Заголовок Грушо доклада А.А. Докладчик Распространение вредоносного кода через Интернет Инфофорум, Москва, 5 – 6 февраля 2013 г. Распространение вредоносного кода через Интернет Вредоносный код – программы, которые наносят ущерб процессам, поддерживаемым компьютерными системами. Для нанесения ущерба вредоносный код необходимо внедрить в компьютерную систему. Существует множество способов как это сделать. Наиболее часто вредоносный код передается и внедряется через Интернет. Распространение вредоносного кода через Интернет Большинство средств защиты распознают известные атаки, используя сигнатуры вирусов и другие известные признаки вредоносного кода. Создание «демилитаризованных зон» и проактивные методы антивирусной защиты не дают гарантий выявления вредоносного кода. В настоящее время вредоносный код чаще всего распространяется через социальные сети. Здесь используются психологические методы воздействия на пользователей. Распространение вредоносного кода через Интернет Существует иллюзия информационной безопасности работы в сети, если использованы все современные средства защиты. Фирмы разрабатывают продукты защиты информации и заинтересованы в их продаже. Отсюда следует бесконечный поток заявлений о том, что продаваемые продукты гарантируют безопасность. Распространение вредоносного кода через Интернет Несмотря на попытки изоляции критических доменов в автоматизированных системах от Интернета, довольно часто возникает возможность внедрения вредоносного кода в такие домены через Интернет. Фирма РНТ разработала ряд продуктов, обеспечивающих высокий уровень изоляции критических сегментов автоматизированных систем от Интернет. При этом возможен выход в глобальную сеть. Эти же продукты можно использовать для защиты от проникновения вредоносного кода через социальные сети. Эти продукты реализованы на базе обычных ноутбуков и могут легко применяться обычными пользователями. Распространение вредоносного кода через Интернет Бот представляет собой управляемого программного агента, способного по команде выполнять определенные действия. Большинство не догадывается, что их персональные компьютеры содержат бот. Агенты могут красть секреты последних разработок и передавать их открыто, или с помощью стеганографии в исследовательские центры конкурентов. Распространение вредоносного кода через Интернет Негативный эффект от вредоносного кода значительно выше, если у вредоносного кода существует скрытый канал, связывающий его с управляющим сервером. Распространение вредоносного кода через Интернет Что известно и доказано в настоящее время: Скрытые каналы могут преодолевать межсетевые экраны, прокси-серверы, криптографические методы защиты информации. Доказано, что существуют не выявляемые скрытые каналы (как и не вскрываемые шифры). Агенты в компьютерных системах могут создавать сети из скрытых каналов. Построены скрытые каналы с высокой пропускной способностью и хорошим уровнем скрытия. Распространение вредоносного кода через Интернет Скрытые каналы могут играть и положительную роль. Подсистемы безопасности в распределенных компьютерных системах часто строятся на основе многоагентных систем. Подсистема безопасности должна обладать более высокой надежностью и безопасностью, чем другой функционал автоматизированных систем. Для повышения надежности и безопасности мониторинга событий безопасности можно использовать скрытые каналы. Распространение вредоносного кода через Интернет Скрытые каналы тесно связаны с сохранением анонимности получателя и отправителя в Интернет. В Интернет методы обеспечения анонимности получили широкое распространение (тор-сети). Распространение вредоносного кода через Интернет Мониторинг событий безопасности (контроль) связан со сложностью передачи большого объема информации. Для сокращения трафика используются зависимости данных. Эти же зависимости позволяют воссоздать сложную картину атаки и выработать меры по предотвращению ущерба. Решение этих задач относится к области искусственного интеллекта. Выводы Необходимо менять парадигму защиты от вредоносного кода, распространяемого через Интернет. При разработке защиты надо допускать наличие вредоносного кода и искать пути построения защищенных компьютерных систем из компонент, которые могут иметь вредоносный код. Необходимо создать программу исследований по предотвращению проникновения вредоносного кода нулевого дня. Для более эффективной защиты пользователей необходимо создавать сегменты сети «облачного» типа, которые предоставляют услуги углубленной проверки информации из Интернет на наличие вредоносного кода. Выводы В настоящее время актуальной является задача анализа скрытых каналов и анонимности в Интернете. Наиболее перспективными представляются распределенные системы мониторинга и искусственного интеллекта для анализа событий безопасности и выявления атак. Защита инфосферы от вредоносного кода является фундаментальной проблемой. Для разработки защиты инфраструктуры общества от вредоносного кода необходимо создать мощный исследовательский потенциал, например, на базе Академии наук, и обеспечить финансирование этих исследований. СПАСИБО! КОНТАКТЫ: rnt@rnt.ru Тел.: (495) 777-75-77