Последнее, что нужно сделать, покидая «отчий дом», — это понять, как он сможет обходиться без нас. Вы с этим не согласны?
Мы посчитали, что нам, как подразделению родительской корпорации, пришла пора покинуть «родные пенаты» и научиться жить самостоятельно, по крайней мере, с точки зрения защиты своих информационных систем.
Исторически сложилось так, что, поскольку мы входим в состав родительской организации, мы полностью ей доверяли. Наши и их сети связывают около десятка неконтролируемых соединений. До недавнего времени такая структура себя оправдывала, поэтому никакого мониторинга каналов связи между нашими сетями попросту не велось. Однако уверенность в корректности подобного подхода была поставлена под сомнение после того, как в начале прошлого года нашу сеть поразил червь SQL Slammer. Специалисты головного офиса родительской корпорации считали, что червь пришел к ним из нашей сети, а наша ИТ-группа в свою очередь утверждала, что все было совсем наоборот. В любом случае стало очевидно, что нашему подразделению необходима эффективная система информационной безопасности, позволяющая не допустить подобной ситуации в будущем.
Самым простым решением, позволяющим предотвратить передачу вредоносного кода между нашими сетями, была установка межсетевых экранов, сконфигурированных таким образом, чтобы они блокировали все, кроме критически важного трафика. Об этом мы сообщили своим коллегам и приступили к реализации задуманного. Специалисты родительской корпорации поддержали нашу инициативу, поскольку посчитали, что таким образом будут защищены от нас.
И вот установка...
Сначала мы выявили все сетевые каналы, связывающие наши организации. Это было несложно, но, к нашему удивлению, таких каналов оказалось значительно больше, чем ожидалось. Как только были установлены физические соединения, далее не представляло труда установить аппаратные межсетевые экраны.
Приобретение и установка аппаратного обеспечения — первый и самый дорогостоящий этап построения системы безопасности. Однако само по себе подключение оборудования не дает никакой защиты. Для этого необходима хорошо продуманная база правил, ограничивающих соединения с высоким риском, но при этом позволяющих свободно передавать критически важный для ведения бизнеса трафик.
Сначала мы попытались использовать функции системы предотвращения вторжений, встроенной в межсетевой экран. Производители подобных решений активно их пропагандируют. «Вам не нужна дорогостоящая охранная сигнализация, сообщающая о проникновениях в вашу сеть, поскольку наш межсетевой экран попросту предотвратит такие проникновения», — говорится в рекламных объявлениях. Я не занимался детальным анализом систем предотвращения вторжений, встроенных в межсетевые экраны, но в нашем случае это оказалось пустым обещанием. Система могла успешно выявлять и останавливать лишь около 20 известных атак. Их список оказался встроенным в межсетевой экран как часть операционной системы и, в отличие, скажем, от современных антивирусных программ, не допускал обновления сигнатур атак.
Черное и белое
Для реальной защиты нам необходимы были наборы правил, позволяющие отфильтровывать «черный» трафик и пропускать «белый».
С нашей точки зрения, «белый» трафик определить было легко. Мы обсудили это со всеми, кто отвечает за работу приложений, в том числе — Web-служб и системы электронной почты. Схема была предложена следующая: у нас есть адреса серверов и протоколы, которые ими используются; далее мы устанавливаем правила, которые обеспечат прохождение соответствующего трафика; затем переходим к следующему приложению и так до тех пор, пока в конце концов не сможем добавить правила блокирования некоторых видов трафика по умолчанию и обеспечить защиту от неизвестных угроз. Примерно за сутки до того, как мы намеревались ввести правила в действие, возникли вопросы. Что произойдет, если одно из соединений будет нарушено? Будет ли трафик «подхвачен» другими каналами? Если да, то позволят ли наши правила восстановить нормальную работу каналов после того, как последствия сбоя будут устранены?
Поскольку проблем становилось все больше, было принято решение сузить рамки нашего, как оказалось, грандиозного плана — защитить «нас» от «них» и наоборот. Мы решили сосредоточиться лишь на том, чтобы только защитить свои системы от их сетей, контролируя входящие потоки данных. Исходящие при этом, как мы решили, пусть останутся вне нашего внимания. Это существенно упростит нашу работу. И руководители всей корпорации и нашего дочернего подразделения по-прежнему довольны.
Знаете, о чем я думаю теперь? Я считаю, последнее, что нужно сделать, покидая «отчий дом», — это понять, как он сможет обходиться без нас. Вы с этим не согласны?
Автор этой статьи работает менеджером по информационной бе?зопасности в одной из крупных американских компаний и не пожелал подписаться своим настоящим именем. Тем не менее с ним можно связаться по адресу vince.tuesday@hushmail.com