Miesięcznik informatyków i menedżerów IT sektora publicznego

Piotr Walas

Być krok przed zagrożeniami

RAPORT O BEZPIECZEŃSTWIE | Wielka ilość złośliwego kodu w Internecie sprawia, że jednym z najważniejszych zadań administratora jest jak najwcześniejsze eliminowanie zagrożeń. Przedstawiamy dostępne obecnie na rynku technologie, które pomogą zawczasu zapobiec infekcjom, uwalniając od konieczności opierania ochrony wyłącznie na sygnaturach i angażowania laboratoriów AV.

Włamywacze, i tworzony przez nich kod, nierzadko wykorzystują legalne aplikacje do przeprowadzania złośliwych działań. Odbywa się to w wyniku modyfikacji "dobrych" aplikacji, np. przez "wstrzyknięcie" do nich złośliwego kodu.

Działanie takie pozwala - przykładowo - na "obejście" firewalla zainstalowanego w naszym komputerze. W procesie uznawanym za bezpieczny tworzony jest bowiem dodatkowy wątek, firewall zaś automatycznie zezwala na komunikację znanej przecież aplikacji (np. klienta pocztowego), nierzadko nie wnikając w to, czy została ona zmodyfikowana, czy nie. Nie trzeba chyba wyjaśniać, jakie to stwarza zagrożenie.

"Utwardzenie" systemu zestawem reguł

Najbardziej efektywnym sposobem zapobiegania tego rodzaju atakom jest używanie technik blokowania, które pozwalają ograniczyć działania podejmowane przez pracujące w systemie aplikacje. Technologia ta, zwana KRE (Kernel Rules Enforcement), składa się z zestawu reguł opisujących dopuszczone i zabronione akcje dla poszczególnych aplikacji lub całych grup programów (np. przeglądarek internetowych, managerów plików itp.). Reguły kontrolują dostęp aplikacji do plików, kont użytkowników, rejestru, obiektów COM, usług systemowych i zasobów sieciowych. Przykładem takiej reguły jest zabronienie serwerowi SQL uruchamiania wiersza poleceń (cmd.exe) oraz aplikacji wymagających do tego interwencji użytkownika. Zasady te pozwalają przeciwdziałać atakom eksploatującym luki systemowe zarówno znane, jak i jeszcze nieodkryte.

Aby zapewnić skuteczne egzekwowanie reguł bezpieczeństwa w domowych komputerach, producenci dostarczają je w postaci predefiniowanego zestawu wbudowanego w pakiet zabezpieczeń razem z antywirusem, firewallem itd. Rozwiązanie takie nie do końca sprawdziłoby się w dużej sieci, ze względu na wymogi elastyczności działania. Dlatego też oprócz domyślnego zestawu reguł udostępniane są specjalne interfejsy umożliwiające precyzyjne ich konfigurowanie. W razie potrzeby można dowolnie wyłączyć, modyfikować, tworzyć nowe reguły zgodnie z wymogami.

[...]

Autor jest dyrektorem technicznym Panda Security Polska, analitykiem rynku bezpieczeństwa informatycznego.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma. Zapraszamy do składania zamówień na prenumeratę i numery archiwalne.
 
 

Polecamy

Biblioteka Informacja Publiczna

Specjalistyczne publikacje książkowe dla pracowników administracji publicznej

więcej