Stacja robocza na celowniku

Bezpieczeństwo korporacji to obecnie już nie tylko ochrona styku z internetem czy poszczególnych segmentów sieci. To przede wszystkim roztoczenie parasola ochronnego nad stacjami roboczymi, które w niej pracują. Atakującemu znacznie prościej jest dotrzeć do końcówki, mogącej posłużyć jako swoiste proxy do pozostałych

Bezpieczeństwo korporacji to obecnie już nie tylko ochrona styku z internetem czy poszczególnych segmentów sieci. To przede wszystkim roztoczenie parasola ochronnego nad stacjami roboczymi, które w niej pracują. Atakującemu znacznie prościej jest dotrzeć do końcówki, mogącej posłużyć jako swoiste proxy do pozostałych

Stacja robocza na celowniku

Podstawowe elementy bezpiecznej stacji roboczej

Tam z pewnością napotka już spore przeszkody i narazi się na szybkie wykrycie. Natomiast kompromitacja stacji pozwala na pominięcie wdrożonych w pocie czoła firewalli czy IPS-ów. Zwłaszcza że gros firm odchodzi od komputerów stacjonarnych, "przesiadając się" na platformy mobilne.

Takie podejście atakujących jest widoczne w badaniach trendów, gdzie można zauważyć wyraźną tendencję do przenoszenia ataków bliżej użytkowników. Wychodząc naprzeciw tym zagrożeniom, firmy starają się stworzyć obraz tzw. bezpiecznej stacji roboczej. Zadanie, niestety, nie jest łatwe. Nigdy nie zdarza się tak, aby w całej organizacji wszystkie komputery użytkowników były dokładnie takie same z punktu widzenia konfiguracji. Są zwykłe desktopy, które nigdy nie opuszczą biura, są wspomniane komputery przenośne, są też PDA łączące się w celu synchronizacji informacji z komputerami stacjonarnymi. Dlatego też pod uwagę należy brać przynajmniej kilka, jeśli nie kilkanaście scenariuszy. Ale bezpieczna stacja to nie tylko oprogramowanie, lecz także odpowiednio sformułowana polityka bezpieczeństwa. Technologia będzie jednak odgrywała tutaj dużą rolę i dlatego na części technologicznej skupimy naszą uwagę.

Nie każdy musi być adminem

Mówi się, że obecnie bezpieczeństwo stacji to mechanizmy na niej zaimplementowane, a więc w odniesieniu do komputerów użytkowników maleje rola zabezpieczeń brzegu sieci. W dużej liczbie korporacji większość użytkowników nie ma uprawnień administratora na swoich komputerach, co pozwala na uniknięcie wielu problemów. Niemniej jednak spora część użytkowników dysponuje takimi uprawnieniami (a szczególnie kadra kierownicza) - zwłaszcza na laptopach. Większość stacji pracuje nadal pod kontrolą systemu Windows XP. Będąc zalogowanymi na laptopach z uprawnieniami administratora, dajemy wszystkim uruchamianym programom niemalże nieograniczone pole do popisu. Ponieważ jednym z najczęstszych źródeł infekcji kodem złośliwym są strony webowe, sensowne wydawałoby się ograniczenie praw przeglądarkom internetowym.

Gdy korzystamy z Visty, to UAC (User Account Control - lub Kontrola konta użytkownika) po części zrealizuje to zadanie - na wzór narzędzia "sudo" w Linuksie. Jeżeli jednak nie chcemy korzystać z UAC lub mamy Windowsa XP, musimy wspomóc się aplikacjami zewnętrznymi - dobrymi przykładami takich narzędzi są np. 1 Defender, DropMyRights (http://download.microsoft.com/download/f/2/e/f2e49491-efde-4bca-9057-adc89c476ed4/dropmyrights.msi ) lub jego modyfikacja StripMyRights (http://www.sysint.no/nedlasting/StripMyRights.htm ), czy chociażby PsExec (http://www.sysinternals.com ). Narzędzia te możemy oskryptować tak, że IE czy Firefox będą wywoływane właśnie za ich pośrednictwem, a zwykły użytkownik nie będzie miał świadomości ich działania (np. psexec -l -d "c:\program files\internet explorer\iexplore.exe"). Skoro jesteśmy przy przeglądarkach, to warto wspomnieć, że dużym problemem są tzw. BHO (Browser Helper Objects), czyli dodatki poszerzające możliwości przeglądarki. Wiele z obecnych zagrożeń dorzuca takie BHO do przeglądarek, co z kolei pozwala na monitorowanie, czy przechwytywanie jej pracy. Napisanie BHO, które będzie w stanie przechwycić przysyłane przez przeglądarkę informacje, to dla w miarę wprawnego programisty kilka godzin pracy. Jeżeli więc przeglądarka będzie pracować z uprawnieniami administratora, to BHO może zrobić w zasadzie wszystko. Z tego powodu uzupełnieniem ochrony stacji będą systemy monitorujące wykorzystanie internetu, takie jak Websense. Dzięki nim, gdy na komputerze zainstaluje się jakiś szkodnik, który nawiąże komunikację ze "złą" witryną, będziemy w stanie go zauważyć. Część rozwiązań ma możliwość ochrony przeglądarki internetowej, integrując takie mechanizmy, jak SiteAdvisor firmy McAfee, co pozwala wzmocnić ochronę przed skutkami phishingu.

Stary, dobry antywir

Stacja robocza na celowniku

Przechwytywanie i korelacja wywołań systemu operacyjnego - Cisco Security Agent

Jeżeli centralnie pozbawimy użytkownika praw administratora i wszelkich funkcji zarządzania przez np. GPO, to kolejnym elementem będzie przemyślenie tego, jakiego rodzaju dodatkową ochronę chcemy naszej stacji zapewnić. Pierwszym elementem, który po prostu ciśnie się na usta, jest oprogramowanie antywirusowe. Te oparte tylko i wyłącznie na sygnaturach to już przeżytek. Powinniśmy je albo omijać szerokim łukiem, albo czym prędzej uzupełnić dodatkowymi mechanizmami, np. kontroli behawioralnej. Możliwe są różnorodne podejścia do tego zagadnienia.

Większość dostawców integruje w swoich rozwiązaniach moduły kontroli behawioralnej lub heurystycznej, które w uproszczeniu badają sposoby interakcji procesów z systemem i na tej podstawie podejmują werdykt: np. niestandardowe wywołania systemowe. Często stosowane są również techniki tzw. sandboxów - wirtualnych miniśrodowisk, w których uruchamiany jest podejrzany kod i sprawdzany sposób jego działania lub ochrona przed przepełnieniem bufora. Można więc powiedzieć, że jest to taki mini-debugger. Z heurystyką ściśle wiąże się także problem rozpoznań fałszywie dodatnich (false positives). Producenci zwykle asekurancko ustawiają czułość swoich modułów na dość niskim poziomie. Stąd też w niektórych przypadkach ich przydatność bez dodatkowego tuningu bywa wątpliwa.

Moduł AV czy też AS (Antispyware) powinien oprócz standardowych wirusów wykrywać także szkodniki bardziej zaawansowane, takie jak rootkity, konie trojańskie czy keyloggery. Dla części rozwiązań dużym problemem jest wykrywanie zagrożeń, które instalują się poza przestrzenią użytkownika - na poziomie jądra. Nawet najlepsze skanery AV nie są w stanie wykryć wszystkich zagrożeń, gdy ograniczają się jedynie do skanowania w czasie rzeczywistym. Dlatego też dobrą praktyką jest ustawienie cyklicznego przeczesywania całego komputera, włącznie z plikami wielokrotnie skompresowanymi. Skanowanie raz w tygodniu to rozsądny cykl. Na szczęście istnieją takie serwisy, jak AV-Test.org czyhttp://www.anti-malware-test.com , które dość regularnie testują najpopularniejsze produkty, ułatwiając nam podjęcie decyzji.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200