Средние и крупные сети обычно состоят из различных элементов обеспечения безопасности. Для создания эффективной архитектуры защиты инженеру следует полностью понимать главную роль каждого элемента, его сравнительное преимущество и характерное местоположение. Практически к любому виду систем безопасности можно подобрать аналогию из района боевых действий, что делает более понятной сложную архитектуру современных сетей передачи данных. Многоуровневый подход, а также эффективный способ синхронизации средств защиты на различных уровнях сети формируют базовую технологическую платформу.
Защиту информации можно представить себе как оборонительный бой. Как и в любом сражении (нанося ли поражение хакерам, преодолевая ли противодействующие боевые силы противника) здесь победа полностью зависит от способности с наибольшей эффективностью координировать ресурсы обороны. Взаимодействие войск – это всегда сложная задача, поскольку за каждым формированием закреплено решение определенного вида проблем. Подразумевается, что формирования специально создавались и проходили целевое обучение для работы в особой боевой обстановке, поэтому их характер и состав также различаются. Связь между сетевыми элементами обеспечения безопасности и защиты, так же как и координация войск в условиях неясности боевой обстановки ("тумана войны"), может быть исключительно сложной.
Базовые принципы обороны
Существует ряд принципов организации взаимодействия между войсками. Согласно первому, каждое формирование должно бороться только с теми угрозами, борьба с которыми была вменена ему в обязанность, и не должно расточать свои ресурсы на задачи, с которыми оно не может справиться. Каждому формированию нужно знать свои физические и оперативные границы, кто находится в их пределах и за ними. Они помогают отряду быть в нужной точке и преодолевать угрозы наиболее эффективным путем исходя из своей подготовки.
Во-вторых, каждому формированию необходима связь с другими войсками при помощи универсального языка или заблаговременно согласованных сигналов.
И, наконец, каждому сражению необходим командир. Умелый руководитель хорошо знаком со всеми возможностями и слабыми сторонами формирований и знает, как самым эффективным образом осуществлять контроль и синхронизацию войск согласно текущей обстановке, которой он также должен владеть.
Эти методы принципиально очень похожи на те, которым необходимо следовать при создании консолидированной и согласованной системы информационной обороны, рассматриваемой в качестве базовой платформы безопасности.
Базовая платформа безопасности определяется как опорная оборонительная структура, в которой для рациональной защиты сети самым эффективным образом используются существующие технологии и средства. Разрешая каждому элементу использовать свое сравнительное преимущество и функционировать во взаимодействии с другими, данная платформа полностью сформирует предложенную стратегию сетевой защиты.
Стратегия защиты
В реальном сражении стратегия, определяющая изначальное положение боевых и разведывательных подразделений, должна идти по плану, где тщательно рассмотрены возможные сценарии ожидаемой атаки. Для подготовки действенного плана защиты сначала нужно обозначить критические или важные объекты, которые нельзя потерять. Затем необходимо проанализировать их слабые стороны - это единственный способ понять, каким образом может быть осуществлено нападение.
Перед фактической расстановкой войск необходим тщательный анализ каждого вероятного сценария нападения, который может повлиять на критические участки. Необходимо рассмотреть и принять во внимание все схемы, начиная с самой незначительной и несложной в реализации и заканчивая наименее вероятной.
Такой порядок действий очень похож на тот, который необходимо применять при создании технологической платформы защиты сети. Подобно командиру боевой части, инженер-проектировщик системы ИБ должен тщательно изучить слабые стороны своей сети, решить, какие объекты или конкретное оборудование наиболее уязвимы или являются жизненно-важными, а затем смоделировать все возможные сценарии нападения, которые могут иметь негативное воздействие. И только после этого он может принимать решение о типе технических средств, необходимых для уменьшения потенциального ущерба и понижения риска.
Как и в случае боевых действий, после того, как инженер определил критические компоненты сети компании, осознал их уязвимости и вероятные сценарии ожидаемых атак, ему необходимо перейти к следующему этапу и выбрать наиболее подходящее средство обеспечения защиты.
Расположение сил и рубежи
Для оборонительных действий требуются различные виды войск. Населенные пункты обычно предполагают ближний бой, который могут вести формирования, обученные для уличных боев. Дезинформация предполагает методики, заставляющие наступающие стороны отклониться от нападения на действительно важные объекты и потратить ресурсы на ложные цели. Бой на границе требует войск, которые могут вести сражения под открытым небом, обладая эффективными возможностями по долговременному сопротивлению. Маскировка состоит из мероприятий, направленных на сокрытие жизненно-важных объектов. Разведывательная операция поможет "узнать врага", однако для этого необходим сбор сведений до сражения или во время него. Патрульные формирования необходимы для обнаружения противника, просочившегося через все оборонительные линии.
Для подготовки действенного плана защиты нужно обозначить важные объекты, которые нельзя потерять
Такой многоуровневый подход к обороне является неотъемлемой частью эффективной программы обеспечения защиты информации. Поскольку в последние годы наступление на сети выросло и стало более изощренным, компании, поставляющие средства ИБ, разработали целый ряд новых технологий, что еще больше подчеркнуло необходимость в хорошо продуманном внедрении многоуровневого подхода к защите. По мере интеграции новых средств в программу сетевой безопасности происходит определение их местоположения и "эксплуатационных границ". Например, оказалось, что некоторые их них лучше всего располагать на периферии сети, тогда как другие – возле ключевых серверов, и, возможно, в DMZ-зоне. Словно в реальном сражении, эти границы помогают формированиям оказаться в нужной точке и, исходя из своей боевой подготовки, справиться с угрозами наиболее эффективным путем.
Первый эшелон обороны
Первый эшелон обороны формируют средства обеспечения безопасности, предназначенные для тщательной защиты внешних жизненно-важных сетевых элементов. Некоторые из них также считаются и последним рубежом обороны сети. Все они должны уметь точно диагностировать обмен информацией и операции, производимые защищаемой системой, принимать решения о наличии в текущий момент злонамеренных действий, а также быстро их пресекать. Для эффективной работы эти средства необходимо устанавливать на хостах, которые они будут защищать, перед или непосредственно на критически-важном сегменте сети – это и есть эксплуатационные границы данного средства защиты. По аналогии с реальными боевыми действиями это – оперативные границы формирования.
В первом эшелоне можно выделить следующие рубежи обороны. Системы для обнаружения вторжения на уровне хоста и сервера должны определить доступ к жизненно-важным файлам, переполнение буфера, установку нелегитимных приложений, троянские версии системных файлов и использование в чужих интересах уязвимостей системы.
Средства обеспечения безопасности, ориентированные на приложения, должны выполнять действия, направленные на их защиту. Широко известным примером является защита web-сервера.
Системы обнаружения и предотвращения сетевой атаки, основанные на определении сигнатур, выполняют действия по распознаванию шаблонов атак. Для эффективного определения предварительно заданных сигнатур их необходимо размещать на жизненно-важных сегментах сети.
Ловушки для хакеров и сети-приманки (honeypot и honeynet) тоже можно сравнить с первым эшелоном обороны. Эти средства пытаются обмануть нападающую сторону и отвлечь ее на виртуальные или специальные серверы, не являющиеся реальными производственными серверами защищаемой организации. По аналогии с боевыми действиями эти средства-ловушки можно сравнить со специальными подразделениями, которые отвечают за дезинформирование врага с использованием, например, ложных целей. Кроме того, можно провести параллель с реальными разведывательными формированиями, отвечающими за анализ и изучение способов атак, которые враг планирует использовать в будущем.
Все вышеуказанные средства защиты относятся к первому эшелону обороны, подобно тому, как определенные полевые формирования находятся на первой линии обороны в сражении.
Второй эшелон обороны: защита периметра
Во второй эшелон обороны входят технические средства, которые обрабатывают атаки на периметр сети - межсетевые экраны, маршрутизаторы с интегрированной функциональностью защиты и некоторые другие.
Основными функциональными возможностями межсетевых экранов и маршрутизаторов являются контроль общего сетевого доступа и политик корпоративной виртуальной частной сети VPN (Virtual Private Network). Как правило, такие технические средства используются на шлюзе компании или на стыках сегментов сети.
Средства обеспечения безопасности периметра можно соотнести с формированиями для круговой обороны в реальном бою.
В сфере защиты информации второй эшелон защиты периметра используют свое сравнительное преимущество в случае расположения на границе сети, лицом к внешнему миру. Этот внешний мир – интернет. Если обратиться к аналогии с боевыми действиями, то это оперативные границы. Средства защиты периметра должны создавать полную картину характеристик обмена входящей и исходящей информацией в защищаемой сети, что позволит задать нормальные исходные данные, наилучшим образом соответствующие обороняемой сети. Они должны уметь определять отклонения от этих исходных данных, принимать решение о степени их угрозы для защищаемой сети, а затем, соответственно, фильтровать или блокировать их. Отклонения такого вида обычно отражают реализацию блокирующих DDoS-атак (DDoS, Distributed Denial of Service или "распределенный отказ в обслуживании"). Средства защиты периметра также должны обнаруживать действия по зондированию перед атакой, которые выполняются с помощью разнообразных методик сетевого сканирования. Поскольку целью таких действий является зондирование сетевых элементов для создания топологии атакуемой сети, их можно обнаружить только путем выполнения анализа данных с пограничных шлюзов. Другими словами, нахождение и предотвращение подобных ситуаций также входит в ответственность средств обеспечения безопасности периметра.
Средства защиты периметра обязаны также находить и предотвращать распространение компьютерных червей, которые могут автоматически проникать через границы сети во внутренние компоненты. Для обнаружения этих злонамеренных действий обычно используются специализированные сетевые средства обеспечения безопасности периметра.
Средства обеспечения безопасности периметра также должны уметь выполнять трансляцию сетевого адреса (NAT, Network Address Translation). Устройство NAT предназначено для сокрытия адреса внутренних компонентов сети и понижения вероятности внешних атак (подобно мероприятиям по маскировке в условиях сражения). В дополнение к функциям контроля доступа и политик VPN, за NAT обычно отвечают пограничные межсетевые экраны и маршрутизаторы.
Еще одной важной обязанностью второго эшелона является защита внутренних элементов систем безопасности (первого эшелона). Без их успешной работы средств первые будут испытывать ослабления своих функциональных возможностей и станут уязвимыми для блокирующих DDoS-атак, а в результате повысится уязвимость сети ко всем видам атак в целом.
Эффективное взаимодействие войск
Во время боя все формирования должны обмениваться информацией друг с другом на универсальном языке или при помощи предварительно согласованных знаков. В отсутствие эффективных протоколов связи нападающей стороне будет легче обойти оборонительные силы. Эта концепция напрямую применима к тактике проектирования систем защиты сети.
Хотя правильное расположение элементов обеспечения безопасности в защищаемой сети немаловажно, одного его недостаточно. Инженер-проектировщик систем безопасности должен проверить их способность к обмену информацией между собой, а также с другими комплексами, как, например, централизованные системы управления безопасностью и сетью в целом. Это очень важная составляющая полного формирования эффективной платформы защиты. Связь с соседними элементами улучшит функциональность каждого отдельного средства и приведет к формированию более устойчивой к атакам.
Многоуровневый подход к обороне является неотъемлемой частью эффективной программы обеспечения защиты информации
Когда речь идет о средних и крупных сетях, в которых обычно установлены системы разных производителей, очень важной становится возможность контроля всех этих средств защиты и управления ими посредством одного. Системы SIM (Security Information Management, управление системами защиты информации) разработаны для мониторинга, согласования и управления различными элементами в мультивендорной среде. SIM обеспечивает механизм применения универсального языка для "коммуникации" между всеми устройствами защиты сети, при условии, что все средства способны поддерживать универсальные протоколы и могут отправлять данные на центральное управляющее приложение или консоль. Задачей централизованной системы управления является сбор, координация и анализ сведений с различных устройств защиты. В результате принимается максимально надежное решение по обнаружению атаки и более точно оценивается угроза каждого инцидента. Централизованное управление также помогает уменьшить число лишних, ненужных оповещений об угрозах и улучшить качество данных экспертизы, которая может последовать за обнаружением новых инструментов нападения, вторжений, червей, троянских вирусов, и т.д.
Командование
В реальном сражении необходимы военачальники всех уровней - от командира отделения до командира корпуса - которые координируют действия и управляют войсками на поле боя. Они делают это, исходя из общей картины, которая создается из крупиц информации, собранной до сражения и во время него. Таких "руководителей" можно сравнить с модулем принятия решений, который поддерживается каждым элементом обеспечения информационной безопасности. Данные модули несут прямую ответственность за действия каждого элемента, которому необходимо наличие эффективного модуля принятия решений, быстро выполняющего сбор, анализ и соотнесение предоставляемой этими устройствами информации. Естественно, что в целях поддержки таких модулей каждое устройство будет применять различные технологии согласно характеру проблем, для решения которых оно предназначено. Модуль может быть очень простым, как в случае с устройствами контроля доступа, или же более "интеллектуальным", как в случае с активными средствами обеспечения безопасности периметра, устройствами защиты, ориентированными на приложения, и так далее. Естественно ожидать, что первые будут приходить к выводам быстрее, чем модули интеллектуальных устройств.
Системы управления информационной безопасности (средства защиты SIM) можно сравнить с командирами корпусов или генералами в сражениях. Эти генералы – жизненно важный фактор в широкомасштабных битвах. Подобно командирам, которые получают информацию от всех уровней боевых сил, система управления должна анализировать различную информацию и принимать решения, влияющие на всю сеть. Эта труднейшая задача требует передовых сложных технологий, которые применяются и улучшаются почти ежедневно.
Средние и крупные сети обычно состоят из различных видов элементов ИБ. Для создания эффективной и защищенной сетевой инфраструктуры инженеру следует полностью понимать главную роль каждого элемента системы защиты, его сравнительное преимущество и характерное местоположение. И, хотя всевозможные виды имеющихся и появляющихся средств защиты в этой статье не рассматривались, практически к каждому виду систем безопасности можно применить аналогии из района боевых действий, что сделает более понятной сложную архитектуру современных сетей передачи данных. Многоуровневый подход, а также эффективный способ синхронизации средств защиты на различных уровнях сети формируют базовую платформу безопасности.
(Елизавета Валяева)
Алексей Гребенюк: С проявлениями информационной войны мы сталкиваемся на каждом шагу
Своим экспертным мнением с CNews поделился Алексей Гребенюк, директор Центра технической поддержки "Доктор Веб".
Переход мирового сообщества в информационную эпоху резко изменил приоритеты по отношению к средствам обработки и накопления данных. Информация стала товаром, на который имеется постоянный спрос, за который идет борьба в киберпространстве. И это ни для кого сегодня не секрет. Информационная война идет, и с ее проявлениями мы сталкиваемся на каждом шагу.
Интернет, став активным источником данных, одновременно является и опасным окружением — подключенный к сети компьютер, как правило, подвергается атакам каждые 5-10 минут.
Любая организация и конечный пользователь вынуждены считаться с существованием множества угроз — утечки информации, вирусы, атаки хакеров, спам, фишинг... Так как же получить "безопасный информационный сервис" или как начать обрабатывать информацию, не потеряв ее?
Однозначного ответа на этот вопрос сегодня нет, поскольку существуют совершенно разные группы потребителей информации: домашние и корпоративные пользователи. Для первых — это набор правил и программно-технических решений на базе современных межсетевых экранов, антивирусных и антиспам-продуктов. В свою очередь, для корпоративных пользователей — это триада построения безопасных бизнес-процессов при обработке информации. Ее основа - правильное распределение ролей, соответствующих им прав и полномочий, а также привилегий, связанных с контрольными функциями.
Любой процесс доступа к информационному ресурсу предприятия регламентируется исключительно ролью работника и соответствующим ей правам и полномочиям. Контрольные функции по исполнению действующего регламента возлагаются исключительно на специалистов (сотрудников подразделений ИТ и ИБ), которые действуют в рамках предоставленных им прав и привилегий. При этом необходимо раз и навсегда отказаться от подхода, когда программно-технические меры ИБ рассматриваются как "дополнение" к существующим информационным процессам.
В основу целесообразно положить контроль доступа, основанный на ролях (Role Based Access Control — RBAC), потому что сегодня в корпоративном секторе именно санкционированный пользователь несет в себе максимальную угрозу (инсайдер). RBAC комбинирует пользователей, роли, профили, права и параметры запуска (Exec Attributes).
Хорошей практикой является присоединение нескольких профилей к одной роли. Это дает пользователю возможность выполнять различные задачи администрирования, всего лишь изменив свою роль. При этом желательно, чтобы рассматриваемое для применения средство защиты информации было снабжено соответствующим механизмом инструментального аудита.
Достаточно близким по идеологии построения и возможностям к этой модели является решение для борьбы со вредоносными кодами с централизованным управлением для рабочих станций, ноутбуков и серверов в организациях Dr.Web Enterprise Suite. Оно обеспечивает защиту от современных и новых угроз (вирусы, spyware, rootkits), централизованное управление отчетами и предупреждениями, максимальную интеграцию с имеющейся инфраструктурой (Active Directory и системами распространения программного обеспечения).
Dr.Web Enterprise Suite позволяет легко и без проблем интегрировать антивирусное решение в любую уже созданную ИТ-инфраструктуру, которая построена на базе AD или e-D. При этом локальные политики безопасности легко агрегируются в Enterprise Suite, а с помощью возможностей пакета можно проводить мониторинг и аудит доступа к критичной информации, и на его основании полученных результатов мониторинга осуществлять мероприятия в том числе и по борьбе с инсайдерами. При этом антивирусный пакет выступает как серьезное комплексное средство ИБ, позволяющее решить ряд сложный интегральных проблем в области защиты информации.
Артем Кириллов: Любая эффективная защита начинается со стратегии
Своим экспертным мнением с CNews поделился начальник отдела технической поддержки продаж, системный инженер ИБ компании Step Logic Артем Кириллов.
Мне очень нравятся параллели, которые представлены в данной статье. В действительности ИТ-безопасность – это реальный бой с определенной стратегией и тактикой, исходными позициями, развитием ситуации и корректировочными действиями.
Ошибочно доминирующее публичное представление штатных ИТ-специалистов о том, что комплекс аппаратно-программных средств может снизить риски в области защиты информации, а специфические атаки и угрозы вряд ли вообще появятся в их конкретной сети, приводит к неоправданному росту затрат и реальному уменьшению защищенности важных ресурсов и данных.
Я специально сослался на штатных ИТ-инженеров, отвечающих за ИТ-инфраструктуру в конкретном предприятии. Именно их сугубо личная позиция и невозможность руководства оценить их квалификацию и профессионализм иногда приводят к реальным удручающим последствиям.
Любая эффективная защита начинается со стратегии. Правильно описанная процедура управления, перемещения и доступа к данным создает фундамент информационной безопасности предприятия. Согласно такой стратегии, могут быть эффективно подобраны программно-аппаратные и административные меры контроля ее реализации и исполнения.
Таким образом, "железки" правильно называются средствами защиты, но не самой защитой. Они всего лишь обеспечивают контроль и исполнение определенных функций. Информационная безопасность – это комплексное решение, начинающееся, как ни странно, с кропотливой бумажной работы. (Как генералы над картами позиционных районов или фронтов.)
При разработке систем защиты информации необходимо правильно позиционировать различные типы средств ИБ и конструировать точные решения, соответствующие конкретным задачам бизнеса.
Эффективность такого подхода могу описать на коротком примере. В результате обследования сети одного крупного промышленного предприятия выяснилось, что для 90% сотрудников, использующих КСПД для рабочих нужд, доступ в интернет вообще не нужен. Таким образом, требуемая производительность межсетевого экрана между интернетом и внутренней сетью составляет лишь 10% от расчетных параметров, исходящих из общего числа подключенных к сети рабочих станций. При этом тем сотрудникам, которым интернет был необходим для исполнения служебных обязанностей, требовались лишь доступ к почте и блоку узкоспециализированных финансовых интернет ресурсов. Фактически это означало, что стратегия защиты и контроля периметра сети в части пользовательского доступа могла быть реализована на менее производительном межсетевом экране. При этом краткая должностная инструкция описывающая порядок предоставления и контроля доступа в интернет включила в себя регламенты формирования групп пользователей в корпоративном домене, коррелированные с настройками межсетевого экрана и использованием средств контроля содержимого трафика на основе технологии Content Filtering.
Безусловно, это весьма упрощенный сценарий, но внедрение такой стратегии привело к следующему результату. Так, на 40% снизилась нагрузка на узловые коммутаторы и сетевую среду передачи данных, на 25% увеличилась доступность основных бизнес-приложений. В свою очередь, расходы на ежемесячный интернет-трафик уменьшились на 60%, а эффективность работы персонала выросла на 30%. Кроме того, на 70% снизилась заражаемость офисных рабочих станций вирусным содержимым, распространяемым через развлекательные сайты и социальные сети.
При этом компания-заказчик для сохранения комфорта рабочего персонала организовала изолированный сегмент доступа в интернет для личных нужд на базе трех мини интернет-кафе в сумме из 20 рабочих мест, которые работают по определенному расписанию в соответствии с графиком рабочих смен.
Вот вам и Информационная безопасность!
Николай Федотов: Действовать при защите информации "как на войне" – это чистое безрассудство
Своим экспертным мнением с CNews поделился Николай Федотов, главный аналитик компании InfoWatch.
В статье дважды (в начале и конце) утверждается, что аналогия с боевыми действиями "делает более понятной сложную архитектуру современных сетей". Сразу же встает вопрос: для кого более понятной? Для демобилизованного "сапога", которому старый приятель-особист нашел теплое местечко в отделе защиты информации? Или для сисадмина, который с 18 до 20 лет не вставал из-за компьютера, в то время как его ровесники ходили строем и драили медяшку? Или, может быть, для сорокалетней тетушки, которую неожиданно назначили "ответственной за ИБ" в урюпинском отделе, как это практикуется в большинстве наших госорганов? Да, для всех упомянутых персонажей описанная аналогия, безусловно, полезна. Способствует, так сказать, пониманию, "что здесь вам не тут".
Военные методы автор комментируемой статьи видит "очень похожими на те, которым необходимо следовать при создании... системы информационной обороны". С какой стороны они похожи? Не иначе, с точки зрения полководца, пишущего мемуары. А вот эксперт смотрит с другой стороны, со стороны профессионала по защите информации. И он, напротив, видит эти методы весьма непохожими на военные. Про эту кажущуюся похожесть есть уместный анекдот. Автослесарь беседует с кардиохирургом и пытается доказать, что его работа не менее сложна: "По сути одна и та же работа – двигатель перебрать". "Да, – соглашается хирург. И уточняет. – Работающий двигатель".
Если некий военный станет заявлять, что защита информации похожа на боевые действия (пускай, оборонительные), ему придется вспомнить, когда какая армия вела такую войну, чтобы при этом все гражданские поезда ходили по расписанию (через линию фронта в том числе), гражданские самолеты летали, а если в ходе боев, не дай бог, будет потоптано картофельное поле или разбита витрина в магазине, то за такое безобразие местный мэр немедленно уволит с должности командира дивизии. Припоминаете такую военную кампанию, господин стратег?
А теперь серьезно.
Конечно же, все аналогии – кривые. Их можно использовать для объяснения детям или отставным военным элементарных вещей из области ИТ. Как только разговор переходит на что-нибудь посложнее отыскания клавиши "any key", все аналогии отбрасываются и преподаватель вынужден обратиться к специальным компьютерным терминам.
Конечно же, информационной безопасности нужно учиться. Это профессия. Это постоянное занятие на значительную часть жизни. Этому учатся годами, а не объясняют на пальцах.
Конечно же, действовать при защите информации "как на войне" – это чистое безрассудство. Не только потому, что у нас применяются пассивные методы, тогда как активные действия почти исключены. А потому что цели в корне иные. Целью работ по ИБ является не разгром вражеских сил, не занятие вражеской территории, даже не сохранение своей. Цель – обеспечить стабильную и прибыльную работу информационной системы и предприятия в целом. Такая задача меньше всего похожа на войну. Аналогия с медициной нам гораздо ближе. Кстати, этические принципы информзащитников очень похожи на медицинскую этику (т.н. клятва Гиппократа) – делиться знаниями, не отказывать в помощи, не давать ядов, хранить врачебную тайну и т.д.
Мы, специалисты информационной безопасности, люди сугубо мирные, неконфликтные и человеколюбивые. Мы не разрушаем, а созидаем. Мы не шагаем строем, а критически мыслим. Мы не глядим бесстрашно в лицо врагу, мы повернуты к нашим пользователям. Милитаристам среди нас делать нечего!
