24 января 2014

Уязвимости в корпоративном ПО и связанные с ними угрозы

Бизнес

Около 39% коммерческих компаний сталкивались на протяжении последних двух лет с инцидентами в области информационной безопасности, связанными с уязвимостями в легитимном ПО. Таковы данные, приведённые в исследовании «Лаборатории Касперского» и B2B International «Корпоративные IT-риски во всём мире в 2013 году».

«Софта без дыр не бывает», — отвечали когда-то на критику своих разработок представители Microsoft. К сожалению, с этим трудно спорить. Конечно, разработчик Windows и Office за последнее десятилетие значительно улучшил ситуацию с безопасностью своих продуктов, но, как говорится, на одной только Microsoft свет клином не сошёлся. В последние годы основными источниками проблем для индивидуальных и корпоративных пользователей систематически становятся уязвимости в таких пакетах как, например, Oracle Java, Adobe Flash и Adobe Acrobat. Эти пакеты более чем активно используются в корпоративных сетях, в то время как злоумышленники не менее активно применяют написанные под уязвимости в этих решениях эксплойты.

В целом, конечно, уязвимости в корпоративном ПО — далеко не единственный источник проблем. Однако, как указывается в вышеупомянутом исследовании, респонденты упоминали именно его чаще остальных.

Легитимные и популярные программные пакеты часто становятся источниками проблем сами по себе.

Легитимные и популярные программные пакеты часто становятся источниками проблем сами по себе.

Есть и хорошие новости. За последние два года количество таких инцидентов снизилось, притом довольно значительно. Если в 2011 году в качестве основного источника проблем уязвимости в корпоративном ПО называли 47% респондентов, то сейчас, как уже сказано, только 39%. Но и этого много. Больше всего таких инцидентов, как выясняется, произошло в России (об этом упоминали 51% опрошенных). В целом же, 25% опрошенных из-за уязвимостей в корпоративном ПО претерпевали утечки критически важных корпоративных данных, у 10% опрошенных это спровоцировало серьёзные финансовые потери.

Такова цена уязвимостей в легитимном ПО в отсутствие дополнительной защиты.

Необходимо отметить ещё один аспект, связанный с корпоративным ПО: во многих, если не в большинстве крупных компаний, для своих нужд используется программное обеспечение собственной разработки. В зависимости от уровня подготовки программистов оно может очень сильно различаться по качеству (стало быть, и по количеству потенциальных уязвимостей). И в то время как эти программы едва ли получают какое-либо распространение за пределами компании, внутри которой они были разработаны, наличие уязвимостей означает, как минимум, гипотетическую возможность того, что хакеры попытаются ими воспользоваться. Особенно, если атака имеет целенаправленный характер.

Интересен и вот какой факт: в определённой и довольно значительной степени именно «самопальное» корпоративное ПО обеспечило долгий век «бессмертной» операционной системе Microsoft Windows XP. По данным на декабрь 2013 года, эта система, давно и безнадёжно устаревшая во всех смыслах, занимала более чем существенную долю рынка — 28,98%, и только в апреле этого года окончательно прекратится её техническая поддержка. Под Windows XP написано огромное количество корпоративного ПО, которое может и не работать под более поздними версиями, из-за чего многие компании предпочли держаться за XP, как говорится, до последнего. Корпорация Microsoft потакала этому. Потакала, возможно, даже слишком долго.

Распространённость Windows XP, в некотором смысле, сама собой представляет проблему в области информационной безопасности. В этой системе отсутствуют определённые механизмы защиты информации, реализованные в более поздних версиях Windows. В свою очередь, количество вредоносного софта, эксплуатирующего известные уязвимости XP, не поддаётся счёту. Соответственно, пользователи Windows XP, корпоративные и индивидуальные, в буквальном смысле, «подставляются» под это вредоносное ПО, что соответствующим образом сказывается на общем ландшафте угроз в мире.

Ответственность за защищённость или, наоборот, уязвимость программного обеспечения лежит, главным образом, на разработчиках, а не на пользователях. Однако, во-первых, со стороны пользователя будет несколько безответственно не предпринимать никаких мер по дополнительной защите, зная, что используемое ПО не лишено огрехов. А во-вторых, в случае со специализированным «надомным» ПО «пользователь» и «разработчик» — одно и то же. Опять-таки, дополнительные защитные средства будут необходимы с гарантией, так как мы живём в эпоху небезопасного софта.

Около 39% коммерческих компаний сталкивались на протяжении последних двух лет с инцидентами в области информационной безопасности, связанными с уязвимостями в легитимном ПО. 25% опрошенных из-за уязвимостей в корпоративном ПО претерпевали утечки критически важных корпоративных данных, у 10% опрошенных это спровоцировало серьёзные финансовые потери.

Защиту подобного рода предоставляют решения «Лаборатории Касперского», в первую очередь, технология автоматической защиты от эксплойтов (Automatic Exploit Prevention). Она позволяет защищаться и от старых, и от новых угроз подобного рода (а под Windows XP до сих пор отыскиваются уязвимости «нулевого дня» и эксплойты для них). Главная особенность AEP заключается в том, что она постоянно отслеживает поведение уязвимого ПО и пресекает все попытки запуска подозрительного кода.

Для некоторых программ и программных модулей AEP также запускает режим принудительной рандомизации расположения в адресном пространстве — Forced Address Space Layout Randomization. Аналогичная технология используется в Windows, только начиная с Vista, в Windows XP её не было. AEP позволяет распространить её действие на любые программы. В результате действия этой технологии адрес размещения уязвимости в памяти меняется, так что эксплойты оказываются не в состоянии ей воспользоваться.

Кроме того, такие функции как, например, System Management (системное управление) позволяют автоматизировать процесс установки только что выпущенных патчей и обновлений для используемого ПО, чтобы сузить до минимума «окна хакерских возможностей» — временные промежутки между выявлением уязвимости, выходом патча для неё и фактической установкой обновления.