Все больше вредоносного кода, все меньше "заплаток"
Microsoft заканчивает этой весной поддержку XP. Это означает, что компания перестает выпускать "заплатки", защищающие систему от хакеров. За исключением файерволов, эти "заплатки" являются наиболее эффективным средством защиты для конечных устройств. Соревнование между вредоносным кодом, пытающимся проникнуть в компьютеры, и средствами их обнаружения, новыми "заглушками" было всегда. После того, как Windows XP останется без обновлений, компьютеры на базе этой системы превратятся в "сидящих уток" - бей, не хочу.
Это создает новые проблемы для организаций, которые не могут обновить свои компьютеры с Windows XP. Это, например, системы здравоохранения, SCADA и производственные компании. Специально разработанные системы, которые непосредственно взаимодействуют со сложными устройствами, типа рентгеноскопии, контрольных систем и производственных линий, были построены с учетом использования специфической платформы Windows XP. Для многих таких систем невозможно обновиться до платформы Windows 7 или 8, сохранив при этом необходимую функциональность. Такие организации оказываются в сложной ситуации и их компьютеры могут быть легко подвергнуты атаке. В этих условиях необходимо разработать стратегию защиты и компенсации вредных последствий.
Упрочнение конечного оборудования
Учитывая, что конечные устройства станут уязвимыми, необходимо их защитить, примерно также как в условиях вражеского огня солдат защищают специальными шлемами и бронежилетами.
Политики безопасности
Политика безопасности Windows (GPO) должна максимально строго соблюдаться, насколько это позволяет функциональность. Ненужные сервисы должны быть отключены, Internet Explorer отключен или заблокирован, привилегии пользователя должны быть минимальными. Количество установленных программ должно быть минимальным. Это может потребовать от персонала один компьютер использовать для унаследованных функций, а остальным пользователям предоставлять современные компьютеры. Как усилить защиту компьютеров на базе Windows читайте здесь в статье Microsoft: http://support.microsoft.com/kb/885409.
Безопасность конечных устройств
Хотя Microsoft больше не будет публиковать патчи, производители антивирусов все равно будут продолжать делать обновления сигнатур. В дополнение к традиционным антивирусным решениям могут использоваться современные средства обнаружения malware типа FireAMP компании SourceFire, которое может защищать основной компьютер от инфицирования кодом типа "zero day" с помощью "песочницы" и мониторинга. Облако FireAMP включает в себя анализ файлов (облачная "песочница"), облачное хранилище, логирование сетевой и файловой активности, аналитику для расчета параметров обнаружения проникновения, блокирование известных IP-адресов хостов типа command-and-control и обнаружение сетевых и файловых угроз.
Упрочнение сети
Защита входящего и выходящего трафика для основного компьютера также является обязательным условием.
Сетевая сегментация
Несмотря на то, что компьютеры могут быть защищены, необходимо обеспечить и защиту от случайных заражений. Это можно осуществить с помощью тщательной сегментации сети. Помещение уязвимых машин на базе XP в свою собственную VLAN или использование Cisco TrustSec Security Group Tags (SGT), ограничение доступа к ненужным частям сети с помощью файервола, политик маршрутизатора или контроля сетевого доступа (типа Cisco Identity Services Engine) - все это может также усилить защиту.
Системы предотвращения вторжений
Так же, как антивирусное ПО может защищать компьютер от известных вирусов, системы предотвращения вторжений (IPS) могут обнаруживать известный вредоносный код, атакующий известные, но не исправленные уязвимости. Если применена сетевая сегментация, то IPS может помещаться на входе в XP-сегмент, который наиболее уязвим.
Мониторинг сетевого поведения и аномалий трафика
Мониторинг конечных устройств является фундаментальным условием для обеспечения их защиты, установления политик безопасности. При этом очень хорошо то, что шаблонная форма поведения трафика конечных устройств легко предсказуема и это очень способствует надежному мониторингу. Т.е. отклонения от нормального поведения будет легко обнаруживаться. Когда хакер пытается использовать зараженную машину для разведки сети или кражи информации, StealthWatch, используемый для мониторинга, мгновенно просигнализирует об этом.
Инвентаризация
Кроме мониторинга StealthWatch может оказать помощь и в инвентаризации систем. Система компании Lancope может обеспечить оператора шаблонами трафика от известных машин на базе XP, и эти шаблоны могут быть использованы системой StealthWatch для поиска с помощью системы анализа хостов. Если компьютеры с устаревшей системой появятся в сети, StealthWatch просигнализирует операторам, что им необходимо предпринять дополнительные меры для защиты этих систем, упрочив сеть дополнительно.
Заключение
Завершение поддержки Windows XP вызывает значительный стресс у специалистов сферы безопасности, поскольку преступники не преминут воспользоваться этой ситуацией. Дополнительная защита этих уязвимых конечных систем - это первый шаг для уменьшения риска, за которым необходимо обязательно провести сильную сегментацию сети, что замедлит способность мошенников глубоко проникнуть в вашу сеть. Ну, а постоянный мониторинг компьютеров на базе старой системы критичен для того, чтобы поймать атакующих раньше, чем они смогут нанести вашей организации серьезный ущерб.
Меню сайта