Ж у р н а л   о   к о м п ь ю т е р н ы х   с е т я х   и   т е л е к о м м у н и к а ц и о н н ы х   т е х н о л о г и я х
СЕТИ И СИСТЕМЫ СВЯЗИ on-line
  ПОИСК: ПОДПИСКА НА НОВОСТИ: НОМЕР:
    ДОМОЙ • Архив: Новостей | Конференций | НомеровПодписка
 
   
 
   
    
РЕДАКЦИЯ
 
Все о журнале
Подписка
Как проехать
Где купить
Отдел рекламы
График выхода журнала
Адреса в Интернет

РУБРИКАТОР
   
• Инфраструктура
• Информационные
   системы

• Сети связи
• Защита данных
• Кабельные системы
• Бизнес
• Колонка редактора
• Электронная
   коммерция

• Только на сервере
• Системы
   учрежденческой
   связи

• Новые продукты


Rambler's Top100

  

Тактика защиты информации

Грег Шипли

Бессистемный подход к информационной безопасности может оказаться хуже бездействия. Чтобы защитить свою корпоративную сеть, примите решение по критически важным вопросам, рассмотренным в предлагаемой статье.

Вы знаете, что безопасность является неотъемлемой частью информационных технологий (ИТ) и необходимым условием успеха в бизнесе. Однако степень важности информационной безопасности и размер необходимого для ее обеспечения бюджета все еще остаются предметом споров. Ясно одно: создание сильной системы защиты обходится недешево, поэтому при этом чрезвычайно важно разумное управление ИТ-бюджетом.

Полную версию данной статьи смотрите во 4-ом номере журнала за 2003 год.

Нам бы очень хотелось дать точные рекомендации - например, что технологию A следует предпочесть технологии B, но ведь у каждой организации своя специфика. В статье "Основы безопасности ИТ" (в этом номере журнала) обрисован, так сказать, общий план действий. Здесь же вы найдете подробные советы по его реализации.

Нужны ли инвестиции в безопасность?

Главный камень преткновения при выживании в условиях экономического спада - отсутствие явной окупаемости инвестиций, связанных с предпринимаемыми мерами безопасности. Классическим аргументом "за" в такой ситуации является довод, что отсутствие окупаемости инвестиций при страховании жизни не препятствует большинству из нас приобретать полис.

Применительно к той или иной сфере деятельности уже давно разработаны различные стандарты для оценки ее эффективности. Например, эффективность борьбы с финансовыми махинациями часто определяется путем сравнения подтвержденной аудиторскими проверками статистики потерь со средним уровнем потерь по отрасли. Хотя в сфере информационной безопасности пока недостаточно подобных данных, очевидно, что разумные инвестиции в нее могут помочь избежать больших потерь.

Составьте план

Перед тем как вложить сколько-нибудь значительные деньги в технологии безопасности, вы должны составить общий план, в котором были бы определены объекты и меры по их защите. Тем, кто не имеет четкой политики безопасности, следует заняться ее разработкой самостоятельно с помощью средств, использующих готовые шаблоны, например Vigilent Policy Center фирмы NetIQ (http://www.internetweek.com/infrastructure01/infra010801-2.htm) или рассмотреть возможность нанять консультанта.

Заложив, так сказать, основы, проанализируйте, насколько далеки вы (в данный момент времени) от соответствия избранной политике и от своих конечных целей, а так же где и в чем вы уязвимы. В этом вам помогут технические средства - при условии правильного их применения. Так, от систем обнаружения вторжений уровня хоста (Host-based Intrusion Detection System - HIDS) будет мало пользы, если агенты этих систем будут расположены на уязвимых хостах, на которых не установлены все необходимые "заплаты". В таком случае целесообразнее было бы потратить время и деньги на улучшение контроля над установкой последних.

Кроме того, вы, вероятно, столкнетесь с "идеологическими" и организационными проблемами. Многие организации поняли, что без антивирусных систем им не обойтись. Они уже перешли в разряд обязательных, поскольку их функции ясны всем и принимать решение о их использовании нетрудно.

Когда речь заходит о межсетевых экранах (МЭ) и сетевых системах предупреждения вторжений (Network-based Intrusion Prevention System - NIPS), на передний план выходит распределение ролей и ответственности. В организациях с централизованной службой безопасности администраторы системы IDS и МЭ являются членами одной и той же команды. И здесь принять решение о внедрении системы NIPS не составит труда.

Однако если администраторы NIPS входят в состав отдельного подразделения, то включение устройства, которое обычно является пассивным (IDS), в производственный процесс (наряду с МЭ) способно привести к некоторой степени нечеткости в распределении ответственности, а именно: кто должен управлять NIPS? кто должен заниматься поиском неисправностей в сети? возможны ли потеря контроля над NIPS и несанкционированное управление МЭ? Распределение ролей и ответственности может стать более серьезной проблемой, чем проблемы технологического характера.

Таким образом, прежде чем приступать к сколько-нибудь значительным закупкам средств защиты, следует поставить себе несколько фундаментальных вопросов и ответить на них:

* Какие объекты защищает данное решение?

* Насколько оно эффективно?

* Как оно повлияет на работу сети?

* Будет ли оно помогать или мешать работе других средств безопасности?

* Имеются ли у вас ресурсы, чтобы справиться с возможными проблемами?

Когда объекты защиты определены и ответы на приведенные выше вопросы получены, можно приступать к расстановке приоритетов. Без многоуровневой стратегии защиты организация не способна эффективно контролировать риски, которым подвергаются ее критически важные ресурсы. Технологии защиты должны быть разнообразными и использоваться обязательно - проблема заключается только в их выборе и последующей реализации.

Контроль над уязвимыми местами

Очень важным, но часто упускаемым из виду является процесс контроля над программными элементами уязвимости, информация о которых уже опубликована и кое-где сделаны соответствующие исправления, но в том-то и дело, что "кое-где", а не везде. Средство поиска уязвимых мест является необходимым компонентом почти любой технологии безопасности. Эффективная организация поиска и устранения уязвимостей позволит снизить риски, возникающие в процессе деятельности вашей организации.

Элементы уязвимости неоднократно становились объектом массированных атак (причем усиленных). Например, два нанесших наибольший ущерб "червя": Code Red и Nimbda - использовали известные уязвимости, для которых уже имелись "заплаты". Если бы большинство организаций исправили эти дефекты вовремя, то последствия не были бы настолько серьезными.

Использование известных "дыр" является одним из главных методов атакующих. Согласно исследованию, проведенному совместно компанией PricewaterhouseCoopers и еженедельником InformationWeek, лидирует в 2002 г. с долей в 41% атаки, "использующие известные уязвимости ОС" (на 10% больше по сравнению с 2001 г.).

Выбор инструментов сокращается

К великому нашему удивлению, несмотря на все вышесказанное, выпуск многих популярных средств сканирования уязвимостей был прекращен либо им не уделялось должного внимания. В 2002 г. компании Cisco Systems и Network Associates прекратили работу над своими продуктами для обнаружения и анализа уязвимостей (NetSonar и CyberCop Scanner), а фирма Internet Security Systems лишь один раз за несколько лет выпустила существенно переработанную версию своего продукта Internet Scanner. Учитывая, что компании Internet Security Systems и Network Associates являются лидерами рынка средств обнаружения уязвимостей, а общий объем его неуклонно растет, не следует удивляться, что пустоту заполнили фирмы-новички. Новое поколение сканеров уязвимостей, таких, как QualysGuard фирмы Qualys, FoundScan фирмы Foundstone, IP360 фирмы nCircle Network Security и Lightning фирмы Tenable Network Security, стремится восполнить пробел.

Некоторые из перечисленных поставщиков начинали с концепции, в которой во главу угла ставилась защита периметра, но теперь они выпускают продукты масштаба предприятия, предназначенные для поиска внутренних уязвимых мест. Выбирая продукт для поиска уязвимостей, учитывайте такие факторы, как скорость его работы, глубина анализа, количество используемых для проверок сигнатур, средства генерации отчетов и анализа тенденций, а также масштабируемость.

При обнаружении уязвимых мест администраторы должны немедленно устанавливать "заплаты". Продукты управления исправлениями от компаний PatchLink, BigFix, St. Bernard Software и др. предлагают эффективный способ решения подобных задач (http://www.nwc.com/1318/1318f3.html). Хотя организациям, занимающимся аудитом, всегда будут необходимы обычные сканеры уязвимых мест, в 2003 г. мы надеемся увидеть более тесную интеграцию между средствами поиска уязвимостей и средствами управления "заплатами".

Одно предупреждение: ни один из вышеуказанных типов продуктов не помогает устранять изъяны в защите заказных приложений. Некоторые средства, такие, как HailStorm фирмы Cenzic и WebProxy фирмы @Stake, могут помочь аудиторам в поиске ошибок программирования, но простого решения проблемы устранения уязвимостей заказных приложений не существует. Вспомните, что корпорация Microsoft год за годом получает нарекания за дефекты в ПО, которые приводят к возникновению проблем с безопасностью. И если бы существовал автоматизированный способ обнаружения таких ошибок, то разве крупнейшая в мире компания по выпуску ПО не воспользовалась бы им? Пока решение задач безопасности не станет частью цикла разработки приложений, мы будем иметь дело с этими проблемами.

Межсетевые экраны становятся все популярнее

Прошли те времена, когда администраторам приходилось выпрашивать у руководства средства на межсетевые экраны. Рынок МЭ обрел зрелость с середины 90-х. В основах технологии МЭ сейчас хорошо разбираются все, даже высшее руководство компаний.

Но каким бы совершенным не был этот рынок, в текущем году на нем наблюдается некоторое движение. Во-первых, наш недавний опрос показал, что организации стремятся заменить свои МЭ. Установка и замена МЭ занимает второе место после внедрения систем NIDS и средств фильтрации электронной почты.

Во-вторых, будет интересно увидеть, удастся ли поставщикам повысить производительность МЭ, в особенности на магистралях. Многие популярные МЭ базируются на стандартных компьютерах (с процессорами SPARC и Intel), и мы не уверены, смогут ли они обеспечить достаточную пропускную способность.

В-третьих, интеграция различных технологий откроет новые горизонты. Мы рассчитываем увидеть расширение функциональных возможностей МЭ и еще большую консолидацию рынка.

Что все это означает? Для начала наиболее предусмотрительное руководство организаций постарается повысить эффективность управлениями своими МЭ. Обычно МЭ хорошо работают в качестве устройств контроля сетевого доступа. Однако они часто становятся неэффективными, когда дело доходит до защиты хостов: слишком много уязвимых мест ОС и приложений "ускользает" от них. Вам необходимо быть уверенными в том, что критически важные ресурсы вашей организации защищены как МЭ, так и средствами, более ориентированными на защиту ресурсов - это, в частности, HIPS (Host-based Intrusion Prevention System) - и, где это необходимо, средствами шифрования.

В то время как одни организации располагают критически важные объекты в "демилитаризованных" зонах и по периметру, другие - размещают их внутри своих сетей. Разумное местоположение МЭ может помочь обезопасить как внешние, так и внутренние объекты, и решения для защиты хостов, предлагаемые компаниями Sygate Technologies, Zone Labs, Secure Computing и 3Com заслуживают того, чтобы их рассмотреть.

Вопросы управления

С увеличением числа инсталлированных МЭ возникает много проблем с их эксплуатацией и соответственно возрастает нагрузка на администраторов. В отношении масштабируемости платформа управления МЭ, предлагаемая компанией Check Point Software Technologies, имеет заметное преимущество перед подобными решениями конкурентов. Однако, поскольку NetScreen Technologies и другие компании тоже работают над интеграцией средств управления, за сохранение своего лидерства Check Point придется побороться. В любом случае организациям, изучающим реализации МЭ, мы рекомендуется тщательно исследовать возможности управления ими. Человеческий фактор по-прежнему остается большой проблемой в управлении МЭ, и унифицированный пользовательский интерфейс может помочь снизить вероятность ошибки.

Возможность быстрой локализации и изоляции проблем критически важна для крупных многонациональных корпораций, которым приходится бороться с нашествиями "червей". Например, в 2001 г. ряд компаний из списка Fortune 500 понесли серьезные потери, когда "червь" Nimbda мгновенно проник в их ключевые Web- и почтовые серверы.

Далее, в прошлом году мы стали свидетелями нарушения "червями" работы ATC. Это было следствием того, что некоторые системы речевой почты использовали уязвимые ОС. Некоторые организации - с предусмотрительным руководством - оказались, однако, в состоянии ограничить ущерб. Они вручную установили режим изоляции с помощью обычных списков контроля доступа на маршрутизаторах. Стратегически правильно расположенные МЭ наряду с унифицированной средой управления сделали бы такое решение более эффективным. А тем, у кого вообще не было "заслона на местах", их внедрение позволило бы предотвратить потери, которые выразились шести- и семизначными числами.

Средства быстрого реагирования сочетают в себе технологии и процедуры. Организации, выработавшие четкие процедуры реагирования, своевременно обновляющие ПО маршуртизаторов и МЭ и перенастраивающие свои механизмы Web-кэширования, экономят сотни тысяч долларов на расходах, связанных с простоями и восстановлением работы систем.

На рынке МЭ масштаба предприятия, согласно данным компании Gartner, преобладают решения Cisco, Check Point и NetScreen. Продукты фирмы Check Point имеют больше функций, и в такой ситуации удастся ли Cisco и NetScreen увеличить свои доли на рынке? Компания NetScreen собирается интегрировать недавно приобретенную ею технологию NIPS фирмы OneSecure со своим семейством МЭ, а Cisco начала встраивать функции МЭ, VPN и IDS в свои магистральные коммутаторы.

И наконец, организациям следует обратить внимание на Intruvert Networks, TippingPoint Technologies и другие компании, чьи решения поддерживают функции инспекции и фильтрации трафика на прикладном уровне. Хотя не многие будут оспаривать преимущества традиционных МЭ на основе модулей-посредников (proxy), отсутствие явного прогресса в разработке таких решений, как SideWinder и Gauntlet фирмы Secure Computing и Raptor фирмы Symantec, вызывает недоумение. Вместе с тем функции "нормализации", появившиеся в OpenBSD, вызвали всплеск интереса на рынке, и теперь в таких продуктах, как IDP фирмы OneSecure (ныне NetScreen), предлагается любопытная комбинация функций предотвращения вторжений и нормализации трафика. Возможно, мы увидим, что они сумеют-таки "набраться сил" в течение нескольких ближайших месяцев (более подробную информацию о нормализации трафика можно найти по адресу http://www.aciri.org/vern/papers/norm-usenix-sec-01.pdf).

Корреляция событий

Обнаружение вторжений остается на сегодняшний день одной из актуальнейших проблем, и, хотя технология IDS выглядит привлекательно и быстро совершенствуется, мы считаем, что она обеспечивает лишь ограниченную отдачу от инвестиций, и только в том случае, если применяется разумно. Часто затраты на IDS не приносят ожидаемого результата из-за недооценки накладных расходов, связанных с мониторингом и управлением крупномасштабными системами такого рода. Проблема усугубляется еще и тем, что многие организации начинают внедрять решения, минуя этап пилотных испытаний. Результат - незавершенное внедрение, никем не просматриваемые журналы регистрации событий и катастрофическое запаздывание с обновлением сигнатур. Наконец, большинство продуктов NIDS являются по своей сути реактивными, что снижает их эффективность.

Хотя некоторые технологии, разработанные в дополнение к IDS-системам, например StealthWatch фирмы Lancope, выходят за рамки традиционных решений на основе сигнатур, большинство продуктов NIDS по-прежнему досаждают администраторам ложными предупреждениями и способны буквально завалить ими последних. Словом, большие системы IDS часто становятся тяжелой и дорогостоящей обузой для своих владельцев. Если только в ближайшее время в области NIDS-систем не будет наблюдаться существенного прогресса, мы будем вынуждены призывать относиться с осторожностью к масштабным внедрениям этой технологии без предварительной выработки стратегии касательно связанных с ней накладных расходов.

С целью упрощения анализа событий многие организации начинают с их корреляции. Мы считаем это разумным. Решения по агрегированию и корреляции событий способны справиться не только с проблемой, "куда следует посылать и где следует хранить журналы регистрации событий", но и сократить время, необходимое на анализ событий, представляющих угрозу безопасности, а также ускорить реакцию на эти события. Например, если бы вам пришлось заниматься анализом безопасности, что бы вы предпочли - шквал сообщений от сенсоров IDS или сформированное на их основе ограниченное число сообщений со ссылками на правила МЭ, ресурсы и их уязвимости?

Естественно большинство предпочло бы иметь не более двух десятков сообщений, заслуживающих внимания, вместо десятка тысяч, по поводу которых, может быть, стоит, а может быть, и не стоит беспокоиться. Хотя рынок средств корреляции событий моложе рынка IDS, он выглядит весьма многообещающим. К сожалению, средства корреляции требуют существенных капиталовложений и трудозатрат по внедрению.

Системы HIPS

Хотя изначально системы HIDS базировались на подходе, ставящем во главу угла защищаемые ресурсы, функциональность большинства их не выходит за рамки проверки записей в журналах регистрации событий и определения целостности двоичного кода. Они ориентированы на защищаемые ресурсы только в том смысле, что расположены ближе к ним - на хостах, а не в сети. К счастью, в последнее время начал активно развиваться рынок систем HIPS. Компании Entercept Security Technologies, Okena и др. создали решения, которые способны останавливать атаки известных и неизвестных типов, основываясь на профилях приложений (см.: Сети и системы связи. 2003. №2. C. 82).

Такой подход сложнее, зато позволяет не только идентифицировать атаку, но и останавливать ее. Если ваша организация готова пройти через все испытания, связанные с развертыванием на производственных системах агентов по обнаружению и предупреждению вторжений, рассмотрите возможность использования активных систем HIPS.

Как вписывается обнаружение вторжений в вашу стратегию безопасности? Ключом к эффективному управлению служит мониторинг результатов последнего. Традиционные решения NIDS помогают следить за эффективностью работы таких устройств сетевой защиты, как, например, МЭ, и сигнализируют об аномалиях. Однако мониторинг контролирующих устройств полезен лишь в том случае, если эти устройства размещены и используются надлежащим образом. Организациям, которые не предприняли шагов по идентификации защищаемых ресурсов и определению их профилей защиты, выработке политики безопасности и ее реализации, не следует внедрять крупномасштабные IDS-системы - сначала они должны позаботиться о более простых вещах. IDS-система не может заменить межсетевое экранирование, "усиление" ОС и своевременную установку "заплат".

Заглядывая в будущее

Прежде всего организации необходимо обеспечить основу своей безопасности: разработать политику безопасности, идентифицировать критически важные ресурсы, распределить роли, ответственность сотрудников и обучить их приемам безопасной работы, обеспечить своевременные обновление ПО, установку "заплат", мониторинг и управление доступом к сетевым и системным ресурсам, развернуть антивирусные средства и (по мере необходимости) средства шифрования и аудита.

Недавно появился, однако, ряд новых технологий, которые привлекли наше внимание. Например, средство сетевого анализа NetIntercept фирмы Sandstorm Enterprise помогает после предпринятой на сеть атаки ответить на вопрос: что произошло? Подобные средства полностью захватывают сетевой трафик и позволяют администраторам задним числом воспроизводить атаки, восстанавливая из отдельных кусков полную картину. Несмотря на свой реактивный характер, эти решения способны пролить свет на то, какие данные циркулируют в сети и к каким последствиям это приводит.

Другим интересным и необычным продуктом является МЭ-подобная система для телекоммуникационной инфраструктуры Enterprise Telephony Management (ETM) фирмы SecureLogix, поддерживающая, в частности, блокирование номеров для входящих и исходящих вызовов, определение типов вызовов, выдачу предупреждений в реальном масштабе времени и генерирующая отчеты о длительности и частоте вызовов. Продукт также позволяет решить одну проблему, часто ускользающую из поля зрения, - сканирование номеров с целью обнаружения подключенных модемов (war-dealing). ETM позволяет обнаруживать злоумышленников, занимающихся поиском открытых модемных пулов, что делает этот продукт инструментом многоцелевого назначения (см. http://www.ccc.rumagazine/depot/03_02/web.htm).

И в заключение хотелось бы отметить, что объемы почтового мусора (спама) достигли критических масштабов, так что он превратился в одну из проблем безопасности. Компании, подобные Big Fish Communications, борются со спамом, заимствуя приемы сервис-провайдеров и разработчиков антивирусных средств. Распределенная сеть почтовых систем фирмы Big Fish, чтобы обеспечить надежную фильтрацию спама, работает как первичная точка доступа к корпоративной почте, используя сочетание эвристических технологий, "черных" списков и методов сопоставления с образцами. Добавьте к этому защиту от вирусов и резервирование систем, и предлагаемая Big Fish услуга становится очень и очень привлекательной.

Подводя итоги, следует сказать, что не существует единого пригодного для всех плана, который бы определял приоритеты в отношении расходов на технологии защиты. Однако понимание того, какие ресурсы следует защищать, где находятся ваши слабые места и чем вам могут помочь те или иные продукты, позволит вам найти дорогу к эффективному внедрению правильной технологии.





  
4 '2003
СОДЕРЖАНИЕ

бизнес

• Анализ возврата инвестиций

• Открытый источник инноваций. Интервью Сергея Тарасова

• Кто проложит русло широкополосному потоку

• Российский ИТ-рынок считает доходы

• Еще раз об экономике контакт-центров

инфраструктура

• Тестируем коммутаторы Fibre Channel среднего класса

информационные системы

• Спектр электронных покупателей

• Нужны ли публичные Web-службы?

• Как стать уверенным в своем Web-сайте

сети связи

• Передача голоса поверх IP, ATM и DSL

• Системы DWDM: особенности и применение

• Fast Ethernet в кольце

кабельные системы

• Новое поколение оптических рефлектометров

• Тональные генераторы и щупы — простые, но важные инструменты

защита данных

• Основы безопасности ИТ

• Тактика защиты информации

новые продукты

• Консольные серверы Digi СМ, Система широкополосного радиодоступа i-BRAIN


• Калейдоскоп



 Copyright © 1997-2007 ООО "Сети и Системы Связи". Тел. (495) 234-53-21. Факс (495) 974-7110. вверх