Обзор подготовлен   CNewsAnalytics

9 правил защиты от изощренных атак

9 правил защиты от изощренных атакСоздав систему защиты сети от традиционных компьютерных угроз (вирусов и массовых атак), предприятия остаются открытыми для изощренных сетевых мошенников. Девять правил позволят свести к минимуму вероятность уязвимости компьютерной сети предприятия на уровне конечного пользователя.

Распределенные персональные межсетевые экраны для защиты от исходящих из сети угроз, антивирусные сканеры для обнаружения угроз на основе файлов, а также продукты, осуществляющие аудит и контроль целостности для обнаружения злонамеренных действий по изменению конфигурации — примерно так выглядит система защиты предприятия, которое уделяет внимание защите данных. Между тем, даже эти технологии не способны противостоять атакам нового типа, которые осуществляются через существующие протоколы и имеют своей целью программные приложения. Кроме того, компании остаются беззащитными перед атаками, основанными на содержании (фишинг и др.), которые используются для нападения на системы до того, как поставщики услуг успевают предпринять ответные действия.

Оптимальные методы

Любая организация, которая намерена защитить себя путем использования технологии обеспечения защиты конечного уровня, должна принять во внимание ряд факторов при оценке продуктов.

Выбранные технические решения должны удовлетворять требованиям обеспечения защиты, управляемости и гибкости, в противном случае решение будет неполным или приведет к значительным издержкам на администрирование, которые аннулируют преимущества от обеспечения защиты.

Оптимальные методы должны включать в себя следующее:

1. Решения по защите в реальном времени.

Для обеспечения наивысших уровней защиты и минимизации возможности обхода политики безопасности на хосте вызовы приложений должны перехватываться на уровне ядра, где определяется их соответствие политике. Решения, которые реализованы путем замены библиотек общего доступа или анализа файлов регистрации аудита системы, можно обойти достаточно легко.

Эффективная стратегия защиты конечного уровня включает в себя предотвращение нарушений в реальном времени, а не констатацию атак или изменений системы после того, как они произошли.

2. Глубоко эшелонированная защита от атак.

Для полного обеспечения политики безопасности компании система защиты конечного уровня должна перехватывать все основные точки коммуникации между приложениями и базовой системой. Контроль сетевого доступа ограничивает взаимодействие для разрешенного обмена данными клиент/сервер на уровне портов и протоколов, а также на уровне хостов; средства управления файловой системой должны разрешать или запрещать доступ по чтению или записи к папкам и файлам для отдельных пользователей и групп; средства управления реестром должны предотвращать изменение важных ключей реестра, которые определяют режим работы системы и других приложений; средства управления COM должны ограничивать связь между процессами до разрешенного уровня доступа.

Атаки имеют несколько фаз: разведка сети и уязвимых мест на уровне приложений, тиражирование и распространение самих себя, а также осуществление несанкционированных изменений в системе. Полная стратегия защиты конечного уровня должна защищать систему на каждой из этих фаз, чтобы при появлении нового класса атак последние пресекались на одной или нескольких из этих стадий.

3. Корреляция в реальном времени на уровнях агента и предприятия.

Корреляция имеет первостепенную важность для технологии защиты уровня конечного пользователя. Развертывание средств поддержки корреляции в агенте обеспечивает такой уровень точности защитных решений, который не может существовать при подходе на основе сигнатур.

Корреляция последовательности событий в контексте характерного поведения приложения исключаЕт потенциальную возможность ложных срабатываний, а корреляция на уровне предприятия делает возможной адаптацию системы защиты.

Путем корреляции событий на распределенных агентах политики безопасности конечного уровня могут динамически обновляться для предотвращения распространения вредоносного программного кода, что исключает невосполнимый ущерб для многочисленных ресурсов.

4. Подход на основе поведения.

Подход в обеспечении защиты конечного уровня должен быть основан на соответствующем поведении системы и приложений, чтобы обеспечить упреждающую, а не ответную реализацию защиты. Решения, которые основаны на сигнатурах, обеспечивают защиту только в рамках последнего обновления базы сигнатур.

5. Гибкость для удовлетворения уникальных корпоративных требований.

Каждая корпорация является уникальной в плане конкретных деталей конфигурирования и администрирования своих систем и корпоративных приложений. Технические решения для обеспечения защиты конечного уровня должны быть гибкими, чтобы адаптироваться к этой уникальности, допуская настройку существующих политик и создание новых политик, которые должны быть приведены в соответствие как с уникальными приложениями, так и с уникальными реализациями. Такое решение должно поддерживать автоматизированное создание политик для уменьшения издержек на администрирование при ручном создании политик.

6. Легкость развертывания.

Стратегия защиты конечного уровня должна минимизировать накладные затраты на персонал, связанные с развертыванием агента.

Технические решения должны предусматривать готовые к применению функции, позволяющие быстрый ввод в действие политик безопасности, а также должны допускать развертывание при необходимости новых и специальных политик без дополнительного вмешательства со стороны хоста.

Эти решения должны поддерживать развертывание на базе глобальной сети и допускать легкую интеграцию со стандартными механизмами распространения корпоративного программного обеспечения.

7. Централизованное управление событиями.

Все события, которые генерируются агентами, должны собираться в централизованном хранилище данных, из которого могут генерироваться сигналы тревоги и отчеты. Рассматриваемые решения должны поддерживать стандартные интерфейсы передачи сигналов тревоги, например, упрощенный протокол управления сетью (SNMP), передачу коротких сообщений, электронной почты и простых файлов, а также должны допускать настраиваемые интерфейсы системы оповещения для удобной интеграции с корпоративными системами.

8. Охват аппаратных платформ, с поддержкой настольных компьютеров и серверов

Рассматриваемые решения должны обеспечивать охват ответственных операционных систем, которые корпорация желает защитить. В свете последних атак, которые имеют целью множество хостов, одна и та же концептуальная схема управления и обеспечения соблюдения политик должна применяться и к настольным компьютерам, и к системам на базе серверов.

9. Администрирование

Для удобства управления ими политики должны определяться централизованно и автоматически распространяться по агентам через конфигурируемые интервалы времени. Также политики должны быть экспортируемыми для целей тиражирования и архивирования.

Для компаний, имеющих более одного администратора, необходимо предусмотреть возможность «администрирования с любого места» для удобства управления их операционными средами.

Технические решения для обеспечения защиты конечного уровня должны быть управляемыми с любого места через стандартный веб-браузер, чтобы избежать установки заказного программного обеспечения на компьютере каждого администратора, исключить установку незащищенного и сложного в сопровождении программного обеспечения, которое позволяет производить удаленное администрирование, а также оптимизировать затраты на обучение ИТ-персонала.

Большие корпорации, имеющие тысячи нуждающихся в защите вычислительных систем, могут рассмотреть решения, которые позволяют единственному администратору поддерживать тысячи агентов и допускают копирование политик через организационные или региональные границы.

Компании должны обеспечить, чтобы их технические решения реализации защиты конечного уровня удовлетворяли требованиям надежной защиты, управляемости и гибкости, избегая ограниченных или неуправляемых решений.

Михаил Кадер

Алексей Кузовкин: На рынке ИБ появились новые концепции построения защиты информации

Алексей КузовкинО том, что происходит на рынке информационной безопасности в России: проблемах, перспективах и концепциях в интервью CNews.ru рассказал Алексей Кузовкин, генеральный директор РБК СОФТ.

CNews.ru: Какие наиболее важные изменения произошли на рынке информационной безопасности в 2003 году?

Алексей Кузовкин: В первую очередь стоит отметить значительный рост правонарушений этой в области. Количество только зарегистрированных МВД преступлений в сфере высоких технологий в 2003 г. снова удвоилось и превысило 11 тыс. случаев. Высокую активность проявили вирусописатели, в серьезную проблему превратился спам. Все это сделало вопросы информационной защиты актуальными, как никогда ранее.

Соответственно, рынок средств инфобезопасности заметно вырос. Маркетинговая деятельность как отечественных, так и ведущих западных компаний, активизировалась. Появились новые концепции построения информационной защиты. Представление о том, что безопасность можно обеспечить, защитив периметр сети от внешних атак, уже устарело. Нужно вырабатывать комплексную стратегию, обеспечивающую безопасность на всех уровнях — шлюза, серверов и клиентов.

Еще одна концептуальная новинка, появившаяся в 2003 году — это вынесение вопросов обеспечения информационной безопасности в аутсорсинг. Такую услугу предложил на нашем рынке Symantec. Нельзя сказать, что она оказалась пока что сильно востребованной, но, возможно, в будущем это может стать новым направлением деятельности для ряда компаний.

Полный текст интервью

Вернуться на главную страницу обзора

Версия для печати

Опубликовано в 2004 г.

Toolbar | КПК-версия | Подписка на новости  | RSS