“Действительно опасные угрозы, о которых следует беспокоиться, — это те, которые никогда не были  обнародованы”, — Дорит Дор, вице-президент Check Point Software Technologies


Всего несколько лет назад ИT-специалисты внедряли антивирусные решения, а чуть позже устанавливали еще и межсетевые экраны (МЭ) для защиты периметра. Это позволяло им спокойно спать по ночам. Однако сегодня ситуация изменилась, и двух перечисленных средств защиты информации (СЗИ) уже недостаточно.

Особые опасения вызывают угрозы, исходящие непосредственно из локальной сети, причем независимо от того, как эти угрозы появились — в результате взлома периметра или из источника, имеющего непосредственный к ней доступ (что, кстати, происходит гораздо чаще). Ноутбуки, подключаемые сотрудниками компании к домашним и публичным сетям в аэропортах, кафе, отелях (в эти моменты они уже не защищены средствами защиты периметра и легко могут быть инфицированы), могут стать источником появления злонамеренного кода. Особым классом угроз являются посетители, партнеры, консультанты, которые, придя в офис, просят предоставить им временный доступ в интернет. Часто их подключают непосредственно в ЛС. Доступа к сетевым ресурсам у них, разумеется, нет, но это не мешает им становиться потенциальными распространителями злонамеренного кода и атак.

Меняется сетевое окружение, и традиционное понятие периметра корпоративной сети уходит в прошлое. Мобильные устройства (ноутбуки, КПК, смартфоны) постоянно “перемещаются” между внутренней и внешней сторонами периметра и не могут контролироваться традиционными брандмауэрами. Беспроводные сети являются дополнительным источником угроз, поскольку позволяют подключаться к корпоративным ресурсам в обход межсетевых экранов. В этом же ряду SSL-туннели к web-порталам и другим приложениям: шифрованный трафик, разумеется, не инспектируется брандмауэром, в результате чего системы обнаружения и предотвращения атак не способны его проанализировать.

Безусловно, надежная инфраструктура защиты периметра необходима. Но в наше время этого явно недостаточно. В современных быстроразвивающихся сетях черви, вирусы, шпионское программное обеспечение становятся не просто проблемой. Такие печальные примеры, как распространение MyDoom, Blaster, показывают их способность быстро и существенно снизить пропускную способность сети, нанести значительный финансовый ущерб. Защиту периметра должны дополнять механизмы внутренней безопасности, которые способны обеспечить дополнительные уровни защищенности.

Основные различия

Если внимательно проанализировать защиту локальной сети, то выяснится, что сеть и ее периметр различаются по своим свойствам и назначению. Следовательно, для каждого “фигуранта” должны использоваться разные решения по безопасности. Именно поэтому традиционные устройства, разработанные для защиты периметра, неэффективны внутри сети.

Основной проблемой является то, что большинство компаний не используют специализированных решений для защиты локальной сети. Обычно безопасность внутри сети ассоциируется лишь с антивирусной защитой. Антивирусы, несомненно, важный элемент ИБ, однако это “точечные” решения, защищающие конкретные компьютеры от конкретных угроз. Например, черви существенно отличаются от вирусов, а большинство традиционных средств не способны эффективно предотвратить распространение червей.

Дело в том, что по большей части антивирусы основаны на сигнатурах. Они позволяют защитить рабочие станции от известных атак только после того, как появится и будет установлено соответствующее обновление антивирусных баз.

Второе отличие — в правилах безопасности. Создание детальной политики безопасности внутри сети является более сложной задачей, чем на периметре.

Для защиты периметра, как правило, достаточно прописать нормы использования для хорошо известного набора приложений и протоколов. А поскольку они хорошо известны, не возникает сложностей в создании правил, политика безопасности получается структурированной и понятной.

В локальной сети работает множество серверов, протоколов, приложений. Часто администраторы даже не знают точно, какие приложения запускаются в сети, как они взаимодействуют друг с другом. А без такого знания сформировать детальную политику безопасности практически невозможно.

Третье отличие: протоколы и приложения, которые наиболее часто используются в ЛС и на периметре, существенно различаются. Например, протоколы Microsoft и SQL в ЛС применяются гораздо чаще, чем на периметре. А большинство решений по защите периметра никогда не анализируют эти протоколы, т.е. не способны защитить от атак на уровне приложений. Результат: именно эти протоколы, например RPC, были широко использованы для атак.

Специализированные решения для внутренней безопасности должны обладать возможностью анализа популярных протоколов. Это помогает предотвращать распространение угроз и пропускать без задержки легитимный трафик.

Четвертое отличие — стратегия реализации политик безопасности. На периметре по умолчанию на определенном этапе блокируется весь входящий трафик. В ЛС подобный подход привел бы к неоправданному усложнению политики. Поэтому по умолчанию весь трафик разрешен — нельзя препятствовать бизнес-процессам. Блокироваться должны только некоторые виды заведомо запрещенного трафика.

Пятым отличием является скорость. Обычно, локальная сеть значительно быстрее внешних каналов. К сожалению, продукты, исторически разработанные для защиты периметра и позиционирующиеся ныне для защиты сети, не обладают достаточной производительностью.

Более того, имеется неочевидный опасный фактор, проявляющийся при росте скоростей в сети. Высокоскоростные сети в большей степени уязвимы и подвержены, например, атакам подбора учетных записей или атакам на ресурсы. Существенно выше становится скорость распространения червей, поэтому необходимо выбирать решения, способные обеспечить превентивную защиту, не дожидаясь выхода обновлений сигнатур.

Неотъемлемые элементы

Решения, предназначенные для защиты внутренних ресурсов, должны базироваться на трех уровнях обороны.

1. Рабочие станции. Это, как правило, персональные брандамуэры, обеспечивающие выполнение корпоративной политики безопасности, причем не только на сетевом, но и на прикладном уровне.

2. Шлюзы внутренней защиты. Это специализированные устройства, сегментирующие ЛВС на зоны безопасности, защищая их от атак, исходящих из менее безопасных зон, инфицированных рабочих станций, серверов, хакеров, проникших внутрь сети.

3. Серверы для защиты наиболее критичных (или всех) данных от злонамеренного трафика, контроля состояния ПО и конфигурации.
Важно, чтобы политика безопасности была реализована централизованно. Внедрение и дальнейшее управление должны обеспечивать при этом высокий уровень масштабируемости.

Вместе с тем, на всех уровнях возрастает значимость превентивной защиты. Безусловно, многие эксплойты появляются прежде, чем компании успевают установить заплатки. Идеальное решение обязано предотвращать не только известные виды атак, но и обнаруживать аномальную активность, нарушения стандартов, защищая тем самым даже от эксплойтов, еще не ставших “достоянием” общественности.

Безопасность рабочих станций

Многие угрозы, в том числе и черви, проникают в локальные сети компаний, когда сотрудники подключают к ним “скомпрометированные” в результате подключения к незащищенным сетям или неэффективного управления обновлениями устройства.

Как правило, средства защиты рабочих станций представляют собой персональные межсетевые экраны, которые разрешают или запрещают различные виды трафика в соответствии с правилами, заданными пользователем или администратором. Персональный брандмауэр должен контролировать не только сетевой уровень, но и отслеживать запросы приложений на доступ к локальным и сетевым ресурсам. Он обязан обеспечить превентивную защиту от червей, шпионского и другого злонамеренного программного обеспечения, и не только на основе известных сигнатур.

Администратору необходимы также средства управления политиками безопасности на рабочих станциях, например, за счет блокировки доступа к важным сетевым ресурсам, к станциям с отсутствующими обновлениями, с устаревшими антивирусными базами и т.д. Роль централизованного управления здесь чрезвычайно высока. К сожалению, многими популярными персональными брандмауэрами можно управлять только на “индивидуальном уровне”, так как они не созданы для работы в корпоративной среде. Чаще всего в них отсутствуют средства для гибкого управления множеством политик для разных групп пользователей. И хотя они вполне способны хорошо защитить конкретную рабочую станцию, применять их в корпоративных сетях неэффективно и даже вредно из-за серьезных ограничений в масштабируемости и управляемости.

Шлюзы внутренней защиты

Защита на уровне рабочих станций — передовой рубеж обороны. Однако не все компьютеры, входящие в ЛС, могут быть защищены таким образом. Часто в качестве дополнительных средств защиты информации эксперты рекомендуют применять системы обнаружения (IDS) и предотвращения (IPS) атак. Каждая из них, несомненно, важное звено многоуровневой защиты, однако требования к защите внутренних ресурсов они могут удовлетворять лишь частично.

Изначально подобные системы создавались для реализации защитных функций, отсутствующих в традиционных брандмауэрах. Задачи IDS — мониторинг сетевой активности и извещение о попытках атаки. В функции IPS входит уже возможность их блокирования, хотя от IDS они унаследовали реактивность, присущую подходу, основанному на сигнатурах.

При использовании любой из систем многие важные меры защиты иногда трудно или невозможно реализовать. В частности, нельзя сегментировать сеть на зоны с разными политиками. Зависимость от сигнатур (появляющихся после публичных эксплойтов) ставит под вопрос защищенность сети от новых, недавно появившихся червей. Даже модификации известных червей зачастую требуют обновления сигнатур. А ведь публичные эксплойты, прежде чем стать “достоянием” общественности, некоторое время эффективно используются создавшими их хакерами, в том числе для адресных атак на конкретные организации.

Решением этой задачи могут стать специализированные шлюзы внутренней защиты (ШВЗ), разработанные специально для того, чтобы блокировать как известные, так и неизвестные атаки, которые могут исходить от небезопасных или инфицированных устройств, а также от внутренних злоумышленников. Для обнаружения неизвестных атак обычно применяются следующие методы: проверка на соответствие стандартам и ожидаемость их использования, контроль потенциально опасных действий приложений, а также обнаружение и блокирование злонамеренного кода в сетевом трафике.

Используя различные интеллектуальные методы, ШВЗ обнаруживают и аномалии в протоколах, и злонамеренный код — как в сетевом трафике, так и на уровне приложений. В отличие от традиционных систем обнаружения и предотвращения атак, такие специализированные шлюзы разработаны с учетом специфических требований к управлению, защите и особенно ориентированы на протоколы, использующиеся в ЛС. После обнаружения атаки ШВЗ ограничивает ее распространение в соответствии с установленной политикой безопасности.

Если в сети появился червь или другой злонамеренный код, ШВЗ блокирует его распространение по сети, сегментируя ее на зоны. Причем для разных зон могут устанавливаться разные уровни безопасности и виды проверок, обеспечивая дополнительную защиту для наиболее важных сегментов сети. Зоны могут быть физическими или виртуальными, основываться на организационном делении или территориальном признаке.

Важная функция ШВЗ — возможность выбора действия при обнаружении угрозы. Рабочая станция, например, может быть помещена в карантин, в то время как остальные компьютеры зоны продолжат работу. Особое внимание уделено непрерывности работы сети компании. Простейший (и рекомендованный многими производителями) способ защиты, например от SQL-червя Slammer, заключается в блокировании порта 1434. А это грозит прекращением всех SQL-транзакций и остановке бизнес-процессов. Шлюз внутренней защиты обязан не только обнаруживать угрозы превентивно, до выхода каких-либо сигнатур и рекомендаций, но и уметь блокировать только злонамеренный трафик, ни в коем случае не нарушая прохождения легитимного.

Безопасность серверов

Часто целью хакерских атак на локальные сети являются серверы с конфиденциальной информацией. Для эффективной стратегии внутренней защиты необходимо наличие специализированного программного обеспечения и на серверах, и на рабочих станциях. Это ПО должно не только проверять входящий и исходящий сетевой трафик, но и обнаруживать новое или измененное программное обеспечение на компьютере, а также изменения в конфигурации.

Обязательное требование

Применение любой, даже лучшей в мире технологии должно быть экономически обосновано. Принимая решение о приобретении и внедрении той или иной системы, следует учитывать, не нарушит ли продукт непрерывность бизнеса, не снизит ли производительность и соответствует ли его функциональность внутренним руководящим документам. Внутренняя безопасность — слишком важный элемент. И, безусловно, предпочтение необходимо отдавать решениям, имеющим многоуровневую масштабируемую архитектуру безопасности, работающим под унифицированным централизованным управлением, охватывающим все аспекты безопасности сети.