В последнее время резко возросла актуальность комплексного подхода к организации информационной безопасности на предприятии, однако защита периметра остается, пожалуй, наиболее востребованной задачей в практической плоскости. За последние годы ведущие производители расширили пакет решений в этой области, а компании накопили опыт внедрений. Тем не менее до сих пор широко распространены стереотипы и ошибки в понимании этой темы. Рассмотрим основные тенденции и заблуждения, касающиеся обеспечения защиты периметра и ядра сети.
Говоря о периметре сети, часто подразумевают только разграничение внутренней локальной сети от интернет. Это не совсем верное понимание вопроса — ведь доступ к ресурсам сети пользователи чаще всего получают через порты коммутаторов доступа. Сегодня в локальных сетях практически каждой организации выход в интернет защищён с помощью программного или аппаратного межсетевого экрана, системы обнаружения вторжений (IDS) либо технологии трансляции адресов NAT/PAT. Применение этих средств защиты, несомненно, позволяет минимизировать возможность вторжения из Сети. Однако практически не предусмотрен и не продуман контроль доступа локальных пользователей, несмотря на то что в подавляющем большинстве случаев атаки на ресурсы сети исходят как раз изнутри. И наоборот — внешние атаки на сеть в форме умышленного злонамеренного воздействия крайне редки. Чаще всего пользователи неосознанно или по незнанию «дают старт» атакам, запуская некорректно работающее или неверно настроенное ПО или попросту используя компьютеры, зараженные вирусами и сетевыми червями.
Даже защитив сторону пользователя с помощью антивирусов и хостовых систем обнаружения и предотвращения вторжений (HIPS), нельзя быть уверенным, что сеть максимально защищена. И уж полным заблуждением было бы считать, что какое-то решение или даже комплекс способны абсолютно защитить сеть и, в конечном итоге, весь бизнес.
Защиту периметра можно сравнить с карамельной конфетой: твердая оболочка, но внутри мягкая начинка. Ядро сети, имеющей защиту только на уровне периметра и на уровне доступа внутри нее, оказывается практически незащищённым. В таком случае обход защиты периметра ставит под угрозу все сетевые ресурсы.
Для решения этой проблемы была разработана так называемая стратегия защиты «в глубину» (defence in-depth). Она подразумевает защиту каждого функционального узла сети отдельным комплексом устройств безопасности. Такой подход позволяет минимизировать воздействие атак, угроз и аномального трафика как на отдельные ресурсы сети, так и на сеть в целом за счёт использования многоуровневой эшелонированной схемы защиты.
Каждое сетевое устройство безопасности (чаще всего это межсетевые экраны и системы обнаружения и предотвращения вторжения) обладает информацией о функционировании только той части сети, которая находится в его поле зрения. Таким образом, в случае распределённой атаки подобное устройство безопасности сможет зафиксировать в лучшем случае лишь некоторое аномальное поведение в сети и не примет никаких действий по отражению. Для обнаружения распределённых атак и угроз разработаны централизованные системы сбора и анализа информации, а также выявления аномалий. Подобные устройства или системы мониторинга обладают цельным видением сети и на основании анализа данных, получаемых от других устройств, способны выявлять атаки, не замеченные другим уровнем защиты. Некоторые системы посредством сканирования всей сети, а также настройки каждого устройства в отдельности способны находить несоответствия политикам безопасности и даже предлагать некоторые рекомендации по перенастройке.
Человеческий фактор: разумный баланс
В системе безопасности сети существует еще один немаловажный компонент. Это – человек, а точнее администратор или оператор устройств безопасности. Без него система безопасности не может изменяться в соответствии с постоянно растущими и меняющимися потребностями бизнеса. В определённый момент отсутствие человеческого контроля становится препятствием на пути дальнейшего развития. Присутствие администратора в комплексе безопасности позволяет обеспечить динамичность системы и её адаптацию к меняющимся требованиям. Однако степень соответствия системы безопасности предъявляемым к ней требованиям зависит исключительно от администратора, от его знаний и умения выполнить настройку. В свою очередь, это повышает требования к квалификации и опыту специалиста. Производители оборудования стараются минимизировать зависимость от опытности администраторов, разрабатывая простые в использовании, интуитивно понятные средства настройки. Тем не менее человеческий компонент в системе безопасности остается чрезвычайно важным, и требования к нему остаются высокими.
Политики безопасности – необходимая формализация защиты
Любая система безопасности должна базироваться на некотором формализованном перечне предъявляемых к ней требований – политик безопасности. Любой из нас в общих чертах представляет, что нужно защищать, но попытка дать формальное описание требует высокой степени понимания потребностей бизнеса, доступных ресурсов, осведомленности в технических вопросах – функционировании ресурсов, порядке взаимодействия с ними, их уязвимых сторонах. Далеко не все организации способны сформулировать приемлемое видение политик безопасности. А без них система безопасности, даже имея эшелонированную защиту, высококвалифицированных администраторов и превосходные системы мониторинга сети, будет слабо соответствовать потребностям организации — ведь в первую очередь надо понимать, что именно необходимо защищать.
Наиболее проработанные и детальные политики безопасности внедряются в банковской сфере. Именно банки, чётко формулируя потребности в защите информации (надёжность, конфиденциальность и защищённость обмена информацией о финансовых операциях), являются лидерами по внедрению этих систем. Но даже там системы безопасности не соответствуют современным возможностям. Это обусловлено как недостаточно высоким профессионализмом ответственных за безопасность администраторов, так и стремительным расширением компаний, значительно превышающим возможную скорость внедрения систем безопасности. Чаще всего эту проблему решают путём привлечения сторонних организаций, имеющих компетенцию в области разработки, внедрения и сопровождения таких систем. И все же большинство предприятий сегодня бесстрашно пытаются справиться с подобными ситуациями своими силами, что отнюдь не способствует усилению информационной защищённости корпоративной сети.
Доступность и защищённость - сочетание несовместимого
Безопасность сети является одной из важнейших характеристик, но не стоит забывать, что задачей корпоративной сети является обеспечение бизнеса необходимыми ему инструментами. Бизнесу, а более точно – пользователям, хотелось бы получить беспрепятственный доступ ко всем ресурсам без каких-либо ограничений. Это желание полностью противоречит принципам безопасности, базирующимся на максимальном ограничении доступа к чему только возможно. «Идеальная» сеть должна находиться на стыке этих крайностей и обеспечивать оптимальную доступность ресурсов при оптимальной их защищённости. И опять-таки, определение этой оптимальной доступности и защищённости сети ложится на человека – специалиста, ответственного за формулировку целей и приоритетов организации. Для таких структур, как банки, упор делается в большей степени на защищённость (банки могут позволить себе небольшой простой сети ради гарантии безопасности финансовых операций), для производства же более важным является доступность ресурсов (производства непрерывного цикла предпочтут временно пожертвовать частью корпоративных ресурсов, чем прервать производство). Именно определение степени требуемой защищённости должно лежать в основе разрабатываемых в дальнейшем политик безопасности.
Разумный подход к внедрению
Требуется также установить финансовые выгоды от внедрения системы безопасности. Оценка производится из следующих соображений. Рассчитываются потенциальные убытки от отсутствия системы безопасности: время на восстановление правильного функционирования, расходы по восстановлению ресурсов, нематериальные потери, такие как ущерб репутации компании, потеря доверия; и те же параметры, но при наличии определённой системы безопасности. В конечном итоге выбор делается в пользу системы, расходы на поддержание которой будут минимальными. В таком случае компания получит наибольшую прибыль от её внедрения. При этом система безопасности вряд ли окажется идеально полной, она будет содержать немало пробелов и неучтенных аспектов. Однако обеспечит компании наибольшую прибыль – даже по сравнению с более совершенными, но, следовательно, более дорогими системами.
Если корпоративная сеть организации является лишь вспомогательным средством бизнеса, нет смысла внедрять полный комплекс устройств безопасности и систем мониторинга.
Тенденции развития
Производители учитывают неготовность заказчиков приобретать дорогие специализированные устройства безопасности и всё чаще интегрируют защитные функции в устройства, предназначенные для других целей. Маршрутизаторы уже сегодня могут реализовывать функциональность межсетевых экранов, систем обнаружения и предотвращения вторжений, шифровать потоки данных. Коммутаторы способны разграничивать и фильтровать доступ пользователей, собирать статистику о потоках данных и передавать её для анализа средствам мониторинга. В то же время специализированные устройства безопасности наращивают число доступных функций, увеличивают производительность и расширяют возможности для интеграции с другими устройствами и системами.
С Юрием Черниченко, ведущим консультантом управления сетевых технологий компании «S&T Софт-Троник», можно связаться по адресу: Iurii.Chernichenko@snt.ua
