Корпоративные сети приобрели критическую роль для бизнеса, став теми артериями и капиллярами информационной системы, по которым аппаратные устройства и приложения связываются между собой и обмениваются данными. Но теперь любая угроза их функционированию представляет большой риск для бизнеса в целом, да и сами они стали источниками опасности — вирусы, «черви», спам, хакеры, неблагонадежные сотрудники...
Наиболее старым видом угроз является проникновение в корпоративную сеть извне, причем вторжение не обязательно сопровождается взломом в классическом понимании этого термина. Так, Кевину Митнику, самому известному хакеру-обманщику, в свое время удавалось проникнуть в сети многих организаций только благодаря таланту устанавливать контакты с их сотрудниками и обманом вытягивать нужные сведения. По словам хакера-ветерана, социальная инженерия порой позволяет быстро подобрать ключ к любой обороне, как бы хорошо она не была организована. Объектом атаки становится самое слабое звено в цепи защиты — человек. Именно поэтому сегодня отделы ИТ стараются не раскрывать детали инфраструктуры безопасности компании рядовым сотрудникам и жестко ограничивать их права доступа необходимыми для работы рамками. В целом приемы социальной инженерии не изменились за прошедшие десять лет, но организационно-технические меры могут свести опасность и эффективность подобных атак к минимуму.
СЕТЕВЫЕ АТАКИ
Современная сетевая атака зачастую предполагает использование уязвимых мест в программном обеспечении, к которому злоумышленник имеет доступ из-за периметра сети. Еще десять лет назад такие попытки носили единичный характер, так как информация о таких слабостях не была широко доступна, как сейчас. Наличие своевременно и достаточно полно обновляемой базы с описаниями уязвимостей для информирования администраторов о существующих угрозах нередко оборачивается против тех, для кого она создана.
Казалось бы, от ошибок в программном обеспечении клиенту защититься невозможно, поскольку идеального ПО не существует. На практике же разработчики приложений не только оперативно выпускают пакеты исправлений к своим продуктам, но и предлагают специальные средства (порой бесплатные) для их автоматической установки, управления обновлениями, а также для аудита имеющейся инфраструктуры ИТ на предмет наличия соответствующих исправлений. Таким образом, если сегодня хакеру удастся воспользоваться обнаруженной и опубликованной уязвимостью, взломать корпоративную сеть и причинить ущерб, то в 99% случаев ответственность за это должен нести тот администратор, в чьи обязанности входит своевременная установка обновлений на узлы корпоративной сети.
С того момента, как информация об уязвимости появилась в Internet, и до выпуска разработчиком необходимой «заплаты» проходит от нескольких дней до нескольких недель. За это время злоумышленник теоретически может воспользоваться опубликованными сведениями и взломать сеть предприятия, но на практике этого чаще всего не происходит: если уязвимость действительно критическая, исправление выпускается очень быстро, а незначительная ошибка потребует много времени для реализации успешного взлома.
Еще одним видом сетевой атаки является атака по типу «отказ в обслуживании» (Dental of Service, DoS). По некоторым сведениям, подобные атаки появились в 1999 г. (см., например, книгу Стивена Норткатта и Джуди Новак «Обнаружение вторжений в сеть»). Впрочем, одна из самых массовых атак DoS была осуществлена вовсе не злоумышленниками: некоторые предприятия настолько боялись пресловутой проблемы Y2K (2000 г.), что просто отключили свои информационные системы на рубеже тысячелетия и таким способом сами лишили себя обслуживания. Любопытно, что сама концепция этой атаки была разработана отнюдь не для злонамеренных действий: инженеры пытались найти способ тестирования узлов сети и определения пороговых нагрузок, которые те способны выдержать.
Особое место занимают распределенные атаки по типу «отказ в обслуживании» (Distributed DoS, DDoS). В таких атаках принимают участие несколько тысяч компьютеров, подключение которых в Internet осуществляется, как правило, по широкополосному соединению. Сегодня атаки DDoS являются излюбленным техническим средством шантажа владельца сетевого ресурса с целью вымогания у него денег. По данным исследования Института компьютерной безопасности (Computer Security Institute) и ФБР под названием CSI/FBI Computer Crime and Security Survey, атаки DDoS заняли второе место по величине причиненного ущерба (64 млн долларов).
Для борьбы с современными сетевыми атаками применяются межсетевые экраны, которые часто оснащаются еще и функциями систем обнаружения вторжений. Основная технология, используемая в современных брандмауэрах, называется Deep Packet Inspection (DPI). За последние полтора года она превратилась в стандарт де-факто для мощных корпоративных брандмауэров и реализована в продуктах самых крупных разработчиков: Microsoft, Cisco, Check Point, Symantec, Nortel, SonicWall, NAI, Juniper/ Netscreen и др. DPI позволяет заглянуть внутрь каждого пакета (включая поле данных). Решение «разрешить» или «блокировать» принимается на основе правил, которые задает администратор. Сам же механизм DPI использует правила на основе сигнатурного сравнения, эвристических и статистических технологий, а также определения аномалий.
Благодаря DPI брандмауэр в состоянии анализировать и фильтровать SOAP и другие документы XML, динамически открывать и закрывать порты для трафика VoIP, осуществлять сканирование вирусов и фильтрацию спама, динамически пропускать трафик мгновенных сообщений, противостоять атакам на службы NetBIOS, обрабатывать трафик P2P (около 35% всего трафика в Internet), проверять сеансы SSL и т. д. Применение DPI делает излишней функциональность систем обнаружения вторжений (Intustion Detection System, IDS): по сути, брандмауэр с DPI включает в себя и IDS.
Однако DPI появилась далеко не сразу. Первой технологией была Shallow Packet Inspection. Такой межсетевой экран отделял две и более сетей друг от друга, мог разрешать или запрещать трафик на основании протокола передачи, вел журнал событий, обеспечивал трансляцию адресов (Network Address Translation, NAT), играл роль конечной точки в VPN, а в случае проблем блокировал абсолютно весь трафик. (К этому же классу относится технология контекстной проверки Stateful Inspection, появившаяся на рынке благодаря компании Check Point Software Technologies.)
Следующей технологией стала Medium Depth Packet Inspection, суть которой сводилась к введению proxy-сервера приложений. Другими словами, приложение не могло установить прямое соединение с сервером, а сервер — с приложением, поскольку между ними всегда находился посредник в лице proxy-сервера. Ряд компаний (Check Point, Cisco, Symantec, Netscreen и NAI) начали встраивать в свои приложения фильтры для анализа трафика приложений (конечно, не всех, а только некоторых, работающих по нескольким основным протоколам).
Далее наступило время технологии DPI. Анализ полей данных в передаваемом трафике требует значительных вычислительных мощностей, поэтому он часто реализуется аппаратно. При всех перечисленных выше достоинствах DPI межсетевой экран с этой технологией подвержен атакам переполнения буфера, атакам DoS, более изощренным вторжениям, а также уязвим для некоторых «червей». Сложность механизма DPI привела к появлению большого числа эксплоитов для конкретных моделей брандмауэров.
Теперь брандмауэры признаны обязательным средством защиты — по данным ФБР, их используют 98% компаний, но при этом 56% по-прежнему страдают от вторжений. DPI — многообещающая технология, которая, возможно, решит эти проблемы. Новые реализации брандмауэров с DPI способны анализировать пакеты на гигабитных скоростях, а объединение систем обнаружения вторжений с межсетевым экраном упрощает настройку и управление решением.
Тем не менее у нее есть и минусы. Независимая реализация брандмауэра или IDS, как нескольких автономных компонентов, позволяет избежать ситуации, когда сеть оказывается незащищенной в случае выхода из строя одного из них. К тому же такой подход делает возможным покупку различных частей решения у разных поставщиков. Между тем применение DPI увеличивает сложность и без того не простых продуктов — брандмауэров, IDS, серверов и сетей приманок, а кроме того, требует постоянного наблюдения, изменения настроек и анализа журнала.
ВРЕДОНОСНЫЕ КОДЫ
Согласно упоминавшемуся исследованию Института компьютерной безопасности и ФБР, вредоносные коды заняли третье место по причиненному ущербу (27 млн долларов), так что сегодня это одна из самых актуальных угроз. До 1995 г. существовали только файловые и загрузочные вирусы, которые распространялись на дискетах. После выхода Microsoft Windows 95 и Microsoft Office 95 появились макровирусы. В 1999 г. был создан первый современный сетевой «червь» — Happy99, а в 2001 г. — первый бестелесный «червь».
Сетевые «черви» — самые опасные представители вредоносных кодов, а бестелесные «черви» способны за несколько минут сделать неработоспособной всю современную инфраструктуру Internet. Причем угроза эта отнюдь не мифическая: бестелесный «червь» Slammer в конце января 2003 г. смог «обездвижить» около 25% всей сети Internet. Через 5 мин после начала эпидемии были заражены компьютеры в Южной Корее, Японии, США, Западной Европе, а через 15—20 мин было инфицировано более 100 тыс. компьютеров по всему миру.
Бестелесные «черви» впервые появились летом 2001 г., когда была зарегистрирована вспышка эпидемии печально известного CodeRed. В отличие от классических почтовых «червей» в процессе заражения и распространения они не используют ни временных, ни постоянных файлов, проникают на компьютеры через бреши в системах безопасности и существуют исключительно в виде пакетов данных, передаваемых по коммуникационным каналам, или в виде программного кода в памяти зараженного компьютера.
Бороться с бестелесными «червями» очень трудно. Проблема в том, что скорость их распространения гораздо выше, чем типичная скорость реакции антивирусных компаний. «Черви» данного типа передаются по Internet, т. е. в цепочке распространения отсутствует такой «замедлитель» вирусных эпидемий, как человек (не надо открывать зараженный файл, не надо щелкать по вложению и т. п. — вирус запускает себя сам в момент проникновения на компьютер-жертву). Скорость же реакции разработчиков антивирусных решений — это скорость работы человеческого ума и пальцев, которая значительно уступает молниеносным эпидемиям бестелесных «червей», приобретающим глобальный характер.
Но это — не единственная опасность, возникшая в результате эволюции вирусных угроз. Новым явлением стали войны между вирусописателями. По данным «Лаборатории Касперского», 3 марта 2004 г. всего за 3 ч появилось сразу пять новых модификаций печально известных вредоносных программ Bagle (версии i, j), Mydoom (версии f, g) и Netsky (версия f). В конфликт были вовлечены три группировки киберпреступников: создатели Netsky, с одной стороны, и разработчики Mydoom и Bagle, с другой. Каждая новая модификация «червей» несла в себе очередное послание к противнику, изобилующее нецензурными выражениями. Главными же пострадавшими оказались обычные пользователи.
Ответом на эволюцию вредоносных кодов и появление почтовых и бестелесных «червей» стала интеграция антивируса в межсетевой экран. Сегодня почти каждый брандмауэр позволяет сканировать трафик на наличие вирусов — только таким способом можно победить бестелесных «червей», которые еще не успели проникнуть внутрь защищаемого периметра. Следует отметить, что в свою очередь антивирусные программы для рабочих станций также оснащены функциональностью межсетевого экрана и способны противостоять подобным угрозам.
В заключение заметим, что современные антивирусные пакеты способны контролировать все точки проникновения вредоносных кодов в сеть: серверы Web, почтовые шлюзы, рабочие станции и т. д. Поэтому при правильной организации антивирусной обороны почтовые «черви» и другие виды вредоносных кодов не страшны.
НЕЖЕЛАТЕЛЬНЫЕ ПОЧТОВЫЕ РАССЫЛКИ
По данным исследования компании MessageLabs, которая в течение января 2005 г. фильтровала более 90 млн сообщений в день, 83,1% всех электронных писем оказались спамом. Таким образом, 10 из 12 сообщений были признаны нежелательными. Опасность спама заключается не только в дополнительном трафике для получателей писем, в перегрузке сетей передачи данных и упущенной выгоде для компаний, чьи сотрудники тратят время на разбор ненужной корреспонденции. Рассылка спама теперь напрямую связана с созданием и распространением вредоносных кодов.
Спам появился с 1995 г., возможно, немного раньше. В любом случае на первом этапе нежелательные рассылки не представляли большой угрозы, так как не носили столь массового характера, как сегодня. В 1999 г. спамеры начали навязывать пользователям рекламу платных ресурсов Web и получать за это деньги от своих клиентов — так появился новый вид бизнеса. Заметим, что в качестве средств рассылки в 1999 г. использовались открытые почтовые серверы. С ростом коммерциализации начала набирать ход торговля базами электронных адресов, как общими, так и специализированными (в расчете на конкретную аудиторию): например рассылка писем только по Москве, России или СНГ. Злоумышленники занялись предложением услуг целевой рекламы.
В 2001 г. появились троянские proxy-серверы. Повсеместное внедрение списков RBL с адресами спам-серверов стало затруднять деятельность тех, кто занимался рассылкой. Им понадобились новые серверы, за которые не надо было платить. Нашелся эффективный выход — превратить удаленный зараженный компьютер в proxy-сервер, который и будет выполнять всю грязную работу. Этот пример весьма показателен с точки зрения объединения двух разных технических средств, а также намерений различных категорий злоумышленников. Чтобы заразить удаленный компьютер, требуется вредоносный код, между тем вирусы и «черви» получают широкое распространение как раз благодаря рассылке инфицированных писем. Троянский proxy-сервер оказывается идеальным вариантом сервера для подобной рассылки, так как в этом случае почти невозможно отыскать виновных.
В 2002 г. появились рекламные сети. С этого момента начинает развиваться бизнес по созданию и продаже сетей зомби-машин. Каждый компьютер в такой сети постоянно подключен к Internet и заражен вирусом. Для создания зомби-сети злоумышленникам требуется разработать вредоносный код, чтобы с его помощью заразить большое число компьютеров (десятки тысяч), которыми они будут удаленно управлять. С 2004 г. начинается процесс криминализации бизнеса по рассылке спама. В качестве примера организованной преступной деятельности можно привести распространение в феврале 2004 г. в сети Internet вируса Mydoom. По некоторым данным, эпидемия вируса была заранее подготовлена злоумышленниками, которые не только смогли разработать опасную вредоносную программу, но и обеспечить ее массовое распространение с помощью рассылки спама.
Таким образом, современный спам — это не только навязчивая, но безопасная для вашего ПК реклама, но еще и вредоносные коды, а также сети зомби-машин. Все чаще и чаще спам рассылается через компьютеры-зомби. Продавцы зомби-сетей находят все новых и новых покупателей (людей, зарабатывающих на махинациях с кредитными картами, организующих атаки по типу «отказ в обслуживании» и сетевые атаки). Каждый злоумышленник нуждается в удаленных proxy-серверах, купить которые он может на подпольном рынке ИТ: определенные группы преступников профессионально занимаются заражением чужих компьютеров, чтобы потом представить на этом рынке свой товар (сеть зомби-машин).
Впрочем, современные средства позволяют более или менее эффективно бороться с нежелательными рассылками: фильтровать 85—90% спама с числом ложных срабатываний около 0,005%.
ВНУТРЕННИЕ УГРОЗЫ
Вместо того чтобы взламывать хорошо защищенную сеть, разбираться со стойкими алгоритмами шифрования или писать изощренный вредоносный код, гораздо проще подкупить нужного сотрудника в компании-конкуренте и быстро получить необходимую секретную информацию. Того же мнения придерживаются эксперты из Института компьютерной безопасности и ФБР, выяснившие, что вследствие утечки информации величина потерь 1000 участвовавших в опросе предприятий США составила более 70 млн долларов, что значительно выше урона вследствие осуществления других угроз ИТ, в том числе от вирусов (27 млн долларов), хакерских атак (65 млн долларов), финансовых мошенничеств (10 млн долларов) — этот показатель достиг 40% от общего объема зарегистрированного ущерба. Согласно тому же исследованию, средний размер убытков от действий причастных к компании лиц составил 300 тыс. долларов при максимальном размере 1,5 млн долларов.
Эта тенденция подтверждается данными ежегодного исследования проблем безопасности ИТ компании Ernst & Young под названием Global Information Security Survey 2004. Профессионалы ИТ проявляют все большую озабоченность этой проблемой: респонденты поставили неправомерные действия сотрудников на второе место в списке наиболее серьезных угроз, при этом 60% опрошенных заявили, что они действительно представляют опасность для нормального функционирования информационных систем. Это опасение высказывалось чаще других, таких, как спам (56%), «отказ в обслуживании» (48%), финансовое мошенничество (45%) и бреши в системах безопасности ПО (39%), и уступило лишь угрозе со стороны вирусов и «червей» (77%). В десятку наиболее опасных попали и другие внутренние угрозы — утечка информации о клиентах и прочие виды кражи конфиденциальных данных. Кроме того, человеческому фактору было отдано первое место в списке обстоятельств, препятствующих проведению эффективной политики безопасности ИТ.
Особый интерес представляет исследование компании InfoWatch, поскольку оно позволяет выявить специфику проблем внутренней безопасности ИТ в России. Опрос, в котором приняли участие около 400 крупных и средних российских компаний, показал, что российские организации больше всего озабочены утечкой конфиденциальной информации: 98% респондентов поставили этот риск на первое место. Остальные виды угроз отстают со значительным разрывом: искажение информации — 62%, сбои в работе ИС по причине халатности персонала — 15%, утрата информации — 7%, кража оборудования — 6%, другие — 28%. Графически результаты проиллюстрированы на Рисунке 1.
Чем больше организация, тем актуальнее для нее проблема предотвращения утечки. Это связано, в частности, с тем, что все важные данные дублируются на резервных накопителях для экстренного восстановления в случае искажения или утраты. С другой стороны, на крупных предприятиях трудно проконтролировать потоки информации, и потери от утечки существенно возрастают. Нарушение конфиденциальности влечет за собой материальный ущерб и угрожает имиджу компании, а в особых случаях появляется риск раскрытия государственной тайны. Эти обстоятельства определяют высокий уровень озабоченности данной проблемой со стороны крупного бизнеса и правительственных организаций.
Среди технических путей утечки конфиденциальной информации (см. Рисунок 2) по степени критичности респонденты выделили электронную почту, Internet, сетевые пейджеры и мобильные накопители (компакт-диски, накопители USB). Эти «лазейки» получили практически одинаковую оценку (80—90%). Остальные источники оказались позади с существенным отставанием.
Еще одним интересным вопросом исследования стала проблема оценки ущерба вследствие действий собственных сотрудников (утечка, утрата или искажение информации). Результат выявил весьма тревожный факт: подавляющее большинство респондентов не смогли точно определить масштабы этой угрозы ИТ (см. Рисунок 3), а 67% опрошенных затруднились ответить на поставленный вопрос. Более-менее четкий ответ дали лишь 6%, из которых 99% не сумели оценить нанесенный ущерб в финансовых показателях по причине отсутствия системы учета или нежелания тратить на это время. 26% заявили об отсутствии такого рода инцидентов, однако уточняющий вопрос о возможности существования неучтенных утечек выявил почти 100-процентную латентность (99,4%): такие случаи наверняка имеют место, но остаются незамеченными или намеренно не фиксируются по различным причинам.
Таким образом, формирование культуры профессионального отношения к области безопасности ИТ в России еще только начинается. Лишь 16% участвовавших в исследовании предприятий имеют выделенные отделы информационной безопасности, причем в 94% случаев они были сформированы в течение последних двух лет. Кроме того, 62% респондентов считают, что для российских организаций наибольшей угрозой являются злонамеренные действия сотрудников, а 98% называют нарушение конфиденциальности информации самым опасным обстоятельством для ИТ. При этом 89% уверены в том, что утечка происходит главным образом при помощи электронной почты.
Но основной интерес представляют следующие данные: 67% не осведомлены о наличии инцидентов в сети организации, связанных с утечкой данных; 99,4% допускают возможность наличия незарегистрированных инцидентов внутренней безопасности ИТ; 87% считают технические средства эффективным способом защиты. Однако всего 1% респондентов использует их, в то время как 68% вообще не предпринимают никаких действий! Другими словами, российские организации осознают опасность внутренних угроз ИТ, но не знают, как с ней бороться: 58% не осведомлены о существующих технологических решениях.
Проблема усугубляется не только тем, что в компаниях не внедряются технические решения, с помощью которых можно проконтролировать выполнение политики внутренней безопасности ИТ, но еще и отсутствием самой политики и заранее подготовленных документов, где эта политика закреплялась бы формально. На практике это означает, что государственный служащий или сотрудник оператора сотовой связи может даже не понести ответственности за свои преднамеренные действия.
Между тем уже существуют технические решения, позволяющие исключить утечку конфиденциальных данных через все используемые каналы: электронную почту, протоколы Web, мобильные носители, принтеры и т. д. Схема работы одного из таких решений представлена на Рисунке 4.
ВЗГЛЯД В БУДУЩЕЕ
Совсем скоро мы станем свидетелями еще более тесной интеграции различных средств защиты от внешних угроз ИТ. Хотя каждый продукт в отдельности способен эффективно противостоять вредоносным кодам, спаму и сетевым атакам, объединение их в одно решение позволит существенно облегчить управление безопасностью ИТ и повысить общую обороноспособность периметра.
Намного сложнее обстоит дело с более серьезной проблемой — внутренней безопасностью. С одной стороны, налицо понимание опасности внутренних угроз ИТ, с другой — почти полное отсутствие адекватных шагов по их предупреждению. Несколько лет назад отсутствовали комплексные специализированные решения, которые можно было бы применить для снижения риска утечки конфиденциальной информации, но сегодня рынок систем, противостоящих утечке данных, начинает формироваться. Одновременно предприятия приходят к пониманию того, что одних только технических средств недостаточно, требуются мероприятия организационно-правового характера, в том числе создание и внедрение положения о конфиденциальности, модификация трудовых договоров, возможные изменения в структуре отделов, связанных с информационными технологиями.
Последние инциденты с публикацией баз данных, содержащих конфиденциальные сведения о клиентах крупных операторов сотовой связи и государственных организаций, наглядно демонстрируют, как легко потерять доверие клиентов и нанести непоправимый ущерб имиджу. Между тем подобных инцидентов легко избежать: разработчики продуктов для предотвращения утечки конфиденциальной информации помогут составить грамотную политику внутренней безопасности, учесть все юридические тонкости и организовать дополнительные мероприятия для повышения внутренней безопасности ИТ.
Алексей Доля — независимый автор. С ним можно связаться по адресу: Aleksey.Dolya@gmail.com.
И больным, и здоровым
В 1980-е гг. компьютерные вирусы воспринимались как редкость или курьез, и потому большинством из тех, кто использовал компьютеры, по существу игнорировались. По мере того как бизнес все более и более зависит от локальных сетей, а не от мэйнфреймов и автономных настольных компьютеров, растет необходимость в понимании и умении справиться с реальным вредом компьютерных вирусов. По многим причинам большинство вирусов написано для систем на базе DOS.
Размышляя о том, сохранится ли проблема компьютерных вирусов и в будущем, можно спросить себя, что заставляет людей их писать. Главным мотивом, как кажется, является внимание, которое будет наградой создателю вируса. В противоположность известному мифу вандализм — не основная причина создания вирусов; в большинстве вирусов не заложена вредоносная «начинка», которая заставляла бы их разрушать данные или прерывать выполнение. Какой бы ни была мотивация у создателей вирусов, они, очевидно, останутся источником, из которого будут исходить все новые и новые вирусы. И если вы оказались жертвой инфекции, немного радости вам добавит знание того, что автор вируса не был заинтересован материально в вашей беде.
Ясно, что самый эффективный способ борьбы с вирусной инфекцией состоит в воспрепятствовании ее проникновению в вашу систему. Вероятность инфицирования системы можно уменьшить, если использовать только программное обеспечение, полученное непосредственно от законного поставщика, — другими словами, не использовать пиратских программ. Копии программ, взятые у друзей или из электронных досок объявлений, следует выкинуть с проклятиями.
«Журнал сетевых решений/LAN», №1, 1995, стр. 95
На линии огня
В дни черно-белого телевидения, когда сеть Internet еще не была бельмом на глазу Министерства юстиции США, бал правили мэйнфреймы и закрытые протоколы передачи. Ввиду закрытости этих систем необходимости контроля и защиты сетевого трафика не возникало. Однако ситуация изменилась с принятием TCP/IP в качестве сетевого протокола и с ростом популярности Internet.
С открытием доступа из сети в Internet для работы с электронной почтой, World Wide Web и такими сервисами, как telnet и ftp, любой абонент Internet может, в принципе, получить доступ к этой сети с непредсказуемыми последствиями. Если компания выходит в Internet, то она может быть уверена, что хакеры о ней не забудут. Однако, если установить брандмауэр, сон администратора сети может стать спокойнее.
Любой более или менее серьезный план защиты внутренней сети от плохих парней в Internet не может обойтись без брандмауэра. Брандмауэры часто сравнивают с охранниками: они стоят на входе в сеть и проверяют каждый входящий и исходящий из шлюза в Internet пакет на наличие соответствующих прав. Брандмауэры контролируют сетевой трафик на уровне как Internet, так и Intranet и в некоторых случаях не только пропускают разрешенные пакеты, но и предотвращают попытки взлома системы извне.
«Журнал сетевых решений/LAN», №7, 1996, стр. 20
Инфраструктура с открытыми ключами
Используемые сами по себе, традиционные средства защиты пользовательского доступа не являются абсолютно надежными. Например, во многих компаниях пользователи получают доступ к серверам приложений, файлов и баз данных после указания правильной комбинации имени и пароля. Один из способов обойтись без статических паролей состоит в использовании двухфакторной системы идентификации с помощью аппаратных ключей. В случае таких систем пользователь, как и ранее, набирает свое имя; однако вместо того, чтобы вводить каждый раз один и тот же пароль, он указывает последовательность цифр, сообщаемую ему аппаратным ключом. Как правило, эти двухфакторные системы идентификации используются исключительно удаленными, а не локальными пользователями. Поэтому обеспечиваемая такими системами защита распространяется только на специфических, а не обычных пользователей.
Еще один способ укрепления внутренней защиты состоит в создании инфраструктуры с открытыми ключами (Public Key Infrastructure, PKI). Она представляет собой систему управления парами и сертификатами ключей и реализована главным образом в приложениях для электронной коммерции. Однако некоторые компании (в основном крупные) нашли иное применение данной технологии и стали использовать ее для защиты собственных сетей. В частности, они используют шифрование с открытыми ключами и цифровые сертификаты для обеспечения доступа к сети только законным пользователям.
«Журнал сетевых решений/LAN», №8, 1997, стр. 53
Маскировка и фильтрация
Об изощренных подвигах хакеров и кракеров кричат газетные заголовки, но конфиденциальную информацию можно получить и более простыми путями. Во многих случаях злоумышленники даже не должны быть технически подкованными людьми. Все, что нужно, — это решиться предпринять несколько рискованных шагов. Один из простейших способов проникнуть в систему вашей организации — представиться другим лицом. Данная тактика характеризуется как подмена или подлог (masquerading and spoofing). Даже при тех атаках, где активно используются технические знания, их исполнители прибегают к помощи подлога и подмены для достижения своих целей
Наивность сыграла решающую роль во многих удачных атаках с подлогом и подменой. Часто относимые к социальному инжинирингу, эти атаки оказываются успешными исключительно благодаря услужливости и вежливости сотрудников. Точно так же, как люди автоматически придерживают дверь в подъезд с кодовым замком, когда кто-нибудь идет следом за ними, так и многие сотрудники часто не задумываясь предоставляют информацию, с помощью которой злоумышленник может проникнуть в информационную систему компании.
Внимание, уделяемое защите периметра сети (например, коммутируемых и Internet-соединений), не мешает подмене и подлогу оставаться весьма действенным средством проникновения через внешние «заставы», хотя, конечно, эти формы мошенничества наиболее эффективны внутри сети. Современная сетевая коммуникационная инфраструктура открывает многочисленные возможности для атак посредством подлога и подмены. Отчасти это связано с тем, что трафик в Internet, в частности трафик Web, имеет анонимный характер. Электронная почта может быть запросто отправлена от имени другого лица. Например, чтобы укрыться от возмездия, рассылающие «сорную» почту скрывают свой настоящий адрес.
«Журнал сетевых решений/LAN», №4, 1998, стр. 120
Обнаружение атак как средство контроля за защитой сети
Атаки на сеть и хосты не всегда возможно перехватить во время их проведения с помощью брандмауэров и другого инструментария защиты.
Продукты обнаружения атак позволяют знать о том, что происходит в вашей сети. Они помогают выявить атаки на основании заданных признаков (signature) и известных методов вторжения, а также идентифицировать статистические отклонения от типичного поведения. Они могут следить за такими параметрами, как загруженность ЦПУ и число и типы проходящих через систему пакетов. Кроме того, многие продукты обнаружения атак протоколируют любые подозрительные действия и помогают таким образом собрать улики на случай, если впоследствии злоумышленника потребуется преследовать по суду.
Продукты для обнаружения атак тесно связаны с родственной группой продуктов, обычно называемых средствами оценки риска, или, проще, сканерами. Если продукты обнаружения атак позволяют выявить атаку во время ее проведения, то сканеры в действительности проводят предупредительный поиск уязвимых мест в сети. Несмотря на свою меньшую известность, нежели брандмауэры и другие аспекты общей защиты сети, продукты для обнаружения атак быстро заполняют свою нишу.
«Журнал сетевых решений/LAN», №5, 1999, стр. 32