Antywirus to za mało

O tym, że komputerów nie można zostawić bez żadnego zabezpieczenia, wszyscy użytkownicy wiedzą od dawna. Jednak ochrona w wielu firmach jest nieadekwatna do zagrożeń. Cyberprzestępcy atakują w coraz bardziej wyrafinowany sposób. Nie ma co prawda takiego pakietu bezpieczeństwa, który pozwoliłby całkowicie uniknąć zagrożeń, ale zastosowanie kompleksowej i zróżnicowanej ochrony zwiększa szanse na skuteczną obronę przez atakiem.

Mimo to większość użytkowników, zwłaszcza w mniejszych firmach, wciąż stosuje tylko oprogramowanie antywirusowe. Jedynie część przedsiębiorstw inwestuje dodatkowo w zabezpieczenia na poziomie sieci: urządzenia do ochrony poczty elektronicznej, do kontroli ruchu web, firewalle z rozpoznawaniem aplikacji. Natomiast w oprogramowanie do szyfrowania danych, w systemy przeciwdziałające wyciekowi danych i inne zaawansowane systemy bezpieczeństwa inwestują wyłącznie duże firmy oraz te, które chcą szczególnie ochronić swoje zasoby, lub są zmuszone do tego przez regulacje prawne.

Bezradny antywirus

Komputer chroniony jedynie  przez oprogramowanie antywirusowe staje się łatwym celem ataku. Niedawne testy potwierdziły, że oprogramowanie takie absolutnie nie powinno być jedynym zabezpieczeniem, gdyż może być zawodne.

W grudniu 2012 r. firma Imperva przetestowała pod kątem wykrywalności nowo utworzonych wirusów skuteczność ponad 40 różnych rozwiązań antywirusowych zarówno płatnych, jak i bezpłatnych. Nie znalazł się wśród nich żaden program, który zapewniłby pełną ochronę. Z raportu, który powstał po badaniu, wynika, że  niecałe 5 proc. rozwiązań antywirusowych jest w stanie od razu wykryć wcześniej nieskatalogowane wirusy. Wielu antywirusom zaktualizowanie bazy sygnatur zajęło miesiąc lub więcej. Aplikacje antywirusowe nie nadążają za mnożącymi się w Internecie zagrożeniami.

Do największych, bardzo niebezpiecznych dla przedsiębiorstw, należą obecnie ataki APT (Advanced Persistent Threats) i TPT (Targeted Persistent Threats). Wykorzystują one zaawansowane technologie dla przeniknięcia do wnętrza firmy. Działają etapami pozostając w ukryciu. Są nastawione na pozyskanie danych, a nie na ich zniszczenie lub blokowanie dostępu do usług.

Tego rodzaju zagrożenia praktycznie nie mogą być wykrywane przez systemy antywirusowe, które bazują na sygnaturach i heurystyce i potrafią tylko rozpoznawać wcześniej opisane ataki. Żeby zabezpieczyć komputery przed atakami APT i TPT, trzeba zastosować warstwową ochronę opartą na różnych technologiach wykrywania ataku, od firewalla i IPS (Intrusion Prevention System – systemy wykrywania i zapobiegania włamaniom), przez bramy e-mail i sieć.

Mimo niedoskonałości rozwiązań antywirusowych, eksperci z firmy Imperva nie zalecają rezygnacji z nich. Trzeba jednak pamiętać, że oprogramowanie takie należy traktować wyłącznie jako podstawową ochronę.

System bezpieczeństwa może, a w wielu przypadkach musi być rozbudowywany.

Podstawową ochronę, którą gwarantują antywirusy, należy wzmocnić poprzez instalację pakietu typu Internet Security. Potrafi on m.in. wykryć próbę oszustwa typu phishing i ostrzec użytkownika, że dana strona internetowa (np. popularnego serwisu społecznościowego) została zamieniona w celu zdobycia danych służących do logowania.

Rozbudowa ochrony firmowej sieci nie musi być bardzo droga. Można skorzystać z rozwiązań obniżających koszty wdrożenia i utrzymania systemu bezpieczeństwa. Należą do nich np.: outsourcing usług IT, przeniesienie całych systemów IT do firm zapewniających ich ochronę i utrzymanie, usługi bezpieczeństwa świadczone w chmurze, a więc bez potrzeby instalacji rozwiązania na własnym serwerze.

– Ochrona w formie opłaty za usługę, czyli tzw. Security as a Service, nie wymaga kosztownych inwestycji w sprzęt, zakupu licencji i zatrudniania dodatkowych pracowników. Przedsiębiorca płaci wyłącznie za rzeczywisty czas ochrony. Trzeba tylko zainstalować oprogramowanie na firmowych komputerach. Rozliczenia odbywają się w trybie miesięcznym, a więc dotyczą bieżących kosztów operacyjnych firmy, a nie  kosztów stałych, jak to bywa z ochroną na podstawie wykupu licencji na określony czas – mówi Michał Iwan z F-Secure.

Urządzenia mobilne

Nie wolno zapominać o sprzęcie mobilnym, aby nie powstała poważna luka w systemach bezpieczeństwa. Ilość złośliwego oprogramowania zagrażającego urządzeniom mobilnym rośnie bardzo szybko. Pod koniec zeszłego roku eksperci z firmy Trend Micro zidentyfikowali ok. 350 tys. indywidualnych zagrożeń wymierzonych w najpopularniejszy system operacyjny Android, obecnie jest już ok. 500 tys. unikatowych próbek.

Powszechność urządzeń mobilnych powoduje, że podział: użytkownik indywidualny – firma zaciera się. Pracownicy korzystają z firmowych tabletów czy smartfonów poza godzinami pracy tak jak użytkownicy indywidualni. Niestety, firmy często nie mają  pojęcia, jakie dane pracownicy przechowują w urządzeniach, jak je użytkują, czy w ogóle używają jakichkolwiek zabezpieczeń.

Potwierdza to Norton Cybercrime Report 2012. Badaniem objęto 24 kraje świata, w tym Polskę. Z raportu wynika, że dwie trzecie użytkowników urządzeń mobilnych łączy się za ich pośrednictwem z Internetem, ale dwie trzecie z tej grupy nie stosuje żadnych zabezpieczeń. Spośród tych, którzy stosują, wiele osób  bardzo rzadko aktualizuje system i aplikacje.

Wiele funkcji

Często mniejsze sieci zabezpieczane są wyłącznie za pomocą oprogramowania, bez udziału urządzeń sprzętowych. A sprzętowe firewalle i zapory sieciowe typu UTM (unified threat management) zapewniają doskonałą ochronę.

Firewall to kolejny przykład podstawowego systemu bezpieczeństwa, podobnie jak antywirus. Warto w niego zainwestować tym bardziej, że współczesne firewalle to nie tylko blokowanie połączeń, ale zwykle również rozpoznawanie aplikacji, uwierzytelnienie użytkowników, kontrola antywirusowa, obsługa bezpiecznych połączeń VPN i SSL VPN (połączenia szyfrowane), a często również wbudowany IPS (Intrusion Prevention System) chroniący przed włamaniem.

Jednak podobnie jak w przypadku oprogramowania, by uzyskać dobry efekt ochronny, należy wykorzystywać wszystkie dostępne funkcje urządzeń. Tymczasem z praktyki wynika, że wiele małych firm nie wykorzystuje nawet funkcji podstawowych wbudowanych w tzw. urządzenia dostępowe do Internetu (modem, router/modem). A warto wiedzieć, że już zwykłe ograniczenie portów na tym urządzeniu, na jakich możliwa jest komunikacja do i z firmy, podnosi poziom bezpieczeństwa.

– Firewall oraz UTM to urządzenia integrujące w jednej obudowie wszystkie elementy niezbędne do kompletnego zabezpieczenia i monitorowania sieci lokalnej. Warto zainwestować w tego typu rozwiązania na samym początku działalności firmy – mówi Michał Iwan.

Z kolei UTM to doskonałe rozwiązanie zwłaszcza tam, gdzie brakuje odpowiedniego zaplecza finansowego oraz technicznego do zarządzania kompleksowym systemem zabezpieczeń sieciowych. Ilość funkcji zintegrowanych w kolejnych generacjach sprzętu UTM jest coraz większa. Maszyny te ochraniają firmową sieć przed złośliwym oprogramowaniem, umożliwiają także m.in. filtrowanie adresów URL i ich zawartości (Content/URL filtering), blokowanie niepożądanego ruchu (Application Control). Kontrola może obejmować także komunikację z urządzeniami przenośnymi Jednak, jak twierdzą producenci zabezpieczeń, urządzenie musi być właściwie dobrane.

– Zakup urządzenia UTM, które pełni tylko funkcję firewalla (stateful firewall) mija się z celem. Z kolei włączenie większości funkcji ochronnych dostępnych na UTM może tak ograniczać jego wydajność, że stanie się to wąskim gardłem w naszej komunikacji z Internetem – twierdzi Tomasz Pietrzyk z FireEye.

Michał Iwan | F-Secure Polska

Pełne bezpieczeństwo składa się z trzech ważnych komponentów. Pierwszy to tworzenie kopii zapasowych. Pełen backup firmowych danych należy przechowywać na innym nośniku niż ten, który jest obecnie wykorzystywany. Drugim elementem jest aktualizacja, gdyż dziś największym źródłem zagrożeń jest właśnie nieaktualne oprogramowanie stanowiące quasi-zaproszenie do ataku. Ostatni element to oprogramowanie antywirusowe, które będzie spełniać swoją funkcję tylko wtedy, kiedy wymienione wcześniej dwa etapy pełnego zabezpieczenia danych zostaną poprawnie wdrożone. Warto też rozróżniać antywirusa od Internet Security, który jest znacznie bardziej kompleksowym pakietem.