Тенденции рынка сетевой безопасности
грозы
корпоративным сетям в наши дни непрерывно растут, они распространяются все с
большей скоростью, а их деструктивные возможности усиливаются день ото дня.
А это значит, что соответствующим образом должны развиваться и технологии отражения
этих угроз. Попробуем разобраться, что ожидает нас в течение ближайших нескольких
лет, на что стоит делать ставку, а от чего лучше отказаться. Чтобы ответить
на эти непростые вопросы, следует обратиться к истории развития хакерских технологий,
на которые должны адекватно реагировать средства сетевой безопасности.
Видимо, все слышали, о чем говорят многие операторы связи в последние два-три года. Интернет-2, сеть нового поколения (Next Generation Network), интеллектуальная сеть (Intellectual Information Network) — вот чего ожидают в самом ближайшем будущем. Появление новой сети также связывается с деятельностью многих производителей цифровой техники, например Intel, Microsoft, LG, Samsung и др., которые пропагандируют концепцию цифрового (интеллектуального, умного) дома, наполненного электроникой, самостоятельно принимающей решения. Возьмем, например, холодильник, который без участия человека контролирует не только количество, но и качество продуктов и в случае их нехватки сигнализирует поставщику о доставке необходимого. Понятно, что такой «интеллект» невозможен без использования Интернета. По этой причине число IP-устройств возрастает экспоненциально, что автоматически приводит к значительному увеличению скоростей. И если сегодня гигабитные скорости для корпоративной сети пока еще в новинку, то через несколько лет терабитные скорости станут обыденным явлением. В связи с этим первое, на что направлены усилия производителей средств сетевой безопасности, — это увеличение скорости обработки сетевого трафика с целью обнаружения в нем следов несанкционированной активности. А учитывая, что даже лучшие средства защиты не способны работать на скоростях свыше 2 Гбит/с, здесь есть над чем поработать.
Второй сегодняшней тенденцией является создание программно-аппаратных или аппаратных средств защиты. Известно, что существует два основных типа сетевых карт — обычные, устанавливаемые в персональные компьютеры, и серверные, ориентированные на высокопроизводительные компьютеры. По оценкам специалистов, скорость обработки трафика с помощью серверной сетевой карты на 30-40% выше, чем у обычной. Это достигается за счет специального процессора, который и берет на себя основную работу, не загружая ни центральный процессор, ни операционную систему. Отсюда следует вывод, что перекладывание основного объема работ с операционной системы на специализированное устройство существенно улучшит ситуацию как в плане увеличения скорости работы, так и повышения безопасности. По пути создания выделенных программно-аппаратных комплексов (Security appliance) пошли очень многие производители, особенно те, кто не имеет достаточных ресурсов для создания сетевого оборудования. Такие решения, устанавливаемые либо по периметру, либо во внутренней сети, контролируют и отражают многие несанкционированные действия.
С указанной тенденцией связано и создание аппаратных модулей. Эти разработки требуют от производителей средств защиты не только исключительных знаний и опыта в области сетевых технологий, но и наличия среди выпускаемой ими продукции такого сетевого оборудования, в которое может быть интегрирован данный модуль защиты. Пока этим занимаются лишь немногие компании, но сегодня и другие производители сетевого оборудования, осознав перспективы аппаратных средств защиты, объявили о начале работ в данном направлении. Развитием идеи аппаратных модулей, интегрируемых в маршрутизаторы и коммутаторы, стала интеграция защитных механизмов в само сетевое оборудование. Одни производители проводят исследования и разработки самостоятельно, другие работают в сотрудничестве с компаниями, занимающимися сетевой безопасностью. И все понимают, что будущее именно за интегрированной безопасностью, внедренной на уровне инфраструктуры, ибо только так можно построить действительно защищенную сеть.
Если посмотреть на перечень угроз, которые могут нанести ущерб корпоративной сети (см. статью «Угроза корпоративным сетям» в этом спецвыпуске), становится понятной следующая тенденция, главная сегодня на рынке, — создание многофункциональных устройств, служащих для отражения многих корпоративных угроз (вирусы, черви, троянцы, DoS-атаки, спам, утечки конфиденциальной информации и т.д.). Вместо последовательной установки нескольких средств защиты производители предлагают заказчикам одно устройство, работающее по принципу «всё в одном», и для очень многих компаний (особенно из сегмента малого и среднего бизнеса) это является единственным способом защитить свои ресурсы от атак.
Большинство средств сетевой безопасности построены на сигнатурных принципах и реализуют реактивный подход, позволяющий разработать шаблон уже известной атаки. До недавнего времени этот метод, широко применявшийся в первую очередь антивирусными вендорами, был практически единственным. Но то, что было эффективно 15 лет назад, перестало удовлетворять современным требованиям. В исследовательской лаборатории компании Hewlett-Packard было доказано, что сигнатурная модель имеет существенные недостатки и не может использоваться в современных системах как основной метод обнаружения несанкционированной активности. На смену ей пришел другой метод — контроль поведения и идентификация аномалий, что позволяет обнаруживать в том числе и неизвестные атаки, для которых пока не написаны сигнатуры. Необходимо отметить, что тенденция замены сигнатурных методов поведенческими наблюдается не только в области сетевой безопасности, но и в области защиты отдельных узлов.
Повышение скоростей, рост числа подключенных к Интернету узлов, нарастание объемов трафика — все это приводит к увеличению количества сигналов тревоги, передаваемых от средств защиты на консоль управления. Когда таких сообщений несколько десятков или даже несколько сотен, это не представляет большой проблемы для оператора системы защиты, анализирующего данные события и принимающего решения на их основе. Но как только число событий превышает несколько тысяч, то их становится невозможно анализировать без дополнительной обработки. И если сегодня на централизованную консоль системы защиты в крупной компании передается несколько сотен тысяч событий, то при переходе на сеть нового поколения NGN их число превысит несколько миллионов, что приведет к пропуску атак, а следовательно, система сетевой безопасности станет совершенно бесполезной. Решением данной проблемы, которую некоторые консалтинговые компании назвали «смертью систем обнаружения атак», является применение систем управления информационной безопасностью (Security Information Management System, SIMS). Основная задача таких систем — сбор, анализ и корреляция событий безопасности от разнородных средств защиты и снижение числа сообщений, которые требуют от администратора безопасности принятия решений. В России сейчас отмечается активизация спроса на такие системы, а на Западе они уже прочно обосновались в арсенале многих служб информационной безопасности.
Обобщая вышеперечисленные тенденции, можно назвать итоговую — отказ от «навесных» систем защиты и переход к интегрированной безопасности — интегрированной в сетевую инфраструктуру, в приложения, в операционные системы, в базы данных и т.п. Это позволяет учесть проблемы информационной безопасности еще на стадии проектирования автоматизированной системы, что является залогом повышения защищенности корпоративной сети и ее ресурсов. Забегая вперед, можно предположить, что мелкие игроки рынка информационной безопасности будут постепенно вытеснены оттуда более сильными компаниями, и ведущие производители ИТ-решений во всем мире уже делают соответствующие шаги в этом направлении.
