Ликтесты как средство оценки эффективности сетевого экрана

«Лаборатория Касперского», ведущий производитель систем защиты от вредоносного и нежелательного ПО, хакерских атак и спама, публикует аналитическую статью заместителя директора департамента инновационных технологий Николая Гребенникова «Ликтесты как средство оценки эффективности сетевого экрана».

В статье рассказывается о важности сетевых экранов как элемента комплексной системы информационной безопасности, а также о принципах и методиках проведения одного из самых объективных видов тестирования сетевых экранов — при помощи ликтестов.

Автор отмечает, что актуальность сетевого экрана как средства информационной безопасности растет по мере ускорения темпов создания новых вредоносных программ.

Использование сетевого экрана позволяет блокировать нежелательный сетевой трафик — как входящий, так и исходящий. Таким образом, сетевой экран организует дополнительный защитный «слой», который может остановить работу вредоносной программы в случае, если она не детектируется антивирусной составляющей комплексной системы защиты. Подобная ситуация может возникнуть, если описание вредоносной программы еще не добавлено в антивирусные базы (не сработает традиционный сигнатурный подход) и если вредоносная программа не проявляет однозначно опасного или даже подозрительного поведения (не сработает компонент поведенческого анализа).

Сетевой экран организует «стену» между приложениями на компьютере пользователя и другими компьютерами в локальной сети и в Интернете. Для известных (доверенных) приложений существуют разрешающие правила, что дает им возможность передавать данные через сетевой экран в просторы Сети. Остальные же приложения при попытке сетевой активности будут остановлены и не смогут передать информацию вовне (так же как не сумеют и принимать ее).

От каких же типов вредоносных программ может защитить сетевой экран? Практически от всех, распространенных в настоящее время. Этот ответ может показаться слишком смелым, но это действительно так: функции большинства вредоносных программ связаны с сетевой активностью и, следовательно, могут быть заблокированы при помощи сетевого экрана.

Видя все большее распространение сетевых экранов, авторы вредоносных программ начинают активнее применять утечки для их обхода.

Сетевой экран является труднообходимым средством защиты. Для обхода антивируса и поведенческого анализатора автор вредоносной программы может в «домашних» условиях провести ее тестирование и вносить в нее изменения до тех пор, пока оба указанных компонента защиты не перестанут детектировать вредоносный код. Обойти таким способом сетевой экран значительно сложнее, так как если червю/троянцу требуется какая-либо сетевая активность, то скрыть ее от «всевидящего ока» сетевого экрана очень и очень непросто. Единственным способом для этого является использование утечек.

Утечка (англ. leak) — это технология обхода механизмов контроля сетевой активности в сетевом экране, позволяющая приложениям, не имеющим разрешающих правил в списке правил сетевого экрана, производить отправку данных вовне. При этом сетевой экран не блокирует их отправку и не уведомляет пользователя о данной сетевой активности.

Правильно спроектированный сетевой экран не должен допускать никаких утечек и призван идентифицировать все попытки входящей и исходящей сетевой активности.

Для анализа качества защиты от утечек, предоставляемой сетевым экраном, используются тесты на утечки (ликтесты, от англ. leak tests) — небольшие невредоносные программы, которые эксплуатируют одну или несколько утечек. Такие программы написаны в основном исследователями и экспертами в области сетевой безопасности.

Какую же пользу можно извлечь из сравнительных тестов с использованием ликтестов? В первую очередь, это, конечно, определение интегрального качества системы защиты при выборе комплексной системы защиты компьютера пользователя. Хорошие показатели в тестах контроля исходящих данных позволяют говорить о том, что сетевой экран является не просто «довеском» к антивирусу, а представляет собой дополнительный уровень защиты, способный предотвратить, например, отправку конфиденциальных данных пользователя злоумышленникам — даже в случае, если антивирусный компонент вдруг не остановил троянскую программу-похитителя.

На взгляд Николая Гребенникова, продукты, получившие при тестировании защиты от утечек www.matousec.com оценку «Very good» или «Excellent», обеспечивают достойный уровень защиты пользователей. В тех случаях, когда продукт оценен как «Good», а тем более как «Poor» и «Very Poor», автор вредоносной программы может выбирать практически любой способ для обхода сетевого экрана данного продукта.

В современных условиях сетевой экран становится неотъемлемым компонентом комплексной системы защиты персонального компьютера. Даже самые современные операционные системы, такие как Windows Vista, не могут самостоятельно блокировать все типы утечек (напомним, что в состав операционной системы Windows, начиная с Windows XP SP2, входит сетевой экран, функции которого были значительно расширены с выходом Windows Vista). Но по результатам тестов, проведенных в марте 2007 года Guillaume Kaddouch, только 9 ликтестов были заблокированы операционной системой Windows Vista Ultimate 64-bit при установке по умолчанию.

По мнению автора, новая операционная система Microsoft является более защищенной за счет множества улучшений, таких как UAC, IE protected mode, Service hardening и Kernel Patch Protection. Однако для обеспечения достаточного уровня защиты от утечек даже Windows Vista все еще требуется использовать сторонние программы защиты.

В заключение Николай Гребенников говорит о том, что в будущем во вредоносных программах будут использоваться новые методы обхода защитных механизмов как операционных систем, так и существующих антивирусных продуктов. Поэтому роль сетевого экрана как одного из дополнительных средств защиты компьютера будет только возрастать. В условиях более активного использования авторами вредоносных программ технологий утечек для обхода сетевых экранов применение ликтестов в качестве инструмента для проверки надежности защиты компьютера станет обязательным и необходимым.