Во многих сферах бизнеса — в банках и страховых компаниях, у операторов связи и услуг, в торговых сетях и государственных учреждениях информация уже стала или становится одним из ключевых активов. Утечка или разглашение информации грозят не только ущербом репутации, но и прямыми финансовыми потерями. Неудивительно, что особенную важность приобретают вопросы построения комплексной системы защиты информации, одним из элементов которой является сетевая безопасность.
 Алексей Логинов |
Прежде всего, необходимо отметить, что любая защита, сетевая, физическая или техническая — это не продукт, а процесс. Недостаточно однажды приобрести и внедрить некие средства защиты. Необходимо постоянно развивать систему безопасности в целом, модернизировать технические средства, устанавливать обновления и актуальные базы противодействия вредоносным программам. Только в этом случае может идти речь о своевременном и эффективном противодействии угрозам информационной безопасности извне и изнутри.
Корпорация “Инком”, обладающая статусом золотого партнера Cisco, строит системы сетевой безопасности на основе оборудования и этого производителя. По нашим оценкам наиболее комплексные и полные решения предлагает именно Cisco, хотя в некоторых случаях находят применение и решения других поставщиков.
Cisco популяризирует инициативу Unified Self Defendant Network (SDN), которая предусматривает создание сетей, способных самостоятельно себя защищать. Одним из программно-аппаратных компонентов этой архитектуры является платформа MARS (Monitoring, Analysis and Response System), позволяющая реагировать на распределенные во времени многовекторные атаки из разных источников. Эта технология позволяет значительно повысить уровень безопасности практически любой компании. Стандартная система обнаружения не способна противостоять таким атакам. Платформа MARS позволяет собрать информацию с сетевых устройств и систем, произвести эвристический анализ активности, определить источник и характер аномального трафика и прекратить его.
Платформа MARS существенно дополняет другие средства защиты, такие как система аутентификации и авторизации (Cisco Network Admission Control), которая контролирует доступ к сетевым ресурсам, управляет подключениями, в том числе и гостевыми. Для повышения уровня безопасности в сети создается аутентификационный сегмент VLAN, и любой пользователь, легитимный или нет, подключается сначала к нему. Специальное ПО от Cisco сканирует пользовательский терминал и определяет, состоит ли он в реестре корпоративной сети, установлены ли обновления ОС и антивирус. Система, не соответствующая корпоративным требованиям по безопасности, переводится в карантинную зону, а пользователю предлагается установить необходимые обновления и антивирус или отключиться от сети. После проведения требуемых действий пользователь получает доступ к ресурсам внутренней сети или к гостевой зоне, в зависимости от того, принадлежит он к корпоративной группе или нет. В противном случае доступ к корпоративной сети будет прекращен.
Построение системы Network Admission Control предполагает изменение структуры сети, что клиенты воспринимают болезненно. Это одна из причин того, что сегодня идет, скорее, проработка проектов, в которых применяется Network Admission Control, чем активная стадия их внедрения.
Внедряя систему защиты у заказчика, наша компания стремится не нарушать функционирование уже построенных сетей и созданных процессов управления. Разработаны многоуровневые, многоэтапные методологии, которые позволяют плавно внедрить систему сетевой безопасности. Если же сеть строится с нуля, то средства безопасности, такие как система обнаружения вторжения, контроля выхода в интернет, защита от внешних атак и др., предусматриваются изначально.
В современных системах сетевой защиты в равной степени применяются аппаратные и программные средства. Все зависит от сложности сети, ее топологии, территориального распределения, требуемой пропускной способности. Там, где скорости высоки, необходимы аппаратные средства: брандмауэры, устройства обнаружения вторжения, VPN-концентраторы, акселераторы SSL-соединений и др. В бюджетных решениях и в сетях, нетребовательных к пропускной способности, часто используются программные средства, которые могут быть интегрированы в аппаратные системы. Такой подход поддерживает, в частности, Cisco — заказчик может начать с программных решений, а затем приобрести дополнительные аппаратные модули, перенеся шифрование или другие технические операции на специализированные процессоры.
Улучшению сетевой защиты способствует появление в специализированных устройствах дополнительной функциональности. В брандмауэры внедряются антивирусы, системы обнаружения вторжения, antispam, модули проверки соединений и трафика, прокси-серверы, URL-фильтры и т.п. При этом поддержку дополнительных модулей (обновление антивирусных баз, выпуск новых версий программного кода и др.) осуществляет компания-разработчик — контракт на поддержку входит в состав appliance.
Источники риска
В разных источниках приводятся оценки источников риска для корпоративных сетей. В среднем 70–80% угроз исходит снаружи, а 20–30% — изнутри. Следует разделять риск атак и вероятность взлома — атаки исходят извне, в то время как взлом с большей вероятностью происходит изнутри. Можно защитить технологию, физические устройства, построить политику безопасности, но гораздо сложнее воспрепятствовать неправомерным действиям пользователей внутри сети, преднамеренным или нет. Можно поставить сколько угодно заплаток, выработать самые строгие виды авторизации, а пользователь, получив доступ к внутренним ресурсам сети, атакует ПК соседа. Если легитимный пользователь сознательно пытается совершить вредоносные действия, выявить и остановить его гораздо сложнее, чем защитить сеть от атак извне.
 |
Беспроводные сети
Несмотря на активное развитие, сети на основе стандарта Wi-Fi остаются уязвимы, а следовательно — нуждаются в технической защите. Проводные сети подвержены риску атак в той же степени, однако сама концепция беспроводных коммуникаций, предполагающая передачу данных в эфир, нуждается в более строгой защите.
Атаки на беспроводные сети начинаются с точек доступа. Арсенал средств достаточно широкий: злоумышленники могут “слушать” трафик, пытаться его расшифровать, организовывать DoS-атаки, давать сигнал пользователю на отключение с тем, чтобы подключиться вместо него и проанализировать процесс установления связи. С такими попытками вторжений можно бороться техническими средствами — достаточно настроить контроллер беспроводной связи таким образом, чтобы он устанавливал соединения только с определенными устройствами и блокировал все попытки доступа с других. Существуют реальные внедрения систем безопасности, в рамках которых на всей территории предприятия были установлены точки доступа, задача которых — заглушить все беспроводные сигналы. Эти точки не обслуживают пользователей, они просто не дают работать по несанкционированным подключениям. В некоторых случаях, наоборот, требуется минимальная защита точек доступа. Например, на выставках, в кафе к публичным беспроводным точкам можно свободно подключиться.
В беспроводных сетях, обслуживающих бизнес, безопасность обеспечивают, в том числе, контроллеры беспроводных точек, которые позволяют построить карту доступа к сети, распределить доступ по времени, контролировать подключения авторизованных пользователей, сигнализировать о попытках взлома. При достаточно серьезной организации можно успешно отбивать практически все появляющиеся атаки.
Проблема изначальной версии стандарта 802.11 состояла в том, что в оборудовании использовались слабые процессоры, которые могли обслуживать PDA, но не могли обеспечить интенсивные потоки данных с применением сложных алгоритмов шифрования. Для аутентификации и авторизации использовались простые ключи — иначе при каждом подключении пришлось бы ждать 3–4 минуты, пока сгенерируется ключ.
Постепенно алгоритмы становятся сложнее и эффективнее, увеличивается производительность процессоров. Это позволяет применять более развитые алгоритмы. Например, в стандарте 802.11i появилась защита AES, улучшена схема аутентификации, возросла защищенность точек доступа.
Разумеется, спектр применения беспроводных сетей ограничен. Например, банки, силовые структуры идею беспроводных коммуникаций не воспринимают. Конфиденциальная информация в таких организациях должна храниться в течение десятков лет. Пустить в эфир означает дать возможность ее считать. Даже если данные будут передаваться в зашифрованном виде, злоумышленники могут потратить несколько лет на расшифровку и в результате получить результат. Ни о какой конфиденциальности в этом случае говорить невозможно.
Утечка информации о состоявшихся транзакциях является нарушением банковской тайны. Банки и силовые структуры по определению не должны допускать ситуацию, когда конфиденциальная информация выходит за пределы организации. Не секрет, что в центрах обработки данных банки в основном пользуются оптическими каналами связи вместо медных Ethernet. Одна из причин — возможность считать информации по излучению витой пары, даже не врезаясь в кабели.
Если же данные имеют ситуативный характер, например, клиенты обмениваются письмами, важность которых утрачивается за 3 дня, то можно применять простым алгоритмом системы PGP. Все, кто попытается по пути пересылки перехватить и расшифровать письмо, смогут это сделать, но к тому моменту информация уже утратит актуальность.
Можно прогнозировать, что дальнейшее развитие технологий беспроводной связи будет сопровождаться ужесточением требований к безопасности на уровне стандартов. Однако о конкретике пока говорить рано — например стандарт WiMAX, о перспективах которого уже столько сказано, занимает очень малую долю рынка. Крупные компании не уделяют ему внимания, поэтому поднимать вопрос о его уязвимости пока преждевременно.
Украинская специфика
Если 10 лет назад можно было говорить об Украине как об отдельной сети, то сегодня глобализация практически стерла границы между сетями государств. Все технологии в Украине доступны. Сама Украина тоже доступна извне.
Стоит подключиться к провайдеру, который специально не прикрывает клиентов от атак, как сразу же после получения IP-адреса начинается сканирование со всего мира, в том числе — и со стороны пользователей, работающих через этого же провайдера. Больше всего попыток взлома идет из Японии и Кореи — видимо, там лучше развиты технологические средства и существуют определенные проблемы в правовом поле. А в некоторых странах, наоборот, простое сканирование приравнивается к сетевой атаке и является уголовно наказуемым преступлением.
У многих украинских компаний основная проблема в области сетевой защиты состоит в отсутствии комплексного подхода и формализованной политики безопасности. Часто меры принимаются уже после того, как произошла атака или взлом сети. В то же время любая защита, физическая, техническая или программная, должна строиться на понимании руководством компании необходимости построения комплексной системы безопасности, регламентирующей объекты и средства защиты. Формализация правил позволяет выявить и устранить проблемные участки.
Наиболее развиты системы информационной и сетевой безопасности в крупных банках, в то время как в небольших банках они находятся в зачаточном состоянии. Бывает, начальник службы физической безопасности небольшого банка, бывший работник силовых структур, курирует и ИТ-безопасность, не имея должной компетенции в этом вопросе. Стоит ли удивляться сообщениям в прессе о том, что какой-то подросток несанкционированно снял в банкомате крупную сумму денег? Причина в грамотности подростка или отсутствии комплексной системы информационной безопасности банка?
Препятствует построению защищенных сетей и отсутствие в Украине четких стандартов в области безопасности. К сожалению, складывается впечатление, что государство эта проблема не интересует. Крупный бизнес ориентируется на международные стандарты ISO, однако без государственной политики в этом направлении не обойтись. Такая работа проведена в России, где разработаны собственные алгоритмы и стандарты шифрования. Однако в нашей стране эта работа пока не ведется.
Выводы
Любую сеть можно защитить, создав правильную топологию, применив современные технические средства и разработав политику прав доступа. Однако следует помнить, что идеальной защиты не существует. Всегда необходимо оценивать стоимость информации и стоимость получения несанкционированного доступа к ней. Конкретная реализация системы безопасности зависит от баланса стоимости и важности информации. Средства защиты и контроля сегодня позволяют создать эффективные системы технического противодействия атакам извне. Дальнейшее развитие будет, скорее, происходить в направлении интеллектуальных систем контроля над неправомерными действиями пользователей. Лидеры индустрии это видение уже обозначили.
