01 июня 2020 года 
 
Новости
производителей
Статьи
и обзоры
Вирусная
активность
Тесты
лабораторий
мнения
и комментарии
 
MSInfo.Ru - информационная безопасность как цель
Информационно-новостной дайджест из мира программного обеспечения, безопасности
 
Календарь событий
Июнь   2020
Пн
1
8 15 22 29
Вт 2 9 16 23 30
Ср 3 10 17 24
Чт 4 11 18 25
Пт 5 12 19 26
Сб 6 13 20 27
Вс 7 14 21 28

10 шагов для защиты сети

13 сентября 2007 года

Источник: Михаил Демидов, "КомпьютерБизнесМаркет"

Проблема безопасности была, есть и всегда будет актуальной. В современном мире информация является столь же ценным товаром, как и финансы, оборудование, недвижимость, поэтому, потеряв, казалось бы, невещественное, вы незамедлительно терпите убытки вполне материального характера. Эта статья посвящена методике обеспечения надежной защиты сети с целью предотвращения утечки информации.

Во-первых, количество задач, требующих решения, не всегда совпадает с уровнем защищенности любой системы. Это объясняется тем, что необходимые средства безопасности создаются в самом начале построения сети, а по мере ее роста и развития уровень защиты либо снижается, либо остается на том же самом месте, что и в начале. Однако в экстренных случаях (когда “грянул гром”) обычно политика безопасности пересматривается, и уровень вновь становится адекватным развитию событий. Внедрение новых технологий не решает проблему с существованием угроз или вовсе не находит поддержки у бизнеса (например обеспечение безопасности беспроводных сетей). Примером технологии, не поддержанной бизнесом, является несостоявшийся переход на протокол TCP/IP v6 с устаревшего еще десять лет назад TCP/IP v4. Во-вторых, по мере роста IT-системы растут затраты на восстановление работоспособности ее после сбоев. Поэтому гораздо выгоднее предупредить угрозу безопасности, чем “разгребать завалы”. Кроме того, в России сейчас услугами технической поддержки от производителей тех или иных решений пользуются не повсеместно, поэтому налицо непрофессионализм в некоторых случаях. Причиной такого явления является денежный фактор, особенности менталитета (“авось”), а также в некоторых случаях и недальновидность.

В-третьих, существует еще одна, актуальная с недавних пор и для России, негативная тенденция, а именно – проблема инсайдерства (чем больше компания, тем острее эта проблема, и ущерб компании может причинить не только преступник извне, но и преступник внутри, т. е. сотрудник). Существует четыре основных типа инсайдеров:

- новички (ими движет любопытство или желание прославиться, они используют примитивные инструменты – обычно скачанные из Интернета; их основная цель – заставить понервничать системного администратора); – увлеченные или правонарушители (они понимают последствия своих действий, сознательно нарушая закон (статьи УК РФ №№272, 273, 274);

– похитители (они хотят заработать, используя специальные программы, их уровень подготовки значительно выше, чем у правонарушителей; их можно даже назвать экспертами);

– шпионы.

В настоящее время наблюдаются две тенденции: первая – увеличение числа похитителей, что связано с постановкой этой деятельности на коммерческие рельсы (люди зарабатывают на том, что у других людей происходят убытки); вторая – инструменты, созданные экспертами, становятся доступными менее квалифицированным людям (например, известные программисты заводят блоги, в которых с благими целями публикуют свои размышления на тему уязвимостей (“этическое хакерство”), которыми и пользуются, среди прочих, злоумышленники). В итоге сеть не является защищенной – во-первых, защита отсутствует изначально, во-вторых, если она и существует, то она неправильно спроектирована. Когда мы говорим о защите компьютера, мы можем легко перечислить все те средства, которые нужны для того, чтобы обеспечить работу одной машины в Интернете, а касательно сети такую информацию выдавать однозначно нельзя – как ее спроектируете, так и защищать ее будете сами. Самый главный вопрос: “Что или от кого защищать?”, и ответ на него должны давать не системные администраторы, а руководство компании. Если же такого не происходит, то есть потенциальная опасность – и по статье 274 УК РФ (“Неправильная эксплуатация информационных систем”) можно привлечь администратора к суду (за убытки, причиненные бизнесу от действий сисадмина).

Если говорить об информационной системе, то одной из важных составляющих построения безопасной сети является аутентификация действий пользователей. К примеру, на серверах или при отключении ноутбуков от стыковочных станций, администраторы часто отключают возможность протоколирования логинов входа и выхода из систем. Также притчей во языцех является блокировка использования неизвестных USB-устройств. Актуальным вопросом является использование консоли восстановления – администраторы часто забывают раздать полномочия.

Важно помнить, что защита средствами программного обеспечения не может заменить физическую защиту данных. Серверная комната должна быть изолирована от мест общего пользования, серверы должны быть в закрытых шкафах, и так далее – если оборудование проще украсть, чем осуществлять программный взлом на удалении, то его, конечно же, украдут.

Одной из главных опасностей внешнего характера является проблема rootkit’ов – с их помощью можно получить ограниченный или полный контроль над сетью, без разницы на какой платформе она построена. После внедрения rootkit’а компьютер попадает в botnet, то есть в сеть зараженных машин. Для удаления rootkit’а и восстановления клиента может потребоваться несколько часов, по причине того, что сейчас код внедряется в систему настолько, что становится ее неотъемлемой частью, а кодеры пишут вредоносные драйвера сразу же загрузочными, чтобы они обходили системы защиты еще до загрузки операционной системы. Основная стратегия борьбы с rootkit’ами – предупреждение (построение защиты, независимый аудит). Но и не стоит слепо верить рекомендациям экспертов – это уже должно регулироваться руководством компании. Важным моментом является анализ угроз – кто угрожает, чему угрожает, какие могут быть последствия (какие компоненты – портал, база данных, файловый архив подвержены угрозе, насколько ценная там хранится информация, как можно получить к ним доступ, какие средства для этого понадобятся и так далее). После этого полученные результаты надо обработать и классифицировать.

Например, для этого подходит классификация STRIDE:

– Spoofing (имитация соединения);

– Tampering (фальсификация данных);

– Repudiation (отказ или блокировка данных);

– Info Disclosure (доступ к информации);

– Denial of Service (отказ сервиса);

– Elevation of Privilege (повышение привилегий).

Каждая угроза оценивается по степени того, с какой легкостью злоумышленники могут заблокировать или вывести систему из строя. Самое главное – это уметь грамотно преподнести начальству свои соображения по безопасности. Проблема тут в том, что говорите вы на разных языках – сисадмин измеряет все в рамках IT, а гендиректор – в рамках бизнеса (сколько денег мы потеряем, от чего надо отказаться). Проблема в том, как правильно потратить деньги – нужно правильно выбрать для себя критерий – либо система будет защищенной и дешевой (тогда все пользователи будут ругаться за неудобства), либо дешевой и удобной (тогда она вряд ли будет от чего-то защищена). Поэтому управление безопасностью – это умение потратить деньги так, чтобы ничего не случилось плохого.

Еще мы наблюдаем сейчас слияние безопасности и инфраструктуры, как результат – невозможность объяснить руководству необходимость траты денег и появление “лоскутных решений” (латание дыр в системе безопасности). В компании должна быть подписана декларация безопасности (цели, задачи, принципы), а также оперативный план – как достигать те цели и задачи декларации (как часто их пересматривать например). Болевыми точками инфрастуктуры являются:

– риски и их проявления (целостность, стоимость возможных рисков и обновления ПО);

– рациональные траты (стоимость и проблемы внедрения, обновления, управления корпоративными ПК);

– перегрузка информацией (трата времени и потеря производительности для поиска “потерянных” данных и файлов);

– увеличение факторов риска и рост потребностей (растет потребность в защищенном и универсальном доступе к ресурсам из любого места).

Одна из проблем безопасности – это проблема надежной аутентификации пользователя. Пароли не являются достаточно надежным средством, ведь их можно легко подобрать или украсть (особенно, если администратор наклеивает его на подставку монитора). Что же тогда может являться надежным? В нашем случае это системы каталога (Active Directory), продукты, которые осуществляют аутентификацию пользователя третьих фирм, смарт-карты, биометрия и так далее. Например, около 3% населения не имеют нормально считываемого капиллярного рисунка пальцев. Важно отметить, что все средства предполагают использовать архитектуру открытых ключей, причем альтернативы на сегодняшний день этому нет.

Теперь обратимся к проблемам уязвимостей. Обычно программы создаются из расчета ожидаемого нормального поведения, поэтому ошибки в программе происходят в случае реального поведения, отклоняющегося от нормы. Как результат, такие вещи приводят к багам (ошибкам в программном коде) или в случае с системой безопасности – к уязвимостям. Однако наличие уязвимости еще не значит наличие проблемы – время жизни уязвимости довольно различное (от обнаружения до выпуска исправления), поэтому надо минимизировать этот временный интервал. Но сейчас злоумышленники получают информацию об уязвимости из выпущенных заплаток – они скачивают их, просматривают исправления и пишут новый код, который воздействует на незащищенный фрагмент программного кода – например, когда патч делает систему еще более уязвимой. Не меньшей опасностью являются унаследованные системы – например, Windows 95 по отношению к современным поколениям Windows (в 1995 году мало кто знал про существование Windows NT). Защищенность системы определяется, как правило, по защищенности самого слабого звена – например, Windows 95 можно взломать за 3-5 секунд, а Windows XP – за несколько дней. Вывод – старые операционные системы надо изымать из сети. Появление новых сервисов, новых технологий должно подталкивать на обновление системы (так, Windows NT создавался до активного использования Интернета и до того, как TCP/IP стал главным протоколом коммуникаций, а Windows 2003 Server – до активного внедрения Web Services и до появления набора для создания переполнения буфера).

Следующий момент – это разделение ресурсов (по важности, по значимости), то есть сегментирование сети. Решений может быть несколько – исходя из возможностей активного сетевого оборудования, встроенных компонентов Windows (Active Directory, Kerberos, IPSec, CA (служба сертификатов), IAS (Radius Server) и WPA2), продуктов третьих фирм (например RSA). Самый важный момент – надо получить ответы на вопросы – доверяете ли вы компонентам, не являющимся частью вашей системы, а если да, то кому доверяют в свою очередь эти компоненты. Также следует учитывать, что более важные системы не могут зависеть от менее важных ни при каких обстоятельствах. Отдельная проблема – это слабая защита периметра (использование плохих средств). То есть надо разделять основную зону от доверяемой и от недоверяемой зоны межсетевым экраном (бухгалтерия не должна работать в той же зоне, что и рекламный отдел). Важно также и документировать сегментирование сети – кто и к кому обращается и по какому протоколу (иначе понять, что происходит невозможно). Если ваш компьютер уже инфицирован вирусом, то абсолютно все равно, какой стоит межсетевой экран, потому как зараза пойдет по разрешенным портам, и будут использоваться те правила, которые разрешены пользователям.

Любая политика должна быть не только описана на бумаге, но и внедрена в жизнь. Любые действия и изменения должны быть сделаны только в соответствии с политикой. Любое изменение политики должно быть осуществлено только после всестороннего обсуждения и общего согласия. Аудит должен стать составной частью политики (особенно за мобильными компьютерами), где исключения не допускаются. С одной стороны он должен быть управляемым, с другой – давать четкую и объективную картину. При рационализированном аудите обслуживание компьютера может снизиться с $600 до $100-150. Требуется еще и обучать специалистов, начиная с простого и заканчивая сложным, создавать тестовые среды и действовать последовательно.

Итак, подводим итог: вот те десять способов построения защиты сети: определить, что реально надо защищать, продать эту идею руководству, внедрить надежную аутентификацию, разделить ресурсы и сделать сегментирование сети, удалить унаследованные системы, наладить механизм обновления продуктов, использовать средства, встроенные в операционную систему, задокументировать операционную систему, внедрить реальную защиту, следить за последними новостями.

В статье использовались материалы web-конференции Юрия Осипова (Microsoft) “10 шагов для надежной защиты сети”.



Распечатать
другие материалы раздела "Статьи и обзоры" все
© 2007. Все права защищены.
Компания «1С-Мссофт.ру»,
Интернет-магазин Mssoft.Ru
Письмо администратору проекта


Rambler's Top100
новости производителей | статьи и обзоры | вирусная активность | тесты лабораторий

В магазине мссофт.ру вы можете купить лицензионный софт ведущих производителей: Microsoft, Adobe, microsoft office 2010.