Комплексная ИТ-защита в современных условиях

---

* По материалам корпорации Symantec.

Человечество, пользуясь технологическими достижениями, одновременно сталкивается и с появлением все новых опасностей. Так было всегда — в древнем мире, в средние века, в новой истории. И чем быстрее развиваются технологии, тем быстрее, неожиданнее и опаснее проявляются угрозы. Соответственно тем быстрее люди должны уметь реагировать на них, а еще лучше — предвидеть их и быть готовыми к отпору.

Информационные технологии дают здесь самый яркий пример последнего десятилетия. Вряд ли стоит в очередной раз описывать достижения и достоинства, например, Интернета — но и сопутствующих ему нежелательных явлений более чем достаточно. Однако когда речь идет о трудностях, пользователи традиционно реализуют подход "решаем проблемы по мере их появления". В результате сегодня в корпоративных информационных системах применяются разрозненные средства обеспечения информационной безопасности и различные неформализованные процессы, призванные защитить от атак важную деловую информацию. Но в современных условиях подобная инфраструктура порой не только не повышает уровень защиты, но и наоборот — увеличивает опасность, грозящую организации. Сегодня необходимо отказаться от пассивного подхода и переходить к упреждающим мерам защиты.

Современная ситуация

Даже бегло взглянув на положение дел в сфере компьютерной безопасности, можно увидеть, насколько ситуация изменилась за последнее десятилетие. Вот как дела обстоят сейчас (приведенные сведения взяты из последнего отчета об опасностях Интернета, выпущенного компанией Symantec (http://www.symantec.com); отчет охватывает период с 1 января по 30 июня 2004 г.).

Растет число атак на Интернет-магазины. Электронная коммерция стала
самой уязвимой сферой — в первом полугодии 2004 г. на ее долю пришлось почти
16% нападений, а число атак возросло по сравнению с предыдущим полугодием в
четыре раза. Похоже, хакерами теперь движет не столько стремление прославиться,
сколько желание получить материальную выгоду. Подтверждением тому служит рост
финансового мошенничества (так называемого фишинга), а также увеличение числа
"шпионских" программ (spyware), цель которых — украсть конфиденциальные сведения
и передать их злоумышленникам.

Сокращается время на устранение уязвимостей. Промежуток времени между
первым сообщением об уязвимости и появлением соответствующего вредоносного кода
резко сократился. Данные Symantec свидетельствуют, что в первом полугодии 2004
г. это время составило в среднем 5,8 суток. К примеру, червь Witty был обнаружен
всего лишь через два дня после публикации сведений о соответствующей уязвимости.
Это означает, что после обнаружения бреши остается меньше недели для ее устранения.
А ведь не так давно в распоряжении системных администраторов было несколько
месяцев, чтобы подготовиться к нападению.

Интенсивно развиваются бот-сети. Бот (bot, сокращение от слова "робот")
— это программа, скрытно установленная на компьютере, ставшем объектом атаки.
С помощью такой программы можно без соответствующих полномочий дистанционно
управлять зараженным компьютером, причиняя тем самым существенный вред. Злоумышленники
нередко организуют большие группы управляемых роботами компьютеров — так называемые
бот-сети. Подобные сети могут применяться для организации атак типа "отказ в
обслуживании" (Denial of Service, DoS), рассылки спама и сообщений, связанных
с фишингом, а также для мониторинга действий пользователей. Кроме того, бот-сети
служат для распространения и обновления других видов вредоносного кода — вирусов,
червей и троянских компонентов. За первое полугодие 2004 г. число ежедневно
наблюдаемых ботов увеличилось с 2 тыс. до более чем 30 тыс.

Растет число серьезных и легкодоступных уязвимостей. За последний отчетный
период компания Symantec зарегистрировала 1237 новых уязвимостей — в среднем
48 в неделю. Это означает, что организациям приходится сталкиваться в среднем
с семью новыми уязвимостями ежедневно. Разумеется, постоянное появление уязвимых
мест ведет к повышенной нагрузке на администраторов, отвечающих за безопасность,
— им приходится прилагать неимоверные усилия, чтобы протестировать и укрепить
защитные системы.

Несомненно, любой обзор положения дел в области компьютерной безопасности не может не затронуть серьезных изменений в среде тех, кто эту безопасность нарушает. Назовем это новым сообществом сетевых мошенников. Если раньше хакеры взламывали или повреждали популярные сайты в погоне за скандальной известностью, то теперь у них появился более мощный стимул — материальный. Добавим еще, что их аферы все чаще финансируются извне.

Преступники разрабатывают все более изощренные схемы мошенничества, направленные на то, чтобы воспользоваться обнаруженными слабостями и поживиться за счет компаний. Возьмем, к примеру, бурный рост фишинга. При проведении таких атак используются подложные почтовые сообщения и специально созданные сайты, предназначенные для того, чтобы выманить у пользователей их личные финансовые данные — номера кредитных карточек, имена и пароли учетных записей, номера карточек социального страхования. По оценке Gartner Research, убытки банков от подобных мошеннических схем уже составили 1,3 млрд долл. В октябре 2004 г. рабочая группа по борьбе с фишингом (Anti-Phishing Working Group) зарегистрировала 6597 новых уникальных почтовых сообщений с мошенническими предложениями — это в три раза больше, чем в августе того же года (2158). С июля, когда было отмечено 2625 сообщений такого рода, и по октябрь их число увеличивалось на 36% ежемесячно. Еще более настораживает то, что современные схемы фишинга позволяют перехватывать банковские реквизиты пользователя автоматически, без переходов по ссылкам. И разрабатывают подобные схемы отнюдь не наивные новички.

Разрозненные программные средства

Несмотря на рост числа угроз и уязвимостей, предприятиям требуются все более разнообразные и эффективные способы работы в Интернете. Одновременно предприятия обязаны выполнять растущие законодательные требования (акт Сарбанеса — Оксли, требования HIPAA по соблюдению конфиденциальности, законы США о неразглашении закрытой информации, закон ЕС о защите данных, вторая фаза базельских соглашений, законы об электронной коммерции, принятые в 40 с лишним странах мира, не говоря уж о требованиях FISMA, GLBA и NERC). Все эти законодательные предписания направлены на то, чтобы предприятия внедряли такие системы мониторинга, аудита, подготовки отчетности, управления политиками и процессами, которые гарантируют подотчетность, прозрачность и соблюдение нормативных требований. Если эти требования не соблюдаются, результатом может стать утрата доверия партнеров и клиентов, а также финансовая и юридическая ответственность.

Исторически сложилось так, что организации внедряли множество отдельных, не
связанных между собой программных продуктов, которые были призваны помочь выявить,
предотвратить и нейтрализовать нарушения безопасности. Но каждое такое программное
средство необходимо устанавливать и обновлять также по отдельности, и администрирование
превращается в настоящий кошмар. Увеличивается и длительность восстановления
после сбоя, которая зависит от времени реакции самого медлительного поставщика
ПО. Так что сегодня, когда корпоративная информация должна быть постоянно защищена
и всегда доступна, подход, основанный на сочетании разрозненных программных
продуктов, общедоступных данных, нечетко определенных средств управления и процессов,
требующих участия пользователей, представляется в лучшем случае рискованным.

Symantec: решение для борьбы со спамом Всем известно, какие проблемы создает для предприятия спам: из-за него снижается производительность труда, возникают угрозы судебного преследования, повышается нагрузка на ИТ-персонал, инфраструктуру и бюджет. Сегодня предприятиям требуется эффективная многоуровневая система, позволяющая защищаться от растущего потока несанкционированных сообщений. Пакет Symantec Brightmail AntiSpam, устанавливаемый на Интернет-шлюзе, позволяет повысить безопасность и эффективность электронной почты и обеспечивает защиту предприятия от спама и угроз, связанных с электронной почтой. В этом решении используются разнообразные технологии нейтрализации спама, расположенные в различных регионах рабочие центры, защищенная патентами сеть для выявления спама и механизм оперативной доставки обновлений фильтров. Известно, что, если нужные сообщения ошибочно помечаются как спам, это ведет к упущенным деловым возможностям и снижению производительности пользователей. Решение Symantec характеризуется высокой степенью точности, не допуская потери важных почтовых сообщений. К механизмам защиты относятся ежедневный мониторинг точности, проводимый компанией Symantec, и автоматический обзор всех потенциальных ложных срабатываний. Многие решения для защиты от спама увеличивают нагрузку на администраторов, но, в отличие от них, Symantec Brightmail AntiSpam постоянно и автоматически обновляется, причем администраторы могут использовать новые фильтры без дополнительной настройки. По данным американского издания eWeek, продукт демонстрирует следующие характеристики: доля выявленного спама — 95%; точность выявления — 99,9999%; защищает более 300 млн пользователей; фильтрует свыше 15% всех почтовых сообщений в мире — более 100 млрд сообщений в месяц; защищает системы девяти из 12 ведущих поставщиков Интернет-услуг в США; автоматически обновляется каждые 5-10 мин. Для многоуровневой защиты от спама решение Symantec Brightmail AntiSpam имеет следующие возможности: около 20 различных технологий фильтрации, включая разработанные компанией сигнатуры и эвристические методы; настраиваемый порог обнаружения спама для точного подбора уровней эффективности и точности; языковые фильтры, позволяющие блокировать спам на языках, отличных от английского; фильтры для защиты от финансового и других видов мошенничества, связанных с рассылкой почтовых сообщений. Что касается администрирования, Web-консоль обеспечивает централизованное управление многими серверами, администрирование на основе распределения ролей и рассылку оповещений. Настраиваемые почтовые политики поддерживают гибкие возможности, такие, как маркировка или изоляция сообщений, для различных пользовательских групп. Предусмотрены различные изоляторы: Web-изолятор, с которым работают пользователи и администраторы, изолятор Exchange, куда помещаются сообщения Microsoft Outlook, и изолятор Domino, который требуется пользователям Lotus Notes. Имеется также поддержка LDAP. В числе прочих возможностей, предоставляемых Symantec Brightmail AntiSpam, отметим следующие: подготовка отчетов — статистика по фильтрации накапливается для всех серверов и дает наглядную картину эффективности борьбы со спамом и тенденций его выявления; всеобъемлющая защита от угроз — дополнительный модуль антивирусной защиты проверяет сообщения и нейтрализует действие вирусов и почтовых червей; контроль спама на уровне пользователей — почтовые клиенты Microsoft Outlook и Lotus Notes обеспечиваются подключаемыми модулями и средствами нейтрализации спама; фильтрация содержимого — пользовательские фильтры и списки запрещенных и разрешенных адресов позволяют администраторам настроить процесс фильтрации в соответствии с нуждами предприятия.

Комплексные средства безопасности

Итак, с учетом наших знаний о сегодняшнем положении дел какой должна быть концепция защиты? В компании Symantec считают, что предприятиям следует использовать упреждающий комплексный подход, который предполагает следующие меры.

Раннее оповещение об атаках. Компьютерная система оповещения должна
предоставлять полезную информацию о том, как защитить вычислительную среду от
надвигающейся угрозы. Предоставляемые сведения должны быть тщательно отобраны,
чтобы они относились именно к данной среде, и упорядочены, что позволяет немедленно
принять меры защиты.

Обеспечение сохранности ключевых активов. Хотя ни одна отдельно взятая
технология не в состоянии должным образом защитить от сегодняшних сложных угроз,
комплексный подход к безопасности может помочь в создании более полного оборонительного
решения. При таком подходе основное внимание уделяется не столько отдельным
способам защиты, сколько различным уровням системной архитектуры. Это означает,
что выбор защитной технологии, применяемой на уровне шлюза, сервера приложений
или клиента, становится важнее, чем выбор конкретного межсетевого экрана или
сенсора для обнаружения вторжений. Такой подход позволяет создать "эшелонированную
оборону".

План отражения атаки. Организация обязана быть готова к отражению нападения
и в том случае, когда противник преодолел первые оборонительные рубежи. Эффективный
план защиты должен включать сбор сведений об атаке, меры по ее отражению и подробную
информацию об устранении возможного ущерба. Нельзя обойтись и без круглосуточной
технической поддержки жизненно важных систем безопасности. Сюда относится автоматическое
обновление правил для межсетевых экранов, описаний вирусов и сигнатур вторжений.

Тестирование, мониторинг, измерения. Необходимо быстро сопоставлять
данные, упрощать их и выбирать правильный порядок действий. Особенно трудно
решать задачи управления в средах, где используются разрозненные продукты разных
разработчиков, — ведь каждое устройство генерирует большое количество данных.
Процессы обеспечения безопасности должны включать измерения различных количественных
показателей, таких, как среднее время между сбоями (Mean Time Between Failure,
MTBF), среднее время восстановления (Mean Time To Repair, MTTR) и среднее время
отклика (Time To Respond, TTR).

 

Symantec: многоуровневая защита от комплексных атак Постоянно меняющиеся угрозы, исходящие сегодня из Интернета, нелегко отражать, так как они нередко задействуют целый ряд способов распространения, позволяющих обходить стандартные средства защиты на предприятии. Например, многие комбинированные угрозы первоначально приводят к заражению удаленных или переносных компьютеров, находящихся с внешней стороны сетевого экрана (в частности, это может случиться дома при подключении к Интернету с ноутбука). Если затем такой компьютер будет подключен через VPN-соединение к сетевым ресурсам компании, инфекция может проникнуть сквозь защиту периметра и привести к заражению всей корпоративной сети (см. рисунок). "Приходящие" клиенты также могут стать "разносчиками инфекции", если они не проверены на соответствие политике безопасности. Из-за недостаточной защищенности клиентов комбинированной атаке могут подвергнуться и серверы (файловые, почтовые, Web-серверы, серверы печати). Поэтому борьба с подобными угрозами, такими, как Blaster и MyDoom, требует применения систем безопасности, в которых на каждом уровне сети, в том числе и на клиентском, предусмотрено несколько уровней защиты и отражения атак. Для отражения комбинированных угроз нужна комплексная защита — как внутри сетевого экрана, так и за его пределами. Одним из эффективных решений для создания комплексной упреждающей защиты считается Symantec Client Security. Этот пакет позволяет бороться с сегодняшними комбинированными угрозами с помощью комплекса, в который входят следующие средства: антивирусная программа, межсетевой экран, система обнаружения вторжений и средства противодействия. Клиентский межсетевой экран проверяет трафик, выявляя нарушения соответствующих правил. Средства обнаружения вторжений и межсетевой экран, работая совместно, идентифицируют и отражают известные и неизвестные попытки несанкционированного проникновения в систему, позволяя тем самым предупреждать вторжения. В режиме постоянной защиты антивирусная программа проверяет все файлы на наличие вирусов, Интернет-червей и троянских компонентов. Таким образом, три интегрированные технологии гибко взаимодействуют между собой, анализируя возможные угрозы и при необходимости усиливая меры безопасности с тем, чтобы блокировать подозрительные файлы и не допустить несанкционированного проникновения в систему. Весь этот комплекс управляется и администрируется с одной центральной консоли. В комплект поставки входят три заранее настроенных политики для межсетевого экрана: стандартная, дистанционная и усиленная. Администраторы могут настраивать и защищать от изменения политики для антивирусных средств и клиентских межсетевых экранов, чтобы контролировать разные факторы: когда подключать режим постоянной защиты, что происходит при обнаружении вируса, червя или троянского компонента и т. д. Централизованный аудит сети позволяет выявлять незащищенные узлы, подверженные вирусному заражению, а также узлы с установленными продуктами Symantec AntiVirus, McAfee VirusScan, Trend Micro Office Scan, Computer Associates и т. д. В пакете Symantec Client Security предусмотрена единая возможность обновления для всех его компонентов. Интегрированные функции решения обеспечивают ускоренный отклик на происшествия и вирусные эпидемии, что снижает вероятность нарушений информационной безопасности. Новые описания вирусов, правила для межсетевого экрана и сигнатуры для обнаружения вторжений проверяются специалистами Symantec и рассылаются с помощью единого механизма формирования откликов. Особое внимание уделено защите переносных компьютеров, находящихся за пределами корпоративного межсетевого экрана и подключаемых к сети предприятия по коммутируемой или выделенной линии, через кабельный модем или VPN-соединение. Благодаря применению технологий Symantec VPN Sentry (защита виртуальных частных сетей) и Location Awareness (осведомленность о местоположении) обеспечивается полное соблюдение правил безопасности всеми удаленными и мобильными пользователями, где бы те ни находились, еще до того, как эти пользователи получат доступ к сетевым ресурсам предприятия. Это решение обеспечивает повышенную безопасность сетевых клиентских компьютеров, удаленных и мобильных пользователей, что улучшает безопасность всей информационной системы предприятия при не слишком большой сложности и оптимальной управляемости системы защиты. Благодаря круглосуточной технической поддержке службы Symantec Security Response и технологии LiveUpdate выявление новых угроз и рассылка по всему миру нужных обновлений занимают всего лишь несколько часов. Это позволяет устранить бреши в системе безопасности до того, как системам будет причинен существенный вред. Разработанная компанией Symantec технология LiveUpdate гарантирует автоматическое обновление всех защищенных компонентов без вмешательства администратора.

* * *

В современном деловом мире, где активно используется Интернет, простои, связанные
с нарушениями безопасности, могут означать миллионные потери доходов, санкции
контролирующих органов, судебные иски, непоправимый ущерб репутации компании.
Вот почему комплексный подход к информационной безопасности сегодня важен как
никогда. Нельзя полагаться на разрозненные защитные продукты и нечетко определенные
процессы — они оставляют слишком много мест для проникновения в сеть предприятия.
Сила же комплексного подхода к обеспечению безопасности — в возможности оперативно
выявлять и блокировать новые угрозы на клиентском, сетевом и прикладном уровнях.

 

Источники дополнительной информации Symantec Early Warning Solutions — http://enterprisesecurity.symantec.com/SecurityServices/content.cfm?ArticleID=1522 Symantec Enterprise Security Manager — http://enterprisesecurity.symantec.com/products/products.cfm?productid=45 Symantec ON iCommand — http://sea.symantec.com/content/product.cfm?productid=13