-Поиск по дневнику

Поиск сообщений в cZerro

 -Статистика

Статистика LiveInternet.ru: показано количество хитов и посетителей
Создан: 30.04.2004
Записей:
Комментариев:
Написано: 2345


Необходимая защита по версии SANS

Пятница, 22 Марта 2013 г. 13:38 + в цитатник
Недавно институт SANS обнародовал плакат, где собраны 20 наиболее важных инструментов для контроля безопасности корпоративной среды. Причем они названы в порядке убывания важности - первые самые важные, а чем ближе к концу списка, тем необходимость инструментов уменьшается. В этом посте приведу только те инструменты, которые необходимы для обеспечения защиты информационных активов.


  1. Инвентаризация авторизованных и неавторизованных устройств. Программное обеспечение обнаруживает устройства, пдключаемые к корпоративной сети, причем как санкционированно, так и без разрешения. Инструмент относится к категории базовых, без внедрения которого обеспечение безопасности вообще невозможно. Выделяют два типа таких приложений: просто инвентаризация устройств и управление  их защищенностью и контроль доступа к сети (NAP). Из предложенных на плакате подуктов  в России доступны Nmap (Open Source), QualysGuard (Qualys), ISE (Cisco).
  2. Инвентаризация авторизованного и неавторизованного программного обеспечения. Инструмент необходим для определения установленного программного обеспечения, причём как разрешенного, так и запрещённого. Это также базовый инструмент, без внедрения которого сложно говорить о защите корпоративной среды. Здесь также выделено два уровня реализации: учёт с установкой обновлений и инструменыт для удаления неразрешённого ПО. Институт предлагает следующие продукты этого класса: Tivoli Endpoint Manager (IBM), System Center (Microsoft), QualysGuard Policy Compliance Module (Qualys), SolidCore (McAfee).
  3. Безопасное управление конфигурациями для мобильных компьютеров, рабочих станций и серверов. Эта категория продуктов относится к классу инструментов системного управления, но только с повышенными требованиями к безопасности этого процесса. Продукты этой категории позволяют централизованно управлять защитой мобильных компьютеров, рабочих станций и серверов. Они обеспечивают изменение конфигураций для улучшения защищённости и выявляют несанкционированные изменения. К этой категории относятся Tivoli Endpoint Manager (IBM), System Center (Microsoft), QualysGuard (Qualys), CSP (Symantec), Configuration Manager (VMware).
  4. Управление уязвимостями и конфигурациями. Продукты этой категории предназначены для постоянного поиска дефектов безопасности и небезопасных конфигураций. Его наличие необходимо для обеспечения безопасного развития информационной среды предприятия. SANS к таким инструментам поиска уязвимостей предъявляет требование по поиску и устранению дефектов в течении 48 часов. В качестве производителей институт предлагает использовать Vulnarability Managment Services (Dell), Vulnarability & Remediation Manager (McAfee), OpenVAS (Open Source), QualysGuard (Qualys), CCS (Symantec). В России к этому классу можно отнести продукт Max Patrol компании Positive Software.
  5. Защита от вредоносного ПО. Механизмы этого класса обеспечивают работу в операционной системе только безопасных программ, которые полезны как отдельным сотрудникам, так и предприятию в целом. Выделяется два типа таких инструментов: защита от вредоносных программ и контроль установленных приложений. На плакат попали только продукты, которые позволяют работать с крупными информационными системами. В частности, к ним относятся Admin Kit ("Лаборатория Касперского"), ePolicy Orchestrator (McAfee), Forefront и System Center (Microsoft), Endpoint Protection (Sophos), SEP (Symantec), Control Manager (Trend Micro), SolidCore (McAfee).
  6. Инструменты для тестирования ПО. Эти инструменты предназначены для определения безопасности того или иного программного обеспечения, которое может быть сделано методом статического или динамического анализа. Обычно эти инструменты используются для сертификации программ, однако в случае использования в компании продуктов заказной разработки, эти инструменты также необходимы для контроля качества представленного разработчиком кода. К этим инструментам относятся следующие продукты: Managed Web App Firewall и Web Application Testing (Dell), Fortify 360 и WebInspect (HP), Ounce Labs Core и Appscan (IBM), QualysGuard WAS (Qualys).
  7. Контроль беспроводных устройств. Это продукты для контроля корпоративной беспроводной сети - блокирование посторонних устройств в сети и предотвращение попыток вторжения через неё. В России этой темой практически не занимаются, просто выделяя беспроводной сегмент во внешнюю сеть. Поэтому и из доступных продуктов есть только aWIPS и CleanAir компании Cisco.
  8. Безопасное управление сетевыми устройствами.Это продукты, которые обеспечивают безопасное управление корпоративными маршрутизаторами, коммутаторами и межсетевыми экранами. Они должны не просто управлять конфигурацией устройства, но и контролировать насколько получившаяся конфигурация соответствует корпоративной политике безопасности. Из приведённого на плакате списка в России не присутствует ни один продукт.
  9. Инструменты для контроля сетевых портов, протоколов и сервисов. Это программное обеспечение занимается проверкой сетевой конфигурации, наличия открытых портов и использования посторонних протоколов взаимодействия. Здесь выделяется два типа продуктов: сканеры, обнаруживающие нарушения в сетевой конфигурации, и экраны уровня приложений, которые блокируют посторонние протоколы и сервисы. Из списка можно привести BSA Visibility и FoundScan (McAfee), QualysGuard (Qualys), CSS (Symantec), 2200 (CheckPoint), ASA (Cisco), SonicWall (Dell), FortiGate (Fortinet), SRX и vGW (Juniper), Polo Alto NGFW (Polo Alto Network).
  10. Контроль административных привилегий. Администраторы информационных систем часто имеют достаточно широкие полномочия и получают возможность вольно или невольно нарушать правила информационной безопасности. Поэтому в компании должны быть механизмы, которые с одной стороны позволяли бы контролировать действия администраторов, а с другой не давали администраторам возможность нарушить работу средств защиты. Для решения этой проблемы SANS предлагает следующие продукты: eDMZ (Dell), ArcSight ESM и ArcSight Itentify View (HP), System Center и Active Directory (Microsoft), CCS (Symantec).
  11. Защита периметра. Это шлюзовые устройства, которые обеспечивают защиту от внешних атак через сетевые соединения. Разделяются два класса подобных устройств: межсетвой экран, который обеспечивает проверку статических коммуникаций по портам и протоколам, и система предотвращения вторжений. Собственно, сейчас устройства второго типа называют ещё межсетевыми экранами нового покаления. SANS предлагает пользоваться устройствами 2200 ( Check Point), ASA (Cisco), SonicWall (Dell), ForiGate (Fortinet), SRX и vGW (Juniper), Polo Alto NGFW (Polo Alto), XPS (Fidelis), TippingPoint (HP), Network IPS (IBM), Network Security Platform (McAfee), Snort (Open Source).


Этот список содержит только основные элементы защиты. Причем, первые пять относятся к первому уровню внедрения, которые должны быть установлены для обеспечения работы более высокоуровневых средств защиты. В частности, шестая  и седьмая категория относится ко второму уровню, восьмая и девятая к третьему, а остальные - к четвертому. Приведённый список явно неполон - я выбирал только те названия, которые сам знал. Кроме того, в России есть и свои продукты для каждой категории - было бы интересно узнать какие.
Рубрики:  Блог
Дайджесты и рецензии
Метки:  

 

Добавить комментарий:
Текст комментария: смайлики

Проверка орфографии: (найти ошибки)

Прикрепить картинку:

 Переводить URL в ссылку
 Подписаться на комментарии
 Подписать картинку