Защита от вирусов — что NIST указывает нам?

    С тем, какие требования отечественные регуляторы предъявляют к системам защиты от вредоносных программ можно ознакомиться тут. Даже поверхностный анализ показывает, что система защиты, реализованная в соответствии с этим требованиями, и продуктами, имеющими функционал, требуемый регуляторами, будет защищать исключительно от замечаний в ходе проверок этих регуляторов. Я думаю, что такой результат предсказуем для всех, кто когда либо сталкивался с уровнем качества наших законов и приказов.

    А как обстоят дела с зарубежными стандартами?

    Наверно самым известным источником стандартов по безопасности служит NIST (National Institute of Standards and Technology) (те, кто не в ладах с английским могут оценить размах деятельности NIST тут). И откроем мы NIST SP 800-83 Антивирусная защита стационарных и мобильных рабочих мест сотрудников.

    Документ большой (порядка 100 страниц), рассмотреть его в одной публикации невозможно, поэтому ограничимся рассмотрением рекомендаций (не требований!) по мерам защиты.

    Первым разделом в разделе Malware Incident Prevention в череде глав, посвященных мерам защиты — и это уже непривычно — стоит раздел Policy.
    If an organization does not state malware prevention considerations clearly in its policies, it is unlikely to perform malware prevention activities consistently and effectively throughout the organization. Malware prevention related policy should be as general as possible to provide flexibility in policy implementation and reduce the need for frequent policy updates, but also specific enough to make the intent and scope of the policy clear.… Malware prevention related policy should include provisions related to remote workers both those using systems controlled by the organization and those using systems outside of the organizations control (e.g., contractor computers, employees. home computers, business partners. computers, mobile devices).

    Или в вольном пересказе:

    Если организация не создаст политики по предотвращению вирусных инцидентов, то она вряд ли сможет предотвращать воздействия вредоносных программ последовательно и эффективно всюду по организации. Данная политика должна быть максимально общей, чтобы обеспечить гибкость в стратегическом внедрении и уменьшить потребность в частых стратегических обновлениях, но также и достаточно определенной, чтобы определить цель политики явной. Политика должна включать условия, связанные с удаленными рабочими местами, а так же системами, находящимися за пределами системы безопасности компании (например, компьютерами подрядчика, домашними компьютерами сотрудников, деловых партнеров, мобильными устройствами).

    Святые слова. Даже комментировать не буду.

    Какие же действия рекомендуется включать в политики (как и прежде каждая цитата из документа будет сопровождаться ее кратким изложением на русском)?
    • Requiring the scanning of media from outside of the organization for malware before they can be used

    Проверка сменных носителей на отдельных компьютерах, до начала их использования.

    Данный пункт можно считать устаревшим, так как пока неизвестные антивирусному ПО трояны и вирусы естественно такую проверку пройдут.
    • Requiring that e-mail file attachments, including compressed files (e.g., .zip files), be saved to local drives or media and scanned before they are opened

    Не открывать вложения из писем, а сохранять их на диск и там проверять, а лишь потом открывать. Не совсем понятно зачем это нужно. Не говоря уж о том, что неизвестные вредоносные программы эту проверку пройдут. Возможно мера направлена против использования уязвимостей почтовых клиентов.
    • Forbidding the sending or receipt of certain types of files (e.g., .exe files) via e-mail and allowing certain additional file types to be blocked for a period of time in response to an impending malware threat

    Ограничение типов файлов, которые можно пересылать во вложениях — временно или постоянно. Достаточно часто встречающееся требование. Большинство шлюзовых решений и систем для фильтрации трафика его поддерживают.
    • Restricting or forbidding the use of unnecessary software, such as user applications that are often used to transfer malware (e.g., personal use of external instant messaging, desktop search engine, and peer-to-peer file sharing services), and services that are not needed or duplicate the organization-provided equivalents (e.g., e-mail) and might contain additional vulnerabilities that could be exploited by malware

    Запрет на использование ненеобходимого ПО, а так же ПО, дублирующего функции сервисов, предоставляемых компанией. Крайне важная вещь. Вторая часть также очень важна — все мы помним например, насколько часто сотрудники пользуются не корпоративной почтой, а личной.
    • Restricting the use of administrator-level privileges by users, which helps to limit the privileges available to malware introduced to systems by users

    Ограничение прав пользователя до минимально-необходимого. Крайне важная вещь для борьбы с вирусами (и шаловливыми ручками).
    • Requiring that systems be kept up-to-date with OS and application upgrades and patches

    Установка обновлений для всего используемого ПО, а не только для операционной системы Windows. Сколько взломов происходит через необновляемое ПО?
    • Restricting the use of removable media (e.g., floppy disks, compact discs [CD], Universal Serial Bus [USB] flash drives), particularly on systems that are at high risk of infection, such as publicly accessible kiosks

    Ограничение на использование сменных носителей всех типов. И можно было не уточнять, что это особенно важ но на местах с высоким риском заражения.
    • Permitting access to other networks (including the Internet) only through organization-approved and secured mechanisms

    Ограничение доступа к ресурсам иных сетей и обеспечение доступа к ним средствами компании. У кого сотрудники вовсю пользуются во время работы уличными сетями WiFi?
    • Specifying which types of mobile code may be used from various sources (e.g., internal Web servers, other organizations. Web servers)

    Этот пункт скорее относится к использованию ПО на различных сервисах.
    • Restricting the use of mobile devices on trusted networks.

    Ограничение по использованию мобильных устройств.

    Далее идет раздел Awareness. В разделе подчеркивается важность повышения уровня осведомленности сотрудников. Все пользователи должны знать (сделаны знающими, как сказал автопереводчик) как вирусы попадают в систему, как распространяется вредоносное ПО. Должны они также знать о том, что технические средства не могут предотвратить все инциденты. Вообще по документу постоянно утверждается очень важная роль в предотвращении инцидентов именно пользователей. Пользователи должны знать как вести себя не только на работе, но и в отелях, кафе…

    Отметим особо — пользователи должны знать, что они должны предпринять в случае обнаружения инцидента — скажем заражения, появления требования о выкупе данных и тд.

    Далее в SP800-83 перечисляются правила работы с почтовыми сообщениями, а точнее действия в ответ на письма фишеров. Эти правила стандартны, поэтому их опустим (уходя в сторону. Те, кто уверен, что легко распознают фишинг, могут пройти тест на знание приемов фишеров. К сожалению на английском).

    Также в этом разделе подчеркивается важность постоянного обновления знаний о современных угрозах, постоянной работы над повышением уровня осведомленности.

    Третий раздел, который мы рассмотрим — Vulnerability Mitigation. Раздел описывает меры по борьбе с уязвимостями. Что интересно, в начале раздела подчеркивается роль антивирусного ПО, которое может обнаружить и остановить вредоносное программное обеспечение, прежде чем то сможет приступить в выполнению своих вредоносных задач. Непосредственно данная глава разделяется на три части: Patch Management (управление установкой обновлений), Least Privilege (Минимизация прав пользователей) и Other Host Hardening Measures. По сути последняя часть рассматривают меры, дополнительные к мерам, рассмотренным в первых двух. В качестве таких мер рассматриваются:

    • Disabling or removing unneeded services (particularly network services), which could contain vulnerabilities
    • Eliminating unsecured file shares, which are a common infection mechanism for worms
    • Removing or changing default usernames and passwords for OSs and applications, which could be used by malware to gain unauthorized access to systems

    Удаление всего не нужного, включая сервисы, неиспользуемых пользователей и тд.
    • Requiring authentication before allowing access to a network service

    Использование аутентификации до получения доступа к сервисам.
    • Disabling automatic execution of binaries and scripts.

    Запрет автоматического исполнения.

    Так же рекомендуется использовать чеклисты и инструкции по настройке, а так же периодически проводить проверки уязвимости систем, в частности в связи с тем, что установка одного патча может привести к появлению иных уязвимостей, в том числе в местах, не затронутых наложением патча:
    installing a patch could accidentally remove another patch or change a security setting to an insecure default.

    Требования к антивирусной подсистеме размещены в разделе Threat Mitigation. Неожиданно, да.

    Рекомендуется, чтобы используемое антивирусное ПО имело следующие возможности:
    • Scanning critical system components such as startup files and boot records.

    Возможность проверки критических областей системы. По видимому здесь подразумеваются периодические антивирусные проверки.
    • Watching real-time activities on systems to check for suspicious activity; a common example is scanning all e-mail attachments for known viruses as e-mails are sent and received. Antivirus software should be configured to perform real-time scans of each file as it is downloaded, opened, or executed, which is known as on-access scanning.

    Антивирусная проверка почтового входящего и исходящего трафика, а также всех скачиваемых файлов. Использование файлового монитора, контроль системы на наличие подозрительных действий. Последнее скорее всего подразумевает поведенческий анализатор.
    • Monitoring the behavior of common applications, such as e-mail clients, Web browsers, file transfer programs, and instant messaging software. Antivirus software should monitor activity involving the applications most likely to be used to infect systems or spread malware to other systems.

    Использование поведенческого анализатора.
    • Scanning files for known viruses. Antivirus software on systems should be configured to scan all hard drives regularly to identify any file system infections and, optionally, to scan other storage media as well. Users should also be able to launch a scan manually as needed, which is known as on-demand scanning.

    Сканирование с целью поиска известных типов вредоносных файлов.
    • Identifying common types of malware — viruses, worms, Trojan horses, malicious mobile code, and blended threats — as well as attacker tools such as keystroke loggers and backdoors. Most antivirus products are also increasing their support for detecting spyware. As described in Section 3.4.2, spyware detection and removal utilities can be used to supplement antivirus products that do not yet have robust spyware handling capabilities.

    Антивирусы должны обеспечивать обнаружение любых типов вредоносных файлов. Использование дополнительных утилит допустимо, если антивирус не детектирует некоторые типы вредоносных файлов.
    • Disinfecting files, which refers to removing malware from within a file, and quarantining files, which means that files containing malware are stored in isolation for future disinfection or examination. Disinfecting a file is generally preferable to quarantining it because the malware is removed and the original file restored; however, many infected files cannot be disinfected. Accordingly, antivirus software should be configured to attempt to disinfect infected files and to either quarantine or delete files that cannot be disinfected.

    Данный пункт устарел. В связи с широким распространением шифровальщиков рекомендуется в качестве действия по умолчанию использовать помещение в карантин.

    NIST strongly recommends that organizations deploy antivirus software on all systems for which satisfactory antivirus software is available. Antivirus software should be installed as soon after OS installation as possible and then updated with the latest signatures and antivirus software patches (to eliminate any known vulnerabilities in the antivirus software itself). The antivirus software should then perform a complete scan of the system to identify any potential infections. To support the security of the system, the antivirus software should be configured and maintained properly so that it continues to be effective at detecting and stopping malware.

    Антивирус должен быть установлен везде, где только можно, и на всех системах, для которых есть антивирусные решения. Антивирус должен устанавливаться сразу после развертывания ОС. Антивирус должен иметь возможность проверки всей системы. Антивирус должен поддерживаться в актуальном состоянии.
    In managed environments, organizations should use centrally managed antivirus software that is controlled and monitored regularly by antivirus administrators, who are also typically responsible for acquiring, testing, approving, and delivering antivirus signature and software updates throughout the organization. In general, users should not be able to disable or delete antivirus software from their systems, nor should they be able to alter any critical settings.

    Должна использоваться система централизованного управления. Пользователи системы не должны иметь возможность удалить или отключить антивирус.
    In non-managed environments, particularly those in which users have full control over their own systems… The organization should send periodic reminders to local system administrators and users, asking them to update their signatures; perform awareness activities to increase knowledge of the importance of keeping the software up to date; distribute step-by-step instructions for updating systems; and notify local system administrators and users when major new threats emerge that necessitate updating of antivirus signatures. The organization should also encourage system administrators and users to configure their antivirus software so that it automatically checks frequently (at least daily) for antivirus signature and software updates, and downloads and installs updates promptly.

    В том случае, если не используется система централизованного управления, рекомендуется организовать систему уведомления о необходимых действиях, а также организовать систему повышения уровня знаний в области безопасности. Правда рекомендация обновляться раз в сутки также уже устарела.
    organizations could have multiple antivirus servers available for managing antivirus client software and distributing updates to clients. If practical, it might also be beneficial to use multiple unrelated OS platforms for the antivirus servers to reduce the chance that a single attack against the antivirus servers could affect all of them. Organizations should also consider using a different OS platform for the antivirus servers than for most servers and workstations in the organization.

    Рекомендуется использовать отказоустойчивую систему управления и распространения обновлений. Рекомендуется одновременно использовать различные ОС для снижения рисков.
    Another possible measure for improving malware prevention is to use multiple antivirus products for key systems, such as e-mail servers.

    Рекомендацию по использовании параллельно нескольких антивирусных решений можно считать устаревшей в силу изменившейся системы разработки вредоносного ПО.
    The supplemental guidance from SI-8 further recommends that «the organization [employ] spam and spyware protection mechanisms at critical information system entry points (e.g., firewalls, electronic mail servers, remote-access servers) and at workstations, servers, or mobile computing devices on the network...»

    Данную рекомендацию нужно признать актуальной частично. Если использование системы фильтрации спама в качестве меры защиты от вредоносного ПО (особенно неизвестного ) вполне оправдано, то использование неких дополнительных к антивирусу утилит — нет.

    На этом описание рекомендаций к антивирусу заканчивается. Далее идут главы, посвященные IPS, и файрволам. По большей части содержание соответствующих глав посвящено описанию назначения данных защитных средств

    Последний раздел — Application Settings

    В начале раздела еще раз рекомендуется отключать ненужные сервисы и функционал, а также настроить средства, используемые злоумышленниками для доставки вредоносного ПО, так, что бы доставляемый контент фильтровался автоматически:
    • Blocking Suspicious E-Mail Attachments. Many organizations prevent incidents by configuring their e-mail servers (and possibly e-mail clients as well) to identify suspicious e-mail file attachments and either remove the attachments from the e-mails or block the e-mails themselves. For example, many organizations block attachments with file extensions that are often associated with malware (e.g., .pif, .vbs) and suspicious file extension combinations (e.g., .txt.vbs, .htm.exe). Although this can stop unknown threats, it might also inadvertently block legitimate activity. Some organizations alter suspicious e-mail attachment file extensions so that a recipient would have to save the attachment and rename it before running it, which is a good compromise in some environments between functionality and security.

    Фильтровать типы файлов, наиболее часто используемые для доставки вредоносного ПО.
    • Filtering Spam… Using spam filtering software on e-mail servers or clients or on network-based appliances can significantly reduce the amount of spam that reaches users, leading to a corresponding decline in spam-triggered malware incidents.

    Использовать антиспам.
    • Filtering Web Site Content. Although Web content filtering software is typically thought of as preventing access to materials that are inappropriate for the workplace, it may also contain lists of phishing Web sites and other sites that are known as hostile (i.e., attempting to distribute malware to visitors). Web content filtering software can also block undesired file types, such as by file extension.

    Ограничивать доступ к подозрительным сайтам и фильтровать интернет-трафик.
    • Limiting Mobile Code Execution. Applications such as Web browsers and e-mail clients can be configured to permit only the required forms of mobile code (e.g., JavaScript, ActiveX, Java) and to run mobile code only from particular locations (i.e., internal Web sites only)...Web content filtering software can also be deployed to monitor Web-related network activity and block certain types of mobile code from untrusted locations.

    Ограничить или запретить использование мобильного кода, в том числе JavaScript.
    • Restricting Web Browser Cookies. Permitting first-party cookies and blocking third-party cookies can be very helpful in reducing the number of tracking cookies placed onto a system.

    Ограничение возможностей по сохранению cookies.
    • Blocking Web Browser Popup Windows.

    Запрет всплывающих окон.
    • Preventing Software Installation Within Web Browsers. Some Web browsers can be configured to prompt the user to approve the installation of software such as Web browser plug-ins. Some browsers can even prevent any Web site from installing software on the client. These settings are particularly helpful for preventing the installation of spyware within Web browsers.

    Ограничение возможности установки нового ПО с помощью веб-браузера.
    • Preventing Automatic Loading of E-Mail Images. Most e-mail clients can be configured not to automatically load graphics contained within e-mails.

    Ограничение на загрузку изображений в почтовых сообщениях.
    • Altering File Associations. Many operating systems provide a mechanism for specifying which types of files are associated with certain programs, such as opening .txt files with a text editor. When a user attempts to open a file, the operating system typically checks the default file association and runs the designated application. Although this is convenient for users, it is also helpful to malware; for example, a user could be tricked into attempting to open an e-mail file attachment, which would then be automatically run by the operating system. Many organizations alter the file associations on systems for file types that are most frequently used by malware (e.g., .pif, .vbs) so that the files are not run automatically when users attempt to open them.

    Отмена возможности автоматического запуска приложений для ряда расширений.
    • Restricting Macro Use. Most common applications with macro capabilities offer macro security features that permit macros only from trusted locations or prompt the user to approve or reject each attempt to run a macro.

    Разрешение использовать макросы только из доверенных источников.
    • Preventing Open Relaying of E-Mail.

    Запрет возможности пересылки почтовых сообщений без авторизации.
    Organizations should also be mindful of the variety of client applications in use. For example, client systems might have various versions of multiple Web browsers and multiple e-mail clients installed, each of which has different functionality and possible configuration settings. The organization might also offer a Web-based e-mail client that offers limited functionality and has few security configuration options compared with a standard e-mail client.

    Замена зоопарка используемого ПО одним, возможно облачным.

    Мы рассмотрели действующую версию стандарта. На данный момент идет разработка новой версии. Документ гораздо более короткий по отношению к действующему стандарту.

    Чем же интересен американский подход? Главное бросающееся отличие от наших стандартов — опора не на описание некого функционала, а на описание процессов. Не на требования, а на рекомендации. Одна, но очень важная цитата:

    Accordingly, organizations should carefully consider the implications of each setting and weigh the benefits of improved security against the loss of functionality.

    Святые слова. Всегда и во всем должен быть баланс, что не понимают отечественные регуляторы.

    Читая этот стандарт, понимаешь, что защита не начинается и не заканчивается установкой и настройкой ПО. Естественно недостатки в документе есть (а у кого их нет?). Не совсем четкие описания требований к конкретным средствам защиты, недостаточность требуемого функционала, для обеспечения безопасности и тд. Но дело в том, что если наши документы регуляторов по ИБ (за исключением СТО БР РФ) — это перечисления функций защитных средств, зачастую искуственно разнесенные по каким-то уровням, то здесь это незаметно, так как главное — это обеспечение правильной процедуры обработки неких ситуаций, обеспечение готовности к ним.

    В отличие от отечественных документов любое защитное ПО здесь лишь мера по снижению уровня угрозы — наряду с поддержанием политик безопасности, обучением пользователей, управлением настройками и актуальностью ПО. Позволю себе большую цитату.

    Но что же делать, если заражение все же произошло? Отчаиваться не стоит, ведь к этому можно быть готовым. NIST выделяет четыре основные фазы: подготовка к реагированию, обнаружение и анализ, сдерживание, уничтожение и восстановление, послеинцидентная деятельность.

    Рассмотренные ранее процедуры предотвращения заражения вирусами выполняются как раз на фазе подготовки к реагированию. Помимо этого здесь же разрабатывается план реагирования на инциденты, ведется подготовка группы реагирования и всех сотрудников, вовлеченных в процесс ликвидации последствий вторжения, распределяются роли и обязанности. Рекомендуется проводить регулярные упражнения и тренировки по борьбе с вирусами, а в состав групп реагирования включать в том числе программистов и специалистов по компьютерным преступлениям…

    Если, несмотря на все предпринятые меры, вирусное заражение все же произошло, то важное значение имеет своевременное обнаружение данного факта и его локализация. Необходимо в возможно кратчайшие сроки выяснить тип заражения, его серьезность, масштабы. Отметим, что NIST рассматривает на этой фазе не только обнаружение реально произошедшего заражения, но и выявление предпосылок к заражению.

    Под сдерживанием вирусов понимаются две вещи: предотвращение дальнейшего распространения заразы и дальнейшего краха информационной системы. Необходимо четко понимать разницу между этими понятиями и то, что остановка вирусной эпидемии вовсе не означает спасение зараженного компьютера. Понятно, что сдерживать вирусы при локальном заражении несложно: машина просто-напросто может быть выключена. Хотя если данный компьютер играет важную роль и его нельзя выключить без потерь, то необходимо заранее оценить соответствующие риски. Как раз при создании политики реагирования и принимаются решения по наименьшему из зол: может быть, лучше заразить другие компьютеры, чем выключить важный сервер. Если же заражение принимает глобальный характер, то для успешной борьбы с ним тем более необходимо заранее продумать (и изложить в соответствующей политике) порядок локализации проблемы.

    Сдерживание вирусного заражения достигается за счет обязательного участия в этом процессе всех пользователей, а также применения антивирусных средств, запрета определенных сервисов и разрыва сетевых соединений.

    Процесс уничтожения вирусов не должен ограничиваться удалением заразы при помощи соответствующих средств. Нельзя забывать и о закрытии уязвимости, которую использовал вирус, и об установке нужных патчей. Зачастую наблюдается следующая картина: не успели удалить вирус, как он опять появился. И патчи вроде бы все установлены. Это сигнал к тому, что в системе, возможно, установлен руткит, работающий с правами администратора. В этом случае NIST рекомендует переустанавливать систему.

    Наконец, процесс восстановления после инцидента включает в себя две составляющие: собственно восстановление программ и данных и ликвидацию временно принятых мер.

    Происшедший инцидент дает пищу для размышлений, результаты которых воплощаются в пересмотренных инструкции и политиках. Таким образом, круг замкнулся, и мы снова находимся на фазе подготовки к инциденту.

    В общем крайне рекомендую ознакомиться с этим документом, даже не в части функционала защитных средств, а именно в частях, касающихся выработки политик и действий в ходе инцидентов безопасности.
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More
    Ads

    Comments 4

      0
      Рекомендацию по использовании параллельно нескольких антивирусных решений можно считать устаревшей в силу изменившейся системы разработки вредоносного ПО.

      Иногда заряжаешь свежий вредонос на вирустотал, первая половина антивирей детектит, вторая нет. Другой заливаешь, ситуация меняется. Зависит от эвристики и скорости обновления баз.

      Так что смысл, хоть и небольшой, но есть.
        0
        Вы абсолютно правы.
        Попробую написать более подробно о необходимости использования более одного антивируса:
        1. Насколько известно сейчас ведущие антивирусные компании обмениваются найденными образцами вредоносных программ. соответственно:
        а. выпускает ли ваш второй антивирус компания-разработчик, участвующая в таком обмене?
        б. какова вероятность того, что политика компании антивируса, который вы используете, не ориентирована на быстроту и скорость работы (что во многом естественно зависит от размера баз) и в результате новый образец не будет обработан и добавлен в базы
        в. какова вероятность того, что политика компании антивируса, который вы используете, не ориентирована на победы в тестах и соответственно антивирус умеет не только обнаруживать тела вирусов на диске, но и удалять активные (запущенные) вредоносные программы
        и тд и тп — подбивая итоги — какова вероятность увеличения качества обнаружения и лечения вредоносного ПО при увеличении количества антивирусов? Нету такой статистики.

        Соответственно говоря о том, что использование двух антивирусов не оправдано, я имею в виду не то, что два антивируса не дадут прибавку качества обнаружения, а то, что выделенный бюджет на второй антивирус лучше потратить на средство, которое существенно увеличит качество защиты за счет уменьшения иных рисков — например на систему ограничения прав или что-то иное
          0
          Существенно бюджет на 2-й антивирус не увеличивается. Мы ведь не параллельно ставим решения. А закрываем часть информационной системы одним. другую часть другим.
          Например на внутренних ис одно решение, а на входящие, выходящие каналы ставим другое (шлюзы, почта и тд).
            0
            Почти так, но не совсем

            Ставится последовательно (как вы правильно и написали), то есть любой документ/файл и тд должны проходить два антивируса. Тоесть наиболее распространенный вариант — на рабочей станции один, на файловых, почтовых серверах и шлюзах — другой. Возможно, на мобильных и прочих устройствах — третий. Тут рисовать нужно потоки информации.

            Поскольку платим как правило за лицензии по количеству пользователей (за исключением файловых серверов), то две оплаты — за количество пользователей на рабочих станциях и за количество пользователей шлюзов и почты. Как правило эти числа совпадают, но учитывая, что за комплексную закупку с вендора можно выбить скидку (и случаев таких я знаю достаточно) — даже дороже чем купить один антивирус на все может получиться

      Only users with full accounts can post comments. Log in, please.