Мгновенные сообщения: друг или враг?

Опубликовано: 9 Апреля, 2023


В начале


В конце 90-х, с распространением Интернета, люди пришли к выводу, что электронная почта — удобный способ общения с другими пользователями. IRC (Internet Relay Chat) был популярен в то время, как и форумы, но как энтузиастам, так и деловым людям нужно было что-то более реальное. Появились приложения с возможностью обмена мгновенными сообщениями, и возможность общаться в режиме реального времени с любым онлайн-контактом стала полезным инструментом. Еще полезнее была возможность проверить мобильность, мгновенное мышление и передачу файлов. Сегодня отправляется более чем в два раза больше мгновенных сообщений по сравнению с электронной почтой. Некоторые организации используют обмен мгновенными сообщениями в качестве основного механизма связи.


IM как бизнес-инструмент может быть весьма эффективным, но любой инструмент можно использовать не по назначению, особенно если он неуправляемый. Лучший способ управлять любой связью — обеспечить, чтобы связь направлялась через центральную точку, такую как шлюз. Поставщики учли это и создали клиенты, которые знают о шлюзе и функционируют как внутренние, так и внешние решения для обмена мгновенными сообщениями.


Идеальной ситуацией была бы конечная точка, которая полностью защищена, даже если конечная точка (в виде ноутбука или мобильного устройства) покидает убежище корпоративной сети. Если конечная точка имеет правильный уровень защиты, такой как Host Intrusion Prevention System (HIPS) в комплекте с персональным брандмауэром и обнаружением вредоносных программ, то, скорее всего, конечная точка более безопасна.


Сегодня социальные контакты через электронную среду являются обычным явлением, и некоторые компании поощряют эту культуру, веб 2.0 и 3.0 имеют приложения, которые делают это возможным, и клиенты становятся менее необходимыми. В большинстве случаев необходим только браузер, теперь возможны настоящие облачные вычисления, что упрощает подключение к друзьям, семье и коллегам через Интернет.


Возможен обмен файлами, ссылками, контентом и другими медиафайлами, обеспечивающий доступ к большим группам за считанные секунды.


Каковы угрозы?


В последнее время было много уязвимостей Instant Messaging. Поставщики антивирусов понимают, что черви, вирусы и другие вредоносные программы могут распространяться через IM, и создают новые средства защиты, которые снижают риск.


По сути, несколько сетей могут быть связаны между собой из-за неправильного использования IM, и по этой причине структурированный механизм защиты является обязательным. Если ваши пользователи используют мгновенные сообщения, требуется решение для защиты шлюза. Конечная точка — это место, куда загружаются файлы, и это дополнительная угроза. Поставщики антивирусов теперь имеют решения, которые сканируют загрузки клиента обмена мгновенными сообщениями.


Ссылки, передаваемые с помощью IM, представляют собой дополнительный риск, использование брандмауэров приложений в корпоративной локальной сети может снизить риск, но возникает более серьезная проблема, когда пользователи выносят свои корпоративные компьютеры за пределы офиса. В незащищенных сетях брандмауэры прикладного уровня отсутствуют по периметру, что означает, что связь менее безопасна, по этой причине для конечной точки требуется решение брандмауэра на основе хоста, которое имеет возможность сканирования.


Другие хосты в той же незащищенной локальной сети часто используют одно и то же соединение; эти машины обычно менее безопасны и более уязвимы для атак, а в некоторых случаях заражены неизвестным вредоносным ПО. Эта вредоносная программа может распространяться на любое устройство, находящееся в удаленной локальной сети. Кроме того, в этих удаленных сетях распространен общий доступ к файлам, особенно через мгновенные сообщения, поскольку пользователь находится в режиме путешествия, а это означает, что нормальный доступ к ресурсам снова ограничен, что создает дополнительную уязвимость.


Вредоносное ПО обычно захватывает ресурсы компьютеров и пытается использовать обычные порты для доставки полезной нагрузки, только брандмауэры прикладного уровня в сети в качестве шлюза или на хосте в качестве брандмауэра хоста могут снизить этот риск. Некоторое программное обеспечение для обмена мгновенными сообщениями туннелирует через зашифрованные порты, такие как 443 сложных брандмауэра сеансового уровня, поскольку брандмауэры сеансового уровня имеют ограниченные возможности сканирования зашифрованных портов. Эта дверь часто широко открыта, и заражение часто происходит из-за передачи несканированных файлов.


Переполнение буфера распространено в мире обмена мгновенными сообщениями; это может привести к открытию вредоносных портов, что позволяет использовать неавторизованные приложения и связь через недавно открытые порты. Кроме того, вредоносное программное обеспечение часто повреждает или отключает защитное решение, чтобы оно могло работать незамеченным.


В некоторых организациях, где политика не разрешает обмен мгновенными сообщениями, некоторые пользователи нашли способ обойти технический контроль брандмауэра, используя веб-сайты на основе HTTPS. Эти веб-сайты эффективно обходят сканирование и предоставляют доступ этим пользователям. Проблема в том, что некоторые из этих веб-сайтов намеренно собирают данные и учетные данные для шпионажа.


Каковы риски?


Вирусы, Вредоносное ПО, Шпионское ПО, отказ в обслуживании, удаленное управление, несанкционированный мониторинг, утечка данных, несанкционированный поток данных, раскрытие конфиденциальной информации компании, потеря производительности, удаленный доступ, удаленное управление.


Поскольку IM еще не рассматривает механизмы аутентификации, такие как двухфакторная аутентификация, олицетворение и несанкционированный доступ вполне возможны.


Некоторые черви распространяются с помощью ссылок, которые отправляются всему вашему списку контактов, например ([email protected]), затем он устанавливает плагин для браузера, после чего начинается самое интересное. Некоторые файлы исправлений червей и когда эти системные файлы выполняются. загружается уникальная троянская программа. Бэкдоры и зашифрованные туннели к серверам в Интернете — обычное дело.


Некоторые черви настолько изменчивы и агрессивны, что за семь секунд Symantec сообщила, что более 500 000 машин были заражены и зомбированы.


Такие угрозы, как «человек посередине», кража паролей, раскрытие информации, утечка данных и многие другие подобные угрозы возможны и создают значительный риск для любого бизнеса и/или отдельного человека.


Когда организации рассматривают возможность использования IM в качестве бизнес-инструмента, часто вызывает озабоченность конфиденциальность передаваемых данных, в отличие от электронной почты, где весь трафик представляет собой обычный текст, если только не выполняется модернизация шифрования. IM имеет встроенное шифрование, доступное для большинства платформ, но не по умолчанию.


Шифрование часто не реализуется, потому что о нем мало что известно, а на пути к успешному внедрению много препятствий. Так каков ответ? При выборе решения для обмена мгновенными сообщениями выбирайте решение со встроенным шифрованием.


Возможны межсетевые соединения, некоторые IM-клиенты имеют возможность сетевого соединения, посредством чего между сетями создаются мосты, когда оба IM-клиента находятся в сети. Это сделано для того, чтобы пользователи могли играть в игры или для более быстрой и прямой передачи файлов между одноранговыми узлами. В большинстве случаев другой сетевой трафик также проходит по этим виртуальным каналам. В одном случае, который я расследовал, группа геймеров подключила более семи сетей. Некоторые из этих корпоративных локальных сетей были коммунальными предприятиями и другими финансовыми и юридическими организациями.


Удивительно количество клиентов, способных к этому совместному использованию сети и взаимодействию через https и другие распространенные открытые порты. Некоторые из этих клиентов используются для поддержки, в то время как другие клиенты используются для личного чата.


Каковы преимущества?




  • Низкие затраты на связь.


  • Мгновенный ответ.


  • Быстрее обернись.


  • Мгновенный обмен файлами.


  • Совместный подход.

Есть ли баланс?


С помощью реализуемой политики безопасности и адекватного технического контроля можно достичь баланса. Внедрение брандмауэров прикладного уровня с возможностями сканирования пятого поколения лучше защитит вашу сеть. Корпоративные серверы обмена мгновенными сообщениями, которые сканируют исходящие соединения и управляют ими, действуя как прокси-серверы, могут обеспечить лучшее управление и контроль над используемыми волновыми клиентами. Необходима надежная политика безопасности, которую можно обеспечить и реализовать с помощью технических средств управления сетью и конечными точками. Обучение и осведомленность пользователей являются ключевыми факторами, а последовательный и структурированный подход обеспечит золотую середину.


Резюме