Internet-безопасноcть корпоративных сетей
Дмитрий Ершов: «В Сети появляется все больше ресурсов с хакерским ПО» |
Эту истину взяли на вооружение специалисты учебного центра компании «Информзащита», проводившие 16 июня семинар «Internet-безопасноcть организаций». Семинар начался с демонстрации успешной атаки на информационную сеть корпорации, с полной визуализацией действий злоумышленника, приведшей к установлению полного контроля над основными узлами сети.
После столь наглядной «агитации» удержать присутствующих в зале от немедленного побега к своим рабочим местам, вероятно, помогла только выдержка и надежда на пресловутое «авось», которое в подавляющем большинстве случаев работает исправно.
В «Информзащите» не только изучили портрет и мотивы поведения хакера, но и разработали методики по устранению причин и следствий вмешательства виртуальных гостей в информационные недра корпораций. Собственно, формальным поводом проведения семинара явилось появление в списке учебных дисциплин для специалистов в области администрирования и защиты сетей такого курса, как «Безопасность корпоративных сетей». По словам заместителя директора учебного центра «Информзащиты» Дмитрия Ершова, ключевым аспектом программы данного курса станет поиск уязвимых мест корпоративных сетей и нейтрализация атак на них.
Об «образе врага»
Как следует из статистики, типичного хакера в духе Кевина Митника было бы слишком наивно считать врагом номер один корпоративной безопасности. Профессиональный уровень совершающих атаки злоумышленников постоянно падает, ибо в Сети появляется все больше ресурсов, с которых можно скачать бесплатное хакерское ПО. Настоящие хакеры сегодня подались в серьезные исследования тиражируемых программных продуктов на предмет выявления изъянов защиты и разработку таких же стандартных средств взлома, которыми затем может воспользоваться любой мало-мальски опытный пользователь ПК. Кроме того, идейных хакеров остается все меньше, так как софтверные корпорации на своем опыте постигли, что лучше с ними поддерживать взаимовыгодные отношения, чем ссориться.
Но вывод, что основная опасность исходит от непрофессионалов, в руки которых попадают достаточно эффективные средства взлома, тоже не вполне верен. Прежде всего, нельзя недооценивать фактор внутренней угрозы со стороны собственных сотрудников, а также слишком очевидные «дыры» в защите информационной системы, которые часто становятся побуждающим мотивом совершения противозаконных и безнаказанных действий.
«Дыры» имеют строгую классификацию по ряду признаков — уровню в информационной инфраструктуре предприятия, уровню риска и причинам возникновения. Примечательно, что в информационной инфраструктуре специалисты по безопасности выделяют, помимо уровней стандартной модели OSI, так называемый уровень персонала, указывающий на влияние человеческого фактора. Этот фактор проходит красной нитью через все основные классификаторы угроз и атак, которыми принято оперировать в области информационной безопасности. Взять, к примеру, классификацию по признаку «ошибки в эксплуатации» или «мотивация действий». Как считают аналитики, месть сотрудника наиболее часто встречается среди мотивов атаки, а взломы сети из корыстного интереса злоумышленника чаще всего замалчиваются руководством пострадавшей организации, иначе процент этого фактора находился бы в статистике корпоративных инцидентов гораздо выше.
Атаки на корпоративную сеть делятся, в свою очередь, на группы в соответствии с механизмами их реализации. Самый «безобидный» тип атаки — это пассивное прослушивание трафика, которое осуществляется в рамках одного сегмента сети Ethernet и при соблюдении базовых мер предосторожности, таких как передача конфиденциальной информации в закрытом виде, не может привести к серьезным последствиям. К атакам средней степени риска относятся сканирование портов (разведка) и провоцирование отказа компонента системы. Отказы компонентов, типа зависания приложения или перезагрузки системы, возникают вследствие использования стандартных ошибок, которых особенно много выявляется в новых версиях операционных систем, например в Windows 2000.
Атаки, могущие привести к установлению полного контроля над системой, являются самыми опасными и нередко даже являются причиной банкротства предприятия. Традиционный механизм реализации подобного рода вторжений — запуск исполняемого кода на объекте атаки. Инструментами злоумышленников обычно выступают «черви» и «троянцы», прикрепляемые к телу электронных сообщений, или компоненты Java и ActiveX, запускаемые на клиентской машине при просмотре Web-страниц.
Средства защиты
Ведущий специалист НИП «Информзащита» Алексей Лукацкий, являющийся одновременно сертифицированным инструктором американской компании Internet Secure Systems (ISS), коснулся характерных недостатков, присущих традиционным системам безопасности, в которых отсутствует комплексная стратегия решения задачи. Если говорить вкратце, такие средства «не упреждают, а лишь предотвращают развитие атаки», что, разумеется, не может гарантировать избежания деструктивных последствий. Хотя логично было бы вводить в действие средства защиты не на этапе реализации атаки, а на подготовительном этапе, когда злоумышленник занимается поиском уязвимостей и вообще производит какие-либо подозрительные действия.
Не менее важна эффективная работа средств защиты на третьем, завершающем этапе атаки. Ведь именно так администратор безопасности может оценить реальный ущерб и разработать адекватные меры пресечения дальнейших попыток реализовать подобную атаку.
По мнению Лукацкого, ни один из отдельно функционирующих механизмов сетевой защиты, будь то межсетевой экран (firewall), сервер аутентификации или система разграничения доступа, не может служить доказательством защищенности корпоративной сети. Более того, это справедливо и в том случае, если наряду с такими механизмами используются средства поиска уязвимостей. С развитием Internet ситуация стала такова, что, как считают известные эксперты в этой области, «системные администраторы физически не имеют возможности вовремя реагировать на всевозрастающее число уязвимостей». Единственно верной политикой администратора системы может являться использование адаптивного механизма поиска слабых мест и блокирования атак.
Одна из компаний, которая в числе первых подхватила идею адаптивной безопасности, стала ISS, чьим официальным партнером на российском рынке является НИП «Информзащита». Как отметил Лукацкий, каждая компания-разработчик дала свое название новой технологии управления безопасностью. Например, ISS назвала свой подход «моделью адаптивной сетевой безопасности», Cisco Systems использует название «активный аудит», а в «Информзащите» придерживаются определения «технология управления информационной безопасностью ?Беркут?. Несмотря на различия в заголовках», суть предлагаемых подходов одинакова. Это комплексная система, в которой реализуются следующие технологии: процесс анализа защищенности и поиска уязвимости, процесс обнаружения атак, адаптивный компонент, расширяющий возможности первых двух процессов, и управляющий элемент системы.
Если рассматривать семейство продуктов ISS SafeSuite, поставляемых в Россию «Информзащитой», то использование полного набора средств защиты позволяет гарантированно перекрывать возможные лазейки для осуществления хакерской деятельности. По словам представителей «Информзащиты», это решение является на сегодняшний день единственной комплексной системой, в которую включены все компоненты адаптивного управления безопасностью сети. Сюда входят система анализа защищенности на уровне сетевых протоколов и служб Internet Scanner, система анализа защищенности на уровне ОС System Scanner, система анализа защищенности на уровне СУБД Database Scanner, а также две подсистемы обнаружения атак — на уровне сети (RealSecure Network Engine) и на уровне узла системы (Real Secure System Agent).
В настоящее время линейка продуктов ISS претерпевает значительное расширение. На базе SafeSuite создано семейство SafeSuite Enterprise и система поддержки принятия решений в области информационной безопасности SafeSuite Decisions. Как выяснилось, в России уже зафиксирован факт применения системы SafeSuite Decisions в крупной, территориально рассредоточенной корпорации.
Внедрение адаптивных механизмов обеспечения безопасности представляет собой качественный шаг вперед в вопросе выработки стратегии информационной защиты корпоративной сети. Впервые стала возможной реализация выбранной комплексной политики безопасности программными методами. Изменилась даже терминология, которой пользуются администраторы систем в процессе осуществления задач своей деятельности. Если в традиционных методах защиты администраторы оперировали понятиями «файл», «диск», «узел сети», то в адаптивных системах минимальной единицей управления могут являться укрупненные объекты типа «сотрудник», «задача», «сценарий». Это понятия, характерные для так называемого «задачного подхода», который, к примеру, лежит в основе уже упоминавшейся технологии «Беркут». Смысл задачного подхода в осуществлении политики безопасности состоит в достижении соответствия между моделями «как это есть на самом деле» и «как должно быть». Естественно, всегда будет существовать разница между ожидаемым и действительным. Исходя из этого задача администратора безопасности будет трансформироваться в емкий и всеобъемлющий тезис: сокращение данного интервала безопасности.