Защита сети: комплексный подход

Влад Максимов

Система управления политикой безопасности и защиты от несанкционированного доступа

Система обнаружения и предотвращения вторжений

Система анализа защищенности корпоративной сети

 

Обеспечение надежной защиты корпоративной сети — очень сложный процесс, который представляет собой непрерывную и постоянную последовательность действий по реализации комплекса мер информационной безопасности.

Что могут сделать компании для защиты корпоративной сети? Большинство экспертов по безопасности рекомендуют начать с тщательного отбора (в том числе по этическим и моральным критериям) сотрудников, в задачи которых будет входить администрирование сети и, в частности, создание и эксплуатация подсистемы информационной безопасности корпоративной сети. И хотя многие руководители полагают, что самыми широкими правами доступа к важным для компании данным обладают только они вместе с адвокатами и бухгалтерами, но это не так. Доступом ко всем конфиденциальным материалам обладают администраторы корпоративной сети. А поскольку они, как правило, не имеют долевого участия в прибылях компании, то представляют собой одну из самых серьезных потенциальных угроз для безопасности компании. Поэтому вполне очевидно, что люди, претендующие на эту работу, должны быть тщательно проверены.

Одно из последних веяний моды — прием на должность администратора сети бывших хакеров. И действительно, кто лучше них сможет поддерживать и тестировать безопасность компьютерной сети и давать необходимые рекомендации? Однако есть и другая сторона медали: предоставить привилегированный доступ к конфиденциальной информации о структуре сети и о местонахождении наиболее важных данных сомнительной личности, которая, с одной стороны, подкована технически, а с другой — не приспособлена к серьезной и кропотливой работе по обеспечению безопасности, — здесь есть, над чем подумать.

Следует учитывать, что специалист по безопасности информации отвечает за разработку, реализацию и эксплуатацию системы обеспечения информационной безопасности, направленной на поддержание целостности, пригодности и конфиденциальности данных, накопленных в компании. В его функции входит обеспечение и физической (технические средства, линии связи и удаленные компьютеры), и логической (сами данные, прикладные программы, операционная система) защиты информационных ресурсов.

Сложность создания системы защиты информации обусловлена тем, что данные могут быть похищены из компьютера (скопированы), одновременно оставаясь на месте. К тому же ценность некоторых данных заключается в обладании ими, а не в их уничтожении или изменении. При обеспечении безопасности информации необходимо принимать не только затраты на закупку и установку различных технических или программных средств, но и вопросы квалифицированного определения разумных границ безопасности и соответствующего поддержания системы в работоспособном состоянии. Объектами посягательств могут быть как сами материальные технические средства (компьютеры и периферия), так и программное обеспечение и базы данных. Каждый сбой работы компьютерной сети — это не только неприятности для работников компании и сетевых администраторов: по мере развития технологий электронных платежей и безбумажного документооборота серьезный сбой компьютерных сетей может парализовать работу целых корпораций и банков, что приведет к значительным убыткам. Поэтому защита данных в компьютерных сетях становится одной из самых острых проблем.

Главной задачей, решаемой на этапе проектирования подсистемы информационной безопасности, является обеспечение безопасности информации в компьютерных сетях, что предполагает создание препятствий для любых несанкционированных попыток хищения или модификации данных, передаваемых в сети. В то же время очень важно сохранить такие свойства информации, как доступность, целостность и конфиденциальность. Доступность информации подразумевает обеспечение своевременного и беспрепятственного доступа пользователей к интересующим их сведениям. Целостность информации заключается в ее существовании в неискаженном виде, то есть неизменном по отношению к некоторому фиксированному ее состоянию. Конфиденциальность предполагает необходимость введения ограничений доступа к данной информации для определенного круга пользователей. Следует также отметить, что такие области, как банковская и финансовая деятельность, государственное управление, оборонные и специальные структуры, требуют специальных дополнительных мер безопасности данных и предъявляют повышенные требования к надежности функционирования информационных систем.

Прежде чем приступить к созданию подсистемы информационной безопасности сети, необходимо разработать концепции и политики безопасности, которые будут приняты в компании и которые неразрывно связаны с общим планом ее развития. Правильная политика безопасности позволит не только учесть все требования по безопасности, но и оптимально использовать финансовые средства, необходимые для ее реализации. В политике безопасности должны быть учтены все составляющие информационной безопасности. В первую очередь нужно определить список объектов, на которые могут быть направлены угрозы. Естественно, в данный список должны быть включены все критически важные узлы корпоративной сети.

Необходимо провести аудит и анализ существующих и возможных внешних и внутренних угроз, определить их источники и оценить риски. Эти сведения позволят составить реальное представление о существующей и прогнозируемой степени уязвимости корпоративной сети, а также о потребностях в защите информационных ресурсов. Многие полагают, что основная угроза исходит снаружи — от внешних, сторонних лиц и организаций, от хакеров, которые пытаются проникнуть в сеть компании и получить доступ к ее информации и ресурсам. Но кто опаснее: хакер, пытающийся проникнуть в корпоративную сеть извне, или сотрудник компании, который уже имеет к ней доступ? К тому же злоумышленник может найти в компании человека, нечистого на руку, или обмануть доверчивого пользователя, используя различные психологические приемы. Тратя огромные деньги на защиту компании, ни в коем случае нельзя забывать об опасности внутренних угроз.

По результатам проведенного анализа возможных угроз определяются методы и средства обнаружения враждебного воздействия и защиты от известных угроз, а также методы и средства реагирования при инцидентах. Необходимо помнить, что ущерб часто наносится не из-за чьего-то злого умысла, а просто по причине элементарных ошибок пользователей, которые случайно портят или удаляют данные, крайне важные для компании.

С учетом всех обстоятельств принимаются решения о разработке и реализации комплексных проектов на базе широкого спектра систем и решений, сочетание которых позволяет обеспечить эффективную защиту информационных ресурсов корпоративной сети.

Одним из основных компонентов системы защиты корпоративной сети являются межсетевые экраны, которые обеспечивают организацию защитного периметра, защищающего информационные ресурсы организации от доступа извне и контролирующего процедуры взаимодействия пользователей корпоративной сети с внешними сетями, в основном с Интернетом. Межсетевой экран обеспечивает решение таких задач, как защита локальной сети от несанкционированного доступа из внешних сетей, безопасный доступ в Интернет корпоративных пользователей, удаленное подключение пользователей к ресурсам корпоративной информационной системы. На критически важные узлы корпоративной сети возможна установка отдельного межсетевого экрана.

Антивирусные продукты обеспечивают надежную защиту серверов, рабочих станций, почтовых систем и Интернет-трафика от поражения компьютерными вирусами.

Система организации защищенного удаленного доступа пользователей к ресурсам корпоративной сети предоставляет возможность создания защищенных Интернет-каналов, реализованных на базе технологии построения виртуальных частных сетей, что обеспечивает высокий уровень безопасности корпоративного трафика при небольших финансовых затратах.

Системы обнаружения вторжений и системы анализа защищенности ресурсов корпоративной сети, работающие в едином комплексе, обеспечивают предотвращение хакерских атак, позволяют предупреждать внешние и внутренние хакерские атаки, контролируют проходящий трафик и процессы на ключевых серверах сети, дают возможность в автоматическом режиме блокировать атаки, обнаруживать и устранять уязвимости в системе защиты корпоративной сети.

Средства управления политикой безопасности и защиты от несанкционированного доступа реализуют комплексные решения для организации доступа пользователей и администраторов к ресурсам корпоративной сети, предусматривают использование электронных ключей с уникальными персональными идентификаторами пользователей, электронных замков и других средств защиты серверов, рабочих станций и телекоммуникационного оборудования от несанкционированного доступа.

Многие пользователи считают, что для обеспечения надежной защиты вполне достаточно антивирусного программного обеспечения, другие полагают, что лучшее решение — полная шифрация данных. Однако использование антивирусного ПО при его правильной настройке и эксплуатации означает всего лишь то, что вирусы из общеизвестных списков с большой долей вероятности не попадут в защищаемый информационный ресурс. Кроме того, существует большое количество программ, типа троянцев и т.п., которые не обнаруживаются антивирусным программным обеспечением и могут функционировать на зараженном компьютере годами. Полное шифрование данных само по себе тоже не является панацеей, так как шифруемая стойкими алгоритмами важная информация может быть легко передана злоумышленнику так называемыми клавиатурными шпионами. В то же время следует учитывать, что система шифрования является одним из ключевых (хотя и не единственным!) элементов единой комплексной подсистемы информационной безопасности корпоративной сети компании.

Администратору подсистемы безопасности следует иметь в виду то, что конфиденциальная информация компании может быть послана сотрудником компании по электронной почте. Для обнаружения подобных фактов подсистема безопасности должна включать средства контроля содержимого почтовых сообщений.

А теперь более детально рассмотрим системы управления политикой безопасности и защиты от несанкционированного доступа, средства обнаружения и предотвращения вторжений, а также инструменты анализа защищенности ресурсов корпоративной сети.

Система управления политикой безопасности и защиты от несанкционированного доступа

Прежде всего следует отметить, что данная система не выполняет функций защиты от таких злонамеренных действий, как использование побочных электромагнитных излучений и наводок, подслушивание, подглядывание и т.п., — для противодействия подобного рода нарушениям должен быть реализован комплекс организационно-технических мероприятий по физическому контролю (размещение, охрана и т.п.) контролируемых узлов корпоративной сети. Основной же задачей системы управления политикой безопасности и защиты от несанкционированного доступа является обнаружение фактов несанкционированных действий пользователей корпоративной сети на основе сбора и анализа информации о событиях, регистрируемых на информационных ресурсах корпоративной сети.

Данная система обеспечивает мониторинг, контроль и сбор информации о действиях легальных пользователей корпоративной сети. Если по результатам анализа собранных данных выявляется факт несанкционированных действий, система блокирует дальнейшие действия нарушителя и оповещает администратора безопасности о действиях пользователя. Кроме того, система контролирует работу приложений, запущенных на рабочих станциях пользователей. Информация о случае нарушении политики безопасности записывается в базу данных системы и может использоваться для дальнейшего анализа.

В задачу этой системы входит сбор информации о следующих событиях:

  • изменение файловой системы контролируемого узла корпоративной сети;
  • использование внешних устройств ввода-вывода (дисководов, USB-устройств и т.п.);
  • запуск и остановка процессов на контролируемом узле;
  • локальная либо удаленная регистрация начала сеанса работы пользователя, а также завершение работы пользователей;
  • использование принтеров и других периферийных устройств;
  • ведение статистики использования сетевых сервисов;
  • изменение аппаратной и программной конфигурации контролируемого узла.

Система управления политикой безопасности и защиты от несанкционированного доступа имеет распределенную архитектуру и включает такие компоненты, как программные сенсоры, сервер управления сенсорами и консоль администратора. Программные сенсоры устанавливаются на контролируемые узлы корпоративной сети и обеспечивают сбор, фильтрацию и передачу параметров собранных событий серверу управления сенсорами. Сервер управления сенсорами осуществляет хранение и анализ информации о событиях, поступающих от сенсоров системы. Консоль администратора служит для централизованного управления сервером управления сенсорами и сенсорами системы, отображения результатов работы системы и формирования отчетов.

Использование таких средств защиты, как межсетевые экраны, системы контроля доступа пользователей и т.п., не дает полной гарантии устойчивости корпоративной сети к атакам. Любое программное или аппаратное обеспечение не является совершенным, и в нем имеются уязвимости, позволяющие совершить какие-либо действия в нарушение установленного порядка использования информационных ресурсов. Кроме того, реагировать на несанкционированную активность или попытки взлома сети в режиме реального времени практически невозможно, если эти функции выполняются вручную. Своевременное обнаружение попыток взлома информационных ресурсов и оперативная реакция на эти действия позволяют значительно повысить уровень защищенности сети.

В начало В начало

 

Система обнаружения и предотвращения вторжений

Данная система позволяет обнаруживать атаки и злоупотребления в отношении узлов корпоративной сети компании. Система может обеспечивать как защиту конкретного узла, так и целого сетевого сегмента. Основной принцип работы системы обнаружения и предотвращения вторжений заключается в выявлении и блокировании сетевых атак в корпоративной сети на основе анализа пакетов данных, циркулирующих в этой сети, и в последующем выявлении аномалий сетевого трафика сети. Система позволяет с равной степенью эффективности выявлять и блокировать атаки со стороны как внешних, так и внутренних нарушителей.

Для обнаружения вторжений система использует метод, основанный на выявлении сигнатур известных атак, а также метод, базирующийся на анализе поведения сети. Метод, основанный на выявлении сигнатур, обеспечивает обнаружение атак посредством специальных шаблонов. В качестве сигнатуры атаки могут выступать строка символов, семантическое выражение на специальном языке, формальная математическая модель и др., причем каждая сигнатура может быть соотнесена с соответствующей атакой нарушителя. При получении исходных данных о сетевом трафике корпоративной сети система проводит их анализ на соответствие определенным шаблонам или сигнатурам атак, хранимым в постоянно обновляющейся базе данных системы. В случае обнаружения сигнатуры в исходных данных система фиксирует факт обнаружения сетевой атаки и блокирует ее дальнейшие действия. Преимуществом сигнатурного метода является его высокая точность.

Для выявления новых типов атак в системе обнаружения вторжений реализован метод, который основан на анализе поведения корпоративной сети и использует информацию о штатном процессе функционирования корпоративной сети. Принцип работы этого метода заключается в обнаружении несоответствия между текущим режимом функционирования корпоративной сети и моделью штатного режима работы, заложенной в параметрах работы метода. Любое несоответствие рассматривается как информационная атака. В случае осуществления атаки, которая может привести к выведению из строя узлов корпоративной сети, возможны автоматическое завершение соединения с атакующим узлом, блокировка учетной записи нарушителя (если он является сотрудником компании) или реконфигурация межсетевых экранов и маршрутизаторов таким образом, чтобы в дальнейшем соединения с атакующим узлом были запрещены.

В состав системы обнаружения и предотвращения вторжений входят следующие компоненты: сетевые сенсоры, серверные сенсоры, датчики, сервер управления сенсорами, а также консоль администратора. Сетевые сенсоры, предназначенные для защиты объектов сетевых сегментов корпоративной сети, обеспечивают перехват и анализ всего сетевого трафика, передаваемого в рамках того сегмента, где они установлены. Серверные сенсоры устанавливаются на серверы корпоративной сети и обеспечивают защиту определенных сетевых сервисов сети. В числе таких сенсоров могут быть серверные сенсоры для почтовых, файловых и Web-серверов, а также для серверов баз данных. На одном сервере корпоративной сети может быть одновременно установлено несколько типов сенсоров. Датчики выполняют функции управления серверными и сетевыми сенсорами, а также функции обеспечения передачи информации между сенсорами и сервером управления сенсорами. Сервер управления сенсорами обеспечивает централизованный сбор, хранение и анализ информации, поступающей от серверных и сетевых сенсоров, и дает возможность выявления распределенных сетевых атак на основе анализа полученной информации. Консоль администратора предназначена для централизованного управления компонентами системы и отображения результатов работы системы.

Сообщение об обнаруженной атаке, как правило, формируется в соответствии со стандартом IDMEF (Intrusion Detection Message Exchange Format) и содержит следующую информацию:

  • дата и время обнаружения атаки;
  • общее описание атаки, включая возможные ссылки на дополнительные источники информации о выявленной атаке;
  • символьный идентификатор атаки по классификатору CVE (Common Vulnerabilities Exposures, http://cve.mitre.org) или CERT (Computer Emergency Response Team, http://www.cert.org);
  • уровень приоритета обнаруженной атаки (низкий, средний или высокий);
  • информация об источнике атаки (IP-адрес, номер порта, доменное имя и др.);
  • информация об объекте атаки (IP-адрес, номер порта, доменное имя и др.);
  • рекомендации по устранению уязвимости, в результате которой был зафиксирован факт реализации атаки.

База данных сигнатур атак системы обнаружения и предотвращения вторжений должна регулярно обновляться.

В начало В начало

Система анализа защищенности корпоративной сети

Система анализа защищенности предназначена для проведения регулярных, всесторонних или выборочных тестов с целью выявления и устранения уязвимостей программно-аппаратного обеспечения корпоративной сети: сетевых сервисов, операционных систем, прикладного программного обеспечения, систем управления базами данных, маршрутизаторов, межсетевых экранов, а также для проверки наличия последних модулей обновления и т.п. При выявлении уязвимостей система предоставляет администратору отчеты, содержащие подробное описание каждой обнаруженной уязвимости, данные об их расположении в узлах корпоративной сети и рекомендации по их коррекции или устранению.

В состав системы анализа защищенности входят сканеры безопасности, предназначенные для проведения заданного множества проверок в соответствии с параметрами, определенными администратором безопасности; сервер хранения результатов работы системы; консоль администратора для централизованного управления системой.

Сканер безопасности представляет собой программное средство для удаленной или локальной диагностики различных элементов сети на предмет выявления в них уязвимостей, использование которых может привести к компьютерным нарушениям. Основными пользователями таких сканеров являются системные администраторы и специалисты по безопасности. Сканеры безопасности сокращают время, необходимое для поиска уязвимостей, за счет автоматизации операций по оценке защищенности систем. Принципы работы такого сканера заключается в том, что основной модуль программы подсоединяется по сети к удаленному компьютеру. В зависимости от активных сервисов формируются проверки и тесты. Найденная при сканировании каждого порта служебная информация сравнивается с таблицей правил определения сетевых устройств, операционных систем и возможных уязвимостей. На основе проведенного сравнения делается вывод о наличии или отсутствии потенциальной уязвимости.

Система анализа защищенности требует постоянного внимания и контроля. Любое изменение конфигурации корпоративной сети компании, а также сетевого программного обеспечения должно быть исследовано системой анализа защищенности. Несоответствие в конфигурации может привести к увеличению количества ложных срабатываний, а также к появлению дыр в безопасности. Работа системы основана на анализе сетевого трафика с использованием метода сигнатур, поэтому система анализа защищенности требует постоянного обновления базы уязвимостей. Эксплуатация данной системы имеет смысл только при условии, что она развивается вместе с сетью, которую она защищает. Разумеется, что подразумевается регулярное проведение тестов.

В настоящее время многие компании, занимающиеся вопросами информационной безопасности (например, Internet Security Systems и др.), предлагают стратегию применения описанных выше систем в составе единых комплексов, позволяющих осуществлять централизованное управление информационной безопасностью корпоративной сети. С помощью единого управления всеми компонентами подсистемы информационной безопасности корпоративной сети, а также на основе сбора и анализа информации от различных компонентов в режиме реального времени можно значительно повысить эффективность работы администраторов безопасности, сократить число сотрудников соответствующих служб и уменьшить затраты на их обучение.

Подобные системы позволяют вести единую базу данных шаблонов, вариантов реагирования и обновлений для всех компонентов подсистемы безопасности, автоматизировать рутинные задачи администраторов безопасности (обновление сигнатур атак, сканирование удаленных узлов и т.д.), а также проводить всесторонний анализ различных событий путем корреляции данных от разнообразных средств защиты.

По сообщению CNews.ru, в январе этого года, в связи с наличием широкого спектра антишпионских программных комплексов, компании McAfee, Symantec, Trend Micro, ICSA Labs и Thompson Cyber Security Labs объявили о заключении соглашения по созданию методологий идентификации и тестирования для технологий, обеспечивающих противодействие шпионским программам. Тестирование продуктов будет основано на стандартизованных, независимых критериях оценки, а в среде обнаружения и тестирования будут использоваться общие стандартные образцы. По мнению участников проекта, за счет использования стандартных метрик для оценки третьей стороной, а также наличия общего стандарта для образцов можно будет сравнивать между собой характеристики продуктов, которые прежде с трудом поддавались измерению.

В заключение хотелось бы процитировать слова одного известного хакера: «В современном мире невозможно полностью исключить угрозу, связанную с компьютерной безопасностью, поскольку всегда найдутся люди, способные найти уязвимые места в системе и воспользоваться этим. Однако самое слабое место — это люди. Заставьте их понять, что безопасность — это динамический процесс, это постоянно развивающаяся, живущая по своим законам система».

КомпьютерПресс 3'2006

Наш канал на Youtube

1999 1 2 3 4 5 6 7 8 9 10 11 12
2000 1 2 3 4 5 6 7 8 9 10 11 12
2001 1 2 3 4 5 6 7 8 9 10 11 12
2002 1 2 3 4 5 6 7 8 9 10 11 12
2003 1 2 3 4 5 6 7 8 9 10 11 12
2004 1 2 3 4 5 6 7 8 9 10 11 12
2005 1 2 3 4 5 6 7 8 9 10 11 12
2006 1 2 3 4 5 6 7 8 9 10 11 12
2007 1 2 3 4 5 6 7 8 9 10 11 12
2008 1 2 3 4 5 6 7 8 9 10 11 12
2009 1 2 3 4 5 6 7 8 9 10 11 12
2010 1 2 3 4 5 6 7 8 9 10 11 12
2011 1 2 3 4 5 6 7 8 9 10 11 12
2012 1 2 3 4 5 6 7 8 9 10 11 12
2013 1 2 3 4 5 6 7 8 9 10 11 12
Популярные статьи
КомпьютерПресс использует