Информационная безопасность корпоративных сетей на основе интеграции технологий Intel AMT и Cisco Security
Технология Cisco Security Agent (CSA)
Интеграция технологий Intel AMT и Cisco CSA
Реализовать защиту корпоративной сети — ответственная работа. Необходимо оперативно и с упреждением противостоять угрозам безопасности, не дожидаясь, пока они выведут из строя сеть и снизят производительность работы конечных пользователей.
Несмотря на то что IT-подразделения предприятий тратят много времени, а также значительные деньги и силы на совершенствование своих систем безопасности, количество угроз безопасности продолжает расти. По данным подразделения Computer Security Division Национального института стандартов и технологии, в 2004 году 98% брешей в системах безопасности были связаны с программным обеспечением. При этом 73% из них были вызваны уязвимостью приложений, а 14% — уязвимостью ОС. Кроме того, промежуток времени между опубликованием предупреждений об уязвимости и выпуском обновления безопасности постоянно сокращается и необходимость быстрого обновления всех систем на предприятии отнимает все больше ресурсов.
В соответствии с результатами проведенного в 2005 году исследования ФБР, посвященного компьютерной преступности, 91% корпоративных сетей в США были защищены по периметру межсетевыми экранами. Кроме того, 98% предприятий использовали также на своих системах антивирусное ПО. Тем не менее то же исследование показало, что при этом 84% предприятий стали жертвами атак червей или вирусов, а 79% опрошенных испытали на себе воздействие шпионского ПО. Эта статистика однозначно говорит о том, что атаки продолжаются.
Одно из возможных объяснений такой тенденции — повышение внутренних угроз. В соответствии с отчетом IDC от 2004 года 60% всех серьезных угроз безопасности на предприятиях имели внутреннее происхождение. Это ясно показывает, что сегодня предприятия не могут быть уверены в том, что их внутренняя сеть является доверительной или безопасной. Проблема усугубляется тем, что современным пользователям необходим доступ к сети с разнотипных устройств и из разных местоположений.
Чтобы обеспечить информационную безопасность в современных сетевых средах, необходимо принять во внимание два аспекта: защита от угроз безопасности и восстановление системы. Важно, чтобы механизмы, которые используются для защиты целостности систем, постоянно находились в активном состоянии. Более того, в случае обнаружения системы, не соответствующей политике безопасности, сетевые администраторы должны иметь инструменты, которые позволят быстро и точно привести систему в соответствие с этими политиками.
Технология Intel AMT
Основываясь на результатах собственных исследований, корпорация Intel разработала комплекс аппаратных средств, которые обеспечат IT-администраторам новые и более гибкие возможности. Технология Intel AMT предоставляет новые инструментальные средства, позволяющие администраторам искать, восстанавливать и защищать вычислительные ресурсы независимо от того, включены они или нет, а также независимо от состояния их ОС. Корпорация Intel называет возможность дистанционного доступа к системе внеполосным доступом (out-of-band, OOB), подчеркивая, что канал связи независим от ОС и всегда доступен.
Технология Intel AMT предоставляет некоторые аппаратные средства компьютера в распоряжение службы поддержки для возможности его быстрого дистанционного диагностирования и восстановления. Устройство хранения данных сторонних производителей — энергонезависимый репозитарий — позволяет записывать и считывать информацию с помощью ПО любых разработчиков. Этот репозитарий доступен независимо от состояния системы или ее ОС. Более того, технология Intel AMT позволяет хранить информацию о системе в энергонезависимой памяти, благодаря чему служба поддержки может узнавать конфигурации всех систем в сети, совместимых с технологией Intel AMT. И наконец, технология Intel AMT позволяет перенаправлять команды по локальной сети с помощью функции Serial over LAN (SOL), а также загружать систему удаленно, используя функцию IDE Redirection (IDE-R). Сочетание этих возможностей предоставляет новые мощные инструменты, которые позволяют службе поддержки дистанционно классифицировать и восстанавливать отказавшие системы или системы, не соответствующие требованиям безопасности.
Одна из типичных моделей использования технологии Intel Active Management — восстановление систем. Служба поддержки получает сообщение об отказе системы или путем генерации события платформой, или непосредственно от конечного пользователя. Сотрудник службы поддержки устанавливает внеполосное соединение с отказавшей системой. В процессе этого сеанса связи он может проверить аппаратную конфигурацию системы и прочитать системный журнал регистрации событий, чтобы локализовать источник неисправности. Кроме того, сотрудник службы поддержки может принять решение об установке сеанса SOL и IDE-R, чтобы загрузить диагностическую ОС, запустить программу обновления или другое ПО из альтернативной операционной среды. Если неисправность не связана с физическим отказом оборудования, эти инструменты можно использовать для быстрого дистанционного восстановления систем.
В текущем году технология AMT пополнилась еще одним средством для восстановления и защиты, — технологией Circuit Breaker, предназначенной для защиты от проникновения в сеть. Она предусматривает удаленный сервер, например консоль управления или антивирусную консоль, с возможностью надежного конфигурирования комплекта аппаратных фильтров трафика на уровне платформы, которые не сможет обмануть ни одно ПО. Эта функция очень полезна для предотвращения проникновений в корпоративную сеть в случае атак червей или вирусов.
Технология Cisco Security Agent (CSA)
Атаки вирусов, червей, шпионского ПО, троянских коней и rootkit-программ могут нарушить работоспособность конечных точек тремя основными способами:
- вывести из строя удаленную систему, на которой работает необходимое пользователю приложение. Поскольку практически все современные приложения построены по схеме «клиент-сервер», приложения будут работать только при условии, что удаленная система доступна. Если клиентская система работоспособна, но удаленная система, с которой она связана, подверглась нападению и вышла из строя, приложения работать не будут;
- нарушить целостность клиентской системы. Если клиентская система инфицирована, вредоносное ПО может изменять важные данные, отправлять конфиденциальную информацию атакующему и/или занимать большую часть системных ресурсов, чтобы лишить конечную точку возможности нормально функционировать. Некоторые инфекции вызывают полный отказ клиентской системы и препятствуют ее дальнейшей работе;
- препятствовать работе сети. В этом случае неважно, какая система инфицирована или отключилась — клиентский ПК или сервер. Если инфицировано много систем и они генерируют большой объем трафика, пропускной способности сети может оказаться недостаточно для нормальной работы. В этом случае в сервисе отказывает сеть, а не конечная точка, но снижение производительности будет аналогичным.
В технологии Cisco Security Agent применяется уникальный и в полной мере упреждающий подход для защиты целостности клиентских систем и серверов. Если приложению на защищаемой конечной точке необходим доступ к ресурсу, расположенному на этой точке, оно посылает запрос через системный вызов к ядру ОС. Еще до ответа ядра Cisco Security Agent перехватывает этот системный вызов и проверяет его.
Агент безопасности перехватывает такие системные вызовы, которые характерны для нарушителей защиты или для вредоносного ПО. Например, злоумышленники часто изменяют файлы в атакуемой системе, а следовательно, необходимо перехватывать обращения к файловой системе. Cisco Security Agent также перехватывает системные вызовы, связанные с использованием сети, изменениями конфигурации, запуском приложений, обращением к памяти, COM-объектами, символическими ссылками и многие другие.
После перехвата системного вызова агент безопасности сопоставляет их с другими действиями, происходящими в системе. Информация передается в механизм исполнения правил, который сравнивает поведение системы с набором централизованно определенных политик безопасности. Эти политики разрешают обычную деятельность, одновременно активно пресекая вредоносную (см. рисунок).
Например, когда запущенный Интернет-обозреватель запрашивает соединение, а затем подключается к внешнему узлу по протоколу HTTP, политики агента безопасности разрешают такую деятельность. Однако его деятельность продолжает отслеживаться и любой исполняемый контент, записанный Интернет-обозревателем на диск, помечается как ненадежный. Если ненадежный контент запускается в конечной точке и пытается выполнить такие действия, как запуск командной оболочки, изменение ключей реестра и/или перезапись системных файлов, агент включается, запрещает вредоносную деятельность и завершает выполнение вредоносного процесса.
С третьей угрозой — отказом в сетевых сервисах из-за увеличения сетевого трафика — помогает бороться функция гарантированного качества сервиса (Trusted Quality of Service), входящая в состав Cisco Security Agent. Администраторы могут устанавливать дифференцированные уровни сервиса (Differentiated Service, DSCP) для исходящего сетевого трафика для каждого процесса. Установки DSCP затем используются сетевыми устройствами таким образом, чтобы в случае высокой загрузки сети обеспечить наивысший приоритет для трафика жизненно важных приложений и более низкий — для трафика менее важных приложений.
Интеграция технологий Intel AMT и Cisco CSA
Технологии Intel AMT и Cisco CSA взаимно дополняют друг друга, позволяя решить проблемы информационной безопасности на предприятии на двух различных уровнях: на уровне платформы и на уровне сети. Технология Intel AMT предоставляет в распоряжение IT-персонала мощные инструменты для управления корпоративными платформами, а технология Cisco CSA — механизмы обеспечения безопасности, готовые к отражению атак. Функции, реализованные в Intel AMT, такие как возможность доступа к ресурсам системы или установления новых политик независимо от того, включена она или нет (Always ON), а также внеполосная связь, независимая от ОС, расширяют возможности Cisco CSA и позволяют создать более полное решение для ликвидации проблем информационной безопасности на предприятии.
Механизм исполнения правил сравнивает поведение системы с набором централизованно определенных политик безопасности
Корпорации Intel и Cisco, сотрудничая с производителями BIOS и OEM-поставщиками, такими как Lenovo, интегрировали в CSA механизм предупреждения о событиях Intel AMT PET (Platform Event Trap), чтобы в нынешнем году реализовать функцию доверительной загрузки. Эта функция позволит идентифицировать ситуации, когда одна из их вычислительных платформ загружается не с первичного носителя, например с USB-устройства. Таким образом, удастся обнаруживать внутренние атаки и противостоять им, когда злоумышленник, имеющий физический доступ к платформе, попытается загрузиться со съемного устройства, чтобы обойти ОС и политики безопасности, установленные для этой платформы IT-подразделением, и получить доступ к секретной информации на жестком диске.
Когда система с технологией Intel AMT и поддержкой BIOS для генерации событий PET загружается со съемного устройства, BIOS генерирует PET-событие и отправляет его устройству управления Intel AMT ME (Manageability Engine). Компонент, называемый Event Manager, который является составной частью встроенного ПО Intel AMT ME, получает это событие и запоминает его в журнале регистрации событий, который хранится в энергонезависимой памяти (флэш-памяти). Затем AMT через внеполосный канал связи (OOB) отправит это событие на удаленную консоль управления CSA Management Console в форме сообщения прерывания SNMP. После того как CSA Management Console получит это предупреждение от Intel AMT, она выполнит соответствующее действие, предусмотренное в конфигурации. Например, CSA MC может послать сигнал тревоги на корпоративную консоль управления.
После того как консоль управления IT получила предупреждение, она может предпринять соответствующие действия, например использовать функции восстановления AMT OOB для дистанционной перезагрузки этой платформы и загрузки диагностической ОС.
Эта функция в дальнейшем может быть интегрирована с инфраструктурой Cisco NAC таким образом, что во время перезагрузки системы локальный агент CSA проинформирует инфраструктуру NAC о предыдущей небезопасной загрузке и платформа будет автоматически отправлена на карантин и передана в сеть восстановления для дальнейшего анализа.
По материалам компании Intel.