Решение проблем безопасности корпоративных информационных систем требует применения адаптивного механизма, работающего в режиме реального времени и обладающего высокой чувствительностью к изменениям в информационной инфраструктуре. Эффективность защиты корпоративной информационной системы зависит от принятия правильных решений, которые поддерживают защиту, адаптируемую к изменяющимся условиям сетевого окружения.
Несколько ведущих зарубежных организаций, занимающихся сетевой безопасностью, разработали подходы, позволяющие не только распознавать существующие уязвимости и атаки, но и выявлять изменившиеся старые или появившиеся новые уязвимости и противопоставлять им соответствующие средства защиты.
Компания ISS (Internet Security Systems) уточнила и развила эти подходы и создала Модель адаптивного управления безопасностью ANS (Adaptive Network Security). Этой компанией разработано семейство средств SAFEsuite, которое является первым и пока единственным комплексом систем, включающим в себя все компоненты модели адаптивного управления безопасностью сети.
Для компании любого профиля (финансовой, страховой, торговой и т.п.) существует своя типовая корпоративная информационная система, состоящая из компонентов, решающих свои специфичные задачи. В общем случае архитектура корпоративной информационной системы включает в себя четыре уровня:
1) уровень прикладного программного обеспечения, отвечающий за взаимодействие с пользователем. Примерами элементов информационной системы, работающих на этом уровне, служат текстовый редактор WinWord, редактор электронных таблиц Excel, почтовая программа Outlook, системы MS Query и т.д.;
2) уровень системы управления базами данных (СУБД), отвечающий за хранение и обработку данных информационной системы. Среди элементов информационной системы, работающих на этом уровне, можно назвать СУБД Oracle, MS SQL Server, Sybase и даже MS Access;
3) уровень операционной системы, отвечающий за обслуживание СУБД и прикладного программного обеспечения. Примерами элементов информационной системы, работающих на этом уровне, являются операционные системы MS Windows NT, Sun Solaris, Novell NetWare;
4) уровень сети, отвечающий за взаимодействие узлов информационной системы. В числе элементов информационной системы, работающих на этом уровне, можно назвать стеки протоколов TCP/IP, IPX/SPX и NetBIOS/SMB.
Уязвимы практически все компоненты корпоративной информационной системы:
· во-первых, это сетевые протоколы (TCP/IP, IPX/SPX, NetBIOS/SMB) и устройства (маршрутизаторы, коммутаторы), образующие сеть;
· во-вторых, операционные системы (Windows NT, UNIX, NetWare);
· в-третьих, базы данных (Oracle, Sybase, MS SQL Server) и приложения (SAP, почтовые и Web-серверы и т.д.).
Злоумышленник располагает широким спектром возможностей нарушения безопасности корпоративной информационной системы. Эти возможности могут быть реализованы на всех четырех перечисленных уровнях корпоративной информационной системы. Например, для получения несанкционированного доступа к финансовой информации в СУБД MS SQL Server хакер может реализовать одну из следующих задач:
1) перехватить передаваемые по сети данные (уровень сети);
2) прочитать файлы базы данных, обращаясь непосредственно к файловой системе (уровень ОС);
3) прочитать нужные данные средствами самой СУБД (уровень СУБД);
4) прочитать записи БД при помощи SQL-запросов через программу MS Query, которая позволяет получать доступ к записям СУБД (уровень прикладного программного обеспечения).
При построении большинства традиционных компьютерных средств защиты использовались классические модели разграничения доступа, разработанные еще в 1970 – 1980-е годы. Недостаточная эффективность таких традиционных механизмов защиты, как разграничение доступа, аутентификация, фильтрация и другие, обусловлена тем, что при их создании не учтены многие аспекты, связанные с современными атаками.
Рассмотрим этапы осуществления атаки на корпоративные информационные системы (рис. 9.1).
Первый, подготовительный этап заключается в поиске злоумышленником предпосылок для осуществления той или иной атаки. На данном этапе нарушитель ищет уязвимости в системе.
Использование этих уязвимостей осуществляется на втором, основном этапе – реализации атаки.
На третьей, заключительной стадии злоумышленник завершает атаку и старается скрыть следы вторжения. В принципе, первый и третий этапы сами по себе могут являться атаками. Например, поиск хакером уязвимостей при помощи сканеров безопасности сам по себе считается атакой.
Следует отметить, что существующие механизмы защиты, реализованные в межсетевых экранах, серверах аутентификации, системах разграничения доступа, работают только на этапе реализации атаки. По сути, эти механизмы защищают от атак, которые находятся уже в процессе осуществления. Более эффективным было бы упреждение атак, то есть предотвращение самих предпосылок реализации вторжения. Комплексная система обеспечения информационной безопасности должна эффективно работать на всех трех этапах осуществления атаки.
К сожалению, в организациях часто не учитывается тот факт, что администраторы и пользователи регулярно изменяют конфигурацию информационной системы. В результате подобных изменений могут появляться новые уязвимости, связанные с операционными системами и приложениями. Кроме того, очень быстро изменяются информационные и сетевые технологии, регулярно появляется новое программное обеспечение. Непрерывное развитие сетевых технологий при отсутствии постоянно проводимого анализа их безопасности и нехватке ресурсов для обеспечения защиты приводит к тому, что с течением времени защищенность корпоративной информационной системы падает, так как появляются новые неучтенные угрозы и уязвимости системы.
В большинстве случаев для решения возникающих проблем с защитой в организациях используются частичные подходы. Обычно они обусловлены, прежде всего, текущим уровнем доступных ресурсов. К тому же администраторы безопасности склонны реагировать только на те риски безопасности, которые им понятны. Фактически таких рисков может быть существенно больше. Только строгий текущий контроль защищенности корпоративной информационной системы и комплексный подход, обеспечивающий единую политику безопасности, позволяют существенно снизить риски безопасности.
Адаптивный подход к безопасности позволяет контролировать, обнаруживать риски безопасности и реагировать на них в режиме реального времени, используя правильно спроектированные и хорошо управляемые процессы и средства.
Адаптивная безопасность сети состоит из трех основных элементов:
1) технологии анализа защищенности (security assessment);
2) технологии обнаружения атак (intrusion detection);
3) технологии управления рисками (risk management).
Оценка риска состоит в выявлении и ранжировании:
ü уязвимостей (по степени серьезности ущерба потенциальных воздействий);
ü подсистем сети (по степени критичности);
ü угроз (исходя из вероятности их реализации) и т.д.
Поскольку конфигурация сети постоянно изменяется, то и процесс оценки риска должен проводиться постоянно. С оценки рисков должно начинаться построение системы защиты корпоративной информационной системы.
Анализ защищенности – это поиск уязвимых мест в сети. Сеть состоит из соединений, узлов, компьютеров, рабочих станций, приложений и баз данных. Все они нуждаются как в оценке эффективности их защиты, так и в поиске неизвестных уязвимостей в них. Технологии анализа защищенности исследуют сеть и ищут «слабые» места в ней, обобщают эти сведения и печатают по ним отчет. Если система, реализующая данную технологию, содержит и адаптивный компонент, то устранение найденной уязвимости будет осуществляться не вручную, а автоматически.
Технология анализа защищенности – действенный метод, позволяющий реализовать политику сетевой безопасности прежде, чем осуществится попытка ее нарушения снаружи или изнутри организации.
Перечислим некоторые проблемы, идентифицируемые технологией анализа защищенности:
· «люки» в системах (backdoor) и программы типа «троянский конь»;
· слабые пароли;
· восприимчивость к проникновению из незащищенных систем и атакам типа «отказ в обслуживании»;
· отсутствие необходимых обновлений (patch, hotfix) операционных систем;
· неправильная настройка межсетевых экранов, Web-серверов и баз данных и многие другие.
Обнаружение атак представляет собой процесс оценки подозрительных действий, которые происходят в корпоративной сети. Обнаружение атак реализуется посредством анализа или журналов регистрации операционной системы и приложения или сетевого трафика в реальном времени. Компоненты обнаружения атак, размещенные на узлах или сегментах сети, оценивают различные действия, в том числе и использующие известные уязвимости (рис. 9.2).
Адаптивный компонент модели адаптивного управления безопасностью отвечает за модификацию процесса анализа защищенности, предоставляя ему самую последнюю информацию о новых уязвимостях. Также он модифицирует компонент обнаружения атак, дополняя его последней информацией об атаках. В качестве примера адаптивного компонента можно указать механизм обновления баз данных антивирусных программ для обнаружения новых вирусов. Управляющий компонент должен быть способен к генерации отчетов и анализу тенденций, связанных с формированием системы защиты организации.
Адаптация данных может заключаться в различных формах реагирования, а именно:
· отправлении уведомлений системам сетевого управления по протоколу SNMP, по электронной почте или на пейджер администратору;
· автоматическом завершении сессии с атакующим узлом или пользователем, реконфигурация межсетевых экранов или иных сетевых устройств (например, маршрутизаторов);
· выработке рекомендаций администратору, позволяющих своевременно устранить обнаруженные уязвимости в сетях, приложениях или иных компонентах информационной системы организации.
Использование модели адаптивной безопасности сети (рис. 9.3) позволяет контролировать практически все угрозы и своевременно реагировать на них высокоэффективным способом, обеспечивающим не только устранение уязвимостей, которые могут привести к реализации угрозы, но и выявление условий, приводящих к появлению уязвимостей. Модель адаптивной безопасности сети позволяет также уменьшить злоупотребления в сети, повысить осведомленность пользователей, администраторов и руководства компании о событиях безопасности в сети.
Следует отметить, что данная модель не отбрасывает уже используемые механизмы защиты (разграничение доступа, аутентификацию и т.д.). Она расширяет их функциональность за счет новых технологий. Для того чтобы система обеспечения информационной безопасности соответствовала современным требованиям, организациям необходимо дополнить имеющиеся решения тремя новыми компонентами, отвечающими за анализ защищенности, обнаружение атак и управление рисками.