Ewolucja wirusów i sposobów ataku na sieci korporacyjne wymusza ewolucję systemów ochrony i integrację oprogramowania antywirusowego, firewalli i systemów detekcji włamań.

Integracja funkcji zapór firewall, programów do detekcji włamań, modułów antywirusowych w jednym systemie stanowi obecnie główny kierunek rozwoju oprogramowania i sprzętu zapewniającego bezpieczeństwo. Trend ten jest zauważalny zarówno w przypadku produktów przeznaczonych dla użytkowników indywidualnych, jak i firm. Jest odzwierciedleniem przekonania, że bierne systemy detekcji wirusów, robaków i koni trojańskich przestają wystarczać, gdyż czas ich reakcji jest zbyt długi, by zapobiec rozpowszechnianiu się niebezpiecznych programów. Udowodniły to masowe infekcje spowodowane m.in. przez Code Red, Melissę lub Nimdę.

W jednej garści

Integracja aplikacji zabezpieczających przynosi wiele korzyści, m.in. ułatwia zarządzanie i monitorowanie systemów zabezpieczeń, a także umożliwia automatyczną reakcję na występujące w sieci zdarzenia. Jeśli w firmie jest wykorzystywana zapora firewall, oprogramowanie antywirusowe, systemy do filtrowania informacji, detekcji włamań i kontroli luk, a każdy z nich niezależnie tworzy własne raporty, to efektywne zarządzanie staje się niemożliwe.

Najlepsze rozwiązanie to zintegrowany system, w którym informacje o pojawieniu się wirusa generowane przez program antywirusowy lub system IDS są weryfikowane przez aplikację do kontroli luk w zabezpieczeniach, a następnie, w zależności od zagrożenia, automatycznie są uruchamiane (lub nie) odpowiednie procedury powiadamiania administratora, skanowania plików i usuwania szkodliwych kodów. Modyfikowana jest także konfiguracja firewalla. Największym problemem w realizacji tego scenariusza jest konieczność opracowania mechanizmów eliminujących fałszywe i mało istotne alarmy, które mogłyby blokować działanie sieci. Na przykład system detekcji włamań działający na serwerze Apache nie powinien reagować na próby skanowania luk w IIS, a IDS kontrolujący IIS musi być aktualizowany razem z oprogramowaniem serwera tak, aby nie reagował na próby włamania przy wykorzystaniu luk, które zostały już zlikwidowane.

Implementacja systemu IDS wymaga najczęściej długotrwałej pracy administratorów nad jego dopasowaniem do konkretnej instalacji sieciowej. Jak twierdzi Michael Rasmussen, dyrektor ds. badań w firmie analitycznej Giga Information Group, właściwa konfiguracja IDS może potrwać nawet pół roku. Dopiero po tym czasie udaje się zmniejszyć liczbę "krytycznych" alarmów z kilkudziesięciu do kilku dziennie. W opinii niektórych specjalistów żaden obecnie oferowany system detekcji włamań nie ma charakteru typu plug and play i trudno oczekiwać, by automatyczny, nie wymagający żmudnej konfiguracji system pojawił się na rynku w najbliższych latach.

Jednocześnie żaden, nawet najlepiej wyposażony, skonfigurowany i systematycznie aktualizowany system zabezpieczeń nie zapewnia całkowitej ochrony. Niemniej poprzez kompleksową implementację systemów antywirusowych można wysoko podnieść poprzeczkę twórcom szkodliwego kodu. Jak wynika z testów sześciu popularnych systemów antywirusowych i filtrów treści przeprowadzonych przez firmę Miercom, są one w stanie zablokować aż do 99,9% szkodliwych programów.

Nowe generacje wirusów i robaków

Nimda, który pojawił się 18 września ub.r., był pierwszym powodującym masową infekcję robakiem, którego celem ataków były zarówno serwery, jak i PC. Program otwierał hakerom "drzwi" do systemu i rozprzestrzeniał się szybciej niż jakikolwiek wirus lub robak znany wcześniej. Według statystyk prowadzonych przez Symantec firmy na całym świecie notowały dziennie ponad 35 tys. ataków na swoje systemy korporacyjne.

Na grupach dyskusyjnych, gdzie hakerzy wymieniają pomysły, pojawiają się koncepcje, których realizacja mogłaby spowodować powstanie kolejnych generacji wirusów, zapewne groźniejszych niż Nimda czy inne znane obecnie robaki i konie trojańskie. Tak przynajmniej twierdzą spec-jaliści od systemów antywiruso-wych. Wysiłki twórców szkodliwego kodu koncentrują się obecnie na rozwoju robaków (worm), a także programów integrujących funkcje wirusów, robaków i koni trojań- skich. Modyfikacje kodu robaków mają na celu lepsze ukrycie tych programów w systemie i zwiększenie szybkości propagacji (np. dzięki wprowadzeniu mechanizmów zapobiegających wielokrotnemu skano-waniu tych samych komputerów). Zdaniem niektórych specjalistów możliwości tworzenia kodu, który mógłby się szybko rozprzestrzeniać, są obecnie większe niż możliwości przyspieszenia czasu reakcji sprzętu i oprogramowania antywirusowego (dotyczy to standardowych systemów zabezpieczających).

Na wielu platformach

Większość znanych robaków lub wirusów wykorzystuje pojedyncze luki w oprogramowaniu, atakuje tylko niektóre typy serwerów działających na określonej platformie, np. Code Red, który wykorzystał błąd przepełnienia bufora w serwerach Microsoft IIS. Zdaniem Edwarda Skoudisa, wiceprezesa Predictive Systems i autora książki Counter Hack: A Step-by-Step Guide to Computer Attacks and Effective Defenses, nowe generacje robaków będą zawierać mechanizmy skanowania szerokiego zestawu luk w oprogramowaniu, możliwość ataku na różne serwery (DNS, WWW, pocztowe, FTP itd.), a także na różne systemy operacyjne. Jednym z pierwszych robaków wieloplatformowych był Backdoor.Sadmind atakujący windowsowe serwery IIS z platformy Solaris.