Rambler's Top100
 
Статьи ИКС № 4 2006
Антон РАЗУМОВ  01 апреля 2006

Враг внутри: где последний рубеж обороны?

Сегодня ситуация изменилась, и перечисленных СЗИ уже недостаточно. Безусловно, МЭ – критически необходимый элемент для обеспечения безопасности сети. Однако он не предотвратит угрозы, которые обходят периметр, так же как самые крепкие стены не остановят пролетающую над ними бабочку или прорывшего под ними ход крота.

Особые опасения вызывают угрозы, исходящие из локальной сети, причем независимо от того, как они появились – от взлома периметра или из источника, имеющего непосредственный доступ в ЛС. Если сотрудники компании подключают свои ноутбуки к домашним и публичным сетям в аэропортах, кафе, отелях, то для них уже не действуют средства защиты корпоративного периметра и их компьютеры легко могут быть инфицированы, чтобы затем стать источниками злонамеренного кода.

А сколько посетителей компании получают временный доступ в Интернет? Часто их подключают непосредственно к ЛС. Доступа к сетевым ресурсам у них не будет, но кто знает, какое установлено у них ПО? Они тоже потенциальные распространители злонамеренного кода и атак.

Неудивительно, что именно внутренняя безопасность стала горячей темой, а принесенные на дискете или в лаптопе черви оборачиваются многомиллионными убытками. Время между появлением уязвимости и использующего ее злонамеренного кода (exploit) неуклонно сокращается, и часто эксплойт появляется раньше, чем компании успевают установить обновления. Вот и еще один источник распространения угроз.

Меняется сетевое окружение, и традиционное понятие периметра корпоративной сети уходит в прошлое. Мобильные устройства постоянно перемещаются между внутренней и внешней сторонами периметра и не контролируются традиционными МЭ. Добавляют опасений и беспроводные сети, зачастую позволяя подключаться к корпоративным ресурсам в обход МЭ. А SSL-туннели к web-порталам и другим приложениям? Шифрованный трафик не инспектируется МЭ, да и системы обнаружения и предотвращения атак не способны его проанализировать.

В современных быстро развивающихся сетях черви, вирусы, шпионское ПО становятся не просто проблемой. Примеры распространения MyDoom, Blaster показывают их способность быстро и существенно снижать пропускную способность сети и наносить значительный финансовый ущерб. Даже один такой инцидент может стоить компании сотни тысяч долларов. Защиту периметра должна дополнять внутренняя СИБ, обеспечивая новые уровни защищенности.

Основные различия


Можно ли использовать традиционные межсетевые экраны для защиты ЛС? Ответ – нет.

Если с пристрастием проанализировать защиту ЛС, то выяснится, что сеть и ее периметр различаются по свойствам и назначению, а следовательно, для каждого из них должны использоваться разные решения по ИБ. В чем же эти различия?

Первое. Большинство компаний не используют специализированные решения для защиты ЛС. Обычно безопасность внутри сети ассоциируется лишь с антивирусной защитой. Однако эти точечные решения защищают конкретные компьютеры от конкретных угроз. Например, традиционные средства борьбы с вирусами не способны эффективно предотвратить распространение червей. Дело в том, что антивирусы по большей части основаны на сигнатурах. Они защищают нас от известных атак и только после установки на все (!) ПК соответствующего обновления антивирусных баз. С пойманным и обезвреженным неизвестным вирусом мы сталкиваемся, увы, гораздо реже, чем хотелось бы.

Второе. Правила безопасности. Создать детальную политику безопасности внутри сети намного сложнее, чем на периметре. Для защиты периметра, как правило, достаточно прописать нормы использования приложений и протоколов, а потому не возникает сложностей в создании правил. В локальной сети мы имеем дело со множеством серверов, протоколов, приложений, в том числе разработанных самостоятельно. Часто администраторы даже точно не знают, какие приложения запускаются и как они взаимодействуют друг с другом. А без этого сформировать детальную политику безопасности практически невозможно.

Третье. Протоколы и приложения, которые наиболее часто используются в ЛС и на периметре, существенно различаются. Например, протоколы Microsoft и SQL применяются в ЛС гораздо чаще, чем на периметре. А большинство решений по защите периметра эти протоколы не анализирует и не способно защитить от атак на уровне приложений. В итоге именно эти протоколы (к примеру, RPC) были широко использованы для атак. Специализированные решения для внутренней безопасности должны распознавать популярные протоколы: не блокировать порты, нарушая бизнеспроцессы, а пропускать без задержки легитимный трафик.

Четвертое. Стратегии реализации политик безопасности. На периметре фильтруется по умолчанию весь входящий трафик, пропускается лишь необходимый. В ЛС подобный подход привел бы к неоправданному усложнению политики, поэтому здесь весь трафик разрешен, чтобы не препятствовать бизнес-процессам. И блокируются только некоторые виды заведомо запрещенного контента.

Пятое. Скорость в ЛС значительно выше, чем при «переходе границы». К сожалению, продукты, разработанные для защиты периметра и предлагаемые для защиты сети, недостаточно производительны. Более того, имеется неочевидный опасный фактор, который проявляется при росте скорости передачи. Высокоскоростные сети более уязвимы (например, подвержены атакам на ресурсы или подбора учетных записей), поскольку и черви распространяются в ЛС существенно быстрее, чем на периметре. Поэтому следует выбирать решения, способные обеспечить превентивную защиту, не дожидаясь выхода обновлений сигнатур.

Очевидно, что внутренняя безопасность требует специализированных решений.

Неотъемлемые элементы

Решения по защите внутренних ресурсов должны иметь три уровня обороны:
  1. 1. Рабочие станции – как правило, персональные МЭ, обеспечивающие выполнение корпоративной политики безопасности на сетевом и прикладном уровнях.
  2. 2. Шлюзы внутренней защиты – специализированные устройства, которые сегментируют ЛС на зоны безопасности и защищают их от атак, исходящих от инфицированных рабочих станций и серверов, проникших внутрь сети хакеров.
  3. 3. Серверы для защиты наиболее критичных (или всех) зон от злонамеренного трафика, контроля состояния ПО и конфигурации.
Важно, чтобы политика безопасности проводилась централизованно и чтобы ее принятие, как и дальнейшее управление, обеспечивало высокую масштабируемость. Вместе с тем для всех уровней возрастает значимость превентивной защиты. Безусловно, многие эксплойты появляются прежде, чем компании успевают установить обновления-«заплатки». Идеальное решение обязано не только предотвращать известные атаки, но и обнаруживать аномальную активность и нарушения стандартов, защищая тем самым даже от эксплойтов, еще не ставших достоянием общественности.

Безопасность рабочих станций. Многие угрозы вносят в ЛС собственные сотрудники, подключая скомпрометированные устройства. А таковыми они могут оказаться даже из-за неэффективного управления обновлениями.

Как правило, средства защиты рабочих станций представляют собой персональные МЭ, которые регулируют пропуск различных видов трафика в соответствии с правилами, заданными пользователем или администратором. Такой МЭ должен контролировать не только сетевой уровень, но и отслеживать запросы приложений на доступ к локальным и сетевым ресурсам, обеспечивать превентивную защиту от червей, шпионского и другого злонамеренного ПО, причем не только на основе известных сигнатур.

Безусловно, необходимы средства управления политиками безопасности на рабочих станциях, например за счет блокировки доступа к важным сетевым ресурсам, к станциям без обновлений, с устаревшими антивирусными базами и т.д. Роль централизованного управления здесь чрезвычайно высока. К сожалению, многие популярные персональные МЭ регулируются индивидуально, так как не предназначались для корпоративной среды. Обычно в экранах отсутствуют средства гибкого управления множеством политик для разных групп пользователей. Поэтому применять их в ЛС неэффективно и даже вредно, хотя они вполне способны защитить рабочую станцию.

Шлюзы внутренней защиты. Несомненно, защита на уровне рабочих станций – передовой рубеж обороны. Однако не все компьютеры ЛС могут быть защищены таким образом. Часто к сети подключаются партнеры, у которых нет подобных СЗИ или их ПК инфицированы. Тогда МЭ бессилен. Нельзя сбрасывать со счетов и намеренные атаки собственных авторизованных пользователей. Недовольные сотрудники в корыстных целях (или по недомыслию) могут причинить серьезный вред – «занести инфекцию» или прочесть конфиденциальные данные.

Часто в качестве дополнительных СЗИ рекомендуется применять системы обнаружения (IDS) и предотвращения (IPS) атак, которые порой лишь частично удовлетворяют требованиям к защите внутренних ресурсов. Подобные системы создавались для реализации защитных функций, недостающих традиционным МЭ. Задачи IDS – мониторинг сетевой активности и извещение о состоявшихся попытках атак, IPS – возможность блокирования атак (хотя от IDS они унаследовали реактивность подхода, основанного на сигнатурах).

Вдобавок при использовании любой системы многие важные меры защиты становится трудно реализовать, в частности нельзя сегментировать сеть на зоны с разными политиками. А зависимость от сигнатур (появляющихся после публичных эксплойтов) ставит под сомнение защищенность сети от новых червей, даже их известные модификации зачастую требуют обновления сигнатур. А ведь публичные эксплойты, прежде чем стать достоянием общественности, некоторое время эффективно используются хакерами, в том числе для адресных атак на организации.

Но выход есть – специализированные шлюзы внутренней защиты (ШВЗ). Они разработаны для блокирования как известных, так и неизвестных атак, которые могут исходить от опасных или инфицированных устройств, от внутренних злоумышленников. Для обнаружения неизвестных атак обычно проводят проверку трафика на соответствие протоколам и стандартам и возможность их использования, контролируют потенциально опасные действия приложений, а также блокируют обнаруженные в сети злонамеренные коды.

Используя интеллектуальные методы, ШВЗ находят аномалии в протоколах и злонамеренные коды как в сетевом трафике, так и на уровне приложений. В отличие от традиционных систем предотвращения атак такие шлюзы разработаны с учетом специфических требований к управлению/защите и ориентированы на протоколы, использующиеся в ЛС.

После обнаружения атаки ШВЗ ограничивает ее распространение в соответствии с установленной политикой безопасности. А если в сети появился червь или другой злонамеренный код, ШВЗ блокирует его распространение, сегментируя сеть на зоны. Для разных зон могут устанавливаться разные уровни безопасности и виды проверок, обеспечивая дополнительную защиту для особенно важных сегментов сети. Зоны могут физическими или виртуальными, основываться на организационном делении или территориальных признаках.

Важная функция ШВЗ – выбор способа противодействия обнаруженной угрозе. Рабочая станция, например, может быть помещена в карантин, тогда как остальные компьютеры зоны продолжат работу (учитывается важность непрерывной работы сети). А простейшийи часто рекомендуемый производителями способ защиты, например, от SQL-червя Slammer заключается в блокировании порта 1434, что влечет за собой прекращение всех SQL-транзакций и остановку бизнес-процессов.

Шлюз внутренней защиты обязан не только обнаруживать угрозы, не дожидаясь выхода сигнатур и рекомендаций, но и блокировать злонамеренный трафик (не нарушая прохождение легитимного!).

Безопасность серверов. Локальные сети соблазнительны для хакеров главным образом из-за серверов с конфиденциальной информацией. Поэтому для эффективной внутренней защиты необходимо наличие специализированного ПО на серверах и рабочих станциях, причем не только для проверки входящего и исходящего сетевого трафика. Оно должно обнаруживать новое или измененное ПО на компьютере, равно как и изменения конфигурации ЛС.

Обязательное требование

Как видим, традиционный периметр «размывается», а угрозы локальным сетям множатся. Внутренняя безопасность становится необходимостью, которая призвана эффективно дополнять существующую защиту периметра. Именно дополнять, поскольку обнаружились существенные различия между требованиями к ней и к защите периметра, из-за которых внутренняя безопасность нуждается в специализированных решениях.

Шлюзы внутренней защиты, средства обеспечения безопасности рабочих станций и серверов должны работать согласованно, а решение в целом – обеспечивать возможность масштабирования, быстрого внедрения и централизованного управления, снижая тем самым совокупную стоимость владения.

***


Даже лучшая в мире технология должна быть экономически обоснована, принося видимую выгоду. И принимая решение о внедрении той или иной системы, следует оценить, не нарушит ли продукт непрерывность бизнеса, не снизит ли производительность и соответствует ли его функциональность внутренним руководящим документам. Предпочтение должно отдаваться решениям с многоуровневой масштабируемой архитектурой безопасности и унифицированным централизованным управлением, охватывающим все аспекты безопасности сети.

Пять шагов к защите беспроводных ЛС

Беспроводные локальные сети (WLAN) приносят пользователям огромные преимущества, позволяя включать лаптопы на совещаниях и в разных помещениях офиса. Но те же WLAN несут в себе также одну из самых больших угроз для целостности корпоративной сети. Сформулируем пять шагов, которые позволяют снизить уровень риска.
  1. Найдите все незарегистрированные узлы доступа.

    Самый большой риск для организации исходит от незарегистрированных точек доступа (Wrong Access Point, WAP). Их наличие не обязательно указывает на попытки обойти систему защиты сети. Скорее, дешевизна и простота приобретения AP (Access Point) подтолкнули кого-то из сотрудников офиса к тому, чтобы облегчить себе жизнь. Есть множество инструментов – от специальных сенсоров WLAN до обычных «мониторов пакетов», которые позволяют очистить сеть от WAP.
  2. Защитите рабочие места, чтобы обезопасить сеть.

    Гарантировать защищенность беспроводной ЛС можно в лучшем случае лишь на 50%. Ее рабочие места уязвимы так же, как удаленные широкополосные соединения, поэтому как минимум на них следует установить персональные брандмауэры. Следующая мера – соблюдение политик безопасности: доверенные пользователи должны находиться в одной виртуальной подсети (подключенной к внутренней), тогда как гости или сотрудники без привилегий доступа – в другой подсети, связанной только с Интернетом.
  3. Сегментируйте сеть.

    Дополнительно для защиты рабочих мест нужно установить надежный брандмауэр на периметре сети, чтобы отделить беспроводную ЛС от обычной корпоративной. AP обеспечивают элементарный контроль за доступом, но не гарантируют глубокой защиты. Применяйте согласованные правила безопасности по всей WLAN и периметру корпоративной сети.
  4. Рассмотрите необходимость шифрования IPSec поверх WLAN.

    Переход от неудачной технологии Wired Equivalent Privacy (WEP) и временной Wireless Protected Access (WPA) к протоколам 802.11i и WPA2 помог индустрии WLAN поправить свою репутацию. Однако существует множество устройств, не поддерживающих эти стандарты. Если нет возможности внедрить 802.11i на всем предприятии при работе с конфиденциальной информацией, лучше ввести режим шифрования по IPSec.
  5. Оцените риски.

    Защита WLAN должна стать компонентом анализа рисков. Что может быть раскрыто? Есть ли процедуры обнаружения WAP? Какова мера ответственности при несанкционированном подключении к WLAN, а затем к корпоративной сети? Средства защиты должны соответствовать степени риска и учитывать последствия нарушения целостности сети.


Поделиться:
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!