Межсетевой экран – не панацея
Оптимизация стоимости системы защиты путем разбиения распределенной информационной системы персональных данных первого или второго класса сертифицированными межсетевыми экранами и понижение класса части подсистем в ее составе до третьего – в настоящий момент едва ли не самый распространенный на практике способ. Кроме того, если учесть, что установка межсетевого экрана на входе в серверный сегмент позволит контролировать все сетевые потоки и отслеживать соединения к критичным серверам, это имеет смысл делать и в обычных клиент-серверных информационных системах, где обрабатывается ценная информация, а не только для соответствия требованиям законодательства по защите персональных данных.
Обязательные по требованиям нормативных документов средства межсетевого экранирования и защиты от НСД стали уже традиционными, они есть на вооружении в каждой организации, но хотелось бы отметить, что для клиент-серверных распределенных ИСПДн есть довольно широкий пласт угроз, от которых невозможно защититься этими «стандартными» средствами защиты. Современной организации уже недостаточно охранять только периметр своей сети, да и само понятие периметра трансформировалось под влиянием новых технологий мобильного доступа, появления облачных сервисов, виртуализации и т.п.
Еще десять лет назад основной угрозой для организаций были вирусные атаки. Авторы этих вирусов, как правило, не преследовали целей обогащения, а делали это, по большому счету, «из спортивного интереса». Сейчас большинство кибератак хорошо спланированы, организованы профессионалами своего дела и направлены на получение финансовой выгоды: хищение денег с банковских счетов, конкурентную борьбу и т.п. Действия киберпреступников становятся все более изощренными, появляется все больше инструментов для эксплуатации различных уязвимостей в прикладном и общем ПО (патчи для которых не всегда вовремя выпускаются производителем, если вообще выпускаются).
Для противостояния этим угрозам не помогут ни традиционные межсетевые экраны, ни средства защиты от НСД, ни антивирусы, применение которых регламентировано нормативными документами. Необходимы совершенно другие средства защиты, а именно средства обнаружения или предотвращения вторжений (Intrusion Detection/Prevention System, или IDS/IPS).
Справедливости ради стоит отметить, что упоминание о таких средствах есть в новом «Положении о методах и способах защиты информации в информационных системах персональных данных» для ИСПДн, подключенных к сетям международного информационного обмена, но никаких специфических требований к ним, кроме общих (например, для ИСПДн 1-го класса все ПО средств защиты должно соответствовать 4 уровню контроля отсутствия НДВ) не предъявляется.
Каким же функционалом должна обладать система IDS/IPS? В первую очередь она должна обеспечивать эффективную защиту от атак, во вторую – низкий процент ложных срабатываний, иначе администратор будет тратить все время, разбираясь только с кучей непонятных alert’ов, и может пропустить реальную атаку. Кроме того, эта система при всей своей сложности должна иметь понятный интерфейс, простую и логичную систему политик безопасности, автоматический механизм верификации конфигураций и установки обновлений, иначе настройка IDS/IPS и «тюнинг» политик может занять даже не месяцы, а годы.
Чтобы эффективно противостоять реальным атакам, система IDS/IPS, кроме сигнатурного анализа, должна использовать технологии декодирования протоколов для обнаружения вторжений, не имеющих сигнатур, анализа аномалий протоколов, приложений, поведения конкретных хостов, обнаружения любых видов сканирования сетей и др.
В заключение осталось отметить, что описанный выше функционал имеется в наших решениях StoneGate IPS и StoneGate Firewall, сертифицированных ФСТЭК России по схеме сертификации производства для применения в ИСПДн до 1 класса включительно.