Защита сети: как вести оборонительный бой

Источник: cnews

Чтобы защита была максимально эффективной, каждый элемент должен находиться в строго отведенном ему месте и выполнять именно те функции, для которых он предназначен. В этом смысле базовую платформу безопасности можно сравнить с эшелонированной обороной: у нее есть свои средства "ближнего боя", свои "разведчики", свои "патрули" и свои "диверсанты".

И, наконец, каждому сражению необходим командир. Умелый руководитель хорошо знаком со всеми возможностями и слабыми сторонами формирований и знает, как самым эффективным образом осуществлять контроль и синхронизацию войск согласно текущей обстановке, которой он также должен владеть.

Эти методы принципиально очень похожи на те, которым необходимо следовать при создании консолидированной и согласованной системы информационной обороны, рассматриваемой в качестве базовой платформы безопасности.

Базовая платформа безопасности определяется как опорная оборонительная структура, в которой для рациональной защиты сети самым эффективным образом используются существующие технологии и средства. Разрешая каждому элементу использовать свое сравнительное преимущество и функционировать во взаимодействии с другими, данная платформа полностью сформирует предложенную стратегию сетевой защиты.

Стратегия защиты

В реальном сражении стратегия, определяющая изначальное положение боевых и разведывательных подразделений, должна идти по плану, где тщательно рассмотрены возможные сценарии ожидаемой атаки. Для подготовки действенного плана защиты сначала нужно обозначить критические или важные объекты, которые нельзя потерять. Затем необходимо проанализировать их слабые стороны - это единственный способ понять, каким образом может быть осуществлено нападение.

Перед фактической расстановкой войск необходим тщательный анализ каждого вероятного сценария нападения, который может повлиять на критические участки. Необходимо рассмотреть и принять во внимание все схемы, начиная с самой незначительной и несложной в реализации и заканчивая наименее вероятной.

Такой порядок действий очень похож на тот, который необходимо применять при создании технологической платформы защиты сети. Подобно командиру боевой части, инженер-проектировщик системы ИБ должен тщательно изучить слабые стороны своей сети, решить, какие объекты или конкретное оборудование наиболее уязвимы или являются жизненно-важными, а затем смоделировать все возможные сценарии нападения, которые могут иметь негативное воздействие. И только после этого он может принимать решение о типе технических средств, необходимых для уменьшения потенциального ущерба и понижения риска.

Как и в случае боевых действий, после того, как инженер определил критические компоненты сети компании, осознал их уязвимости и вероятные сценарии ожидаемых атак, ему необходимо перейти к следующему этапу и выбрать наиболее подходящее средство обеспечения защиты.

Расположение сил и рубежи

Для оборонительных действий требуются различные виды войск. Населенные пункты обычно предполагают ближний бой, который могут вести формирования, обученные для уличных боев. Дезинформация предполагает методики, заставляющие наступающие стороны отклониться от нападения на действительно важные объекты и потратить ресурсы на ложные цели. Бой на границе требует войск, которые могут вести сражения под открытым небом, обладая эффективными возможностями по долговременному сопротивлению. Маскировка состоит из мероприятий, направленных на сокрытие жизненно-важных объектов. Разведывательная операция поможет "узнать врага", однако для этого необходим сбор сведений до сражения или во время него. Патрульные формирования необходимы для обнаружения противника, просочившегося через все оборонительные линии.


Для подготовки действенного плана защиты нужно обозначить важные объекты, которые нельзя потерять

Такой многоуровневый подход к обороне является неотъемлемой частью эффективной программы обеспечения защиты информации. Поскольку в последние годы наступление на сети выросло и стало более изощренным, компании, поставляющие средства ИБ, разработали целый ряд новых технологий, что еще больше подчеркнуло необходимость в хорошо продуманном внедрении многоуровневого подхода к защите. По мере интеграции новых средств в программу сетевой безопасности происходит определение их местоположения и "эксплуатационных границ". Например, оказалось, что некоторые их них лучше всего располагать на периферии сети, тогда как другие - возле ключевых серверов, и, возможно, в DMZ-зоне. Словно в реальном сражении, эти границы помогают формированиям оказаться в нужной точке и, исходя из своей боевой подготовки, справиться с угрозами наиболее эффективным путем.

Первый эшелон обороны

Первый эшелон обороны формируют средства обеспечения безопасности, предназначенные для тщательной защиты внешних жизненно-важных сетевых элементов. Некоторые из них также считаются и последним рубежом обороны сети. Все они должны уметь точно диагностировать обмен информацией и операции, производимые защищаемой системой, принимать решения о наличии в текущий момент злонамеренных действий, а также быстро их пресекать. Для эффективной работы эти средства необходимо устанавливать на хостах, которые они будут защищать, перед или непосредственно на критически-важном сегменте сети - это и есть эксплуатационные границы данного средства защиты. По аналогии с реальными боевыми действиями это - оперативные границы формирования.

В первом эшелоне можно выделить следующие рубежи обороны. Системы для обнаружения вторжения на уровне хоста и сервера должны определить доступ к жизненно-важным файлам, переполнение буфера, установку нелегитимных приложений, троянские версии системных файлов и использование в чужих интересах уязвимостей системы. 

Средства обеспечения безопасности, ориентированные на приложения, должны выполнять действия, направленные на их защиту. Широко известным примером является защита web-сервера.

Системы обнаружения и предотвращения сетевой атаки, основанные на определении сигнатур, выполняют действия по распознаванию шаблонов атак. Для эффективного определения предварительно заданных сигнатур их необходимо размещать на жизненно-важных сегментах сети.

Ловушки для хакеров и сети-приманки (honeypot и honeynet) тоже можно сравнить с первым эшелоном обороны. Эти средства пытаются обмануть нападающую сторону и отвлечь ее на виртуальные или специальные серверы, не являющиеся реальными производственными серверами защищаемой организации. По аналогии с боевыми действиями эти средства-ловушки можно сравнить со специальными подразделениями, которые отвечают за дезинформирование врага с использованием, например, ложных целей. Кроме того, можно провести параллель с реальными разведывательными формированиями, отвечающими за анализ и изучение способов атак, которые враг планирует использовать в будущем.

Все вышеуказанные средства защиты относятся к первому эшелону обороны, подобно тому, как определенные полевые формирования находятся на первой линии обороны в сражении.

Второй эшелон обороны: защита периметра

Во второй эшелон обороны входят технические средства, которые обрабатывают атаки на периметр сети - межсетевые экраны, маршрутизаторы с интегрированной функциональностью защиты и некоторые другие.

Чтобы защита была максимально эффективной, каждый элемент должен находиться в строго отведенном ему месте и выполнять именно те функции, для которых он предназначен. В этом смысле базовую платформу безопасности можно сравнить с эшелонированной обороной: у нее есть свои средства "ближнего боя", свои "разведчики", свои "патрули" и свои "диверсанты".

Основными функциональными возможностями межсетевых экранов и маршрутизаторов являются контроль общего сетевого доступа и политик корпоративной виртуальной частной сети VPN (Virtual Private Network). Как правило, такие технические средства используются на шлюзе компании или на стыках сегментов сети.

Средства обеспечения безопасности периметра можно соотнести с формированиями для круговой обороны в реальном бою.

В сфере защиты информации второй эшелон защиты периметра используют свое сравнительное преимущество в случае расположения на границе сети, лицом к внешнему миру. Этот внешний мир - интернет. Если обратиться к аналогии с боевыми действиями, то это оперативные границы. Средства защиты периметра должны создавать полную картину характеристик обмена входящей и исходящей информацией в защищаемой сети, что позволит задать нормальные исходные данные, наилучшим образом соответствующие обороняемой сети. Они должны уметь определять отклонения от этих исходных данных, принимать решение о степени их угрозы для защищаемой сети, а затем, соответственно, фильтровать или блокировать их. Отклонения такого вида обычно отражают реализацию блокирующих DDoS-атак (DDoS, Distributed Denial of Service или "распределенный отказ в обслуживании"). Средства защиты периметра также должны обнаруживать действия по зондированию перед атакой, которые выполняются с помощью разнообразных методик сетевого сканирования. Поскольку целью таких действий является зондирование сетевых элементов для создания топологии атакуемой сети, их можно обнаружить только путем выполнения анализа данных с пограничных шлюзов. Другими словами, нахождение и предотвращение подобных ситуаций также входит в ответственность средств обеспечения безопасности периметра.

Средства защиты периметра обязаны также находить и предотвращать распространение компьютерных червей, которые могут автоматически проникать через границы сети во внутренние компоненты. Для обнаружения этих злонамеренных действий обычно используются специализированные сетевые средства обеспечения безопасности периметра.

Средства обеспечения безопасности периметра также должны уметь выполнять трансляцию сетевого адреса (NAT, Network Address Translation). Устройство NAT предназначено для сокрытия адреса внутренних компонентов сети и понижения вероятности внешних атак (подобно мероприятиям по маскировке в условиях сражения). В дополнение к функциям контроля доступа и политик VPN, за NAT обычно отвечают пограничные межсетевые экраны и маршрутизаторы.

Еще одной важной обязанностью второго эшелона является защита внутренних элементов систем безопасности (первого эшелона). Без их успешной работы средств первые будут испытывать ослабления своих функциональных возможностей и станут уязвимыми для блокирующих DDoS-атак, а в результате повысится уязвимость сети ко всем видам атак в целом.

Эффективное взаимодействие войск

Во время боя все формирования должны обмениваться информацией друг с другом на универсальном языке или при помощи предварительно согласованных знаков. В отсутствие эффективных протоколов связи нападающей стороне будет легче обойти оборонительные силы. Эта концепция напрямую применима к тактике проектирования систем защиты сети.

Хотя правильное расположение элементов обеспечения безопасности в защищаемой сети немаловажно, одного его недостаточно. Инженер-проектировщик систем безопасности должен проверить их способность к обмену информацией между собой, а также с другими комплексами, как, например, централизованные системы управления безопасностью и сетью в целом. Это очень важная составляющая полного формирования эффективной платформы защиты. Связь с соседними элементами улучшит функциональность каждого отдельного средства и приведет к формированию более устойчивой к атакам.


Многоуровневый подход к обороне является неотъемлемой частью эффективной программы обеспечения защиты информации

Когда речь идет о средних и крупных сетях, в которых обычно установлены системы разных производителей, очень важной становится возможность контроля всех этих средств защиты и управления ими посредством одного. Системы SIM (Security Information Management, управление системами защиты информации) разработаны для мониторинга, согласования и управления различными элементами в мультивендорной среде. SIM обеспечивает механизм применения универсального языка для "коммуникации" между всеми устройствами защиты сети, при условии, что все средства способны поддерживать универсальные протоколы и могут отправлять данные на центральное управляющее приложение или консоль. Задачей централизованной системы управления является сбор, координация и анализ сведений с различных устройств защиты. В результате принимается максимально надежное решение по обнаружению атаки и более точно оценивается угроза каждого инцидента. Централизованное управление также помогает уменьшить число лишних, ненужных оповещений об угрозах и улучшить качество данных экспертизы, которая может последовать за обнаружением новых инструментов нападения, вторжений, червей, троянских вирусов, и т.д.

Командование

В реальном сражении необходимы военачальники всех уровней - от командира отделения до командира корпуса - которые координируют действия и управляют войсками на поле боя. Они делают это, исходя из общей картины, которая создается из крупиц информации, собранной до сражения и во время него. Таких "руководителей" можно сравнить с модулем принятия решений, который поддерживается каждым элементом обеспечения информационной безопасности. Данные модули несут прямую ответственность за действия каждого элемента, которому необходимо наличие эффективного модуля принятия решений, быстро выполняющего сбор, анализ и соотнесение предоставляемой этими устройствами информации. Естественно, что в целях поддержки таких модулей каждое устройство будет применять различные технологии согласно характеру проблем, для решения которых оно предназначено. Модуль может быть очень простым, как в случае с устройствами контроля доступа, или же более "интеллектуальным", как в случае с активными средствами обеспечения безопасности периметра, устройствами защиты, ориентированными на приложения, и так далее. Естественно ожидать, что первые будут приходить к выводам быстрее, чем модули интеллектуальных устройств.

Системы управления информационной безопасности (средства защиты SIM) можно сравнить с командирами корпусов или генералами в сражениях. Эти генералы - жизненно важный фактор в широкомасштабных битвах. Подобно командирам, которые получают информацию от всех уровней боевых сил, система управления должна анализировать различную информацию и принимать решения, влияющие на всю сеть. Эта труднейшая задача требует передовых сложных технологий, которые применяются и улучшаются почти ежедневно.

Средние и крупные сети обычно состоят из различных видов элементов ИБ. Для создания эффективной и защищенной сетевой инфраструктуры инженеру следует полностью понимать главную роль каждого элемента системы защиты, его сравнительное преимущество и характерное местоположение. И, хотя всевозможные виды имеющихся и появляющихся средств защиты в этой статье не рассматривались, практически к каждому виду систем безопасности можно применить аналогии из района боевых действий, что сделает более понятной сложную архитектуру современных сетей передачи данных. Многоуровневый подход, а также эффективный способ синхронизации средств защиты на различных уровнях сети формируют базовую платформу безопасности.

Елизавета Валяева


Страница сайта http://test.interface.ru
Оригинал находится по адресу http://test.interface.ru/home.asp?artId=9833