Сетевая безопасность и защита от АЕТ – процесс или результат?
Сетевые средства защиты используются в любой компании и предназначены для решения вполне определенных задач: фильтрация трафика, инспекция потоков, выявление атак, блокирование утечек и пр. Они могут устанавливаться на границе сети, охраняя периметр, или быть интегрированы с ядром, присутствовать на уровне распределения трафика, защищать вполне определенный сегмент. На таких обязательных средствах, как межсетевые экраны, строится первичная защита всех без исключения компаний, подключенных к публичным сетям (этого требуют не только здравый смысл и оценка рисков, но и руководящие документы). Другие компоненты, например системы IPS, могут контролировать потоки платежных систем, обеспечивая выполнение регламентных требований и тем самым позволяя организациям получить заключение аудиторов и работать в соответствующей области.
Примеров достаточно много, но даже на этих двух стоит остановиться подробнее – и вот почему. С одной стороны, есть всем очевидный факт, что межсетевой экран в организации нужен как минимум при подключении к публичной сети Интернет – иначе все серверы и сервисы «поломают» (это только вопрос времени). В последнее время публичных тестов не проводилось, но еще пару лет назад «гуляющим» по Интернету червям достаточно было нескольких десятков минут. С другой стороны, многие обеспокоены необходимостью использования тех или иных средств защиты (например, IPS) согласно регулятивным требованиям (для банков, обслуживающих пластиковые карты, это PCI DSS). Однако, будучи обеспокоенными необходимостью установки таких средств, компании не до конца понимают, зачем действительно им это нужно и от каких конкретно угроз сетевые системы безопасности должны защищать. «Да, IPS установлена в сегменте процессинга, контролирует трафик электронных платежей. Обновляется, имеет базу сигнатур от, э-э-э, ах, ну вот же – 66.06.06» – таков будет ответ на вопрос аудитора, который немедленно поставит «галочку» напротив соответствующего пункта листа аудита соответствия. Но вы не находите, что результат применения средств защиты в том и в другом случае будет разным.
Безусловно, сами по себе разные средства защиты нельзя напрямую сравнивать между собой (хотя новые версии межсетевых экранов все больше наделяются функциями IPS, называясь при этом «МЭ нового поколения», NGFW). С этой точки зрения сравнение корректно. Но суть даже не в этом. Ведь известен постулат о том, что безопасность не должна быть «статичной» – это должен быть постоянный процесс контроля соответствия, модернизации, улучшения и т.д.
В чем же тогда проблема? А проблема заключается в том, что формальное соответствие набору требований (так называемый checklist), наличие наград от различных журналов и испытательных лабораторий еще не дает гарантии того, что средство действительно защищает от атак (особенно если тесты в лаборатории «заказные», т. е. платные).
Примеров можно привести очень много. Не нужно даже далеко ходить: в прошлом году была эпидемия ZeuS, а в этом уже многие компании и организации, включая Пентагон и Lockheed Martin, пострадали от направленных атак. Для одних компаний средства защиты работают, тогда как для других оказываются совершенно бесполезны перед натиском злоумышленников. Хотя ведь и в первом и во втором случае формальное соответствие налицо, равно как и «процессный» подход к вопросам информационной безопасности наверняка выполняется.
Если говорить про «Зевса» и ряд других направленных атак, расследование которых не выявило источников заражения и кражи информации, многие эксперты сходятся во мнении, что первопричиной их стала неспособность средств защиты детектировать вторжение. Другими словами, и межсетевые экраны, и системы IPS, и прочие рубежи защиты были «уверены», что трафик не содержит подозрительных данных, пропустили его внутрь сети, не оставив администратору безопасности ни шанса на противодействие, поскольку ни одной настораживающей регистрационной записи создано также не было.
К сожалению, как показывает практика, очень немногие средства защиты способны противостоять современным механизмам вторжений, которые все чаще используют злоумышленники. На сегодняшний день это техники обхода (evasion techniques), но не «простые», которые были известны еще с конца 90-х гг., а сложные, комбинированные, динамические (advanced evasion techniques – AET). Несмотря на заявления различных вендоров о том, что их продукты неуязвимы и не требуют доработки, наглядные стендовые тестирования легко опровергают эти слова. Не упрощает ситуацию и терминология, используемая в том числе независимыми испытательными лабораториями, которые в результаты своих тестов зачастую включают строку вида: «система успешно противостоит техникам обхода». Многие также пытаются использовать это в корыстных целях, формально оставляя заказчиков один на один с угрозами, давая им в руки из механизмов защиты только маркетинговую брошюру.
Таким образом, по факту на сегодняшний день есть два подхода к построению системы защиты: формальный и фактический. Согласно формальному мы должны использовать ряд средств защиты (приводится перечень согласно нормативным требованиям) и применять (согласно тем же нормативным требованиям) процессные подходы к сопровождению систем защиты. Согласно фактическому для верификации соответствия используемых средств защиты матрице угроз применяют реальные, дающие настоящую защиту, средства и системы.
К сожалению, для формального подхода существуют чуть ли не автоматические программные комплексы, «рисующие» красивые (но типовые) проекты, тогда как автоматизированной процедуры для фактического подхода не существует – здесь можно опираться только на опыт специалистов и экспертов в конкретной области, прислушиваясь к их мнению (в общем-то, для этого и существуют экспертные методы оценки). При этом не стоит, конечно же, упоминать, что мнения должны не опираться на маркетинговые материалы, а быть подкреплены достоверными данными, результатами тестов, демонстрациями и пр.
Если говорить про АЕТ, которые угрожают любому сервису любой компании, публично доступной через Интернет, то механизмы разбора трафика и защиты от них должны быть встроены и в средства пограничной фильтрации, и в системы анализа потоков (IPS, DLP и пр.). Испытательные лаборатории по всему миру (из самых известных назовем ICSA Labs и NSS Group) только начинают включать тесты на АЕТ в свои программы тестирования, а следовательно, реальные результаты объективно появятся не раньше следующего года. На этом фоне для проверки возможности противостояния механизмам АЕТ компания Stonesoft также анонсировала публичный сервис: AET Readiness Test, который может пройти любой заказчик, верифицировав свое оборудование и его реальные настройки безопасности, без применения лабораторных «синтетических» тестов.
Как бы то ни было, следует помнить, что реальную защиту дает не только следование процессному подходу, который обеспечивает поддержание средств защиты в актуальном состоянии в части обновлений, настроек политик и пр., но и выбор тех решений, которые эту защиту способны обеспечить. Т.е. процесс, конечно, важен, но не менее важен и конечный результат – состояние защищенности и способность его обеспечить.
А между делом, как вариант для взвешенного «принятия» риска, связанного с возможностью применения АЕТ злоумышленниками, можно убедиться, что уже используемые средства защиты способны этим техникам противостоять, и пройти объективное (а не маркетинговое тестирование) с помощью сервиса AET Readiness Test от компании Stonesoft.