> Zpět  


Obrana proti virové nákaze


Vzhledem ke zřejmému dopadu činnosti virů na zvyšování nákladů se každá organizace snaží vytvořit opatření a technickou infrastrukturu s cílem omezení pravděpodobnosti infekce. V dalším textu uvádím nástroje, které mohou posloužit pro boj s viry v rámci organizace.

Bezpečnostní politika

Je nutné jasně stanovit pravidla komunikace chráněných systémů s nedůvěryhodným okolím. Jde především o stanovení způsobů komunikace, které budou z chráněných systémů přípustné. Nejčastěji jde o elektronickou poštu, prohlížení webu a služby spojené s provozem informačního systému organizace (např. messaging aplikací, klienti přistupující k aplikačním, či databázovým serverům). Dále je žádoucí přesně definovat ostatní zdroje elektronických dat (např. zálohy, archivy, a jiná data na elektronických nosičích vstupující do chráněných systémů organizace).

Pokud máme takto přesně ohraničeny zdroje potenciální infekce, můžeme naopak všechny ostatní kanály datové komunikace zakázat a věnovat se ochraně legálních. Pravidla neřešíme pouze v rovině obecné, ale tuto následně přeneseme do exaktní technické podoby (povolené porty, technická infrastruktura ...).

Dalším krokem je stanovení procesů souvisejících s legální komunikací tak, aby bylo zamezeno virové nákaze vniknout do ní. Dále definujeme procesy kontrolující komunikaci, abychom byli schopni včas a průkazně odhalit nepovolenou komunikaci.

Viry pro své šíření často využívají známé zranitelnosti operačních systémů a aplikací. Je proto důležité definovat procesy zajišťující pravidelné sledování bezpečnostního zpravodajství a v případě nutnosti neodkladné aplikování vydaných bezpečnostních záplat. V této souvislosti zmíním červ Sasser, který se začal šířit 17 dní od oznámení zranitelnosti společností Microsoft. Neslavný rekord však drží červ Witty, jež se objevil den po oznámení zranitelnosti. V obou případech byly spolu s  oznámením zranitelnosti uvolněny bezpečnostní záplaty. Jejich včasná aplikace byla nejlepší obranou.

To nejdůležitější: Bezpečnostní politika má význam v praxi ne na papíře! Jejím cílem není plnit police IT managementu, ale stanovit exaktní pravidla a postupy jasnou a co možná nejsrozumitelnější formou tak, aby její zažití do praxe bylo rychlé a pro zainteresované logické.

Technická infrastruktura

Nejčastějším infekčním vektorem bývá elektronická pošta. Vzhledem k její praktické nenahraditelnosti by bylo její zakázání kontraproduktivní. Na rozdíl od emailu se většinou můžeme krátce vypořádat s  klienty P2P sítí IRC případně i ICQ a pod.

Antivirový software
Pravidla pro bezpečnou práci s elektronickou poštou obdrží uživatelé v příslušném dokumentu bezpečnostní politiky. Z pohledu pošty je první na ráně poštovní server, proto bychom měli prvotní antivirovou kontrolu realizovat na něm pomocí antivirové brány.

Do chráněných systémů však pravděpodobně nebudou data vstupovat jen prostřednictvím emailu. Pominu-li data tvořená a přenášená na elektronických nosičích v rámci organizace, hrozí nebezpečí například z prezentace získané na CD od obchodního partnera. V horším případě ještě může uživatel tuto prezentaci chtít sdílet s ostatními a využije k tomu informační systém organizace (např. intranet, document management system). Proti obdobným zdrojům nákazy a jejímu šíření nejlépe poslouží personální antivirové systémy instalované na pracovní stanice uživatelů. Pro lepší zabezpečení je vhodnější volit odlišné výrobce antivirové brány (bran) a personálních antivirů.

Firewall
Význam firewallu v oboru antivirové ochrany spočívá především v jeho schopnosti zakázat služby (porty), které mohou být potenciální vstupní branou pro virus a v možnosti přidat k němu antivirovou bránu zaměřenou na http a  ftp provoz. Příkladem viru, který využívá právě ne příliš standardních portů je červ Sasser. V následujícím odstavci popíši způsob jeho šíření.

Nejdříve si hledá zranitelný systém na portu TCP 445 náhodných IP adres pomocí upraveného paketu. Ten pak způsobí přetečení bufferu s následkem výkonu kódu, v tomto případě otevření shellu na portu 9996. Útočící červ se poté na tento shell připojí a přiměje napadený systém k downloadu kódu červa pomocí FTP na portu 5554.

Z uvedeného příkladu je zřejmé, že zavřením nepoužívaných portů můžeme riziko průniku obdobných červů jako je Sasser do chráněné sítě významně snížit.

Možností, jak snížit riziko napadení (nejen virem) služeb provozovaných na otevřených portech je použití aplikačního firewallu, či proxy, případně příslušných wrapperů. Proxy stejně jako firewall mohou být vybaveny antivirovou branou kontrolující http a ftp.

Síťové systémy detekce narušení (IDS), systémy prevence narušení (IPS)
Nejedná se o systémy primárně určené k antivirové ochraně, nicméně i zde mohou podat pomocnou ruku. Dovedou zaregistrovat výskyt viru v přenášených datech a na uvedenou skutečnost reagovat ať pouze ohlášením, či záznamem události v případě IDS, tak např. zrušením spojení v případě IPS. Některé IDS se více než na obsah přenášených dat soustředí na vyhledávání anomálií v síťovém provozu, které mohou být mimo jiné způsobené právě činností virů.

Shrnutí

V boji proti virové nákaze v organizaci pomohou:
  • restriktivní pravidla elektronické komunikace,
  • kontrola elektronické komunikace,
  • informovanost zainteresovaných pracovníků o aktuálních hrozbách,
  • neodkladné záplatování,
  • bezpečně navržená technická infrastruktura,
  • restriktivně nastavené firewally,
  • pomoci mohou i IDS/IPS.


-mho-
obrazek