Источник: http://www.hr-portal.ru/article/zashchita-informatsii-v-korporativnykh-setyakh
Защита информации в корпоративных сетях М. Савельев
М. Савельев
Мир связи. Connect! № 9, 2004
Говорить о том, что информационная безопасность (ИБ) стала частью корпоративной культуры, у нас в стране можно с большой натяжкой. Необходимость обеспечения ИБ осознали только крупные компании. Да и они до недавнего времени проблемы безопасности воспринимали исключительно как технические, связанные с внедрением межсетевых экранов, антивирусного программного обеспечения, средств обнаружения вторжений и виртуальных частных сетей.
На самом деле, по рекомендациям исследовательских фирм, от 60 до 80% всех усилий по обеспечению безопасности следует направлять на разработку политики безопасности и сопутствующих ей документов. Почему? Потому, что политика безопасности является самым дешевым и одновременно самым эффективным средством обеспечения информационной безопасности (конечно, если ей следовать). Кроме того, если политика сформулирована, то она является и руководством по развитию и совершенствованию системы защиты.
Конкретные продукты и решения по информационной безопасности совершенствуются год от года, интегрируются между собой. Все это происходит так стремительно, что кажется, будто недалек тот день, когда кто-нибудь предложит универсальный продукт для защиты любых информационных систем всеми доступными средствами. Это могло бы быть шуткой, если бы мы не наблюдали воочию, как усилия многих специализированных компаний «размазываются» в попытках создать универсальный продукт. На мой взгляд, для потребителей была бы полезнее консолидация усилий нескольких производителей, направленных, например, на создание единой консоли управления...
Так чего же ждать от производителей средств защиты? Ответить на этот вопрос я попытался в рамках этой статьи, поставив перед собой цель — не анализировать конкретные возможности тех или иных продуктов, а посмотреть, в каком направлении развиваются те или иные средства защиты.
Межсетевые экраны
Межсетевые экраны были и являются базовым средством обеспечения сетевой безопасности. Впервые они появились в конце 80-х годов. С их помощью решалась задача разделения компьютерных сетей. В то время межсетевой экран представлял собой компьютер, разделявший защищаемую сеть и все остальные, «открытые» сети. С тех пор принципиальных изменений эта технология практически не претерпела.
Исторически эволюция межсетевых экранов началась с пакетных фильтров общего назначения, затем стали появляться программы-посредники для отдельных протоколов (всевозможные шлюзы, например, почтовые, Proxy-сервера и т.п.). Наконец, компания Check Point Software Technologies разработала технологию stateful inspection. Суть ее состоит в хранении информации о контексте соединений (состояние соединения, текущие номера пакетов и пр.) — как активных, так и существовавших ранее.
Борьба за потребителя среди производителей межсетевых экранов с определенного момента стала заключаться в том, что каждый из них стремился придать своему детищу наиболее удобное управление и больший функционал — и для обеспечения информационной безопасности, и для решения прикладных задач.
Сейчас уже практически невозможно отыскать межсетевой экран без возможности организации VPN. Интеграцию межсетевых экранов с антивирусами и средствами обнаружения атак тоже можно считать решенной задачей.
В развитии технологии межсетевого экранирования можно отметить две основные тенденции. Первая — тенденция к «ожелезиванию». До недавнего времени аппаратные решения конкурировали с программными, которые сегодня стремительно сдают свои позиции. Этому есть объяснение. «Железное» решение снимает с заказчика большое число таких проблем как, например:
· приобретение компьютера и периферийного оборудования для развертывания межсетевого экрана,
· приобретение, установка и настройка лицензионной операционной системы,
· установка и настройка самой системы защиты.
Помимо снижения временных и финансовых затрат, «ожелезивание» способствует и повышению надежности. Идентичные изделия взаимозаменяемы, легко образуют кластеры для балансировки нагрузки, пригодны для «холодного» и «горячего» резервирования.
Вторая тенденция в развитии межсетевых экранов — их переклассификация из средств коллективной защиты в персональные. Название «персональный межсетевой экран» плотно вошло в обиход и уже не кажется абсурдным. Более того, межсетевые экраны теперь встраиваются в отдельные приложения, например в ПО Web-серверов.
Нельзя не отметить и видимую ориентацию производителей средств на сегмент SOHO, что в первую очередь выражается в отмеченном ранее расширении функционала. Этому явлению сложно дать однозначную оценку. С одной стороны, решение «все в одном» удобно, когда мы говорим о защите небольшой сети из 10-50 компьютеров. С другой стороны, возникает риторический вопрос: стоит ли класть все яйца в одну корзину? Когда же речь заходит о крупных системах, в которых одним из важнейших показателей является доступность, то поневоле задумаешься: не станет ли отказ или перегрузка одной из подсистем причиной для сбоя сложного устройства?
Средства построения VPN
В этом сегменте средств защиты продолжается борьба за повышение производительности процессов шифрования. Этого требует рост телекоммуникационных возможностей: скоростными каналами с пропускной способностью в 1 Гбит между сетями территориально распределенных подразделений компании уже никого не удивить.
Второе направление, в котором развивается данная технология — «мобильность» клиента. Под этим понимается не только внедрение соответствующего функционала в карманные компьютеры, смартфоны и телефоны, но и создание клиентов, не требующих предварительной установки какого-либо софта. Такой клиент может загружаться как скрипт, например во время посещения защищенного раздела корпоративного сайта. Достоинство — возможность доступа из любого интернет-кафе, с любого компьютера, недостаток — ключ шифрования генерируется на основе пароля.
Антивирусы
До недавнего времени производители средств защиты от вирусов соревновались в основном в скорости обновления антивирусных баз. Например, компания Trend Micro объявляла о 20-минутном «зазоре» от начала распространения вируса до выпуска профилактических правил для своих продуктов, позволяющих пресечь распространение вируса или червя. При этом многие производители забывали о реальных потребностях пользователей. А ведь антивирусные программы — самое распространенное средство защиты — от отдельных компьютеров домашних пользователей до огромных корпоративных сетей. Корпоративная сеть нуждается в централизованном управлении, обновлении и пр. Кроме того, в ней установлено огромное количество прикладных программ, которые тоже необходимо защищать.
Первыми, как мне кажется, об этом вспомнили Symantec, Sophos и Trend Micro. Помимо расширенных возможностей управления, они предложили комплекс средств для построения эшелонированной защиты: компоненты их систем не только защищают рабочие станции и сервера, но и закрывают наиболее вероятные пути проникновения вирусов в сеть — почтовые шлюзы и Proxy-сервера для доступа в Интернет.
Сегодня многие компании, даже имеющие системы антивирусной защиты на рабочих станциях, добавляют в их функции защиту шлюзов. Параллельное использование двух антивирусов, имеющих разные базы сигнатур и разные методы обнаружения вирусов, позволяет быть уверенным в действительно высоком уровне защиты.
Обнаружение атак
Системы обнаружения атак прошли достаточно интересный путь. В начале 80-х годов обнаружение атак заключалось в ручном анализе журналов регистрации событий. Через 10 лет появились первые автоматизированные средства анализа. На очередном витке развития коммуникаций возможностей систем обнаружения атак стало явно не хватать. Жизнь требовала не только обнаружения, но и блокирования вредоносных воздействий. Так системы обнаружения атак слились с межсетевыми экранами и коммутационным оборудованием, появились персональные системы обнаружения атак, позволявшие блокировать атаку непосредственно на защищаемом узле.
Следующий виток развития и опять интеграция: обнаружение атак тесно связывается с системами анализа защищенности. Эта технология получила собственное название — система корелляции событий.
Корреляция событий позволяет сосредоточить внимание администратора безопасности только на значимых событиях, способных нанести реальный ущерб инфраструктуре компании. Система не будет отвлекать администратора сообщениями о тех атаках, которые не опасны для данной сети (например, направлены на Unix-сервер, которого просто нет в защищаемой сети), или о тех, которые обнаружены в трафике, но блокированы access-листами коммутационного оборудования.
По принципу корреляции строят свои решения такие компании, как Internet Security Systems и NetForensics.
Кроме того, как и в области VPN, производители IDS отчаянно борются за скоростные показатели своих систем. Основная цель — нормальная работа систем на мультигигабитных скоростях.
Контроль содержимого
Последний всплеск интереса к системам контроля содержимого был вызван проблемами распространения спама. Однако основное предназначение средств контроля содержимого — это все-таки предотвращение утечки конфиденциальной информации и пресечение нецелевого использования Интернета.
Одна из приоритетных задач производителей подобных средств, — сделать так, чтобы работа системы контроля содержимого не ощущалась пользователем. Ведь анализ больших объемов трафика — ресурсоемкая задача.
Здесь в ход идут различные схемы распределения вычислений — от расстановки отдельно стоящих, но централизованно управляемых и реализующих единую политику безопасности серверов в подразделениях компании, до кластеризации и распараллеливания вычислений.
PKI
Существует много серьезных проблем, сдерживающих повсеместное внедрение этой технологии. И дело не только в отсутствии в нашей стране положения о лицензировании удостоверяющих центров. В настоящее время немногие приложения могут полноценно работать с ЭЦП. Если говорить об имеющемся и реально эксплуатируемом в компаниях ПО, которое разрабатывалось 5-10 лет назад, то в нем функции работы с ЭЦП вообще не предусматривались. Отечественные разработчики пытаются восполнить этот пробел, но их продукты зачастую несовместимы между собой. Правда, работа по преодолению этой помехи уже ведется.
Управление безопасностью
Под управлением безопасностью чаще всего понимается автоматизация управления информационной безопасностью на основе стандарта ISO 17799. В иных случаях управление безопасностью трактуют как создание некой единой консоли для управления всеми подсистемами — от антивируса до систем обнаружения атак. Однако проблема управления стоит гораздо серьезнее.
Крупная организация использует в своей сети множество аппаратных и программных средств обработки данных (приложения и СУБД, коммутационное оборудование, средства безопасности и т.п.), каждое из которых управляется подчас несколькими людьми. Руководство ставит перед ними различные задачи: перед администраторами — поддерживать работоспособность и надежность сети, перед службой информационной безопасности — обеспечить конфиденциальность данных, и т.п.
Во многих компаниях автоматизировать процессы управления пытаются за счет документооборота: для внесения изменений в объекты, так или иначе влияющие на информационную безопасность предприятия, используют механизм заявок. Но тут возникает новая проблема: по мере накопления заявок невозможно отследить их взаимную непротиворечивость и их соответствие корпоративным требованиям безопасности. Кроме того, отсутствуют механизмы контроля реального состояния объектов.
Масло в огонь подливают и проблемы общения с бизнес-подразделениями компании. Термин отдела кадров «зачислен новый сотрудник» означает для отделов IT «завести учетную запись пользователя в:», «создать сертификат для пользователя:» и множество прочих подобных инструкций.
Работа по автоматизации процессов управления информационной безопасностью уже ведется. Идеология решения заключается в том, что управление безопасностью нанизывается на каркас бизнес-процессов компании. Система, обладая знаниями об информационной системе организации, не только транслирует эту информацию с языка одного подразделения на язык другого, но и раздает поручения на выполнение конкретных операций. Вездесущие агенты системы контролируют своевременность и правильность выполнения этих поручений.
Заключение
Какова бы ни была система защиты информации в конкретной организации, главное — помнить два основных правила.
Первое: комплексная защита информации — это, прежде всего, совокупность принятых в компании мер по защите, а не набор продуктов. Нельзя списывать со счетов и то, что в обеспечении информационной безопасности участвует каждый сотрудник компании.
Второе: основа любой системы защиты — это люди. От того, насколько грамотно персонал настроит эксплуатируемые системы, как он будет готов реагировать на инциденты в области безопасности, зависит защищенность предприятия в целом.
Что же касается технологий и конкретных средств защиты информации, то использование антивирусов, межсетевых экранов и механизмов разграничения доступа обеспечивает лишь минимально необходимый уровень защищенности, а применение дополнительных механизмов защиты должно определяться экономической целесообразностью.