Системы управления информационной безопасностью позволят взглянуть на события, происходящие в сети, с высоты птичьего полета
На границах вашей сети уже установлены сетевые экраны, системы обнаружения вторжения не подпускают к системе злоумышленников, а на настольных компьютерах работает антивирусное программное обеспечение. Но всего этого недостаточно.
Специалисты утверждают, что хакеры с каждым днем используют все более совершенные средства для организации атак, поэтому для того, чтобы защитить свою территорию, необходимо обратить внимание на самые передовые технологии и политики.
Современные средства должны сказать здесь свое слово. Системы управления информационной безопасностью (security-information management, SIM), обеспечивающие централизованное согласование действий отдельных механизмов, получение отчетов и управление продуктами различных поставщиков, у многих производителей в ближайшее время, скорее всего, войдут в состав стандартного набора предложений.
Инструменты категории SIM используют функции агрегации данных и согласования событий, аналогичные тем, которые встроены в программное обеспечение управления сетью. В качестве исходной информации используются журналы событий, формируемые сетевыми экранами, прокси-серверами, системами обнаружения вторжения и антивирусными средствами. SIM-инструментарий способен также преобразовывать предупреждения механизмов Cisco Systems и Check Point в единый формат.
В настоящее время компания NetForensics работает над созданием программного обеспечения, которое будет собирать информацию, сгенерированную различными специализированными продуктами — межсетевыми экранами, системами обнаружения вторжения или антивирусными средствами — для выявления несанкционированных действий в сети и автоматического принятия мер, необходимых для их предотвращения.
«Эта комплексная система позволит взглянуть на события, происходящие в сети, с высоты птичьего полета, — пояснил специалист NetForensics по безопасности Антон Чувакин. — Сегодня же выводы делаются на основе видения с поверхности земли».
Для распознавания особенностей атаки система обращается к базе знаний. После этого она предпринимает адекватные шаги для защиты сети.
По мнению Чувакина, специалисты по безопасности, очевидно, без энтузиазма встретят предложение предоставить системе право самостоятельно принимать решения и выполнять необходимые процедуры. Поэтому первоначально инструменты подобной направленности сначала будут выносить возможные варианты действий на суд пользователя. Но после некоторого «испытательного срока» им, скорее всего, все-таки позволят действовать на свое усмотрение.
В системе появятся инструментальные средства контроля за функционированием сети, которые будут собирать информацию об атаках, с тем чтобы помочь сетевым администраторам изучить их природу и особенности. SIM-инструментарий предпринимает профилактические меры для предупреждения атак, а в случае их успешного осуществления собирает всю связанную с ними информацию и заносит ее в базу знаний для блокирования подобных угроз в дальнейшем.
Хотя в настоящее время в мире разрабатывается сразу несколько комплексных систем, предприятиям, по мнению Чувакина, по-прежнему имеет смысл вкладывать деньги в специализированные продукты, защищающие отдельные части сети. Особенно важное значение это имеет для сетей с размытыми границами.
Атаки изнутри
По словам директора Центра перспективных средств защиты Ernst & Young Рона Нгуена, ему доводилось видеть, как черви «пожирали» сети его клиентов, используя несовершенство механизмов подключения к виртуальной частной сети.
«Если виртуальная частная сеть установлена неправильно, в ней появляется туннель для распространения вредоносных программ, — подчеркнул он. — Кабельные и DSL-подключения окружает спам, который атакует виртуальную частную сеть с целью получения контроля над корпоративным почтовым сервером».
«Размытие границ вынуждает организации защищать ядро, возлагая решение задач по обеспечению безопасности на отдельные системы и серверы, на которые устанавливаются соответствующие продукты», — отметил вице-президент Burton Group Фил Шактер. К продуктам такого типа относятся персональные сетевые экраны, которые отсекают черви и вирусы, просочившиеся в ядро сети и на прикладной уровень, а также на сетевые экраны Web-сервисов, формирующие безопасный фильтр между удаленным пользователем и приложением или Web-сайтом.
«На уровне ядра внутренние межсетевые экраны являются эффективным средством выявления и ослабления отрицательного воздействия систем конечных узлов, которые подверглись заражению червями или другими вредоносными программами, — считает Шактер. — Эти механизмы собирают данные о потоках трафика, поступающие от коммутаторов, маршрутизаторов и пассивных устройств, которые изучают сетевой трафик и реализуют политики предотвращения атак.
Лекарственная доза...
Сетевые экраны предупреждения вторжения можно использовать для проверки потоков данных, а также блокировки портов в случае возникновения такой необходимости. Это оборудование отвечает за какое-то подмножество сети, соответственно для защиты всего предприятия потребуется несколько подобных устройств.
Шактер посоветовал корпоративным пользователям применять средства обеспечения безопасности разных производителей: «В своих продуктах разработчик использует одну и ту же технологию, поэтому взломать систему, защищенную механизмами разных производителей, значительно труднее».