Пять мнений о новой идеологии корпоративной безопасности
Дни, когда вирусописательство относилось почти исключительно к области “чистой науки” (или “чистого”, хоть и несколько зловредного искусства), канули в Лету.

Игорь Шаститко считает что опасность “изнутри” неизмеримо выше атак извне

О нем с нежностью вспоминают разве что старые “работники асма и дебаггера”, давно занимающиеся охраной электронных рубежей крупных компаний. Ныне подлинные мастера вредоносного кода, за небольшим исключением, сбиваются в синдикаты, занятые обеспечением инструментария для спама, внедрения рекламных или шпионских модулей, создания зомби-сетей из зараженных компьютеров — для организации заказных атак. Работа эта — сугубо коммерческая, и только наивные script kiddies еще развлекаются клонированием чужих вирусных шаблонов, забивая сети однотипным мусором.

Опрос сотрудниками Aberdeen (abredeen.com) представителей крупных компаний показал, что в минувшем году на каждую из них предпринималась как минимум одна серьезная вирусная атака, а в 15% случаев таких атак было более семи; 84% опрошенных заявили, что эти инциденты нанесли материальный заметный ущерб. Только задокументированные объемы таких потерь, а также ущерба в результате “выноса” конфиденциальной информации сотрудниками самих компаний выливается уже в сотни миллиардов долларов. Поэтому в 2005 году в защите корпоративных сетей на первый план выходит конструирование многослойных, взаимодополняющих систем информационной безопасности. Кстати, на днях антивирусные компании зафиксировали проведение нескольких массовых спам-рассылок писем, содержащих новый вариант червя Bagle, а вслед за ними множество жалоб пользователей, чьи зараженные ПК стали “роботами” для дальнейшей рассылки вредоносного кода. К сожалению, значительная часть обращений поступила из корпоративных сетей.

Игорь Шаститко, Microsoft Certified Trainer, консультант, считает, что причина проблем с  вирусами и спамом — структурная: “Первым делом, — считает он, — надо правильно выстроить инфраструктуру, в которой участвуют клиентские рабочие места на базе Windows XP со всеми сервиспаками, домен на базе Microsoft Active Directory, средства централизованного управления системой, средства защиты периметра типа Microsoft ISA Server, файрволлы Cisco и т.п. Этот процесс описывается в распространяемых Microsoft документах серии Security Guides (www.microsoft.com/technet): разворачивать сервера и рабочие места в соответствии с этими руководствами весьма удобно, — них есть и необходимая документация, и готовые административные шаблоны.

Второй шаг, — перечисляет г-н Шаститко, —  внедрение новых продуктов Microsoft, позволяющих производить анализ безопасности системы, выявлять и уничтожать внедренное шпионское ПО и adware (нежелательные рекламные модули): помимо Microsoft Baseline Security Analyzer, это Microsoft Antispyware и  первый сервиспак к Windows Server 2003 с новыми утилитами”.

Петр Власенко: одним из главных факторов безопасности является круглосуточное наблюдение за состоянием сети

Касаясь защиты файл-серверов, наш собеседник порекомендовал дождаться выхода Microsoft SQL Server 2005, имеющего новую концепцию безопасности и возможность работать со “сборками” .NET:”Это будет такая “песочница” которую поломать значительно труднее, — если только не проехаться о ней танком. А что касается почты, — то Exchange Server уже основательно изменился: в очередной сервиспак вошел Intelligence Message Filter, позволяющий отсеивать нежелательную почту, управлять безопасностью почтового ящика, формировать блоклисты для отсечения источников спама и отключать нежелательные соединения”.

На внешние рубежи Игорь Шаститко рекомендует вывести Microsoft ISA Server 2004: “Это —  не просто файрволл, а Application firewall, позволяющий публиковать в интернет отдельные сервисы тех компьютеров, которые не хочется выставлять на всеобщее обозрение. Он, например, может “прикидываться” Exchange — принимает и “прогоняет” через себя все коннекты, фильтрует полученное (по характеру вложений, достоверности соединений и т.п.) и лишь “просеянное” отдает внутреннему Exchange. Кроме того, ISA удобно решает проблему защиты межсетевых IP-соединений и простоты настройки защищенных соединений типа клиент-ISA-внутренний сервер, ISA филиала-ISA головного офиса”.

Как человек, которому приходится много ездить по стране, Игорь упомянул полезное новшество в Outlook — дополнительный протокол, позволяющий удаленно получать свою корпоративную почту через http без предварительного подключения к VPN.

Он также напомнил, что никакие программные решения не могут быть сто-процентно надежными: “Желательно выстроить этакую “пирамиду”, усилив ее сервисом управления обновлениями Windows Software Update Service, System Management Server, позволяющим отслеживать изменения в “железе” и софте, распространять различные приложения на клиентов, и Microsoft Operations Manager Server, позволяющим выполнять мониторинг работоспособности систем.”

Новым словом, по мнению специалиста, станет внедрение концепции Dynamic System Initiative: “Система должна развиваться как живой организм, а приложения — информировать о своем состоянии на абстрактном уровне. К примеру, я не должен вникать в состояние каждого лога cиcтемы в каждый отдельный момент, но должен получить извещение о том, что, скажем, произошло 50 попыток подбора паролей — и это уже симптом атаки и повод для вмешательства администратора. Система, в которой реализована концепция DSI, строится на платформе уже упоминавшихся выше решений — Windows Client/Server, Active Directory, MOM, SMS и т.д.”

С концепцией защищенных ИС можно ознакомиться подробнее на  www.mic-rosoft.com/rus/security/articles/trustworthy_computing/secure_information_systems.mspx .

Тщательно выстроенные системы могут быть эффективно дополнены специализированными средствами защиты информации. Подходы к их формированию схожи у большинства крупных компаний, занимающихся проблемами безопасности. Точку зрения “Лаборатории Касперского” иллюстрирует консультант-аналитик Александр Рыбак: “Наша компания использует концепцию, основанную на делении защиты на уровни:

По мнению Александра Рыбака, компаниям необходим комплексный подход к построению систем защиты

2 защита шлюзов, создающая препятствия проникновениям в сеть через канал доступа в интернет;
2 защита почтовых систем, позволяющая блокировать большинство угроз: пока именно “почтовым” путем приходит наибольшее число вредоносных программ, но эпоха почтовых червей постепенно отходит — они уступают дорогу червям сетевым, непосредственно атакующим уязвимости системы, что повышает важность защиты на уровне шлюзов;
2 защита внутренней сети: файл-серверов и рабочих станций, — поскольку именно эти компьютеры являются конечной целью большинства вирусных атак.

Мы рекомендуем использовать все три уровня, поскольку, если мы не защищаем какой-либо из них, то повышаем нагрузку на остальные. Кроме того, чтобы защита была действительно комплексной, антивирусные средства должны быть подчинены единой системе управления, позволяющей удаленно и централизованно осуществлять администрирование антивирусной защиты в целом. Ни ПО, ни люди не могут всегда работать идеально, и если, к примеру, в сети есть незащищенная машина и при этом что-либо проскочило через шлюз, — то заражение может пройти практически незамеченным. В связи с этим и необходим комплексный подход к построению систем защиты. “Лаборатория Касперского” располагает программными средствами обеспечения безопасности корпоративной информации для всех уровней”.

О концепции “ЛК” можно прочесть побольше на www.kaspersky.ru/corporatesolutions?chapter=145504889, о путях ее реализации в корпоративных условиях — на www.kaspersky.ru/products?chapter=145504743. А применяется она в Центральном Банке РФ, при организации комплексной защиты всех подразделений компании “Татнефть”, в сетях “Голден Телеком” — поставщика телекоммуникационных и интернет-услуг, в компании, управляющей Волжским Гидроэнергетическим каскадом, в системах сотового оператора “ВымпелКом”.

Похожая идеология заложена и в стратегию обеспечения информационной безопасности eTrust Security Management компании Computer Associates (ca.com). Илья Востриков, CA Intl. Field Partner Manager (Russia & CIS), указал на размещенные на сайте компании документы, освещающие основные принципы линейки eTrust: упреждающее управление безопасностью, интеграция с сетевой инфраструктурой, расширенная функциональность продуктов. Это — проактивный подход, направленный на постоянный подъем уровня безопасности вместо беспрерывного устранения проблем, — поэтому в eTrust входит не только ПО для противодействия атакам, но и средства идентификации и управления доступом и информацией системы безопасности, объединенные в комплексное настраиваемое решение. Речь идет о системе, которая не только обеспечивают бесперебойность и защищенность работы IT-инфраструктуры предприятия, но и развивается вместе с ней. Это роднит логику СА с концепцией Microsoft DSI, а один из наиболее ярких примеров применения этого подхода — система безопасности ГАС “Выборы” РФ.

Особая статья — вопросы защиты данных, хранящихся в современных data centre — и, соответственно, инфраструктуры компаний, занимающихся предоставлением услуг колокейшн и хостинга. Опытом своей команды делится Петр Власенко — коммерческий директор Internet Data Center ColoCall (colocall.net):

“В отличие от компаний, которые не предоставляют такого спектра услуг, cвязанных с интернетом, у нас не может быть “защиты в целом”. Слишком много на-правлений, которые нужно защищать, и универсальных решений нет и быть не может. Фактически, у нас есть 5 основных направлений деятельности, — и подходы к обеспечению безопасности разные.

Услуга колокейшн подразумевает предоставление клиенту полностью прозрачного подключения его сервера к интернету, без каких-либо фильтров или ограничений. Если клиентом не оговорено иное, то защита сервера — это проблема его администратора. По желанию клиента, мы, разумеется, реализуем и межсетевые экраны, защищающие сервера, и фильтры, и другие средства защиты. Базово — только внешний мониторинг работы серверов, без вмешательства в их сетевой обмен.

Лекарство авторства антивирусного сообщества virusam.net, которое раздавалось во время апрельского семинара, прошедшего в рамках выставки EnterEX

Есть и другая сторона дела — защита от серверов клиентов. Нередки случаи, когда клиенты или те, кто имеет право доступа к серверу нашего клиента, в силу ошибок или злого умысла могут помешать нормальной работе сети. Для защиты от таких воздействий у нас тоже разработан комплекс мер: это и жесткая привязка ip-ардесов к mac-адресам сетевых карт серверов, и системы фильтрации, и storm-control на свичах для ограничения аномальной активности серверов, и др.

Для защиты сетей, подключенных к нам по выделенной линии, мы применяем трансляторы сетевых адресов, которые реализуются либо на оборудовании доступа, либо на маршрутизаторах, — и базовые системы мониторинга для клиентов колокейшн.

Защита серверов хостинга базируется на штатных средствах операционных систем, установленых на этих серверах, а также на внешних межсетевых экранах, защищающих эти сервера от доступа к сервисам, которые не предусмотрены для хостинг-серверов.

Другая сторона защиты — от клиентов, которые держат свои сайты на хостинг-серверах. Мы даем нашим клиентам достаточно большие возможности, и не исключено, что некоторые из них могут использовать их во вред. Во избежание этого у нас действует система контроля и ограничения использования ресурсов.

Защита почтовой системы от вирусов реализована на базе проверенных решений от известных производителей антивирусного ПО. Со спамом сложнее, — здесь применяется сложная система, разработанная нашими специалистами. Эффективность ее исключительно высока, задерживается до 90% спама. Она включает в себя и специализированные фильтры, и использование более 30 так называемых “черных списков”.

Но один из главных факторов безопасности — это круглосуточное наблюдение за состоянием сети. Наши дежурные инженеры постоянно контролирую ее работу и, в случае обнаружения любой аномальной активности, немедленно предпринимают необходимые действия. Ведь ни для кого не секрет, что попытки нарушения работы сетей происходят постоянно — и постоянно, в рабочем порядке пресекаются. Спам составляет, по разным оценкам, до 90% почтового трафика. Клиенты, которые не используют наши средства защиты и надеются только на профессионализм своих системных администраторов, регулярно становятся жертвами взломщиков, которые используют их сервера для рассылки спама или организации атак. К сожалению, это и есть — будни провайдера.

Из недавних примеров: клиент настроил на своем сервере прокси, но не ограничил доступ к нему извне. ПО спаммеров немедленно обнаружило эту брешь (они постоянно сканируют сети в поисках таких лазеек), и через сервер начали рассылаться миллионы писем с рекламой порносайта. Наши инженеры заметили “всплеск”, закрыли прием почты от этого сервера, а затем связались с клиентом и сообщили ему о проблеме.

Другой пример. Некто организовал DоS-атаку на сервер политической партии — одного из наших клиентов. При такого рода атаках парализуется работа всей сети провайдера, где находится атакуемый ресурс, и источник атаки определить практически невозможно. Наши инженеры определили саму цель атаки и перекрыли поток бесполезного трафика к этому серверу.

Повторюсь: определенная свобода выбора клиентом уровня безопасности собственного сервера — часть нашей услуги. Наша задача — максимально обеспечить защиту серверов и инфраструктуры “друг от друга”, своевременно реагировать на проблемы, созданные недостаточно защищенными серверами... а также постараться убедить клиентов в необходимости пользования нашими средствами безопасности”.

Специфические задачи стоят и перед теми компаниями, сам профиль работы которых предполагает значительную информационную открытость: наличие публичного веб-сайта, массовый обмен легальными рассылками, интенсивная переписка с коллегами и сотнями партнеров — в рамках рекламной, PR, выставочной деятельности. Значительную долю персонала таких фирм составляют люди, далекие от проблематики информационной безопасности, но при этом ежедневно осуществляющие обмен данными, большая часть которых — сугубо конфиденциальна. Вот как описывает свою работу специалист, отвечающий за создание и функционирование корпоративной сети в этих условиях:

“Задача: Защита корпоративной системы от разного рода “подарков” (вирусы, “троянские кони” и т.п.) и обеспечение максимальной функциональности в условиях повышающегося “давления” извне.

Условия: Несколько десятков пользователей, “внимательно” изучавших инструкции и правила работы с локальными (внутрикорпоративными) и глобальными (интернет) данными, упорно кликающих на различные баннеры и сомнительные вложения в сообщениях электронной почты.

Структура сети : Одноранговая LAN класса С — без деления на подсети, VLAN'ов и прочих премудростей. “Все видят всех” и обмениваются  файлами через “расшаренные” (доступные для записи) ресурсы своего и чужих ПК. На входе — средней руки роутер и парочка корпоративных файрволов.

Хронология (дд.мм.200г):
10:00 — Резкое увеличение задержки при доступе к внешним интернет-рессурсам.
10:05 — Поток жалоб пользователей с формулировкой “ПК тормозит”.
10:30 — Практически все компьютеры в сети (за исключением тех, что под Windows'98) находятся в “замороженном “ состоянии.
10:45 — Анализ трафика на интерфейсах ПК показывает идентичную картину — “шторм” по стандартным открытым портам Windows 2000. Загрузка центрального процессора роутера — 100%: канал “лежит”.

Анализ:
Система заражена вирусом, обеспечивающим свое распространение по электронной почте с дальнейшим инфицированием ПК в сети через стандартно открытые порты в операционной системе. Заражение произошло по причине проникновения через почтовый сервер заархивированного вирусного сообщения (под паролем, который “милостиво” — вот она, социальная инженерия! — указан в письме). Очередная модификация очередного вируса и очередное опоздание обновления в антивирусных базах данных...

Действия в период с 11:00 до 22:00: веерные отключения групп ПК от сети; обновление антивирусной программы, лечение; установка персональных файрволлов; снижение загрузки сети.

22:00 — 24:00 — Полная реконфигурация сети.

Технические мероприятия: сегментация сети до уровня подразделения с запретом бесконтрольного хождения по сети в целом; привязка ip-адресов машин к mac-адресам; глобальная смена паролей для всех пользователей; выделение “обменных” ресурсов с доступом по паролям для каждого пользователя в отдельности; установка на ПК персональных наборов ПО (антивирусный пакет, анти-adware, персональные файрволлы, ПО удаленного администрирования); настройка корпоративного антивирусного пакета с учетом максимальной “параноидальности”.

Организационные мероприятия: регистрация характера трафика, потребляемого каждым пользователем (с разбором ситуации в присутствии руководителя подразделения); итоговый инструктаж пользователей и руководителей; внесение драконовских изменений в фирменные “Правила пользования сетью”; примерное наказание “особо отличившихся”.

Действия сопровождаются заклинаниями для пользователей — в духе “Большой Брат не спит”: чтобы неповадно было нарушать вышеупомянутые правила”.

Опыт вынужденной реорганизации корпоративной сети, доставшейся этому специалисту, привел к уже неоднократно прозвучавшему выводу о необходимости многоуровневой системы безопасности. И — о том, что даже идеально обеспеченная средствами защиты система не может быть полностью закрыта от банальной кражи информации недобросовестным сотрудником.

Сопоставляя криминальную опасность внешних и внутренних проникновений, Microsoft Certified Trainer Игорь Шаститко сказал: “Пока у нас не будут платить администраторам и иному персоналу заработную плату, учитывающую реальную стоимость работы, говорить об уровнях внешних атак вообще преждевременно. По идее, любая бумажка может быть вынесена из офиса или сфотографирована любым персональным устройством. Опасность “изнутри” пока неизмеримо выше атак  извне. Приведу аналогию: количество попыток фишинга в последнее время возросло. Но охота за номерами кредитных карт велась и до появления интернета! Это — проблема не столько ИТ, сколько наличия людей, которых легко поманить какими-нибудь выдуманными подачками. Так и в корпоративных сетях: чтобы уменьшить возможный ущерб от подвохов или излишней доверчивости собственного персонала, требуется и совместная работа ИТ-подразделений и служб безопасности компаний, постоянное повышение осведомленности сотрудников в области защиты информации”.

Человеческий фактор, профессионализм и добросовестность персонала были, есть и будут  главной проблемой безопасности предприятия. Одних лишь технических средств для ее решения недостаточно, но это уже — предмет отдельного разговора...