Проблема сетевой безопасности уже давно переросла рамки компетенции отдела ИТ и стала частью жизни любого менеджера и сотрудника. В то время, как ИТ-специалисты непосредственно занимаются настройкой, управлением и защитой сети, результат несанкционированного проникновения в пределы корпоративной сети могут ощутить на себе все сотрудники. Причем, речь идет не только о времени, требуемом для устранения неполадок в сети, но и об упущенной прибыли вследствие вынужденного отсутствия доступа к корпоративным сетевым ресурсам.
Сложная сетевая архитектура — угроза сетевой безопасности
Решить одновременно все проблемы, которые стоят перед компанией, путем предоставления всем сотрудникам полного доступа к сетевым ресурсам, невозможно хотя бы в силу того, что это приведет к существенному усложнению корпоративных сетей. Даже в количественном измерении, число устройств, подключенных к сети, постоянно растет. И входящие каналы в корпоративные сети также подвергаются большой опасности: веб-серверы и серверы приложений, соединения с филиалами, и просто удаленные соединения, в той или иной мере используют общедоступные каналы интернет. К сожалению, в настоящее время нельзя вернуться к старым-добрым временам ограниченного доступа к приложениям. Количество каналов в корпоративной сетевой инфраструктуре будет расти и в дальнейшем, вместе с увеличением числа сотрудников, которым необходим доступ к сетевым ресурсам.
С такой дилеммой руководители и администраторы сталкиваются не первый день. Инциденты, получающие широкий резонанс являются всего лишь верхушкой айсберга, в то время как ежедневно тысячи сетевых атак проходят вне общественного внимания. Среди ИТ-специалистов распространено несколько наиболее популярных методик отражения подобных атак. Наиболее распространенные среди них:
Инсталляция системы брандмауэра для регулирования входящего и исходящего сетевого трафика.
Инсталляция антивирусного ПО на всех ПК для снижения вероятности проникновения вирусов.
Установка системы обнаружения вторжений (Intrusion Detection, IDS) для предупреждения IT специалистов об осуществляющейся в настоящий момент атаке. Описанные шаги обеспечивают определенный уровень защиты, гарантируя лучшую защищенность по сравнению с абсолютно «открытой» сетью. Но такие решения, рассматриваемые как по отдельности, так и в сочетании друг с другом, не могут обеспечить абсолютную защиту от угроз.
Мифы сетевой безопасности
1) Файрволл справится со всем
Файрволл является самым распространенным аппаратным элементом сетевой безопасности. Проблема заключается в том, что файрволл, рассматриваемый отдельно, всего лишь блокирует определенный порт или протокол, в зависимости от настроек, выставленных изготовителем или сетевым администратором.
Однако в момент открытия доступа к корпоративной сети, брандмауэр конфигурируется таким образом, чтобы разрешать портам или протоколам свободное прохождение — к примеру, порт 80 используется для большей части HTTP-трафика. Именно эти открытые порты или протоколы служат «входной дверью» для взломщиков или червей. Файрволл может обеспечивать инспектирование входящего трафика на открытых портах, но на очень ограниченном уровне, который лежит в пределах 2-го и 3-го уровней модели OSI (проверяя IP-адреса и порты), и не разработан для анализа аномалий в трафике в рамках приложений.
2) На антивирусное ПО можно положиться
Антивирусное ПО, при условии установки на всех клиентах и серверах в сети, а также регулярного обновления баз и корректного администрирования, обеспечивает определенный уровень защиты от многих сетевых атак. Не ставя под сомнение тот факт, что антивирусы действительно являются обязательным элементом сетевой безопасности, все же они обладают тремя существенными недостатками.
Во-первых, анти-вирусное ПО защищает пользователей от известных вирусов. Принцип антивируса построен на распознавании механизмов, схожих с описаниями уже существующих фрагментов кода. И несмотря на усилия производителей антивирусного ПО, между появлением нового (измененного) вируса и появлением сигнатуры, предназначенной для его устранения, может пройти достаточно много времени. Стремительно возникающие в сети новые черви не дают антивирусам и пользователям времени на подготовку. Уже через несколько часов после появления черви могут мутировать, делая фильтрацию вирусов через распознавание схожих механизмов абсолютно безнадежной.
Во-вторых, антивирусы ограничены в функциях. Большинство из них не могут предоставить защиту от таких видов угроз, как DoS и DDoS-атаки, или особый виды вредоносного ПО.
В-третьих, антивирусное ПО требует больше времени на администрирование и управление, чем аппаратное устройство, подключенное непосредственно в сеть, поскольку ПО необходимо настраивать и регулярно обновлять на каждом отдельном ПК. В некоторых случаях нельзя обеспечить регулярное обновление всех ПК, что ставит под угрозу сеть целиком.
3) Система обнаружения вторжений (IDS) гарантирует защиту
Система IDS осуществляет пакетный анализ трафика, входящего и исходящего из корпоративной сети, и сообщает результаты анализа утилите генерирования отчетов. Когда система определяет, что сеть подвергается атаке, именно утилита отчетов отвечает за рассылку сообщений об угрозе через электронную почту, пейджинговые сообщения или SMS сетевым администраторам. Слабым местом такого механизма является вопрос времени – к тому моменту как сетевые администраторы получают сообщение, как правило, предпринимать какие-либо шаги, кроме выключения зараженной системы или всей сети, уже слишком поздно.
Требования к полноценному проактивному решению
Действительно надежную защиту может обеспечить устройство, реализующее проактивный подход к сетевой безопасности. Нельзя обойтись без распознавания существующих угроз, но единственный способ надежно обеспечить безопасность сети – быть на несколько шагов впереди. В настоящий момент самые совершенные решения объединяют в себе адресную защиту от угроз, направленных против уязвимости, и защиту от червей. Когда обнаруживается угроза определенного вида, будь то уязвимость операционной системы или приложения, проактивное решение использует патч, который будет защищать эту уязвимость от всех будущих атак, направленных против нее, включая те, которые ещё неизвестны или не разработаны.
Для обеспечения подобной защиты, компаниям требуется интеллектуальное решение, подключенное непосредственно к сетевой инфраструктуре, которое анализирует весь трафик на предмет угроз, до 7-го уровня модели OSI включительно. В дополнение, ключевую роль в вопросе эффективной защиты играет функция обновления сигнатур. Но простой защиты от вирусов недостаточно — полноценная проактивная защита должна обладать эффективными механизмами противодействия целому ряду актуальных на сегодняшний день угроз, таких как черви, троянские кони, DoS и DDoS-атаки, фишинг, шпионское ПО, а также уязвимости, связанные с VoIP.
Возможности решений на базе IPS
Решения 3Com семейства X Family построены на архитектуре системы TippingPoint IPS. Системы IPS (Intrusion Prevention System — система обнаружения вторжений) отличаются от файрволлов, антивирусного ПО или IDS прежде всего своей возможностью проактивно инспектировать весь поток данных в сети до 7-го уровня включительно и умению блокировать «нежелательный» или зараженный трафик.
Работая с индивидуальными приложениями, система анализирует трафик по принципу «пакет-за-пакетом», производя анализ со скоростью канала и не замедляя его передачу. При этом, устройства используют собственные алгоритмы и фильтры. Как только система распознает вредоносный трафик, она блокирует его и останавливает угрозу до того, как она успевает нанести ущерб.
Устройства X Family регулярно получают информацию о новых уязвимостях благодаря услуге TippingPoint Digital Vaccine. Функция по предотвращению вторжений является обязательным компонентом системы сетевой безопасности и обеспечивает защиту не только от существующих, но и от будущих угроз.