Информационная безопасность корпоративных сетей на основе интеграции технологий Intel AMT и Cisco Security

Технология Intel AMT

Технология Cisco Security Agent (CSA)

Интеграция технологий Intel AMT и Cisco CSA

 

Реализовать защиту корпоративной сети — ответственная работа. Необходимо оперативно и с упреждением противостоять угрозам безопасности, не дожидаясь, пока они выведут из строя сеть и снизят производительность работы конечных пользователей.

Несмотря на то что IT-подразделения предприятий тратят много времени, а также значительные деньги и силы на совершенствование своих систем безопасности, количество угроз безопасности продолжает расти. По данным подразделения Computer Security Division Национального института стандартов и технологии, в 2004 году 98% брешей в системах безопасности были связаны с программным обеспечением. При этом 73% из них были вызваны уязвимостью приложений, а 14% — уязвимостью ОС. Кроме того, промежуток времени между опубликованием предупреждений об уязвимости и выпуском обновления безопасности постоянно сокращается и необходимость быстрого обновления всех систем на предприятии отнимает все больше ресурсов.

В соответствии с результатами проведенного в 2005 году исследования ФБР, посвященного компьютерной преступности, 91% корпоративных сетей в США были защищены по периметру межсетевыми экранами. Кроме того, 98% предприятий использовали также на своих системах антивирусное ПО. Тем не менее то же исследование показало, что при этом 84% предприятий стали жертвами атак червей или вирусов, а 79% опрошенных испытали на себе воздействие шпионского ПО. Эта статистика однозначно говорит о том, что атаки продолжаются.

Одно из возможных объяснений такой тенденции — повышение внутренних угроз. В соответствии с отчетом IDC от 2004 года 60% всех серьезных угроз безопасности на предприятиях имели внутреннее происхождение. Это ясно показывает, что сегодня предприятия не могут быть уверены в том, что их внутренняя сеть является доверительной или безопасной. Проблема усугубляется тем, что современным пользователям необходим доступ к сети с разнотипных устройств и из разных местоположений.

Чтобы обеспечить информационную безопасность в современных сетевых средах, необходимо принять во внимание два аспекта: защита от угроз безопасности и восстановление системы. Важно, чтобы механизмы, которые используются для защиты целостности систем, постоянно находились в активном состоянии. Более того, в случае обнаружения системы, не соответствующей политике безопасности, сетевые администраторы должны иметь инструменты, которые позволят быстро и точно привести систему в соответствие с этими политиками.

Технология Intel AMT

Основываясь на результатах собственных исследований, корпорация Intel разработала комплекс аппаратных средств, которые обеспечат IT-администраторам новые и более гибкие возможности. Технология Intel AMT предоставляет новые инструментальные средства, позволяющие администраторам искать, восстанавливать и защищать вычислительные ресурсы независимо от того, включены они или нет, а также независимо от состояния их ОС. Корпорация Intel называет возможность дистанционного доступа к системе внеполосным доступом (out-of-band, OOB), подчеркивая, что канал связи независим от ОС и всегда доступен.

Технология Intel AMT предоставляет некоторые аппаратные средства компьютера в распоряжение службы поддержки для возможности его быстрого дистанционного диагностирования и восстановления. Устройство хранения данных сторонних производителей — энергонезависимый репозитарий — позволяет записывать и считывать информацию с помощью ПО любых разработчиков. Этот репозитарий доступен независимо от состояния системы или ее ОС. Более того, технология Intel AMT позволяет хранить информацию о системе в энергонезависимой памяти, благодаря чему служба поддержки может узнавать конфигурации всех систем в сети, совместимых с технологией Intel AMT. И наконец, технология Intel AMT позволяет перенаправлять команды по локальной сети с помощью функции Serial over LAN (SOL), а также загружать систему удаленно, используя функцию IDE Redirection (IDE-R). Сочетание этих возможностей предоставляет новые мощные инструменты, которые позволяют службе поддержки дистанционно классифицировать и восстанавливать отказавшие системы или системы, не соответствующие требованиям безопасности.

Одна из типичных моделей использования технологии Intel Active Management — восстановление систем. Служба поддержки получает сообщение об отказе системы или путем генерации события платформой, или непосредственно от конечного пользователя. Сотрудник службы поддержки устанавливает внеполосное соединение с отказавшей системой. В процессе этого сеанса связи он может проверить аппаратную конфигурацию системы и прочитать системный журнал регистрации событий, чтобы локализовать источник неисправности. Кроме того, сотрудник службы поддержки может принять решение об установке сеанса SOL и IDE-R, чтобы загрузить диагностическую ОС, запустить программу обновления или другое ПО из альтернативной операционной среды. Если неисправность не связана с физическим отказом оборудования, эти инструменты можно использовать для быстрого дистанционного восстановления систем.

В текущем году технология AMT пополнилась еще одним средством для восстановления и защиты, — технологией Circuit Breaker, предназначенной для защиты от проникновения в сеть. Она предусматривает удаленный сервер, например консоль управления или антивирусную консоль, с возможностью надежного конфигурирования комплекта аппаратных фильтров трафика на уровне платформы, которые не сможет обмануть ни одно ПО. Эта функция очень полезна для предотвращения проникновений в корпоративную сеть в случае атак червей или вирусов.

Технология Cisco Security Agent (CSA)

Атаки вирусов, червей, шпионского ПО, троянских коней и rootkit-программ могут нарушить работоспособность конечных точек тремя основными способами:

  • вывести из строя удаленную систему, на которой работает необходимое пользователю приложение. Поскольку практически все современные приложения построены по схеме «клиент-сервер», приложения будут работать только при условии, что удаленная система доступна. Если клиентская система работоспособна, но удаленная система, с которой она связана, подверглась нападению и вышла из строя, приложения работать не будут;
  • нарушить целостность клиентской системы. Если клиентская система инфицирована, вредоносное ПО может изменять важные данные, отправлять конфиденциальную информацию атакующему и/или занимать большую часть системных ресурсов, чтобы лишить конечную точку возможности нормально функционировать. Некоторые инфекции вызывают полный отказ клиентской системы и препятствуют ее дальнейшей работе;
  • препятствовать работе сети. В этом случае неважно, какая система инфицирована или отключилась — клиентский ПК или сервер. Если инфицировано много систем и они генерируют большой объем трафика, пропускной способности сети может оказаться недостаточно для нормальной работы. В этом случае в сервисе отказывает сеть, а не конечная точка, но снижение производительности будет аналогичным.

В технологии Cisco Security Agent применяется уникальный и в полной мере упреждающий подход для защиты целостности клиентских систем и серверов. Если приложению на защищаемой конечной точке необходим доступ к ресурсу, расположенному на этой точке, оно посылает запрос через системный вызов к ядру ОС. Еще до ответа ядра Cisco Security Agent перехватывает этот системный вызов и проверяет его.

Агент безопасности перехватывает такие системные вызовы, которые характерны для нарушителей защиты или для вредоносного ПО. Например, злоумышленники часто изменяют файлы в атакуемой системе, а следовательно, необходимо перехватывать обращения к файловой системе. Cisco Security Agent также перехватывает системные вызовы, связанные с использованием сети, изменениями конфигурации, запуском приложений, обращением к памяти, COM-объектами, символическими ссылками и многие другие.

После перехвата системного вызова агент безопасности сопоставляет их с другими действиями, происходящими в системе. Информация передается в механизм исполнения правил, который сравнивает поведение системы с набором централизованно определенных политик безопасности. Эти политики разрешают обычную деятельность, одновременно активно пресекая вредоносную (см. рисунок).

Например, когда запущенный Интернет-обозреватель запрашивает соединение, а затем подключается к внешнему узлу по протоколу HTTP, политики агента безопасности разрешают такую деятельность. Однако его деятельность продолжает отслеживаться и любой исполняемый контент, записанный Интернет-обозревателем на диск, помечается как ненадежный. Если ненадежный контент запускается в конечной точке и пытается выполнить такие действия, как запуск командной оболочки, изменение ключей реестра и/или перезапись системных файлов, агент включается, запрещает вредоносную деятельность и завершает выполнение вредоносного процесса.

С третьей угрозой — отказом в сетевых сервисах из-за увеличения сетевого трафика — помогает бороться функция гарантированного качества сервиса (Trusted Quality of Service), входящая в состав Cisco Security Agent. Администраторы могут устанавливать дифференцированные уровни сервиса (Differentiated Service, DSCP) для исходящего сетевого трафика для каждого процесса. Установки DSCP затем используются сетевыми устройствами таким образом, чтобы в случае высокой загрузки сети обеспечить наивысший приоритет для трафика жизненно важных приложений и более низкий — для трафика менее важных приложений.

Интеграция технологий Intel AMT и Cisco CSA

Технологии Intel AMT и Cisco CSA взаимно дополняют друг друга, позволяя решить проблемы информационной безопасности на предприятии на двух различных уровнях: на уровне платформы и на уровне сети. Технология Intel AMT предоставляет в распоряжение IT-персонала мощные инструменты для управления корпоративными платформами, а технология Cisco CSA — механизмы обеспечения безопасности, готовые к отражению атак. Функции, реализованные в Intel AMT, такие как возможность доступа к ресурсам системы или установления новых политик независимо от того, включена она или нет (Always ON), а также внеполосная связь, независимая от ОС, расширяют возможности Cisco CSA и позволяют создать более полное решение для ликвидации проблем информационной безопасности на предприятии.

 

Механизм исполнения правил сравнивает поведение системы с набором централизованно определенных политик безопасности

Механизм исполнения правил сравнивает поведение системы с набором централизованно определенных политик безопасности

Корпорации Intel и Cisco, сотрудничая с производителями BIOS и OEM-поставщиками, такими как Lenovo, интегрировали в CSA механизм предупреждения о событиях Intel AMT PET (Platform Event Trap), чтобы в нынешнем году реализовать функцию доверительной загрузки. Эта функция позволит идентифицировать ситуации, когда одна из их вычислительных платформ загружается не с первичного носителя, например с USB-устройства. Таким образом, удастся обнаруживать внутренние атаки и противостоять им, когда злоумышленник, имеющий физический доступ к платформе, попытается загрузиться со съемного устройства, чтобы обойти ОС и политики безопасности, установленные для этой платформы IT-подразделением, и получить доступ к секретной информации на жестком диске.

Когда система с технологией Intel AMT и поддержкой BIOS для генерации событий PET загружается со съемного устройства, BIOS генерирует PET-событие и отправляет его устройству управления Intel AMT ME (Manageability Engine). Компонент, называемый Event Manager, который является составной частью встроенного ПО Intel AMT ME, получает это событие и запоминает его в журнале регистрации событий, который хранится в энергонезависимой памяти (флэш-памяти). Затем AMT через внеполосный канал связи (OOB) отправит это событие на удаленную консоль управления CSA Management Console в форме сообщения прерывания SNMP. После того как CSA Management Console получит это предупреждение от Intel AMT, она выполнит соответствующее действие, предусмотренное в конфигурации. Например, CSA MC может послать сигнал тревоги на корпоративную консоль управления.

После того как консоль управления IT получила предупреждение, она может предпринять соответствующие действия, например использовать функции восстановления AMT OOB для дистанционной перезагрузки этой платформы и загрузки диагностической ОС.

Эта функция в дальнейшем может быть интегрирована с инфраструктурой Cisco NAC таким образом, что во время перезагрузки системы локальный агент CSA проинформирует инфраструктуру NAC о предыдущей небезопасной загрузке и платформа будет автоматически отправлена на карантин и передана в сеть восстановления для дальнейшего анализа.

 

По материалам компании Intel.

 

В начало В начало

КомпьютерПресс 9'2006


Наш канал на Youtube

1999 1 2 3 4 5 6 7 8 9 10 11 12
2000 1 2 3 4 5 6 7 8 9 10 11 12
2001 1 2 3 4 5 6 7 8 9 10 11 12
2002 1 2 3 4 5 6 7 8 9 10 11 12
2003 1 2 3 4 5 6 7 8 9 10 11 12
2004 1 2 3 4 5 6 7 8 9 10 11 12
2005 1 2 3 4 5 6 7 8 9 10 11 12
2006 1 2 3 4 5 6 7 8 9 10 11 12
2007 1 2 3 4 5 6 7 8 9 10 11 12
2008 1 2 3 4 5 6 7 8 9 10 11 12
2009 1 2 3 4 5 6 7 8 9 10 11 12
2010 1 2 3 4 5 6 7 8 9 10 11 12
2011 1 2 3 4 5 6 7 8 9 10 11 12
2012 1 2 3 4 5 6 7 8 9 10 11 12
2013 1 2 3 4 5 6 7 8 9 10 11 12
Популярные статьи
Моноблок HP 205 G4 22 AiO — одно из лучших решений для офисной и удаленной работы
В настоящем обзоре мы рассмотрим модель моноблока от компании HP, которая является признанным лидером в производстве компьютеров как для домашнего использования, так и для офисов. Моноблок HP 205 G4 22 — модель нового семейства, которая построена на базе процессоров AMD последнего поколения и отличается неплохой производительностью вкупе с привлекательной ценой
Logitech G PRO X Superlight — легкая беспроводная мышь для профессиональных киберспортсменов
Швейцарская компания Logitech G представила беспроводную игровую мышь Logitech G PRO X Superlight. Новинка предназначена для профессиональных киберспортсменов, а слово Superlight в ее названии указывает на малый вес этой модели, который не превышает 63 г. Это почти на четверть меньше по сравнению с анонсированным пару лет тому назад манипулятором Logitech G PRO Wireless
Материнская плата для домашнего майнинга ASRock H110 Pro BTC+
Как показало недавнее исследование Кембриджского университета — количество людей, которые пользуются сегодня криптовалютами, приближается к размеру населения небольшой страны и это только начало, мир меняется. Поэтому компания ASRock разработала и выпустила в продажу весьма необычную материнскую плату — H110 PRO BTC+, которую мы и рассмотрим в этом обзоре
Верхняя панель клавиатуры Rapoo Ralemo Pre 5 Fabric Edition обтянута тканью
Компания Rapoo анонсировала в Китае беспроводную клавиатуру Ralemo Pre 5 Fabric Edition. Новинка выполнена в формате TKL (без секции цифровых клавиш) и привлекает внимание оригинальным дизайном. Одна из отличительных особенностей этой модели — верхняя панель, обтянутая тканью с меланжевым рисунком
Изогнутый экран монитора MSI Optix MAG301 CR2 обеспечит максимальное погружение в игру
Линейку компьютерных мониторов MSI пополнила модель Optix MAG301 CR2, адресованная любителям игр. Она оборудована ЖК-панелью типа VA со сверхширокоформатным (21:9) экраном изогнутой формы (радиус закругления — 1,5 м). Его размер — 29,5 дюйма по диагонали, разрешение — 2560×1080 пикселов
Комплект SilverStone MS12 позволяет превратить SSD типоразмера M.2 2280 в портативный накопитель
Каталог продукции компании SilverStone пополнил комплект MS12. Он позволяет создать портативный накопитель на базе стандартного SSD типоразмера M.2 2280 с интерфейсом PCI Express
SSD-накопители ADATA XPG Spectrix S20G сочетают производительность с эффектным дизайном
Компания ADATA Technology анонсировала твердотельные накопители серии XPG Spectrix S20G. Они предназначены для оснащения игровых ПК и, как утверждают их создатели, сочетают высокую производительность и эффектный внешний вид
Видеокарта ASUS GeForce RTX 3070 Turbo оснащена системой охлаждения с одним центробежным вентилятором
Линейку видеоадаптеров ASUS на базе графических процессоров NVIDIA пополнила модель GeForce RTX 3070 Turbo (заводской индекс TURBO-RTX3070-8G), предназначенная для оснащения игровых ПК. Одной из особенностей новинки является конструкция системы охлаждения
КомпьютерПресс использует