Ж у р н а л   о   к о м п ь ю т е р н ы х   с е т я х   и   т е л е к о м м у н и к а ц и о н н ы х   т е х н о л о г и я х
СЕТИ И СИСТЕМЫ СВЯЗИ on-line
  ПОИСК: ПОДПИСКА НА НОВОСТИ: НОМЕР:
    ДОМОЙ • Архив: Новостей | Конференций | НомеровПодписка
 
   
 
   
    
РЕДАКЦИЯ
 
Все о журнале
Подписка
Как проехать
Где купить
Отдел рекламы
График выхода журнала
Адреса в Интернет

РУБРИКАТОР
   
• Инфраструктура
• Информационные
   системы

• Сети связи
• Защита данных
• Кабельные системы
• Бизнес
• Колонка редактора
• Электронная
   коммерция

• Только на сервере
• Системы
   учрежденческой
   связи

• Новые продукты


Rambler's Top100

  

Последний рубеж обороны

Майкл Дж. Димариа

Безопасность периметра сети подчас подводит нас. Чтобы уберечь ваше предприятие от атак с разных фронтов, используйте средства защиты уровня хоста.

Администраторы корпоративных сетей не должны думать, что все атаки осуществляются только из Интернет. На самом деле нападения можно ждать из-за любого угла, и взломщик не станет крушить ворота напропалую, если можно потихоньку влезть в окно. Вот вам пример: когда появился “червь” MS SQL Slammer, администраторы решили, что смогут обеспечить безопасность, заблокировав на межсетевом экране UDP-трафик по 1434-му порту. Как бы не так! Беспрепятственно попав сначала в ноутбуки мобильных сотрудников, “червь” затем быстренько проник и в корпоративные сети.

Сложность системы защиты экспоненциально возрастает, когда приходится “держать оборону сразу на нескольких фронтах”. Крупные предприятия, как правило, используют для этого многочисленные межсетевые экраны, VPN- и антивирусные шлюзы, устройства аутентификации удаленных пользователей, IDS-сенсоры и т. д., что осложняет осуществление таких простых вещей, как блокирование порта или IP-адреса. Атакующему нужно найти всего лишь одну “дыру”, и считайте, что он свое дело сделал.

Защита одного лишь периметра сети теперь не помогает, так как у сети нет больше четко выраженного периметра. БЛВС, удаленные пользователи, зашифрованные коммуникации, Web-службы, промышленный шпионаж, нелояльные сотрудники, нанятые со стороны администраторы и жертвы социальной инженерии — все это приводит к его “размыванию”.

Мы не говорим, что пора отказаться от межсетевых экранов и контент-шлюзов — многоуровневая защита является основной доктриной информационной безопасности. И все же атаки на корпоративную сеть изнутри наносят больший урон, чем атаки извне.

Уделите внимание конечным узлам. Используйте проактивную модель защиты. Здесь “на сцену выходят” системы предотвращения вторжений уровня хоста (Host Intrusion Prevention — HIP). Предоставляя программам или пользователям доступ к ОС, HIP-продукты ограничивают их права чтения, записи и исполнения, а также защищают такие системные ресурсы, как порты, файлы и ключи реестра.

Основным недостатком большинства ОС является всемогущество пользователя, наделенного правами администратора. Если атакующий сумеет получить привилегированный доступ к системе, у него появится полный контроль над ней.

Чтобы HIP-решения работали надлежащим образом, необходимо правильно определить политику безопасности. Комплексные корпоративные приложения, такие, как реляционные базы данных и ПО совместных работ, требуют длинных и сложных наборов правил, которые могут значительно варьироваться от сервера к серверу. Большинство HIP-продуктов помогут вам разработать политику безопасности, но не снимут весь груз забот с ваших плеч. Так, инсталляции пакетов обновления ПО могут нарушить всю существующую политику.

Примите во внимание и стоимость: самый недорогой HIP-продукт, который мы тестировали, обойдется вам не меньше чем в 1 тыс. долл. в расчете на один защищаемый сервер. Добавьте к этому расходы на обучение, техническую поддержку, анализ журналов, выработку и внедрение политики безопасности.

Экономический эффект

Оценивать окупаемость внедрения средств информационной безопасности — это все равно, что искать выгоду от покупки детекторов дыма. Если ваш дом до сих пор не загорелся, означает ли это, что вы потратили свои деньги зря? При обосновании инвестиций в систему защиты корпоративной ИТ-инфраструктуры следует исходить из объема возможных потерь в случае ее взлома.

Например, недавно появилась информация о том, что за несколько месяцев из компании BJ Wholesale Club были украдены 40 тыс. номеров кредитных карт. Подобные случаи оборачиваются для компаний миллионными убытками и судебными тяжбами. А дурная слава едва ли добавит им клиентов.

Хорошо еще, что случай с BJ обнародован. До недавнего времени компании, как правило, всячески скрывали подобные факты. Для борьбы с этим в штате Калифорния недавно был принят закон, согласно которому клиент должен быть немедленно уведомлен о нарушении конфиденциальности его персональных данных. Аналогичные законы разрабатываются и в других штатах, и, возможно, соответствующий законопроект скоро появится на федеральном уровне. Под давлением законодательных инициатив и угрозы публичных скандалов компаниям едва ли нужны дополнительные стимулы для усовершенствования защиты своих корпоративных систем.

На самом деле HIP-решение способно помочь вам сэкономить деньги. Сколько средств ваша организация потратила на зачистку вирусов? HIP-продукты не позволят новым “червям” нанести ущерб вашим серверам. Вы вынуждены периодически “латать” ПО и для этого на какое-то время останавливать работу критически важных систем? Технология HIP дает вам время на то, чтобы спокойно протестировать “заплату”, не подвергая при этом риску ни один из ваших серверов.

Подведем итог вышесказанному: ни одна технология защиты не станет панацеей от всех сетевых бед. Сколько бы фирмы — поставщики средств безопасности ни расхваливали свои продукты, “сломать” можно все, что угодно. Защита не является продуктом или услугой, которыми можно воспользоваться, прибегнув к аутсорсингу. Это непрерывно продолжающийся процесс, установленный политикой безопасности. Требуя точного определения, кто и что может делать, HIP-решения стимулируют вас к разработке такой политики для вашего же блага. Возможно, покупка HIP-продукта — это наилучшее вложение денег с целью обеспечения защиты информационной системы вашего предприятия..





  
9 '2004
СОДЕРЖАНИЕ

бизнес

• Инвестиционный аспект проекта «Тетрарус»

• Успехи и проблемы ИКТ-индустрии

инфраструктура

• PCI Express ускорит работу сервера

• Коммутаторы контента

• Холодное решение «горячих» проблем

• Стандарты WPA и 802.11i

информационные системы

• Сила портала

• Современные средства управления персоналом в call-центре

сети связи

• Информационно-аналитические операторские центры

• IP поднимает интерес к видеоконференц-связи

• Новые возможности развития WMAN

кабельные системы

• Рождение универсального конвертера

• Коаксиальный кабель не уходит в прошлое

защита данных

• Последний рубеж обороны

• Броня для сервера

новые продукты

• Мобильный IP-телефон от Zyxel; Решения STROM telecom для сетей мобильной связи; Универсальная система доступа HYTAS; Надежный Comet; Коммуникации по электросети


• Калейдоскоп



 Copyright © 1997-2007 ООО "Сети и Системы Связи". Тел. (495) 234-53-21. Факс (495) 974-7110. вверх