Чтобы увеличить производительность систем защиты и облегчить управление ими, были разработаны специальные устройства для объединенного управления угрозами — универсальные аппаратные решения, которые могут защитить локальную сеть, а значит, и обращающуюся в ней информацию от большинства угроз.
Сетевые угрозы и методы защиты
Как показывают многочисленные исследования, наибольшие убытки компаниям наносят различные зловредные программы. В первую очередь это вирусы и Internet-черви, которые могут уничтожать или компрометировать данные, нарушать работоспособность операционных систем и т.д. Немного особняком стоят «троянские кони», очень часто используемые злоумышленниками для удаленного управления компьютерами, воровства паролей и прочих подобных действий. Также в последнее время получило широкое распространение шпионское и рекламное ПО. Оно очень похоже на троянских коней, только имеет несколько иные способы распространения. Для защиты от этих угроз используется специальное антивирусное программное обеспечение, которое по сигнатурам зловредных утилит или благодаря специальному анализатору может выявлять и обезвреживать вирусы.
Серьезную опасность представляют сетевые атаки, которые хакеры могут осуществлять из Internet. В первую очередь это ставшая очень популярной распределенная атака на отказ в обслуживании (Distributed Denial of Service Attack, DDoS), — которая может сделать жертву недоступной для легитимных пользователей. Стоит отметить и возможность подмены DNS-серверов, использования известных и неизвестных уязвимостей в операционных системах и программном обеспечении, а также многие другие воздействия. От большинства из них защищает сетевой экран. Для отражения других требуется полноценная система обнаружения атак.
Еще одной весьма серьезной опасностью является перехват данных. Сегодня многие компании передают данные своим партнерам или из одних филиалов в другие посредством Internet, который, по сути, является незащищенной информационной средой. Для защиты от перехвата используется технология виртуальных частных сетей (Virtual Private Network, VPN), которая обеспечивает надежное шифрование всей информации, передаваемой по открытым каналам связи.
Впрочем, Internet опасен не только из-за возможности перехвата данных. Электронные письма, в частности спам, часто содержат вирусы и «троянские кони». Ну а некоторые Web-страницы могут нести в себе потенциально опасные скрипты, способные заразить компьютер шпионским ПО. Во избежание этого в составе корпоративной системы информационной безопасности обязательно должна быть система, блокирующая получение незапрошенной корреспонденции, а также система фильтрации Web-адресов, которая могла бы исключить посещение потенциально опасных сайтов. Кстати, такие продукты приносят двойную пользу, не позволяя сотрудникам тратить рабочее время на развлечения в глобальной сети и чтение никому не нужной рекламы.
Казалось бы, все хорошо, от всех угроз есть более-менее надежные способы защиты. Но для того чтобы обезопасить корпоративную сеть, необходимо установить и корректно настроить антивирусное программное обеспечение, сетевой экран, систему обнаружения атак, продукт, реализующий VPN, антиспам и фильтр Internet-трафика, то есть семь различных утилит, каждая из которых защищает сеть от определенного набора ИТ-угроз. И системному администратору или другому ответственному за безопасность сотруднику компании необходимо устанавливать, настраивать и обслуживать каждую из них в отдельности. Это очень неудобно и отнимает много времени. К счастью, в последнее время наблюдается процесс «универсализации» средств защиты. Разработчики, например, объединяют сетевой экран с антиспамом, пытаются наделить его возможностями системы обнаружения атак и т.д. Тем не менее до появления действительно универсального программного обеспечения все еще далеко.
Кроме того, с программным обеспечением связана еще одна проблема. Дело в том, что, размещаясь на компьютере, который играет роль Internet-шлюза, все эти программы существенно загружают его, отнимая системные ресурсы. Да и пропускная способность программных систем защиты оставляет желать лучшего. Аппаратные средства могут быстрее обрабатывать информацию, обходясь при этом исключительно своими собственными системными ресурсами.
Новая концепция защиты
Впервые понятие объединенного управления угрозами (Unified Threat Management, UTM) было использовано компанией IDC для обозначения особых устройств, которые являются многоуровневыми системами защиты и способны обезопасить отдельный компьютер или целую корпоративную локальную сеть от подавляющего большинства опасностей. Это небольшие «коробочки», которые требуют всего лишь подключения сетевых кабелей и настройки некоторого количества параметров и характеристик работы. После этого UTM-устройство берет на себя большую часть забот по защите корпоративной сети от внешних угроз.
На сегодняшний день большинство компаний использует чисто программную или программно-аппаратную (например, аппаратный сетевой экран и антивирусное ПО) защиту своих корпоративных сетей. Однако практика показывает, что системы UTM имеют три серьезных преимущества перед этими вариантами. Об одном из них мы уже начали говорить. Речь идет о простоте инсталляции и конфигурации защиты, а также об удобстве ее администрирования. На UTM-устройствах большая часть необходимых параметров уже установлена по умолчанию. Остальная же настройка осуществляется с помощью пошаговых мастеров. Это позволяет выполнять все необходимые операции с UTM-устройствами не только специалистам по информационной безопасности, но и «простым» системным администраторам, которые наверняка есть в штате любой компании. Разумеется, для осуществления «тонкой» настройки необходимо разбираться в сетевых технологиях. Но нужно учитывать, что многие UTM-устройства рассчитаны на использование в небольших и средних компаниях. Поэтому предустановленных разработчиком параметров в большинстве случаев вполне достаточно для комфортной и безопасной работы.
Отдельно стоит отметить, что UTM-устройства позволяют избежать проблем с несовместимостью различных подсистем защиты друг с другом. Сегодня собрать корпоративную систему информационной безопасности, состоящую из продуктов только одной компании, практически невозможно. Проблема заключается в том, что ни один разработчик средств защиты данных не охватил своими средствами все аспекты информационной безопасности. Между тем продукты разных компаний далеко не всегда корректно работают друг с другом. Во многих из них встречается дублирование функций, например, и сетевой экран, и антивирусное программное обеспечение могут использовать так называемые проактивные методы для обнаружения «троянских коней», конфликтуя при этом друг с другом. Скажем, антивирусное ПО может «заметить» попытки межсетевого экрана контролировать деятельность различных приложений в Internet и посчитать их за зловредные. Помимо этого, администрирование нескольких отдельных продуктов с различным интерфейсом тоже требует немалого труда. Естественно, UTM-устройства, в которых все подсистемы защиты реализованы как одно целое, полностью избавлены от этих проблем.
Вторым преимуществом использования концепции UTM является то, что остановка вторжений из Internet осуществляется прямо на самом устройстве, а не на сервере или рабочей станции. Такой подход позволяет сотрудникам не отвлекаться от работы во время атаки, а их компьютеры всегда будут находиться в работоспособном состоянии. К тому же применение UTM-устройств позволяет отказаться от постоянного использования некоторого программного обеспечения на рабочих станциях и, таким образом, освободить часть системных ресурсов. К сожалению, полностью отказаться от антивирусного ПО нельзя. Internet — наиболее распространенный канал попадания вирусов и прочих вредоносных программ на компьютеры пользователей, и UTM-устройство перекрывает его. Но нельзя забывать и о других вариантах распространения вирусов. Например, они могут быть принесены с документами из другой компании или сотрудником, который работал с информацией на недостаточно защищенном домашнем ПК. А еще есть диски с пиратским программным обеспечением (хотя с ним и идет борьба, до окончательного успеха еще ой как далеко) и тайком принесенные игрушки. И любые запреты и организационные меры бесполезны. Сегодня широкое распространение получили маленькие и незаметные флеш-диски, которые можно быстро подключить к компьютеру и скопировать любые данные. Конечно, существуют специальные программы для защиты от этой угрозы, но работают они далеко не во всех компаниях. Именно поэтому полностью отказываться от антивирусного программного обеспечения нельзя.
Ну и, наконец, третий серьезный плюс UTM-устройств — это стоимость их внедрения и эксплуатации. Начать нужно с того, что сама цена таких решений ниже суммы цен нескольких отдельных продуктов, набор которых обладает сходными функциональными возможностями. Примерно то же самое можно сказать и о стоимости эксплуатации. Процесс администрирования одного устройства (обычно это основная составляющая стоимости владения) проще и отнимает у ответственных сотрудников меньше времени, нежели управление несколькими отдельными системами защиты. Таким образом, с организационной точки зрения использование UTM-устройств позволяет решить множество различных проблем и задач. Они никак не влияют на ранее разработанные в компании политики и стандарты безопасности и служат лишь инструментами для их практической реализации, более производительными, нежели специализированное программное обеспечение.
Хочется еще раз подчеркнуть, что UTM-решения нельзя назвать панацеей — их применение ограничено обеспечением безопасности при использовании Internet сотрудниками компании. Они никак не защищают корпоративную информацию от так называемых внутренних угроз: от инсайдеров и кражи информации, от вирусов и шпионов, загруженных с переносных накопителей, и т.п.
Требования к UTM-устройствам
Сегодня аббревиатура UTM становится все более популярной. И постепенно все больше производителей используют ее для описания собственных продуктов. Однако далеко не все устройства, которые могут выполнять две-три функции, действительно соответствуют концепции UTM. По мнению большинства экспертов, для того чтобы какой-то продукт имел право называться полноценным UTM-решением, он должен включать определенный набор систем защиты. Правда, никаких стандартов на этот счет пока нет. Поэтому конечным пользователям следует внимательно подходить к вопросу выбора UTM-продуктов.
Итак, какие же системы защиты, по мнению большинства экспертов, должны входить в аппаратное решение, чтобы оно действительно соответствовало концепции UTM? Во-первых, UTM-устройство должно обеспечивать надежную защиту от любых атак извне. Для этого в нем должны быть реализованы как минимум надежный межсетевой экран и система обнаружения вторжений. Вместе они способны выявить потенциально опасный сетевой трафик и блокировать его. Интересно, что в последнее время в UTM-устройствах некоторых производителей используется многоуровневая защита. Это значит, что системы безопасности делятся на несколько модулей, а весь внешний трафик проходит через них поочередно. И, если один из уровней выявит какую-то угрозу, то на следующие слои он уже не поступает. Например, если извне поступают некорректные сетевые пакеты, то UTM-устройство будет их отсекать сразу, не тратя свои ресурсы на проверку содержимого. Такой подход позволяет добиться высокой скорости обработки входящего трафика.
Другой обязательной подсистемой является антивирус, выявляющий «троянские кони», черви, шпионское программное обеспечение и прочие вредоносные коды на основе базы данных сигнатур. В принципе большая часть вирусов выявляется с помощью системы сетевой защиты. Однако некоторые из них не выполняют сразу никаких действий, а поэтому могут быть выявлены только с помощью сигнатур. Так что наличие подобной системы в UTM-устройстве обязательно.
Помимо этого, во всех UTM-устройствах должна быть реализована поддержка технологии VPN, необходимая для передачи конфиденциальных данных через открытые каналы связи в зашифрованном виде. Это защищает информацию от перехвата злоумышленниками. Данная технология очень часто используется для обмена документами между партнерами, удаленными офисами, сотрудниками и т.д. Именно поэтому возможность создания с помощью UTM-устройства VPN — большой плюс.
Кроме того, многие UTM-устройства обладают различными дополнительными системами защиты. Наиболее распространенными являются модуль фильтрации URL и антиспам. Первый позволяет запретить сотрудникам компании посещать «неблагонадежные» сайты, большинство из которых, как известно, являются источниками распространения вирусов, «троянских коней» и шпионского ПО. Примерно то же самое можно сказать и про спам. Помимо своей потенциальной опасности, нежелательные Web-проекты и незапрошенная корреспонденция, отнимают у сотрудников компании много рабочего времени. Так что наличие модулей их фильтрации позволяет не только избежать неприятностей, но и увеличить производительность труда.
Как выбрать наиболее подходящее из устройств, более или менее удовлетворяющих требованиям концепции UTM? Сразу отметим, что общего решения не существует. Каждая задача требует индивидуального подхода. При этом необходимо учитывать не только все сказанное выше, но и технические характеристики, а также стоимость продуктов. Этой информации будет вполне достаточно для принятия правильного решения.
Николай Столяров — руководитель проекта информационно-методического портала «Информационная безопасность», nstolyarov@mail.ru
Марат Давлетханов — журналист информационно-методического портала «Информационная безопасность», marat@maratd.ru
Обзор UTM-устройств
Сегодня на рынке представлено немало UTM-устройств, которые существенно отличаются друг от друга по своим характеристикам. Очень многое зависит от стоимости решения. Сравнивать продукты, предназначенные для защиты небольших сетей и сетей крупных корпоративных объединений, нельзя. Поэтому мы выбрали группу UTM-устройств, ориентированных на компании среднего уровня. Как показывает практика, именно они на сегодняшний день являются наиболее популярными. И это очень легко объяснить.
Дело в том, что подавляющее большинство небольших компаний обходится минимальными средствами защиты — межсетевым экраном и антивирусным программным обеспечением. В некоторых случаях это оправданно, так как любые вложения, в том числе и в информационную безопасность, должны быть целесообразны и приносить, пусть и неявную, прибыль. С крупными компаниями все иначе. Они очень серьезно относятся к вопросам информационной безопасности. Однако ввиду их небольшого количества высокопроизводительных UTM-устройств, рассчитанных именно на корпорации, продается относительно немного.
Насколко нам известно, сегодня на российском рынке представлено всего лишь четыре устройства среднего уровня (в диапазоне от 70 до 100 тысяч рублей): Cisco ASA 5510, Firebox X Core 750е, Firebox X Core 1250е и Juniper Networks NetScreen-25. Рассмотрим их.
Устройство Cisco ASA 5510 — начальный продукт из серии Cisco ASA 5500 Series. При его создании были использованы технологии безопасности, реализованные в уже известных сериях Security Appliance, IPS 4200 Series и VPN 3000 Concentrator. В результате получилось устройство, играющее роль системы предотвращения вторжений (Intrusion Prevention System, IPS), офисного экрана (с технологией инспекции пакетов с учетом состояния протокола на уровнях со 2 по 7 сетевую модель, который позволяет заказчикам следить за состоянием всех сетевых коммуникаций и предотвратить несанкционированный доступ к сети) и обеспечивающее поддержание VPN-туннелей с различными механизмами безопасности и системой фильтрации Web-адресов и электронной почты (фактически система защиты от спама). У рассматриваемого устройства есть и недостаток – это узконаправленность. Дело в том, что у продукта Cisco ASA 5510 существует четыре модификации, каждая из которых имеет четкую направленность на определенные угрозы: Firewall Edition, IPS Edition, Anti-X Edition и VPN Edition. Такое подразделение позволяет добиться более высоких скоростей обработки данных, проходящих через устройства. Однако оно накладывает существенные ограничения на их применение. Например, в модификации Anti-X Edition упор сделан на антивирусную подсистему и подсистемы фильтрации спама и Web-адресов. IPS же в этом устройстве вообще не реализована. В редакции IPS Edition все наоборот: есть IPS, однако нет антивирусной защиты и подсистем фильтрации.
Устройство Firebox X Core 750е — полноценный UTM-продукт, в котором реализованы следующие модули: динамический пакетный сетевой экран, VPN, адаптируемая к изменяющимся угрозам архитектура Intelligent Layered Security, подсистемы защиты от атак и предотвращения вторжений, шлюзовой антивирус, антиспам, подсистема фильтрации Web-адресов. Отдельно стоит отметить наличие фильтрации сетевого трафика на уровне приложений (так называемая Zero Day Protection). Это многоуровневая защита, которая обеспечивает активный анализ всего потока данных и передает информацию обо всем подозрительном различным уровням устройства. Данное устройство предназначено для обеспечения комплексной безопасности корпоративной сети и защиты от вирусов, червей, троянов, шпионского ПО, спама, DoS- и DDoS-атак, SQL-инъекций, атак на переполнение буфера, Web-сканеров и других смешанных атак.
Заслуживает внимания и другое устройство из этой же серии — Firebox X Core 1250е. Сначала мы не хотели упоминать в обзоре два продукта одного разработчика. Однако оказалось, что устройство вполне вписывается в установленные ценовые границы. Более того, это чуть ли не единственное устройство, стоимость которого не превышает ста тысяч рублей, обладающее гигабитными, а не просто 10/100 мегабитными портами. По степени защищенности и функциональным возможностям оно очень похоже на своего «младшего собрата», просто обеспечивает гораздо большую скорость обработки информации.
Четвертое устройство — Juniper Networks NetScreen-25 — предназначено для комплексной защиты корпоративных локальных сетей и их надежной связи с удаленными офисами. В нем реализованы следующие подсистемы обеспечения информационной безопасности: сетевой экран с функцией защиты от атак на уровне приложений, фильтр Web-адресов, подсистема обнаружения вторжений, VPN. Стоит отметить, что в нем отсутствует антиспам, что, конечно же, является довольно серьезным недостатком. Кроме того, подсистема обнаружения вторжений защищает лишь от определенного набора известных атак. И у пользователей нет возможности как-то обновить сигнатуры, чтобы усилить собственную безопасность. Поэтому необходимо признать, что по надежности Juniper Networks NetScreen-25 проигрывает основным конкурентам.
Хаос на рынке UTM
Рынок многоцелевых унифицированных устройств защиты (UTM) находится на перепутье: либо он начнет расти и производители смогут добиться внушительной экономии, обусловленной ростом масштаба производства, либо им придется вовсе отказаться от этого бизнеса.
Мощность процессоров растет, благодаря чему функции этих устройств постоянно расширяются, они становятся более полезными для потребителей, которым требуются самые современные возможности. Не менее значимы преимущества этих устройств с точки зрения поддержки жизненного цикла и общей стоимости владения. Аналитики предсказывают, что в ближайшие два-три года устройства UTM станут одной из основных технологий обеспечения защиты. Пользователи будут внимательно следить за расстановкой сил на рынке и возможностями, которые предлагают производители.
Рынок UTM из сегмента, продукты которого предназначены для узкоспециализированного применения, превращается в рынок товаров массового потребления, где доминирует всего несколько крупных компаний. Цены на устройства младшего класса начинаются от 600 долл. Рентабельность означает большие объемы выпуска, экономию, обусловленную ростом масштабов производства, и очень небольшую маржу.
Около года назад компания Symantec объявила об уходе с рынка UTM, отдав предпочтение увеличению своей прибыли за счет выпуска более массовых продуктов и сервисов. EMC/RSA не намерена работать на рынке аппаратных устройств, отличающемся очень жесткой конкуренцией, и подвергать риску свою рентабельность. Серьезную прибыль на рынке аппаратных устройств получают компании, выпускающие несколько серий продуктов, такие как Cisco, или производители, использующие уникальную бизнес-модель. Даже Cisco считает рынок аппаратных устройств с большими объемами выпуска и низкой прибылью крайне рискованным. Основная задача Cisco — сократить число производителей UTM за счет консолидации, что в конечном итоге позволит повысить цены на аппаратное обеспечение.
Источник: Computerworld, США