Современные средства обеспечения безопасности и сохранности информации

Современные средства обеспечения безопасности и сохранности информации

Средства защиты информации (СЗИ) появились на рынке достаточно давно, но, пожалуй, только в последнее время, с выходом (и последовавшими комментариями, дискуссиями, изменениями и пр.) закона 152-ФЗ «О персональных данных», стали справедливы слова классика о том, «как много в этом слове для сердца русского слилось».

Не будем вдаваться в длительную дискуссию, насколько хорош закон сам по себе, а посмотрим на рынок средств обеспечения безопасности в целом, сосредоточившись на наиболее часто используемом их виде, а именно – средствах сетевой защиты.

К классу сетевых СЗИ относятся межсетевые экраны (МЭ), системы обнаружения и предотвращения вторжений (IPS), системы удаленного доступа (SSL VPN) и другие решения – список можно продолжать. Всех их объединяет одно: они работают с информацией в процессе ее передачи по сети.

Именно  по этой причине они зачастую считаются более «выгодными» с точки зрения вложения средств, нежели средства, применяемые на стороне конкретных узлов. Нет, безусловно, важные и узловые системы (хостовые IPS, HIPS, антивирусы, персональные МЭ и пр.), но, как говорится, «при прочих равных», выбор падет именно на сетевые СЗИ, например, в случае, когда нужно защитить ферму серверов от вторжений извне.

Что же нового появилось за последнее время на рынке сетевых СЗИ? Выделим наиболее часто упоминаемые и востребованные функциональные возможности. Так, средства и системы теперь научились:

  • «на лету» расшифровывать SSL потоки;
  • детектировать и бороться с техниками обхода (evasions);
  • идентифицировать пользователей;
  • определять приложения;
  • управлять жизненным циклом политик ИБ и СЗИ.

Рассмотрим эти возможности подробнее. Расшифрование потока SSL «на лету» позволяет заглянуть внутрь зашифрованного web-трафика с целью своевременного детектирования и пресечения несанкционированной активности. Типичный пример – личная электронная почта на рабочем месте. Как правило, фильтрация контента в компаниях поставлена не настолько хорошо, чтобы «отрезать» собственно электронную почту, оставив возможность доступа к новостным разделам.

Поэтому блокировкой личных почтовых ящиков либо никто не занимается, ограничиваясь положениями политики информационной безопасности (ИБ) на бумаге, либо делает, но поверхностно, в рамках «существующих возможностей». К сожалению, как показывает практика1, эти подходы не выдерживают никакой критики. В ссылках речь, конечно же, идет не про инспекцию SSL, это всего лишь демонстрация того, что даже такие крупные компании не застрахованы от ошибок в реализации стратегий ИБ, что лишь подчеркивает, что в расчет нужно принимать самые разные факторы и не ограничиваться реализацией защиты только на бумаге.

Возвращаясь к обсуждению SSL инспекции, хотелось бы заметить, что не стоит забывать про два направления инспекции: от клиента к серверу – это одно, а вот защита сервера от вторжений из Интернет -  это другое. Безусловно, корпоративный сервер электронной почты, «выставленный» наружу обычным HTTP – это признак дурного тона. Однако, еще не факт, что шифрование клиентских сессии с помощью SSL (т.е. использование HTTPS) намного лучше. Ведь, если до этого система IPS или МЭ могли контролировать сессии пользователей вплоть до уровня приложений (мы рассматриваем, конечно же, только современные МЭ, работающие не только на сетевом и транспортном уровнях), то с активацией шифрования им доступна только информация об адресах и номерах портов, т.е. фактически, мы, в части фильтрации контента, «отбрасываем» себя примерно на десять лет назад. Соответственно, злоумышленник, подключаясь к фронтенду корпоративного приложения по зашифрованному каналу, может заниматься всем, чем угодно, не будучи замеченным и остановленным, скажем, системой IPS.

Кстати, подобный же «скрытый канал доставки» образуется и в том случае, если в организации стоят системы, не способные детектировать техники обхода. Причем защита от классических вариантов фрагментации пакетов или сегментации виртуальных соединений2 уже недостаточна. В прошлом году были открыты так называемые «динамические техники обхода» (АЕТ), позволяющие в том числе комбинацией уже существующих техник обеспечить возможность проникновения злоумышленника в те сегменты, на границе которых стоят, казалось бы, прошедшие тестирование средства. Например, что касается тестов систем IPS, то многие лаборатории включают в методики в том числе техники обхода.

Однако, как показывает практика, даже наличие сертификатов об успешном прохождении теста недостаточно, поскольку на поверку оказывается, что  проверяются только самые простые техники обхода, и уж никак не динамические (АЕТ), а последние легко проходят через системы, не оставляя следов. Кстати, многие эксперты сегодня отмечают, что уже комплексные АРТ-атаки, а также нашумевшие эпидемии червей3 включали в свой состав и evasion-компонент. Таким образом, следует иметь в виду, что «evasion evasion-у рознь», и им (как минимум АЕТ) следует уделить должное внимание, тем боле что почти год прошел с того момента, как через механизмы CERT была распространена информация об этом классе уязвимостей, а до сих фактически ни один производитель (кроме, пожалуй, компании-открывателя, Stonesoft) не имеет интегрированных механизмов защиты. Кстати, ситуация на самом деле хуже, чем кажется, поскольку, помимо систем IPS, непосредственно «уязвимы» все без исключения системы, осуществляющие контекстный анализ, а это и МЭ, и DLP, и др.

После детектирования контент нужно классифицировать. Для этого в современных средствах применяются автоматическое обнаружение работающих приложений и возможность блокирования без привязки к номерам портов. Удобно, согласитесь! Уже не нужно вспоминать, какой порт использует тот или иной сервис или приложение – достаточно  просто выбрать его из списка и применить политику на устройстве. Интеграция модуля контроля трафика с модулем «глубокой инспекции» (deep inspection) позволяет разобрать контекст соединения, заглянуть в контент и открыть/запретить доступ  только в том случае, если поведение трафика напоминает заданную программу.

Это хорошо, но недостаточно для реализации согласованной политики безопасности. Для отчетности и аудита неплохо было бы еще знать и что за пользователь скрывается за той или иной попыткой доступа (пусть и не нарушающей политику ИБ). Для этого в сетевых СЗИ применяются методы сопоставления IP-адресов с учетными данными пользователей. Как правило, это делается интеграцией с сервером каталогов (MS AD) и динамическим выявлением всех новых событий, связанных с регистрацией новых пользователей в сети и/или завершением их работы.

Наконец, все большее внимание уделяется не только собственно установке СЗИ, но и их сопровождению, поддержанию в актуальном состоянии, оптимизации политики безопасности и слежением за ее корректной реализацией. Отчасти это связано с уже упомянутыми фактами успешной реализации атак, а также естественным желанием держать ПО/правила инспекции и др. компоненты в актуальном состоянии (особенно это актуально с учетом упомянутых АЕТ). С другой стороны, многие компании начинают/продолжают вводить процессы управления ИБ, которые требуют включения упомянутых компонентов в состав комплексной СЗИ.

Безусловно, здесь были перечислены и дано описание далеко не всех актуальных систем и функциональных возможностей. Акцент был сделан именно на новых технологиях, которые еще не так часто фигурируют на страницах печатных изданий. Цель статьи – заставить читателя задуматься о том, что и как используется/планируется к использованию у него в организации, дать информацию к размышлению. Также, хоть все перечисленные возможности присутствуют под общим заголовком «современные СЗИ» , не стоит думать, что они автоматически присутствуют во всех системах, которые на сегодняшний день присутствуют на рынке.

Поэтому нужно очень тщательно подходить к процессу выбора, не обращая внимание на узнаваемость имени производителя и творческие способности департамента  продаж к составлению презентационных материалов, равно как на аналитические материалы  казалось бы независимых испытательных лабораторий – для большинства новых «фич» принятых тестов еще не существует. Доверять можно только себе, тем более что нести ответственность за создание неработоспособной СЗИ и успешное проникновение хакеров придется тоже тому, кто принимает решение о выборе той или иной системы. Одним словом: «Защищайтесь, сударь!». Успеха в этом нелегком труде!

Подпишитесь
в Facebook

Я уже с вами
Telegram AMПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru