Средства защиты информации: Антивирус и Файервол

В предыдущих статьях мы говорили про информационные активы и организационные меры по их защите. Предлагаем переходить к техническим мерам, объединяемым одним общим понятием Средства Защиты Информации (СЗИ).

Различных классов СЗИ на рынке информационной безопасности очень много, и их список постоянно расширяется. При этом все СЗИ можно условно разделить на 2 типа: обеспечивающие защиту от внешнего нарушителя («периметровую» защиту) и обеспечивающих защиту от внутреннего нарушителя. Предлагаем ориентироваться на самые используемые СЗИ, расположив их в порядке зрелости информационной безопасности организации и начиная со средств защиты информации от внешнего нарушителя.

Антивирус

Антивирус – самое простое и понятное решение на рынке информационной безопасности, хотя бы потому, что большинство из нас сталкивается с ним даже на бытовом уровне.

Задача антивируса достаточно проста – обнаружить вредоносный файл, заблокировать его, попытаться «вылечить» или удалить.

Простота работы антивируса (работа в фоновом режиме, небольшая нагрузка на процессор), можно сказать, нивелируется ограниченным подходом к обнаружению вредоносного программного обеспечения (ВПО). Во-первых, антивирусы проверяют, так называемые, сигнатуры программного обеспечения, срабатывая на уже известную им, как принадлежащую вирусу, строку кода. Как вы понимаете, если сигнатуры данного вируса нет в базе антивируса по причине отсутствия регулярных обновлений баз или (что реже, но гораздо страшнее) использования злоумышленниками совершенно нового ВПО, антивирус не справится с задачей. Поэтому современные антивирусы используют помимо сигнатурного еще и эвристический подход, включающий в себя не только проверку известных антивирусу строк кода, но и оценку аномальности действий программного обеспечения (обращение к необычным разделам на жестком диске или к необычным сайтам, потенциально относящимся к командным центрам злоумышленников) или проверку кода на совпадения в синтаксисе известного ВПО (многие авторы вирусов обладают собственным «авторским» стилем написания кода, а многие используют уже готовые строки кода, не несущие вредоносной нагрузки, из вируса в вирус).

Файервол

По простоте и популярности использования конкуренцию антивирусам могут составить межсетевые экраны (файерволы, брандмауэры).

Принцип их работы достаточно прост – фильтровать трафик внутри организации и между организацией (или отдельными сегментами организации) и сетью интернет на предмет наличия в нем вредоносного или запрещенного контента и проводить блокировку подобного трафика.

Различных файерволов на рынке достаточно много, но нужно учитывать не только их функциональные отличия, но и на каком уровне модели OSI они используются. Напомним, что такое модель OSI.

Традиционная семиуровневая модель OSI представляет из себя разделение на 7 основных уровней сетевого взаимодействия внутри и вне любой организации:

1. Физический уровень отвечает за преобразование данных в цифровой поток.
2. Канальный уровень обеспечивает связь между локально подключенными устройствами.
3. Сетевой уровень подготавливает пакеты данных для их передачи на следующем (транспортном) уровне.
4. Транспортный уровень отвечает за настройку прямой связи между подключенными устройствами, обеспечивая непрерывность передачи данных и контролируя возможные ошибки в передаваемых пакетах данных.
5. Сеансовый уровень отвечает за связь между устройствами, определяя длительность сеансов и проверяя точность передаваемых данных.
6. Уровень Представления необходим для перевода, сжатия и шифрования данных, отображаемых на следующем (прикладном) уровне.
7. Прикладной уровень обеспечивает доступ пользователей к сетевым ресурсам и включает в себя ПО, позволяющее работать сетевым приложениям.

Уже из описания уровней модели OSI можно предположить, на каких уровнях традиционно используются файерволы и, как следствие, какие задачи они закрывают. Во-первых, файерволы могут быть внедрены на канальном уровне модели OSI и, как следствие, обеспечивать контроль и блокировку трафика или между отдельными компьютерами сети, или между отдельными компонентами локальной сети. Данный контроль необходим для блокирования атак, связанных с попытками перемещений внутри сети с эскалацией прав доступа.

Во-вторых, файерволы могут использоваться на сетевом уровне модели OSI, пропуская пакеты данных с разрешенными заголовками. Слабым местом данного подхода является передача фрагментированных пакетов данных, некоторые из которых могут использоваться злоумышленниками, имея разрешенный заголовок, но неся вредоносную нагрузку.

В-третьих, файейровлы могут работать на сеансовом уровне, вставая как прокси (посредник) между локальной сетью и сетью Интернет. Разрешенные/запрещенные пакеты данных в данном случае определяются путем внесения внешних хостов в белые/черные списки. Данный подход требует тщательного формирования и обновления данных списков, чтобы не остановить бизнес-процессы, но обеспечить надежную защиту инфраструктуры.

И наконец, существуют файерволы, работающие на самом высоком, прикладном уровне. Они также, как и файерволы сетевого уровня, выполняют роль прокси, но анализируют не просто соединения, но и разбирают пакеты данных на наличие внутри них вредоносного программного обеспечения. Так как каждая подобная проверка занимает достаточно много ресурсов и времени, данный тип файерволов сложно использовать в режиме реального времени.

Заключение

Как итог, в данной статье мы рассмотрели, по сути, базовые средства защиты информации. В последующих статьях мы поговорим про другие, не менее важные, но, возможно, чуть более сложные средства защиты информации.