Андрей Голов
руководитель отдела информационной безопасности компании TopS BI
Богдан Тоболь
менеджер по развитию направления ИБ компании TopS BI
Методы атак на информационные и коммуникационные системы постоянно совершенствуются. Это напрямую связано с развитием и активным использованием информационных технологий. По данным специалистов, за последние три года число только официально зарегистрированных компьютерных преступлений возросло в три раза! Значимость информационных технологий для бизнеса растет, и потому компьютерные преступления все чаще носят направленный характер и совершаются из корыстных побуждений, в том числе организованными группами, нередко интернациональными. Все выше интерес криминальных структур к информационным технологиям. В ответ постоянно совершенствуются механизмы обеспечения ИБ. Как же победить в этой гонке?
На наш взгляд, успех зависит от понимания, что обеспечение информационной безопасности - это непрерывный процесс, а применяемые меры должны носить комплексный и превентивный характер. Еще один важный момент: эффективная защита невозможна без комплекса организационных мер. Надо правильно определять цели, задачи, приоритеты и риски в области ИБ. С учетом этих факторов формулируются требования к системе ИБ, разрабатывается политика и система управления ИБ. Технические средства защиты также следует выбирать на основе проведенного анализа рисков.
К системам защиты информации сегодня предъявляются все более жесткие требования, в том числе комплексность, интегрируемость, адекватность финансовым затратам, легитимность, управляемость, масштабируемость и отказоустойчивость. Рост функциональности информационных систем не должен приводить к снижению уровня их безопасности. Удовлетворить все эти требования и создать управляемую и эффективную систему информационной безопасности позволяет применение комплексной архитектуры системы ИБ.
Интегрированная архитектура системы информационной безопасности
К идеологии и созданию комплексной архитектуры системы ИБ компания TopS BI пришла после многих лет работы с крупными компаниями по проектам обеспечения ИБ. По нашему опыту, высокая эффективность системы ИБ может быть достигнута, если все ее компоненты представлены качественными решениями, функционируют как единый комплекс и имеют централизованное управление. Система безопасности нужно строить на основе анализа рисков, и стоимость ее внедрения и поддержки должна быть адекватной существующим угрозам, то есть экономически обоснованной.
Построение интегрированного решения, соблюдение баланса между уровнем защиты и инвестициями в систему ИБ обеспечивают ряд преимуществ: интеграция подсистем позволяет снизить совокупную стоимость владения, повысить коэффициент возврата инвестиций при внедрении и улучшает управляемость системы ИБ. "Стержнем" комплексной системы ИБ, реализуемой нашей компанией, служат решения Check Point. Используемая нами архитектура системы ИБ покрывает основные классы угроз и содержит следующие компоненты:
- подсистему межсетевого экранирования;
- подсистему защиты внутренних сетевых ресурсов;
- подсистему защиты Web-ресурсов;
- подсистему обнаружения и предотвращения вторжений;
- антивирусную подсистему;
- подсистему контроля содержимого Интернет-трафика;
- подсистему аутентификации и авторизации пользователей;
- подсистему криптографической защиты информации;
- подсистему протоколирования, отчета и мониторинга средств защиты;
- подсистему управления мощностью и доступностью элементов ИТ-системы (серверов, сетевого оборудования и др.);
- подсистему аудита системы ИБ;
- подсистему физической защиты;
- подсистему защиты рабочих станций;
- подсистему управления ИБ.
Остановимся подробнее на задачах, которые решаются с помощью компонентов комплексной системы ИБ.
Подсистема межсетевого экранирования
Система межсетевого экранирования (МЭ) обеспечивает:
- защиту от атак;
- защищенное соединение между офисами;
- защищенный удаленный доступ сотрудников к корпоративным ИТ-ресурсам.
Защита периметра корпоративной сети - первичная задача обеспечения информационной безопасности. Внутри периметра обычно функционируют наиболее критичные для компании системы - серверы с программными приложениями и базами данных, рабочие места пользователей, активное сетевое оборудование и др. Извне сеть компании должна быть абсолютно непрозрачной, иметь регламентированные интерфейсы и протоколы взаимодействия с "внешним миром".
Решая эту задачу, необходимо оградить компанию от сетей с низкой степенью доверия и при этом обеспечить легитимным пользователям удаленный доступ к внутренним ИТ-ресурсам компании.
Территориально распределенные офисы компании должны взаимодействовать через защищенные (доверенные) каналы связи, которые защищены от внешних угроз физически или средствами криптографии. Практикой доказано, что экономически выгодно и эффективно использование технологии виртуальных частных сетей (VPN). VPN позволяют скрывать структуру и передаваемый в защищенном канале трафик, поэтому их можно включать в защищенный периметр сети.
Создание непрозрачной сферы, ограждающей сеть компании, реализуется средствами межсетевого экранирования. Такое решение называется шлюзом безопасности. Один из лидирующих на рынке продуктов по обеспечению безопасности периметра - решение Check Point FireWall-1. У шлюзов безопасности также есть другие полезные возможности: балансировка нагрузки на внутренних серверах сети и использование аппаратных ускорителей криптографических операций.
Выбор конкретного решения для обеспечения безопасности периметра, естественно, зависит от размера компании. Для малого офиса, филиала компании или удаленной группы пользователей, не имеющих выделенных сотрудников для управления МЭ, требуется надежное и недорогое решение, реализующее технологии шлюза безопасности, балансировку трафика, поддержку резервирования провайдера и автоматическую кластеризацию (например, Check Point Safe@Office). Для компаний или филиалов среднего масштаба, имеющих более полусотни пользователей и несколько МЭ, необходимы решения другого класса, предоставляющие возможности удобного, оперативного и централизованного управления всеми шлюзами безопасности периметра. Также желательно, чтобы в состав защищаемой сети включались VPN-клиенты мобильных пользователей. Предлагаемые таким компаниям решения должны быть отказоустойчивыми и поддерживать возможность балансировки нагрузки по требованиям к качеству обслуживания (QoS). Это решение необходимо и в случае, если компания использует антивирусы разных производителей (например, по рекомендации стандарта ЦБ РФ).
Крупным компаниям нужны решения, обеспечивающие максимальную гибкость и производительность, централизованное управление всеми подсистемами ИБ.
Кроме того, существуют специализированные решения для крупных компаний, имеющих потребность в применении и централизованном администрировании нескольких десятков шлюзов безопасности. Виртуальный шлюз безопасности представляет собой распределенную структуру, которую можно масштабировать и наращивать, обеспечивая требуемую производительность и гибкость.
Завершая краткий обзор средств межсетевого экранирования, необходимо упомянуть еще один класс продуктов - средства обнаружения/предотвращения вторжений (IDS/IPS). Эти инструменты считаются обязательной составляющей любой системы ИБ и получили в последнее время широкое распространение. Лучшие решения этого класса позволяют проводить глубокий анализ активности на всех сетевых уровнях, обновлять в реальном времени базы признаков вторжений, оперативно оповещать администраторов о новых видах вторжений. Кроме того, предоставляются руководства, шаблоны конфигураций и инструменты противодействия вторжениям.
Подсистема защиты Web-ресурсов
Сегодня большинство компаний так или иначе используют Интернет, и с этим связаны проблемы защиты удаленных и мобильных пользователей информационных систем компании, защиты корпоративных Web-ресурсов (Интранет-сайта и любого приложения компании, работающего по http-протоколу). Интернет - это зона повышенного риска. Соответственно требуются и специальные средства защиты при работе удаленных пользователей с Web-приложениями по SSL-протоколу.
Таким образом, подсистема защиты Web-ресурсов решает следующие задачи:
- обеспечение "единой точки входа" к приложениям;
- интегрированный контроль доступа к корпоративным Web-ресурсам;
- защиту клиентских браузеров;
- защиту Web-ресурсов.
Внутренняя безопасность
Средства обеспечения безопасности внутренних ресурсов сегодня востребованы многими компаниями. Статистика свидетельствует, что около 80% всех инцидентов ИБ возникают по вине или при содействии сотрудников компании. Существуют стратегии (Check Point Total Acess Protection, Cisco NAC) и разработки (Microsoft NAP), направленные на противодействие внутренним угрозам. Чтобы снять нагрузку с МЭ и разделить системы защиты периметра и внутренних ресурсов (это также позволяет избежать создания единственной "точки компрометации"), а также снизить стоимость системы защиты, можно использовать решения по защите внутренних ресурсов.
Внутри сети есть множество приложений и сервисов, зачастую написанных собственными силами, в разное время, слабо документированных. Как правило, при их создании разработчики не уделяли должного внимания средствам безопасности, предполагая, что с этими приложениями будут работать только "свои" сотрудники, которым можно доверять. К сожалению, системные администраторы и администраторы безопасности обычно не имеют исчерпывающих сведений о том, какие приложения функционируют в сети, как они взаимодействуют, кто и как пользуется этими ресурсами. Казалось бы, достаточно просто выделить серверы в отдельный сегмент сети, применить какой-нибудь межсетевой экран и определить права доступа пользователей. Однако на практике создать четкие правила, разрешающие и запрещающие доступ внутри сети, почти невозможно. Обязательно кто-нибудь из пользователей что-то забудет, и реализованная политика разграничения доступа заблокирует что-то лишнее и нарушит предоставление каких-то ИТ-сервисов. А в большинстве организаций предъявляются повышенные требования к постоянной работоспособности систем. В результате непрерывность ИТ-процессов становится первоочередной задачей, гораздо более приоритетной, чем безопасность. И это различие подходов к обеспечению безопасности периметра и внутренних ресурсов приводит к тому, что для периметра используется политика по умолчанию - "запрещено все, что не разрешено", в то время как внутри сети принят диаметрально противоположный подход - "разрешено все, что не запрещено".
Подсистема защиты внутренних ресурсов обеспечивает решение следующих задач:
- сегментацию сети;
- превентивные меры защиты;
- защиту рабочих станций;
- защиту серверов;
- защиту данных.
Внутренние шлюзы безопасности должны блокировать распространение сетевых червей, внутренние атаки, проводить сегментацию сети по уровням доверия, иметь развитые средства мониторинга и отчетности о сетевой активности. На рынке пока немного таких решений, хотя потребность в них очень высока.
Еще один аспект обеспечения внутренней безопасности связан с необходимостью у некоторых компаний предоставлять мобильным пользователям доступ к внутренним ИТ-ресурсам. Основная задача системы ИБ в этом случае - обеспечить безопасность рабочего места пользователя и безопасное его соединение с информационной системой компании. При этом мобильный пользователь находится в зоне с пониженным уровнем доверия.
Аутентификация и авторизация
Чтобы получить доступ к информационным ресурсам, пользователю необходимо пройти процедуру аутентификации и авторизации. На сегодняшний день парольная защита не выдерживает никакой критики. Сложные пароли тяжело запомнить, а слабые легко подобрать. Пароли, как и идентификационные данные, являются мишенью "фишинга". Поэтому для снижения рисков, связанных с аутентификацией, в системе ИБ предлагается использовать средства как минимум двухфакторной аутентификации. В нашей архитектуре системы ИБ мы предлагаем средства строгой аутентификации с использованием автономных токенов Эти устройства позволяют генерировать динамически изменяемый пароль, то есть они формируют одноразовый пароль, валидный в течение нескольких секунд. Даже будучи перехваченным, пароль не может быть повторно использован. Таким образом, ключевое преимущество таких устройств в том, что их работу тяжело подделать. Автономные токены эффективны с точки зрения обеспечиваемого уровня защищенности систем и совокупной стоимости владения: они компактны, просты и надежны в эксплуатации.
Специфика работы пользователей и особенности моделей безопасности различных приложений и прикладных систем требуют многочисленных аутентификаций и использования множества идентификаторов и аутентификационных признаков для одного пользователя. Возникающие при этом накладные расходы и затраты времени снижают решения единого входа ("одного окна"): однажды пройдя авторизацию ко всем доступным ему ресурсам, пользователь не нуждается в повторных сеансах входа или подтверждения своих прав.
Вредоносный код
Необходимость защиты от вредоносного кода , проще говоря, антивирусной защиты, сегодня очевидна. Любая информационная система содержит те или иные антивирусные средства (антивирусы). Сравнивать или оценивать эффективность работы решений разных производителей предоставим авторитетным организациям и техническим экспертам. Хотя некоторые вещи учитывать необходимо: эффективность антивируса не определяется максимальным числом вирусных сигнатур в базах, и ни один антивирус не может гарантировать уничтожение 100% вирусов.
Применение антивирусных средств в малых компаниях, как правило, не создает проблем владельцам или руководству. Использование антивирусных решений в средних и крупных компаниях имеет некоторые особенности, которые могут обернуться серьезными проблемами, если их не принять во внимание. Во-первых, комплексная антивирусная безопасность невозможна, если не защищена каждая точка сети: шлюзы, рабочие станции и серверы. Сегодня антивирусная защита требуется любым мобильным устройствам, подключаемым в корпоративную ИС. Во-вторых, антивирусные системы должны, по возможности, защищать ИС от всех видов вредоносного кода, а не только от "вирусов и троянов". Если система антивирусной безопасности построена из разных продуктов, то их совместное использование должно быть оправданным, учитывая, что многие решения "не уживаются" вместе, а решения сторонних производителей поддерживаются далеко не всеми поставщиками. В результате интеграция этих средств защиты в единый комплекс часто недостижима. В-третьих, управление такой системой, обновление сотен и тысяч рабочих станций должно осуществляться централизованно и максимально просто. Решения Enterprise-уровня (уровня корпорации) позволяют существенно снижать совокупную стоимость (TCO) владения такой системой. Немногие решения удовлетворяют все требования к корпоративной антивирусной системе.
Контроль и фильтрация трафика
Даже при наличии в составе системы ИБ средств безопасности периметра, Web-ресурсов, средств внутренней безопасности, строгой аутентификации, антивирусной защиты, у компаний остаются нерешенными многие проблемы. Как контролировать доступ из информационной системы компании к внешним Web-ресурсам? Как обеспечивать конфиденциальность информации при массовом использовании электронной почты, систем обмена мгновенными сообщениями? Как избежать нецелевого использования канальных и вычислительных ресурсов ИС, снижения производительности труда сотрудников из-за использования рабочего времени в личных целях? Эти проблемы напрямую влияют на ИБ компании.
По отчетам различных аналитических агентств, до 40% сотрудников компаний постоянно используют ресурсы Интернет в непроизводственных целях. Сюда же можно добавить неконтролируемое использование сотрудниками непроизводственного ПО, в том числе развлекательного характера. На первый взгляд, это не имеет отношения к безопасности компании. Но кроме существенного роста информационных и финансовых рисков, существуют реальные угрозы безопасности компании: проникновение злонамеренного ПО, мобильного вредоносного кода (MMC) в ИС из Интернета, фишинг-атаки, дискредитирующие компанию и наносящие вред клиентам. Важна и угроза утечки конфиденциальной информации при использовании Интернета и средств мгновенного обмена сообщениями (IM), применение которых сопровождается бесконтрольной передачей информации практически любого типа за периметр ИС компании. Здесь необходимы решения, которые обеспечивают возможности мониторинга и фильтрации Интернет-трафика и доступа к приложениям, сочетающиеся с высокоэффективными средствами управления и формирования отчетности.
Управление компонентами системы ИБ
Эффективность системы ИБ и труда администраторов средств информационной безопасности будет чрезвычайно низкой при отсутствии средств сбора, анализа, хранения информации о состоянии системы ИБ, централизованного управления всеми ее составляющими. Дело в том, что каждое средство защиты реализует некоторую составляющую политики безопасности, которая на уровне подсистем задается набором параметров и требований. Политике ИБ должны соответствовать не только каждая подсистема или средство защиты, но и система ИБ в целом. Отслеживание работоспособности компонентов системы, примененных правил и других событий в системе ИБ требует наличия средств мониторинга и управления. Для проведения анализа собираемых данных, построения отчетов и принятия управляющих решений необходимы средства мониторинга, аудита и генерации отчетов.
Кроме того, отметим, что распределенная атака на ИС в некоторых случаях может быть зафиксирована и предотвращена только при получении данных из многих точек сети, как от средств защиты, так и от серверов, сетевого оборудования, приложений. Зафиксировать такую атаку можно, имея средства консолидации собираемых данных и корреляции регистрируемых событий.
Заключение
Еще раз отметим, что обеспечение информационной безопасности - это целостный процесс, основными этапами которого являются аудит, проектирование, внедрение и поддержка системы ИБ. Для создания адекватной и целостной картины информационных активов компании необходимо проводить анализ рисков и комплексные диагностические обследования корпоративных информационных систем. Технологии анализа и управления рисками позволяют не только оценивать и классифицировать информационные ресурсы, но и принимать обоснованные решения при построении новых или модернизации существующих систем защиты. Эффективность системы ИБ достигается применением качественных решений на каждом участке защиты и интеграцией этих решений в единый управляемый комплекс.