противодействия всем новым формам атак спамеров нужнообращать внимание на другой фактор – репутацию IP-адреса отправителя сообщения.Выстраивая защиту от спама на основе репутации отправителя сообщения, фактическивозможно сортировать все сообщения как спам и как легитимные независимо от ихсодержания и новых ухищрений, используемых спамерами для рассылки сообщений.Стыковка фильтра на основе репутации с почтовым агентом – первый шаг к эффективнойзащите почтового трафика.

Отражение вирусных атак с опережением выпуска характеристик для антивирусов Антивирусные решения вместе с почтовыми агентами должны позволять блокироватьвирусные атаки еще до того, как издателями антивирусных решений будут реализованы мерыпротиводействия. Сеть организации уязвима в период между появлением предупреждения овирусе и выпуском характеристики издателем применяемого антивируса. Таким образом,компаниям необходимо реализовать профилактические системы, такие как динамический

24

карантин, которые смогут работать в режиме реального времени и блокироватьподозрительные файлы до публикации соответствующих характеристик.

Защита данных в исходящем трафике Шпионское ПО похищает из корпоративных систем конфиденциальные данные и важнуюинформацию. Утечки данных за пределы компаний могут быть также результатомзлонамеренных действий внутренних пользователей или чаще всего результатом ошибкипользователя (случайной отправки информации нежелательному получателю илинесвоевременной отправки информации). Подобные утечки могут обернуться серьезнымипоследствиями для компании (потеря возможностей для бизнеса, финансовые убытки,нарушение законодательных или нормативных требований).

Таким образом, компаниям необходимо развертывать решения для защиты данных, имеющиев своем составе не только классические механизмы анализа контента (поиск по ключевымсловам в сообщениях или вложенных файлах, по типу и размеру файлов и т. п.), но иавтоматические фильтры с применением предварительно заданных политик (например,фильтров соответствия акту Сарбейнса-Оксли или фильтров, способных автоматическиобнаруживать в сообщении номера банковской карты и предлагать меры по устранениюдопущенного нарушения на основании отраслевого стандарта платежных карт PCI, и т. п.).Кроме того, применяемый механизм должен позволять принимать различные меры дляисправления проблемы, выявленной по результатам анализа: помещение подозрительногосообщения в карантин, предупреждение администратора, регистрация в отчете и шифрованиесообщения. Шифрование должно автоматически выполняться на шлюзе в координации спочтовым агентом для систематического применения политик. Кроме того, важно, чтобыиспользуемая технология шифрования не требовала установки приложения для расшифровкина ПК получателя, чтобы не ограничивать круг возможных получателей зашифрованныхсообщений.

Отслеживание важных сообщений Все более сложный характер угроз требует ужесточения мер защиты. Как следствие, обычныеспам-фильтры утрачивают свою точность, нередко блокируя легитимные сообщения. В светеогромного объема корпоративного почтового трафика важно реализовать инструменты,позволяющие отследить любое почтовое сообщение в случае необходимости.

ЗАЩИТА WEB-ТРАФИКА

Решения для защиты трафика на web-шлюзе, представленные в настоящее времяна рынке, весьма несовершенны по сравнению с решениями для защитыпочтовых шлюзов.

Обращая внимание на растущую агрессивность и сложность web-атак, аналитическаякомпания IDC делает вывод о том, что решения для защиты web-трафика будут играть всеболее важную роль в информационных системах и со временем станут столь же привычными,как межсетевые экраны и антивирусы.

25

Фильтрация по категориям URL-адресов для управления трафиком от известныхисточников Web-трафик возможно классифицировать по двум основным категориям.

В первую категорию попадает “известный” трафик, который относится к ограниченному числуаприори известных сайтов, четко классифицированных по рубрикам (бизнес, новости, спорт,образование, коммунальные услуги, магазины и т. п.) и имеющих большой объемподключений. Управление этим трафиком может осуществляться при помощи решения дляфильтрации по категориям URL-адресов, которое будет контролировать доступ сотрудников вИнтернет, разрешая, ограничивая или блокируя доступ к сайтам в зависимости от ихклассификации.

Эти решения для фильтрации на основе классификации URL-адресов также позволяютблокировать доступ к известным фишинговым сайтам или тем сайтам, которые признанызараженными вредоносным ПО и соответствующим образом классифицированы. Однакоподобные решения по своей сути реактивны, и за время, которое пройдет с моментапоявления вредоносного ПО на определенном сайте до момента его классификации иинформирования клиентов, компания может успеть заразиться вредоносным кодом.Управление web-безопасностью на основе списка классифицированных сайтов защищаеттолько от известных угроз или атак. Но, как было показано выше, новые приемы атак иногдасуществуют в сети всего несколько дней, по прошествии которых хакеры снова меняюттактику.

Поэтому область применения подобных решений необходимо ограничить реализациейкорпоративной политики пользования Интернетом, не используя для выстраивания стратегииweb-безопасности.

Фильтрация web-страниц на основе проверки репутации сайта Кроме “известного” трафика, описанного выше, существует потенциально неограниченноечисло “неизвестных” сайтов, классифицировать которые невозможно и которые могутсодержать вредоносное ПО. Эти сайты иногда существуют всего несколько часов, которыхдостаточно для проведения атаки. Их URL-адреса могут генерироваться случайным образом ив неограниченных количествах для обхода фильтров на основе классификации URL-адресов,которые не успевают классифицировать возникающие сайты.

“Неизвестный” трафик (а также переадресация трафика на зараженные сайты посредствомiFrame-атак) является сферой ответственности систем web-репутации. Эти решенияанализируют определенную совокупность параметров любого web-сервера в Интернете иприсваивают ему оценку репутации. На основе этой оценки система принимает меры:например, доступ к сайтам с низкой репутацией блокируется, “средние” сайты фильтруются наоснове характеристик, а благонадежные сайты пропускаются без ограничений.Дополнительная фильтрация “спорного” трафика на основе характеристик повышаетпроизводительность. Решения на основе репутации компенсируют слабые места решений наоснове классификации. На практике в случае появления в Интернете нового web-сервера,демонстрирующего вспышки трафика, ему будет присвоена нейтральная илислабоотрицательная репутация, с которой трафик этого сайта будет блокироваться безусловноили будет подлежать дополнительной фильтрации на основе характеристик.

26

Этот вид решений также эффективен против iFrame-атак. Например, если легитимный URL-адрес станет жертвой iFrame-атаки, переадресовывающей пользователей на мошенническийсайт, то фильтр web-репутации сможет блокировать такое перенаправление (репутациямошеннического сайта будет отрицательной). В случае легитимного URL-адреса со ссылкамив HTML-странице на рекламные объекты, через которые пользователь в конечном итогепопадает на зараженный сервер изображений, распространяющий вредоносный код,репутация этого сайта может оставаться нейтральной или слабоположительной, несмотря назаражение. Тогда фильтр на основе репутации необходимо дополнить системой защиты отвредоносного ПО на основе характеристик. Это позволит заблокировать вредоносный объект,разрешив пользователю доступ к “чистым” элементам легитимного сайта.

Защита от вредоносного ПО на основе характеристик – незаменимый инструментКак для известного, так и для неизвестного web-трафика компаниям также следуетреализовать решения для защиты от вредоносного ПО на основе характеристик. Они часторазвертываются на рабочих станциях, но редко – на шлюзах, где их применение сопряжено сухудшением производительности. HTTP – протокол реального времени, и пользователи хотятполучить доступ к web-страницам без задержек. Обычные системы на основе характеристик вслучае их установки на шлюзе привели бы к возникновению лишней задержки в несколькосекунд при просмотре каждой страницы. Пользователям могло бы показаться, что они выходятв сеть через старый модем, а не высокоскоростной корпоративный канал. Таким образом,фильтрация на основе характеристик в шлюзе должна быть чрезвычайно быстродействующейво избежание нежелательных задержек. Недавно опубликованное компанией IDCисследование по вопросам безопасности контента свидетельствует, что работа в реальномвремени, присущая протоколам и потокам данных HTTP и HTTPS, требует применения болеесложных средств сканирования в реальном времени (в потоковом режиме), гарантирующихстабильную безопасность web-трафика и защиту от атак.

Управление транзитными потоками трафика различных приложений в интернет-шлюзеЗащита трафика протоколов мгновенного обмена сообщениями, web-почты, передачи файловчерез WWW и протоколов одноранговых сетей должна быть обеспечена на том же уровне, чтои защита “традиционных” решений для обмена сообщениями по почтовому протоколу SMTP.Компаниям необходимо сканировать эти потоки на предмет возможных зараженных файлов,представляющих опасность для сети. Такие приложения, как Skype, способныприспосабливаться к применяемым средствам безопасности путем шифрования собственноготрафика, требуют внимательного наблюдения или даже блокирования. Таким образом, дажеесли трафик Skype не всегда поддается анализу (из-за использования им закрытого протокола,работающего через порт 443), возможно блокировать любой трафик, проходящий через порт443, но не являющийся трафиком SSL.

Управление потоками данных SSL Следует отметить, несмотря на обеспечиваемую потоками HTTPS защиту при передачеопределенных видов данных, они также используются хакерами для безнаказанноговнедрения вредоносного ПО в корпоративные сети, поскольку большую часть времени они неанализируются. Таким образом, эффективное решение для web-безопасности должнорасшифровывать эти потоки, но должно действовать разумно, например применяяклассификацию по рубрикам (для сканирования трафика, поступающего с сайтов web-почты,

27

на предмет файлов вложений) или механизм репутации web-сайтов, избегая при этомрасшифровки доверенных потоков данных (например, подключений пользователей к системаминтернет-банкинга) и сопутствующих проблем с конфиденциальностью.

Изоляция инфицированных ПК от взаимодействия с внешним миром Специалисты по компьютерной безопасности должны также принять во внимание риск,исходящий от тех рабочих станций, заражение которых произошло до внедрения описанныхвыше решений для фильтрации либо в результате контакта с угрозами при подключении кИнтернету за пределами корпоративной сети или из-за подключения к рабочей станциизараженного USB флэш-накопителя. По этой причине важно просканировать порты ипротоколы и заблокировать взаимодействие вредоносных программ с внешним миром: ихтрафик может быть сопряжен с отправкой сообщений от шпионского ПО, с загрузкой данных вкорпоративную сеть троянскими конями или даже с обращением зомбированных рабочихстанций к серверам команд и управления. Этот анализ может быть произведен при помощисредств мониторинга и анализа трафика, способных обнаруживать подозрительный трафик иблокировать его.

В настоящее время эффективное решение для защиты web-шлюзов должно учитыватьсложность угроз и многообразие web-трафика, объединяя различные подходы, описанныевыше.

РЕШЕНИЯ CISCO IRONPORT

Cisco IronPort, бизнес-подразделение Cisco Systems, является лидером в областиразработки защищенных шлюзов как для крупных компаний, так и дляпредприятий среднего и малого бизнеса (СМБ). Компания разработала диапазонустройств для следующих применений:

• Безопасность электронной почты: Cisco IronPort C-Series (дополнительную информацию см. вПриложении 1 на стр. 29).

• Web-безопасность: Cisco IronPort S-Series (дополнительную информацию см. в Приложении 2на стр. 30).

• Управление безопасностью: Cisco IronPort M-Series для централизации средствразвертывания, администрирования и отчетности различных устройств серий S или C.

Эти устройства используют в своей работе SensorBase – старейшую и крупнейшую в миресеть наблюдения за трафиком электронной почты и web-трафиком. SensorBase собираетданные как минимум из 130 000 различных сетей во всем мире, представляющих более 30 %глобального объема почтового трафика, и контролирует свыше 150 отдельных параметровкаждого отправителя или web-сайта.

Для каждого IP-адреса, с которого в Интернете отправляется электронная почта, SensorBaseпроверяет более 90 сетевых параметров: общий объем трафика с этого адреса, дата первогопоявления сообщений электронной почты с этого адреса, страна происхождения, наличие

28

прокси-сервера или открытого сервера ретрансляции, присутствие в черных или белыхсписках, конфигурация DNS, принятие обратной почты и т. п.

SensorBase также анализирует большое число параметров для любого IP-адреса web-сервера: предыстория сайта, страна, объем трафика, присутствие в черных или белых спискахи т. п.

Таким образом, пользуясь чрезвычайно большой выборкой данных, SensorBase позволяет свысочайшей точностью оценить поведение и репутацию каждого отправителя или сайта.SensorBase применяет алгоритмы, которые анализируют эти сетевые параметры и назначаютоценку репутации (электронной почты или WWW) в диапазоне от -10 до +10. Эта оценка вдальнейшем в режиме реального времени сообщается устройству Cisco IronPort приполучении сообщения от любого отправителя или обращении пользователя к сайту.

Проверкой и сопровождением данных CentreBase в Центре противодействия угрозам (ThreatOperations Center, TOC) компании Cisco занимается обширный штат технических специалистови статистиков, владеющих различными иностранными языками. Специалистами TOCразработан механизм качественного анализа данных, который обрабатывает и взвешиваетсведения от различных источников для их достоверной интерпретации. Коллективспециалистов гарантирует актуальность и точность данных SensorBase, что позволяетадминистраторам использовать эти сведения для автоматизации систем защиты web-трафикаи электронной почты.

Более подробные сведения о решениях Cisco IronPort можно найти на сайте www.ironport.com.

29

ПОЧТОВЫЙ АГЕНТ (MTA) AsyncOS – специализированнаяоперационная система IronPort,дополненная средствами безопасностии оптимизированная для электроннойпочты, которая может обслуживать до10 000 одновременных подключений,что в 100 раз превышает возможностианалогичного оборудования на базеUNIX. Это делает данное устройствоустойчивым к возможным всплескампочтового трафика.

Система очередей и раздельныхмеханизмов выпуска сообщений длякаждого домена снимает необходимостьв блокировании почтового агента вслучае недоступностидомена. Системаограничения потоковтрафика (регулированияскорости) позволяетреализоватьмногоступенчатоереагирование.

Инструментарий дляадминистрирования позволяетуправлять политиками, создаватьотчеты и отслеживать сообщенияэлектронной почты.

Функция проверки отклоненныхсообщений защищает пользователя ототказов в обслуживании,обусловленных массивными атаками спереадресацией сообщений обошибках, а также помечает исходящиесообщения, защищая шлюз отфиктивных переадресованныхсообщений об ошибках. Поступающиесообщения об ошибках, не имеющиеэтой отметки, удаляются.

Функция предотвращения атак сосбором данных из Каталогарегистрирует число неверныхполучателей, к которым обращаетсякаждый отправитель. При превышениипорога, установленногоадминистратором, почтовый трафик отэтого отправителя блокируется безгенерации сообщения об ошибке. Этатехнология защищает компанию от атаксо сбором данных из каталога.

ЗАЩИТА ОТ СПАМАФильтры IronPort Reputation Filters™

блокируют свыше 90 % спама на уровнеTCP-подключения, анализируярепутацию отправителя сообщения.

Технология IronPort Anti-Spam™

анализирует каждое сообщение по 4 критериям: содержание, структура,репутация отправителя сообщения ирепутация web-сайта, ссылка накоторый содержится в сообщении.

АНТИВИРУСНАЯ ЗАЩИТАФильтры IronPort Virus Outbreak Filters™обнаруживают и блокируют вирусы занесколько часов до того, как авторыобычных антивирусных средств успеютподготовить характеристики.

Sophos Anti-Virus и/или McAfee Anti-Virusреализуют вторую линию обороны отвирусов на основе характеристик сполноценной интеграцией, опираясь насамую эффективную из имеющихся нарынке технологию обнаружениявирусов.

ЗАЩИТА ДАННЫХ Анализ содержания выполняется сучетом IP-адресов источника иполучателя, домена или адреса,заголовка, ключевых слов в телесообщения, размеров и типоввложений, ключевых слов или объектовво вложениях, а также репутацииотправителя. В рамках защиты данныхкомпании также возможно применятьавтоматические фильтры контролясоответствия (акту Сарбенса-Оксли,стандарту индустрии платежных картPCI и т. п.), словари соответствия(распознавание ключевых слов,связанных с этими нормативно-правовыми актами), а также

интеллектуальные фильтры,которые позволяют, вчастности, автоматическираспознавать номерабанковских карт,содержащиеся всообщениях.

После анализа содержания могут бытьпредприняты различные действия:формирование отчета, оповещениеадминистратора, помещение в карантини даже шифрование почтовогосообщения.

ШИФРОВАНИЕСООБЩЕНИЙЭЛЕКТРОННОЙ ПОЧТЫ Технология IronPort PXE позволяетотправлять зашифрованные сообщениябез необходимости установкиклиентской программы на компьютереполучателя и независимо отоперационной системы илиприменяемого клиента электроннойпочты. Сообщения шифруются нашлюзе согласно политикам,установленным администратором (наосновании отправителя, получателя,ключевых слов в сообщении,обнаружения номера банковской картыи т. п.).

CISCO IRONPORT C-SERIES

30

ЗАЩИЩЕННЫЙ ПРОКСИСЕРВЕР WWW • AsyncOS for Web –специализированная операционнаясистема IronPort, оптимизированная дляпотоков web-трафика и способнаяобрабатывать до 100 000одновременных входящих и исходящихсоединений TCP.

• Кэш-память на основе репутации –единственное подобное решение нарынке – позволяет ускорить работу.

• Средства администрированияпозволяют управлять политиками исоздавать отчеты.

КОНТРОЛЬПОЛЬЗОВАНИЯ WEB-САЙТАМИФильтры URL-адресовIronPort служат для контролядоступа сотрудниковсогласно корпоративнойполитике пользованияИнтернетом.Механизм IronPort DVS(динамическая векторизацияи поточная обработка) контролируетвыполняемые пользователямиприложения на основанииподозрительного списка“пользовательских агентов”. Кроме того,DVS контролирует и блокирует трафикприложений, поступающий извне.DVS анализирует web-объекты:возможно заблокировать загрузку web-объектов определенного размера илитипа (MP3, видеофайлы и т. п.).

ЗАЩИТА ОТВРЕДОНОСНОГО ПОИнтегрированный механизм контролятрафика 4-го уровня тщательноконтролирует все порты дляобнаружения и блокированияшпионского ПО, отправляющегоданные, а также троянских коней,загружающих вредоносный код.Механизм контроля трафика следит за

тем, чтобы исходящий трафик не былнаправлен на IP-адреса серверовуправления компьютерами-зомби,внесенные в черный список, а такжеблокирует трафик одноранговыхфайлообменных сетей инесанкционированный трафик чата попротоколу IRC.Используя данные SensorBase,фильтры IronPort Web Reputation Filters™

анализируют свыше 60 параметров длядостоверной оценки благонадежностиURL-адреса. Используются развитыесредства моделирования безопасности,позволяющие отдельно взвеситькаждый параметр для полученияединой оценки в диапазоне от -10 до+10.

Правила, настраиваемыеадминистратором, применяютсядинамически, с учетом оценкирепутации.При получении нейтральной илисредней оценки (например, в диапазонеот -5 до +5) фильтры репутации могуттакже инициировать механизмвыборочной расшифровки SSL.Таким образом, SSL-потоки от сайтовс сомнительной репутацией будутрасшифровываться для досмотра, в тоже время конфиденциальностьлегитимных HTTP-потоков будетсоблюдена. Транзакции SSL с низкойрепутацией будут систематическиотбраковываться на уровнеподключения, вследствие чего также непотребуют расшифровки SSL.Система защиты от вредоносного ПОIronPort Anti-Malware System™

обеспечивает наилучшую возможнуюзащиту от самых разнообразных web-

угроз. Эта система включает в себянесколько баз данных характеристикразличных представленных на рынкеиздателей решений для защиты отвирусов и вредоносного ПО, в томчисле базы данных Webroot и McAfee ,лидеров рынка защиты от вирусов ивредоносного ПО согласно данным IDC.Механизм DVS сканирует web-объектыв потоковом режиме. Сканированиеначинается одновременно с загрузкойобъекта. При обнаружениивредоносного программного кодазагрузка немедленно останавливается,что значительно ускоряетпроизводительность устройства.

ЗАЩИТА ДАННЫХУстройства серии S-Series также имеютв своем составе простые встроенные

средства

предотвращения потери данных (DLP) сиспользованием технологий анализаметаданных, основанных на проверкетипа, размера и имени файла.Метаданные в совокупности сидентификатором пользователя,категорией и репутацией целевогосайта инициируют операции DLP:разрешение или блокированиеподключения к сайту либо егорегистрацию в журнале.Сертифицированные DLP-решениясторонних поставщиков позволяютреализовать развитые средстваанализа содержания.

CISCO IRONPORT S-SERIES

СОВРЕМЕННЫЕИНТЕРНЕТ-УГРОЗЫ

РУКОВОДСТВО ПОСАМООБОРОНЕ

КОМПАНИЯ CISCO ИМЕЕТ БОЛЕЕ 200 ОФИСОВ ПО ВСЕМУ МИРУ. АДРЕСА, НОМЕРА ТЕЛЕФОНОВ И ФАКСОВ ПРИВЕДЕНЫ НА WEB-САЙТЕКОМПАНИИ CISCO ПО АДРЕСУ WWW.CISCO.COM/GO/OFFICES.

©2000-2009, CISCO SYSTEMS, INC. ВСЕ ПРАВА ЗАЩИЩЕНЫ. IRONPORT, ЭМБЛЕМА IRONPORT И SENSORBASE – ЗАРЕГИСТРИРОВАННЫЕ ТОВАРНЫЕ ЗНАКИ CISCO

SYSTEMS, INC. ВСЕ ПРОЧИЕ МАРКИ ЯВЛЯЮТСЯ СОБСТВЕННОСТЬЮ CISCO SYSTEMS, INC. ЛИБО СООТВЕТСТВУЮЩИХ КОМПАНИЙ-ВЛАДЕЛЬЦЕВ. НЕСМОТРЯ НА ВСЕ

ПРЕДПРИНЯТЫЕ МЕРЫ ПО ОБЕСПЕЧЕНИЮ ДОСТОВЕРНОСТИ СОДЕРЖАНИЯ НАСТОЯЩЕГО ДОКУМЕНТА, КОМПАНИЯ CISCO НЕ БЕРЕТ НА СЕБЯ ОТВЕТСТВЕННОСТЬ ЗА

ЛЮБЫЕ ОШИБКИ. ХАРАКТЕРИСТИКИ И ДРУГИЕ СВЕДЕНИЯ, СОДЕРЖАЩИЕСЯ В НАСТОЯЩЕМ ДОКУМЕНТЕ, МОГУТ БЫТЬ ИЗМЕНЕНЫ БЕЗ ПРЕДВАРИТЕЛЬНОГО

УВЕДОМЛЕНИЯ.

2010 Г.