Журнал "Information Security/ Информационная безопасность" #2, 2020

Коронавирус – это как будто вредонос-шифроваль- щик, который эксплуатирует уязвимость нулевого дня в человеческом организме. И патча – вакцины от этой уязвимости – пока нет. Контроль температуры тела и экспресс-тесты на коронавирус, которые пла- нируют делать в аэропортах, можно рассматривать как систему глубокого анализа трафика (Deep Packet Inspection, DPI). Пандемия COVID-19 показывает удивитель- ное сходство с примера- ми массовых эпидемий компьютерных вирусов. Налицо близкие по смыс- лу способы распростра- нения и заражения, а также печальные резуль- таты. И хотя сравнивать человеческие жизни и работо- способность компьютерных систем напрямую – не совсем корректно, есть вероятность получения хорошего опыта в борьбе с цифровой заразой. Распространение Если сравнивать с компью- терными вредоносами, то пан- демия коронавируса больше всего напоминает эпидемии WannaCry и NotPetya: l распространяется случайным образом, "перепрыгивая" на ближайший доступный объект; l наиболее уязвимым оказы- вается старшее поколение систем. Для WannaCry это Win- dows XP и Windows Server 2000, а для COVID-19 – люди старше 65 лет; l для проникновения WannaCry эксплуатирует уязвимости в протоколе SMB, а коронавирус пользуется тем, что организм большинства людей не умеет сопротивляться ему, поскольку иммунитет незнаком с новой инфекцией. Вредоносное воздействие Зашифровав файлы на пора- женной системе, WannaCry бло- кирует возможность работы и требует выкуп. Коронавирус же не требует ничего. Однако его жертвы также утрачивают возможность нормально функ- ционировать. Проникая в клетки организма, вирус перепрограм- мирует их, заставляя воспроиз- водить себя. Таким образом, коронавирус – это как будто вредонос-шиф- ровальщик, который эксплуа- тирует уязвимость нулевого дня в человеческом организме. И патча – вакцины от этой уязвимости – пока нет. Равно как и не написан расшифров- щик для заблокированных виру- сом данных: эффективного лекарства, гарантирующего выздоровление заболевших, пока не создали. А теперь давайте посмотрим на инструменты, которые поз- воляют остановить распростра- нение компьютерных вредоно- сов, эксплуатирующих пробле- мы, и для которых нет патчей. Сравним их с мерами, которые принимаются в реальной жизни. По ИБ-опыту, наиболее эффек- тивными в борьбе с массовыми инфекциями оказываются: l межсетевые экраны; l карантин; l антивирус; l навыки безопасного поведе- ния. Разберем каждый из инструментов подробнее Межсетевые экраны Чтобы защитить сеть пред- приятия от проникновения вре- доносов, на границах с внешним миром устанавливают межсе- тевые экраны, которые контро- лируют трафик и пропускают лишь те пакеты, которые раз- решено. Во время эпидемии WannaCry компании, сети кото- рых были защищены межсете- выми экранами, избежали зара- жения. Самая близкая аналогия с межсетевыми экранами в реальном мире – это закрытие границ. Сокращение до мини- мума всех видов пассажирских перевозок, ограничение въез- да-выезда в населенных пунк- тах – чем не закрытие портов? Контроль температуры тела и экспресс-тесты на коронави- рус, которые планируют делать в аэропортах, можно рассмат- ривать как систему глубокого анализа трафика (Deep Packet Inspection, DPI). Процесс установки межсете- вых экранов для защиты от пандемии сейчас происходит по всему миру. Страны закрывают границы, чтобы свести к мини- муму проникновение инфекции, оставляя тонкий, полностью контролируемый коридор для граждан, которые не успели вернуться до установки новых правил. А чтобы в страну не проник коронавирус, их отправ- ляют на карантин. Карантин Если компьютерный вирус каким-то образом проникает внутрь сети, все попавшие под удар или подозрение системы отключают, чтобы вредонос не распространялся. Это позволяет спокойно разобраться с ситуа- цией, выяснить подробности инцидента и принять меры, чтобы защитить остальные ком- пьютеры и серверы. Карантин в реальном мире позволяет остановить распро- странение инфекции путем изо- ляции больных и тех, кто нахо- дился с ними в контакте. Учи- тывая длительный инкубацион- ный период COVID-19, несколь- ко недель – не самая большая плата за безопасность обще- ства. Антивирус От заражения известными вирусами спасает установлен- ный на устройство антивирус. Выявить и заблокировать неизвестные инфекции в неко- торых случаях помогает эври- стический анализатор. Однако 100% гарантии от заражения ни один разработчик антивиру- сов, конечно, не даст. 4 • В ФОКУСЕ Если бы COVID-19 был компьютерным вирусом этой статье мы рассмотрим сходства и различия компьютерных и реальных эпидемий, выясним, какие способы защиты в информационной безопасности схожи и эффективны в сравнении со средствами для борьбы с опасной инфекцией. В Михаил Кондрашин, технический директор компании Trend Micro в России и СНГ

RkJQdWJsaXNoZXIy Mzk4NzYw