Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

В России хотят создать мегарегулятора информационной безопасности, взяв пример с США

18/11/2017

В рамках реализации программы «Цифровая экономика» предлагается определить единый госорган, ответственный за требования к средствам информационной безопасности.

Реклама

Партнеры

Публикации

Новая технология контроля и разграничения прав доступа к данным в информационных системах  / 
К.А. Щеглов, А.Ю. Щеглов //  ИСПДн.ру. -  2014 -  сентябрь

Сертификация средств защиты персональных данных: революция или эволюция?  / 
А.С.Марков, М.Ю.Никулин, В.Л.Цирлов //  Защита информации. Инсайд. -  2008. -  №5.

Проблемы и решения по защите персональных данных в информационных системах персональных данных  / 
А.Марков и Б.Сухинин //  Улан-Уде: ВСГТУ (ТиПВСИТ-2009, 20-27 июля) . -  2009. -  Ч.II. - C.241-244.

Защита персональных данных: откладывать больше нельзя  / 
В.Левцов, И.Новиков //  CNews.ru. -  2009. -  15 мая.

Персональные данные. Будни банковской безопасности  / 
Е.Царев //  Интеллектуальный банк. -  2009 -  13 июля.

Защита персональных данных в кредитно-финансовых организациях  / 
В.Сердюк  //  Интеллектуальный банк. -  2009. -  13 июля.

Обработка персональных данных в информационных системах: как обеспечить безопасность  / 
А.Бажанов, И.Назаров, Ю.Язов //  Connect! Мир Связи. -  2009. -  №1.

Информационные системы персональных данных  / 
М.Емельянников //  CIO. -  2008. -  15 октября.

Постатейный комментарий к Федеральному закону "О персональных данных"  / 
М.И.Петров //  ЮД "Юстицинформ". -  2007. -  65с.

Защита персональных данных  / 
О.Слепов //  Jet Info. -  2009. -  5 (192).

Защита персональных данных: проблемы и решения  / 
В.Коржов //  www.osp.ru. -  2009. -  7 сентября.

Защита персональных данных от вредоносных программ  / 
А.Ю.Щеглов //  ИСПДн.ру. -  2009 -  5 августа

Сетевая безопасность персональных данных  / 
С.Рябко  //  Connect! Мир Связи. -  2009. -  7.

Обработка персональных данных в медицинских организациях  / 
А.Столбов //  PCWeek/RE. -  2009. -  6 октября.

Как защитить персональные данные. Подборка статей LETA IT-company  / 
О.Губка, Н.Зенин, Н.Конопкин В. Левцов, И.Новиков, Е.Царев //  www.leta.ru. -  2009. -  октябрь.

Обеспечение гарантированной анонимности персональных данных с использованием биометрического профиля пользователя  / 
А.Иванов, И.Назаров, Ю.Язов, Е.Остроухова //  Информация и Безопасность. -  2009. -  №1.

Защита персональных данных: если наступит завтра  / 
А.Сабанов, Н.Комарова, О.Плотников //  cnews.ru. -  2009. -  ноябрь.

В противовес "ленивым"  / 
А.Марков //  Защита информации. Инсайд.. -  2009. -  6.

Рекомендации по выполнению требований Федерального закона №152-ФЗ “О персональных данных“  / 
LETA IT-company //  www.leta.ru. -  2010. -  C. 80.

Почему не заработал закон "О персональных данных"?  / 
М.Ю.Емельянников //  Финансовые известия. -  2010 -  22.04.2010

Защита конфиденциальности персональных данных с помощью обезличивания  / 
И.Ю.Кучин //  Вестник АГТУ. -  2010. -  №2.

Лицензирование как продукт осознанной необходимости: Лицензирование деятельности операторов персональных данных  / 
И.Шахалов //  Защита информации. Инсайд. -  2010. -  2.

Ветер перемен: и регулятор может ошибаться  / 
Е.Царев, А.Санин //  IT Manager . -  2010. -  апрель.

Защита персональных данных: пригодится ли нам британский опыт?  / 
А.Волков, Е.Царев //  cnews.ru. -  2010 -  июль

Двадцать популярных заблуждений операторов персональных данных  / 
П.Шмелев //  fz152.ru. -  2010. -  часть 1, 2.

Готовность к силе закона  / 
О.Седов //  Директор ИС. -  2010 -  11.

Процедура обезличивания персональных данных  / 
Е. А.Саксонов, Р. В.Шередин //  Наука и образование: электронное научно-техническое издание. -  2011 -  №3 (март).

О подходах по минимизации выполнения требований закона «О персональных данных»  / 
В.Омаров //  ИСПДн.ру. -  2011. -  июль.


Публикации 1 - 28 из 28
Начало | Пред. | 1 | След. | Конец Все

 

Защита персональных данных от вредоносных программ


Тип публикации:  Статья
Текст публикации: 

ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ ОТ ВРЕДОНОСНЫХ ПРОГРАММ

Д.т.н., проф. А.Ю.Щеглов
ЗАО «НПП «Информационные технологии в бизнесе»
www.npp-itb.spb.ru

       Из материалов, опубликованных 13.03.2009 на сайте www.itsec.ru: «В 2008 году более 10 миллионов пользователей пострадали от кражи персональных данных».

     «Во второй половине 2008 года количество компьютеров, зараженных вредоносными программами для кражи персональных данных, увеличилось на 800%. Компания Panda Security объявила о результатах, полученных в ходе всестороннего исследования проблемы кражи персональной информации. Исследование было проведено собственной лабораторией PandaLabs по анализу и обнаружению вредоносных программ. В течение 2008 года было проанализировано 67 миллионов компьютеров. Экстраполируя полученные результаты, было установлено, что в 2008 году более 10 миллионов пользователей во всем мире были инфицированы вредоносными программами, способными осуществлять кражу персональных данных….

      Результаты исследования говорят о тревожных данных: 35% ПК, зараженных данным типом вредоносного ПО, использовали обновленное антивирусное программное обеспечение. Антивирусные лаборатории получают огромное количество новых образцов вредоносного ПО каждый день (свыше 30 000 новых образцов ежедневно, согласно PandaLabs)…

      Луис Корронс, технический директор PandaLabs: "В 2009 году мы ожидаем рост количества вредоносного ПО для кражи персональной информации на 336% ежемесячно, что приведет к значительному росту прибылей тех кибер-преступников, которые используют подобные методы. Мы должны быть осведомлены об опасности со стороны вредоносных программ, осуществляющих кражу персональных данных, и защитить себя от возможных потерь, как временных, так и денежных".

      Выдержки из новости, опубликованной 04.12.2008 на сайте securitylab.ru «F-Secure: замечен рекордный рост количества злонамеренного ПО». Компания F-Secure выпустила отчет за второе полугодие 2008 года. Согласно отчету, в 2007 году количество обнаружений злонамеренного ПО увеличилось вдвое, в 2008 году эта цифра была утроена, см. рис.1.


detections_550x225 

Рис.1  

В данном же исследовании также приведена статистика добавления сигнатур за последние годы, см. табл.1.

Таблица 1

Статистика добавления сигнатур

Временной период

Кол-во обнаружений

Кол-во добавленных сигнатур

1987 – 2006

250 000

250 000

2007

500 000

250 000

2008

1 500 000

1 000 000

     Исследований, подобных представленному выше, сегодня множество, и все они сводятся к одному - вредоносные программы стали главной угрозой компьютерной безопасности, в том числе, главным орудием кражи персональных данных.

      Но в данных исследованиях имеет место и еще один важный вывод, состоящий в том, что современное антивирусное ПО не может обеспечить эффективной защиты от вредоносных программ в современных условиях.

      Действительно (см. табл.1), вирусы обнаруживаются на основании текущей базы сигнатур. Если же из 1500000 обнаружений вирусов база увеличивается на 1000000 сигнатур, то какова же реальная эффективность сигнатурного анализа?

      При этом ситуация усугубляется катастрофическим ростом количества вредоносного ПО для кражи персональной информации (ведь «где тонко - там и рвется», была бы эффективной защита, не было бы столь угрожающей статистики роста объемов вредоносного ПО, проиллюстрированной на рис.1 и в табл.1). Мы уже не говорим об ином аспекте эффективности антивирусного ПО – о дополнительной загрузке вычислительного ресурса защищаемого компьютера. При сохранении существующей тенденции роста объемов баз сигнатур, неминуемо наступит время, когда все компьютерные ресурсы начнут работать исключительно на обеспечение компьютерной безопасности, либо от сигнатурного анализа в той или иной мере придется отказаться.

     Что же делать? Пытаясь дать ответ на этот вопрос, не будем рассматривать абсурдных решений, основанных на одновременном использовании на одном компьютере нескольких антивирусов различных производителей, построенных на одних и тех же принципах. Рассмотрим иные возможности решения задачи антивирусной защиты.

     Прежде всего, проанализируем схему атаки, основанной на использовании вредоносной программы. В общем случае она весьма тривиальна и состоит из двух этапов: занесение вредоносной программы на компьютер (может осуществляться как из сети, так и локально, в том числе и умышленно санкционированным пользователем – инсайдером), и последующий ее запуск на компьютере. При этом способ запуска во многом определяется способом занесения.

     Если же говорить об альтернативных способах занесения вредоносной программы на компьютер, то и их, на самом деле, не так много. Если не углубляться в детали, не меняющие сути вопроса, то большинство способов заражения вредоносной программой сводится либо к модификации существующих исполняемых файлов, библиотек, драйверов (в том числе, и на системном диске), либо просто к занесению вредоносной программы (как правило, в виде исполняемого файла) на компьютер. В зависимости от способа занесения вредоносной программы на компьютер, реализуется и ее запуск, либо он осуществляется автоматически (например, это характерно для компаньон-вирусов («companion»), а также для замещающих («overwriting»), паразити­ческих («parasitic») вирусов), либо пользователем, что характерно в первую очередь для вирусов-червей. Чтобы «заставить» пользователя запустить внедренный исполняемый файл, ему, как правило, присваивают имя, которое так или иначе может поспособствовать запуску пользователем вредоносной программы.

     Как видим, все катастрофическое многообразие вредоносного ПО связано отнюдь не со способами занесения на компьютер и способами запуска (номенклатура которых весьма ограничена), а собственно с функциями этого ПО, т.е. разнообразие состоит именно в тех действиях, которые осуществляют вредоносные программы уже после своего запуска. Невольно возникает вопрос, не проще ли предотвращать саму возможность занесения вредоносного ПО на компьютер, либо его запуск при невозможности контроля занесения, нежели выискивать признаки вредоносного ПО во всех файлах, установленных на компьютере, с использованием огромных баз сигнатур? А вот с этой задачей может успешно справиться механизм разграничения прав доступа к ресурсам, в первую очередь, к файловым объектам на защищаемом компьютере (правда, сразу оговоримся, не в том виде, как он реализована в современных универсальных ОС и в большинстве известных нам средствах защиты).

     Следуя сказанному выше, к ключевым задачам защиты от вредоносного ПО реализацией разграничительной политики доступа к ресурсам, мы должны отнести задачу противодействия занесению на защищаемый компьютер вредоносной программы и задачу противодействия запуску вредоносной программы (при невозможности контроля занесения, например, если программа запускается не с жесткого диска, а с внешнего накопителя).

      Важным является то, что при занесении на компьютер вредоносная программа представляет собою файл – исполняемый файл системного процесса или приложения, драйвера и т.д. Таким образом, предотвратить занесение вредоносной программы можно, ограничив возможность создания на компьютере новых подобных файлов и модификации существующих (установленных ранее). Задача же противодействия запуску вредоносной программы решается тем, что исполнять файлы следует разрешать только из тех мест, где обеспечивается невозможность занесения вредоносной программы.

      Теперь о технической реализации описанного решения в КСЗИ «Панцирь-К» для ОС Windows 2000/XP/2003 (разработка ЗАО «НПП «Информационные технологии в бизнесе»).

      Прежде всего, в двух словах, о ключевых особенностях реализации рассматриваемых механизмов защиты в КСЗИ «Панцирь-К».

      В КСЗИ реализованы следующие схемы задания разграничительной политики доступа к ресурсам:

      · Разграничение прав доступа к объектам процессов вне разграничений пользователей (эксклюзивный режим обработки запросов процессов - доступ к объекту разрешается, если он разрешен процессу);

      · Разграничение прав доступа к объектам пользователей, вне разграничений процессов (эксклюзивный режим обработки запросов пользователей - доступ к объекту разрешается, если он разрешен пользователю);

     · Комбинированное разграничение прав доступа - разграничение прав доступа к объектам процессов в рамках разграничений пользователей (доступ к объекту разрешается, если он разрешен и пользователю, и процессу).

      Таким образом, в качестве субъекта доступа может рассматриваться либо только пользователь, либо только процесс, либо «пара» – процесс и пользователь. Нас далее будет интересовать реализация разграничительной политики доступа к ресурсам для субъекта процесса. Это важно тем, что при задании разграничений для процессов, они будут действовать на всех пользователей, включая системных.

      В нескольких словах об особенностях интерфейса. Права доступа назначаются не объектам (в качестве атрибутов), а субъектам (в качестве их прав доступа). Настраиваются всего три типа доступа: чтение, запись, выполнение. Остальные типы доступа (удаление, переименование, создание и т.д.) КСЗИ устанавливаются по умолчанию на основании заданных настроек. Для настраиваемых типов доступа может быть задана разрешительная (Ресурсы, разрешенные для…), либо запретительная (Ресурсы, запрещенные для…) политика. Субъект (для решения рассматриваемой нами задачи защиты) «Процесс» задается своим полнопутевым именем, могут также использоваться маски и регулярные выражения. Для каждого субъекта устанавливаются его права доступа (разрешения или запреты по трем типам доступа) к объектам, указываемым своими полнопутевыми именами, масками, либо регулярными выражениями.

      Интерфейс механизма разграничения прав доступа к файловым объектам (локальным и разделенным в сети, на жестком диске и на внешних накопителях), реализованного в составе КСЗИ «Панцирь-К» для ОС Windows 2000/XP/2003, представлен на рис.2.


detections_550x225

Рис.2  

 

      Теперь о решении рассматриваемой задачи защиты. Она решается при настройках механизма защиты КСЗИ, представленных на рис.2. Рассмотрим эти настройки. Видим, что для всех процессов (субъект доступа задан маской «*») в качестве исполняемых в системе заданы (определены, как «Ресурсы, разрешенные для выполнения», см. рис.2) файлы с определенными расширениями – эти объекты задаются масками: *.exe, *.sys и т.д. Т.е. в системе можно будет выполнить только файлы с заданными расширениями. Определив же эти же объекты (и еще некоторые дополнительно, например *.com, *.bat) в качестве «Ресурсов, запрещенных для записи», см. рис.2, мы достигаем невозможности модификации существующих файлов с заданными расширениями (определенных нами в качестве исполняемых), их переименования, любым способом создания новых файлов с заданными расширениями.

      Что же мы получаем при реализации подобных простейших настроек (всего несколькими записями в интерфейсе)? Решаются задачи защиты и от внедрения на компьютер вредоносной программы, и от запуска вредоносной программы. Внедрить новые, либо модифицировать существующие исполняемые файлы, динамические библиотеки, драйверы не удастся даже с системными правами (разграничения устанавливаются не для пользователей, а для процессов – при данном режиме задания разграничений не анализируется, от какого пользователя осуществлен запрос доступа к файловому объекту).

      В порядке замечания отметим, что выявление необходимых для запуска исполняемых файлов не вызывает никаких проблем. Если при настройках механизма защиты КСЗИ, представленных на рис.2, какое-либо приложение, установленное на компьютере, не запустится, достаточно взглянуть в соответствующий журнал аудита из состава КСЗИ, в который будет занесена запись об отказе в запуске соответствующего исполняемого файла. Маску данного исполняемого файла следует соответствующим образом добавить в интерфейсе КСЗИ, см. рис.2.

      Рассмотрим, в чем преимущества рассмотренного подхода к защите от вредоносных программ. Во-первых, задача защиты решается в общем виде, не требуется какого-либо сигнатурного, либо эвристического анализа. Во-вторых, реализация данного решения практически не создает дополнительной нагрузки на вычислительный ресурс вне зависимости от существующего катастрофического роста вредоносного ПО. В-третьих, данный механизм защиты весьма просто настраивается, причем настройки могут легко тиражироваться на компьютерах корпоративной сети. И, в-четвертых, вы, наконец, перестаете быть «заложником» разработчика средства антивирусной защиты – вы получаете не «черный ящик», имея возможность лишь догадываться, насколько эффективно реализованное в нем решение. Вы сами становитесь непосредственным участником процесса «борьбы» за компьютерную безопасность.

      Вернемся к тем простейшим настройкам, которые приведены на рис.2. Как видим, ими в полном объеме решается задача защиты от вредоносного ПО применительно к жесткому диску. При этом остается возможность запуска вредоносной программы с внешнего источника, например, с внешнего накопителя. Т.е. остается нерешенной задача предотвращения запуска вредоносной программы, при невозможности контроля ее занесения. При этом не будем забывать, что сегодня колоссальную угрозу несет в себе самозапускающееся вредоносное ПО, которое использует особенности Windows, позволяющие запускать приложения автоматически, не требуя от пользователя даже клика мышкой для активации программы. Оно наиболее часто распространяется через USB-брелоки и другие устройства для внешнего хранения информации.

      Приведем одну из «свежих» новостей на эту тему.

      Из материалов, опубликованных 29.07.2009 на сайте www.itsec.ru: «Самозапускающееся вредоносное ПО намного опаснее, чем червь Conficker».

      «Исследователи McAfee также установили, что за 30 дней самозапускающееся вредоносное ПО заразило более 27 млн файлов. Данное ПО использует особенности Windows, позволяющие запускать приложения автоматически, не требуя от пользователя даже клика мышкой для активации программы. Оно наиболее часто распространяется через USB-брелоки и другие устройства для внешнего хранения информации. Количество обнаружений данного ПО превзошло даже показатели печально известного червя Conficker на 400%, что делает самозапускающееся вредоносное ПО угрозой №1 во всем мире».

      Модифицируем исходные настройки для решения задачи защиты и от самозапускающегося вредоносного ПО. При этом постараемся опять же их сделать также максимально универсальными (для возможности тиражирования). Для простоты будем считать, что исполняемые файлы, динамические библиотеки, драйверы (т.е. все, что требует запуска) системы и приложений установлены в папках Windows и Program Files. Для последующего тиражирования зададим соответствующие объекты с использованием переменных среды окружения.

      Настройки механизма защиты КСЗИ в рассмотренных предположениях представлены на рис.3.


detections_550x225

Рис.3   

     Рассмотрим, что принципиально изменилось в настройках, приведенных на рис.3. Как видим, теперь возможность исполнения файлов определяется не только их расширениями, но и их местом расположения – исполнять файлы мы разрешили только из папок Windows и Program Files загруженной ОС. При этом реализована разрешительная разграничительная политика – исполнение файлов из каких-либо иных мест (в том числе, и с внешних накопителей) невозможен. Задача защиты решена в полном объеме.

      А теперь попробуйте внедрить, а уж тем более, запустить вредоносную программу на защищенном компьютере! При этом не будем забывать, что вредоносное ПО сегодня является доминирующей угрозой информационной безопасности при обработке персональных данных.