|
|
Обзор
Телеком 2008Обзор подготовлен
При поддержке
Не все пользователи по тем или иным причинам имеют на своем ПК правильно настроенное и постоянно обновляемое антивирусное ПО. Между тем, даже один зараженный компьютер может вызвать проблемы со связью у других клиентов оператора. По этой причине многие провайдеры создают собственный сервис сетевой защиты. Безусловно, это требует от компании дополнительных затрат, однако позволяет уменьшить число заражений сети и получить конкурентное преимущество за счет расширения спектра предоставляемых услуг.
Сегодня на рынке представлено множество продуктов по обеспечению антивирусной защиты и фильтрации спама — в том числе, предназначенных для персонального использования. Но вот парадокс: угрозы распространения опасного кода и нежелательной почты, тем не менее, остаются главными проблемами информационной безопасности, напрямую отражающимися на рядовых пользователях интернета. Выходит, что покупка персонального антивируса еще не означает решения проблемы. Почему? К сожалению, возможностью самозащиты пользуется далеко не каждый пользователь сети. Да и кто гарантирует, что даже если домашний антивирус инсталлирован, то обновлен и должным образом настроен? Это уже скорее вопросы к организации процесса защиты, чем к их наличию. И как тут быть рядовым гражданам, которые не специалисты в области безопасности или информационных технологий? Можно ли на кого-то переложить ношу по организации этого процесса?
Допустим, можно рассмотреть в кандидаты на роль помощника по компьютерным вопросам ближайшего (с технологической точки зрения) к интернет-пользователю партнера — его оператора связи. На первый взгляд кажется: а причем тут оператор связи, к которому подключен пользователь с зараженным вирусом ПК? Сам заразился — сам виноват. Оператор предоставляет доступ в сеть, а проблему с защитой своего ПК от вирусов пользователь должен решать сам. Такой подход был уместным еще лет 5 — 10 назад, но не сегодня. Всего несколько лет назад спектр возможных действий большинства вирусов ограничивался вредоносной активностью на ПК и самораспространением. Эти действия не оказывали большого влияния на сети операторов связи. А проблема вирусного заражения считалась трудностями пользователя, но не оператора.
Сегодня к списку возможных действий вирусов добавился выход на связь с сервером злоумышленника и выполнение полученных от него команд. Именно таким образом строятся ботнеты — сети зараженных компьютеров, находящих под управлением злоумышленников и используемых для кражи персональной информации, организации DDoS-атак и рассылок спама. А вот последние два явления уже наносят наибольший ущерб именно оператору связи, а не пользователю.
Зараженный ПК, являясь членом ботнета, получив команду запустить DDoS-атаку, начинает генерировать сетевой трафик, направленный на какой-либо ресурс в интернете. В случае если такой зараженный абонент оказывается не единственным в сети оператора, нагрузка вредоносного трафика на его сеть оказывается весьма существенной. Проблемы со связью начинают испытывать все клиенты. Что характерно, ущерб несет не только данный провайдер, но и другие операторы связи, расположенные по пути следования трафика DDoS-атак, которые в результате получают дополнительную нагрузку уже на свои сети. В данном случае все претензии вполне обосновано предъявляются к оператору последней мили — как к источнику вредоносного трафика.
Крупные телекоммуникационные компании стараются защититься от таких явлений юридическими механизмами, прописывая в договорах на подключение операторов последней мили порядок возможных действий в подобных ситуациях. Как правило, в качестве крайней меры в договоре фигурирует возможность временного отключения присоединенного оператора, если он не может решить проблему с зараженными абонентами. Для операторов магистрального уровня это, пожалуй, единственно возможный выход в такой ситуации, ведь зараженные абоненты подключены не к ним, а к нижестоящему оператору, и только он имеет возможность что-то сделать с источниками вредоносного трафика.
Другое распространенное явление, исходящие от заращенного компьютера — это рассылка спама. Причем в таких случаях вирус действует не как e-mail-клиент, а как почтовый сервер, устанавливающий SMTP-сессии непосредственно с почтовыми серверами получателей.
Такие источники спама в сети оператора, прежде всего, оказывают влияние на его репутацию. И не только на деловую, но и на так называемую технологическую репутацию. Речь идет о черных списках источников спама — RBL и других разновидностях систем оценки репутации IP-адресов, которые используются в решениях по фильтрации спама. Зачастую в такие списки IP-адреса заносятся не по одиночке, а целыми блоками. В результате, если какой-либо один абонент был замечен за распространением спама, проблемы с отправкой электронной почты будет иметь и сам оператор, и другие его клиенты.
Первое, что необходимо сделать провайдеру, — выявить абонентов, от которых исходят угрозы. По сути — абонентов с зараженными ПК, являющимися действующими участниками ботнетов. Чаще всего это происходит при помощи анализа исходящего от абонента трафика на предмет наличия характерных признаков работы инфицированного компьютера. Такими признаками являются, например: рассылка спама, трафики исходящего DDoS или самораспространения червей. Рассылка нежелательной почты от зараженного хоста сопровождается резко возросшим числом одновременных SMTP-соединений. Другие симптомы выдают себя аномальным количеством сетевых соединений. Для мониторинга таких явлений, причем от каждого абонента, применимы решения, выполняющие глубокую проверку трафика (DPI, Deep Packet Inspection), анализ данных Netflow, а так же анализ логов DNS-серверов.
После того, как зараженные компьютеры выявлены, оператору необходимо заблокировать исходящий от них вредоносный трафик либо поместить таких клиентов в карантин (отказать в доступе в сеть). При этом нужно учитывать один момент — абоненты, компьютеры которых подверглись заражению вирусом, все-таки являются скорее жертвами, а не злоумышленниками. К тому же, это клиенты, которые, как известно, всегда правы. Поэтому очень важно оперативно уведомить абонента о возникшей на его стороне проблеме, чтобы дать возможность принять меры по очистке ПК от вирусов. Такое уведомление может наглядно продемонстрировать заботу о своих клиентах и качество предоставляемого сервиса. Для этого может использоваться перенаправление HTTP-запросов на специальную страницу сайта оператора.
В качестве примера решения, выполняющего обнаружение зараженных абонентов, можно привести Cisco Service Control Engine (Cisco SCE), являющееся частью концепции Cisco по развертыванию инфраструктуры предоставления услуг — Service Exchange Framework (SEF). Например, для обнаружения попыток рассылки спама, Cisco SCE подсчитывает число исходящих SMTP-сессий и сравнивает его с предварительно заданным пороговым значением. Также Cisco SCE выявляет исходящий DDoS трафик, попытки сканирования и распространения червей. В случае обнаружения данных признаков заражения, решение позволяет уведомить оператора связи, заблокировать подозрительный трафик, а так же оповестить конечного пользователя о заражении, при помощи перенаправления на определенную web-страницу. Из числа отечественных софтверных вендоров свои продукты для сетевой защиты провайдеров предлагают "Лаборатория Касперского" и "Доктор Веб".
Данные меры, безусловно, позволяют интернет-провайдерам успешно защищаться от угроз, исходящих от абонентов и возникающих на финальной стадии жизненного цикла ботнетов. Но с точки зрения решения проблемы это выглядит как борьба с последствиями, но не искоренение причин. А исходная причина возникновения ботнетов кроется в распространении вредоносного кода. Очевидное средство для борьбы с ним — использование персонального антивирусного ПО. Но оператор не имеет доступа к ПК абонентов, а, значит, не может контролировать их машины на предмет наличия антивируса, регулярности обновлений и т.п.
Хотя и существуют технологии контроля сетевого доступа, выполняющие проверку состояния компьютера на предмет наличия антивируса, установленных обновлений ОС и прочих средств защиты, перед тем, как разрешить доступ в сеть, например, технология Cisco Network Admission Control (Cisco NAC). Но дело в том, что такие технологии пока нашли свое применение только в корпоративных сетях. А ведь у оператора связи гораздо больше причин контролировать соответствие компьютеров абонентов установленным требованиям, чем у компаний, чтобы применять такой контроль в корпоративной среде.
Как правило, организации уделяют защите своих информационных активов гораздо больше внимания, чем частное лицо. Возможно, технологии наподобие Cisco NAC имеют большое операторское будущее, но на сегодняшний день в силу рядя причин вряд ли могут быть применимы в операторской среде.
Так что же есть еще у провайдеров для защиты от вирусов своих абонентов? Главный инструмент оператора, он же и главный актив — сетевая инфраструктура. То есть операторское антивирусное решение должно быть сетевым. В связи с этим получаемый абонентом из сети web и e-mail контент должен проходить провайдерскую проверку на предмет наличия вредоносного кода. Хотя такое решение и не закроет все возможные точки проникновения вирусов на компьютере абонента (так как не сможет помешать проникновению вирусов через съемные носители), оно закроет основной канал распространения вредоносного кода. И не просто основной, а канал, через который сегодня происходит подавляющее число заражений. В последнее время наблюдается ярко выраженная тенденция к смешению вектора получения контента на ПК: от съемных носителей — как несколько лет назад, к его получению из сети — как сейчас.
Например, что происходило еще совсем недавно, когда хотелось посмотреть на домашнем телевизоре что-нибудь интересное: шли в магазин и покупали DVD. Что мы делаем сегодня — пользуемся операторскими услугами Video-on-Demand или IPTV, то есть, получаем видео контент из сети. То же самое относится и к получению программного обеспечения — и вирусов, для которых web-трафик стал главным каналом распространения. Наверное, сегодня уже можно утверждать, что сетевое решение, выполняющее антивирусную проверку HTTP-трафика, является надежной защитой компьютеров абонентов от вирусных заражений.
Платформой для организации услуги по антивирусной проверке сетевого трафика может служить уже упомянутое решение Cisco SCE. Оно перенаправляет целевой трафик абонентов на антивирусный сервер (так называемый VAS, Value Added Server), который непосредственно анализирует вложения электронной почты, обнаруживает вредоносный код на Web-страницах и в файлах. Кроме того, возможно взаимодействие с системами URL-фильтрации сторонних производителей, а также применение соответствующих политик для каждого конкретного абонента. То есть, позволяет оператору организовать услугу "родительский контроль" для абонентов. Эти услуги предусматривают возможность персональной настройки из "личного кабинета" абонента на сайте оператора.
Подобные решения позволяет оператору связи, во-первых, обеспечить защиту от рассылок спама и DDoS-атак, исходящих от собственных абонентов — тем самым защитить себя от претензий третьих сторон и вышестоящих операторов связи, пострадавших от действий абонентов. И, во-вторых, за счет интеграции с дополнительными серверами проверки контента, внедрить такие услуги по защите абонентов, как "родительский контроль" и антивирусная фильтрация трафика. А, защитив от вирусов абонентов, появляются условия и для защиты и своей сети от вредоносного трафика.
Реализация системы сетевой защиты, конечно, требует дополнительных затрат со стороны оператора связи. Но подобную бережную заботу об абонентах при должном подходе к делу можно "конвертировать" в приносящий прибыль компонент бизнеса. Да и абоненты готовы платить за решения по защите трафика, так как действия вирусов наносят ущерб не только оператору.
Для пользователя весьма неприятны всплывающие окна и прочие непредсказуемые действия компьютера. Об угрозе хищения личной информации, такой как пароли и номера платежных карт говорить и не приходится. В довершение ко всему еще и оператор блокирует доступ в интернет, уведомляет о заражении вирусами с вежливой просьбой решить проблему и ненавязчивой подсказкой о возможности подписаться на услугу по антивирусной защите.
А если попробовать поставить себя на место рядового пользователя, попавшего в такую ситуацию, и встать перед выбором варианта решения проблемы вирусов, то есть два варианта. Вариант 1: из большого числа имеющегося на рынке антивирусного ПО нужно как-то выбрать, потом купить это антивирусное ПО, затем установить на свой компьютер и каким-то образом его настроить. Вариант 2: зайти в личный кабинет на сайте своего оператора и нажать кнопку "Включить антивирусную защиту".
Помимо простоты использования, за второй вариант играет еще один момент — стоимость. Цена годовой лицензии на персональный антивирус, как правило, колеблется от 1 000 до 1 500 рублей. А при ежемесячной плате в 100 — 150 рублей, вопрос подписаться на операторскую услугу или нет, уж конечно, не отнимет много времени на обдумывание и обсуждение на семейном совете.
Таким образом, в условиях высокой конкуренции и изменяющегося рынка операторам связи приходится искать способы выделить свои сервисы по сравнению с услугами конкурентов. Если провайдер предоставляет абонентам, пострадавшим от заражения вирусами, оперативные уведомления, онлайновую помощь и превентивную поддержку, это, несомненно, повысит уровень их лояльности. В то же время операторы обязаны защищать свои сети в условиях наличия как защищенных, так и незащищенных компьютеров абонентов. Предоставляемая защита от вирусов позволяет телекоммуникационной компании не только уменьшить число заражений в своей сети, но и получить конкурентное преимущество за счет расширения спектра предоставляемых услуг и получить новые источники доходов.
Павел Антонов