Сетевая (NID/P) и хостовая (HID/P) системы обнаружения/предотвращения вторжений в программное обеспечение и устройства могут использоваться для распознавания и остановки вредоносных программ в сети или на локальном хосте. Обнаружение вторжений описано в главе 14. Но, как и традиционные антивирусные программы, сетевые и хостовые системы не гарантируют 100 %-ную защиту, и не следует доверять только им.
Вредоносные программы уже давно стали частью угроз информационной безопасности и всегда будут оставаться главной из них. Еще в конце 1990-х годов, с развитием антивирусных технологий, я был уверен, что они уйдут в прошлое к 2010 году. В те времена у нас были лишь сотни вредоносных программ. Теперь, сталкиваясь с сотнями миллионов различных вариаций, я понимаю, как был наивен.
Главы 10 и 11 посвящены Сьюзен Брэдли и Марку Руссиновичу, которые успешно борются с вредоносными программами на протяжении десятилетий.
10. Профиль: Сьюзен Брэдли
Я познакомился со Сьюзен Брэдли более 15 лет назад, когда получил статус одного из наиболее ценных профессионалов Microsoft (MVP, Most Valuable Professionals). Как известно, этот статус присваивается независимым лидерам сообщества, которые демонстрируют совершенное владение одной или несколькими технологиями Microsoft и активно взаимодействуют с конечными пользователями, например ведут блог, рассылку или колонку в СМИ. С самого начала было ясно, что Брэдли – одна из лучших MVP-экспертов. Она очень умна, трудолюбива и всегда готова помочь не только конечным пользователям, но и другим MVP-экспертам (которые тоже являются конечными пользователями). Статус MVP был впервые присвоен Сьюзен в 2000 году в связи с выпускавшимся в то время продуктом Microsoft Small Business Server (SBS), однако ее глубокие технические знания этим не исчерпывались и охватывали в том числе систему Windows. С тех пор она продолжает получать статус MVP-эксперта каждый год (https://mvp.microsoft.com/ru-ru/PublicProfile/7500?fullName%20=Susan%20Elise%20Bradley), но теперь этот статус относится к категории Cloud and Datacenter Management.
Если вы не знаете, что такое Small Business Server, просто возьмите самые главные и сложные продукты Microsoft (например, Active Directory, Exchange, SQL, Outlook и т. д.), объедините их в одну программу для малого бизнеса и скажите, что ее легко использовать. Я заработал кучу денег, консультируя клиентов, которые быстро поняли, что это совсем нелегко. Брэдли оказала мне техническую поддержку, когда я столкнулся с проблемой, которую не смог решить самостоятельно. Мы периодически встречались на национальных конференциях, посвященных ИБ, на которых выступали, и немного сблизились на почве общего бухгалтерского прошлого. Мы оба – сертифицированные бухгалтеры (CPA), правда в настоящее время я уже не работаю в этой области, а она остается партнером в бухгалтерской фирме. Брэдли имеет сертификат SANS Global Information Assurance Certification (GIAC), стала автором отдельных глав к нескольким книгам, а также соавтором рассылки Windows Secrets (https://www.askwoody.com/author/sb/).
На мой вопрос о том, как она попала в сферу ИБ, Брэдли ответила: «Сфера бухгалтерского учета, в которой я начинала свою карьеру, по определению связана с деньгами и конфиденциальностью. А обеспечение безопасности транзакций, на которые мы полагаемся, имеет непосредственное отношение к информационной безопасности. Мы должны убедиться в том, что данные, введенные с клавиатуры (а теперь еще и с помощью голосового ввода, точек данных, датчиков и т. д.), попадут в целевой репозиторий в неискаженном виде. Я начала обращаться к представителям малых предприятий и другим людям по вопросам установки патчей. У меня был серверный продукт, состоящий из различных программ, которые мне нужно было пропатчить, а простого способа сделать это тогда не существовало. В те времена люди практически не устанавливали исправления в свои продукты. Затем [в 2003 году] появился червь SQL Slammer, оказавший на мир огромное влияние. Самое интересное, что исправление для соответствующей уязвимости было выпущено за шесть месяцев до его появления. Но сам процесс установки патча был слишком сложным. Я научилась делать это в своих продуктах, а затем поняла, что мой опыт может оказаться полезным и другим предпринимателям. Так я пришла к тому, чем занимаюсь сейчас».
Брэдли по-прежнему взаимодействует с представителями малого бизнеса, а также помогает людям защищаться от программ-вымогателей и восстанавливаться после соответствующих атак. На мой вопрос о том, что именно она рекомендует своим клиентам, она ответила: «За несколько лет стало очевидно, что программы-вымогатели представляют собой большую проблему не только для потребителей, но и для малых предприятий. Учитывая то, насколько сложно бывает отыскать нужную информацию, три года назад мы с моей подругой и MVP-экспертом [с 2006 года] Эми Бабинчак создали набор Ransomware Prevention Kit (https://www.thirdtier.net/product/ransomware-prevention-kit-policies/). Он содержит всю необходимую информацию и инструменты для защиты от программ-вымогателей, включая параметры групповой политики и скрипты, а теперь еще и видео. Это не бесплатно. Минимальная цена продукта составляет 25 долларов. Первоначально все полученные от продажи средства шли в женский стипендиальный фонд (www.thirdtier.net/women-in-it-scholarship-program/). Тетя Эми одолжила ей необходимую сумму для получения первого сертификата, и Эми считает, что без этого столь необходимого кредита ей не удалось бы достичь успеха. Так она пытается вернуть долг. Стипендиальный фонд возмещает женщинам стоимость IT-экзаменов в случае их успешной сдачи. Изначально Эми поставила цель собрать для фонда 10 000 долларов, и они были собраны за девять месяцев. Сегодня в этот фонд поступает уже не все, а только часть средств от продажи набора Ransomware Prevention Kit. На обновление продукта уходит огромное количество времени, но Эми изо всех сил старается сделать так, чтобы по мере обновления каждый покупатель получал актуальную копию, а это требует огромных усилий».
Я спросил Брэдли о том, что, по ее мнению, является главной проблемой в сфере информационной безопасности, на что она ответила: «Мы отвлекаемся на следствия, вместо того чтобы докапываться до первопричин. Возьмем, к примеру, наблюдаемое сегодня безразличие к утечкам данных. Поскольку эти утечки не сильно затрагивают бизнес, мы полагаем, будто достаточно обеспечить соответствие стандартам PCI (см. главу 37 «Политики и стратегия»), и сосредоточиваем внимание на пунктах чек-листа, вместо того чтобы задуматься о повышении безопасности потоков данных. Отчасти сложность заключается в том, что технологии постоянно меняются. Однако основополагающая проблема остается прежней. Когда-то (очень давно) мы использовали мейнфреймы, затем появились ПК, серверы и сети (распределенная модель ПК). В то время люди просто устанавливали серверы, не задумываясь об их защите. Сегодня мы переходим к использованию облачной модели. Практически все мигрируют в облако, но допускают при этом те же ошибки. Люди переносят туда свои серверы или используют облачные сервисы для ведения бизнеса, но не понимают, как все это защитить. Мы совершаем те же ошибки, только теперь все усложняется тем, что клиент не всегда может повлиять на безопасность, и расследовать преступления становится труднее. Иногда кажется, что мы стоим на месте. Нам следует сосредоточиться на решении основополагающих проблем, потому что технологии постоянно меняются». Если вы хотите в совершенстве освоить Microsoft Windows, обязательно прочитайте то, что пишет Сьюзен Брэдли.
Информация о Сьюзен Брэдли
Более подробную информацию о Сьюзен Брэдли смотрите по ссылкам:
• блог Сьюзен Брэдли на сайте Computer World: https://www.computerworld.com/author/Susan-Bradley/;
• блог Сьюзен Брэдли на сайте AskWoody: https://www.askwoody.com/author/sb/.
11. Профиль: Марк Руссинович
Никто не в состоянии изучить Microsoft Windows целиком. Это десятки миллионов строк кода. Но за два десятилетия Марку Руссиновичу, техническому директору Microsoft Azure, удалось приблизиться к этой цели. Руководители компаний (главный исполнительный директор, директор по информационным технологиям и т. д.) редко углубляются в технологические нюансы. Руссинович в этом отношении скорее исключение. Мало кто может сравниться с ним по широте знаний, касающихся той или иной функции. Анализ кода делает Марка по-настоящему счастливым. Я отметил это во время нашего интервью, и он сказал: «Технологические нюансы – это именно то, что мною движет!»
Я знаю Руссиновича уже почти 20 лет. Долгое время он руководил двумя компаниями, занимающимися разработкой программного обеспечения. Одной из них была коммерческая компания Winternals, а второй – некоммерческая Sysinternals, производившая бесплатное ПО. Продукты обеих компаний были очень популярны среди технарей. В конце концов, Microsoft приобрела их, и Марк стал работать в одном из подразделений корпорации. На сайте https://docs.microsoft.com/ru-ru/sysinternals/ представлены интересные утилиты, которые он создал и которые компания Microsoft по-прежнему поддерживает и обновляет. Руссинович всегда был технарем до мозга костей, не боящимся открытой полемики вокруг результатов своих технических расследований.
Я хорошо помню, как обедал с ним в ресторане в 2005 году (ни один из нас тогда не был сотрудником Microsoft), когда разгорелся скандал в связи с обнаруженным им руткитом Sony BMG. Руссинович выяснил, что при вставке музыкального компакт-диска Sony в дисковод компьютера под управлением ОС Windows тайно устанавливалось два программных решения для управления цифровыми правами (DRM). Это ПО было сложно удалить, и его частичная установка происходила даже в том случае, если пользователь не принимал условия лицензионного соглашения (EULA). Оно не только мешало системе Windows осуществлять операции с компактами-дисками, но и содержало уязвимости, которыми в итоге воспользовались вредоносные программы.