Решающим критерием для отражения разных типов вредоносного программного обеспечения является величина реальной опасности для деловых процессов. Комплексные решения для инвентаризации и анализа слабых мест в сети предприятия помогают оценить отдельные риски и потенциал угрозы в целом. Дополнительная интегрированная система контроля за выполнением правил проводит в жизнь соответствующие директивы и, таким образом, способствует применению предопределенных мер. Этот метод постепенно распространяется и на конечные пункты все более усложняющихся инфраструктур.

БАХРОМА ПО ПЕРИМЕТРУ СЕТЕВОГО КОВРА

В современных корпоративных инфраструктурах многочисленные слабые места появляются именно в конечных точках сети. С позиции администратора локальные системы образуют безрадостную смесь, которой все труднее управлять. Причина такой ситуации заключается в том, что теперь деловые партнеры, руководители проектов и мобильные сотрудники могут пользоваться разными путями для доступа к сети предприятия: при помощи домашнего компьютера, ноутбука, КПК или терминала Internet.

Однако и в случае стационарных локальных компьютеров возможны пробелы в системе безопасности. При этом по-прежнему одним из главных источников неприятностей остается необдуманное поведение сотрудников. По данным исследования компании McAfee, более половины европейских офисных работников (51%) подключают к компьютерам и сети работодателя устройства для частного пользования, к примеру МР3-плееры, цифровые камеры и накопители USB.

Но одновременно возникают и другие угрозы. Современное вредоносное программное обеспечение способно нанести ущерб сети разными путями. Многовекторные вирусы, к примеру Nimda, в качестве переносчика инфекции используют электронную почту, серверы Web и браузеры Internet. Кроме того, опасные программы могут проникать с помощью эксплоитов уязвимостей, шпионского программного обеспечения и заражения через накопители USB.

Даже небольшие происшествия, вызванные вредоносным программным обеспечением, нередко приводят к заметным потерям: каждый инцидент в среднем обходится в 45 тыс. евро и может повлечь за собой серьезные последствия (исследование McAfee «Опасность изнутри», 2005 г.). Поэтому в вопросах безопасности очень важно уделять внимание деталям.

УПРАВЛЕНИЕ РИСКАМИ КАК ЗАКОНОДАТЕЛЬ В ВОПРОСАХ БЕЗОПАСНОСТИ

Для гетерогенных путей доступа необходимо ввести строгие директивы безопасности (правила), чтобы эффективно закрыть самые важные и опасные пробелы в системе безопасности. Но для этого надо провести полную инвентаризацию периметра сети. На выходе получается оценка соответствующих рисков, которые на фоне индивидуальных процессов на предприятии можно проанализировать, охарактеризовать количественно и в итоге определить для них приоритет.

Величина риска рассчитывается на основании трех факторов. Прежде всего важно знать, какими методами доступа и правами обладают в конечной точке так называемого «актива» отдельные пользователи — от администратора ИТ до внешних сотрудников или клиентов. К активам относятся все аппаратные и программные ресурсы организации, различные массивы данных, информация и цифровые деловые процессы. Следующим по порядку фактором являются «уязвимости». В этом случае подсчитывается частота появления пробелов в системе безопасности по отношению к атакам. Кроме того, необходимо учитывать, какие вторичные пробелы могут появиться из-за использования первичных точек для атак. Последний фактор — опасности (угрозы), активность которых оценивается на момент калькуляции. Таким образом, получается формула:

Риск = Активы х Уязвимости х Угрозы.

Она позволяет рассчитать величину каждого отдельно рассматриваемого риска. После чего на основании полученных результатов можно арифметически построить последовательность, в которой риски должны устраняться.

В качестве иллюстрации приведем два примера. Разъездной сотрудник страховой компании со своего ноутбука получает доступ к централизованным данным о клиенте в качестве «актива» с правом изменять и удалять данные. Эта информация важна для обслуживания клиентов, обращение к ней происходит часто, а потому значение актива высоко. Если ноутбук пользователя принадлежит компании и на него регулярно устанавливаются обновления и заплаты, он относительно надежен. Однако степень уязвимости увеличивается, если последняя версия заплат отсутствует. Чем выше текущий потенциал угрозы, тем выше дополнительный локальный риск.

По сравнению с предыдущим случаем незащищенный накопитель USB внештатного сотрудника несет значительный риск независимо от типа угрозы, даже когда он на своем временном рабочем месте получает доступ только к обрабатываемым им самим графикам, в то время как остальные данные для него недоступны. Подключение рабочего места к инфраструктуре электронной почты, которая служит в качестве актива для всего персонала, является причиной неизбежного фундаментального риска, поскольку накопитель USB может оказаться источником вредоносного программного обеспечения.

АНАЛИЗ РИСКОВ КАК НЕПРЕРЫВНЫЙ ЦИКЛ

Эти примеры показывают, что анализ рисков должен быть организован как непрерывный цикл (см. Рисунок 1). В принципе, величина риска изменяется, когда появляются новые угрозы, внештатный сотрудник внезапно получает доступ к бухгалтерским данным или — в другом направлении — вместо его личного ноутбука ему предоставляется корпоративный ноутбук со всеми установленными заплатами.

Рисунок 1. Анализ рисков. Все сделано? Начни сначала.

Решение управления рисками для корпоративных сетей состоит из механизма сканирования, инструментальной панели для создания отчетов или подготовки данных, модуля управления для мониторинга на базе Web и базы данных с информацией о предприятии, имеющейся сети и актуальных угрозах. Центральное специализированное устройство берет на себя обычно инвентаризацию активов и уязвимостей, а также определение и корреляцию актуальных угроз. В такое устройство для точной идентификации проблем с безопасностью интегрируют разные модули. При помощи модуля корреляции угроз можно в течение минуты передать тревожные сообщения о распознанной угрозе в соответствующие центры управления, чтобы ответственные за безопасность быстро отреагировали на такие события, как «черви» или атаки на сервер. Данный модуль предоставляет список рисков для всех угроз, который базируется на противопоставлении или корреляции событий и информации об активах и уязвимостях. Таким образом, даже когда время торопит, организация сможет быстро ответить на вопрос, когда и в каком месте угроза является наибольшей.

Кроме того, практический смысл имеют графическое представление и классификация потенциалов угроз по деловым областям и системным платформам. В связи с этим необходимо установить цели улучшения правила, а также его новой формулировки. При поиске слабых мест автоматизированное решение должно выставлять так называемые «уведомления о неисправности» и снова удалять их при успешном устранении пробела в системе безопасности. В заключение централизованное решение управления рисками по возможности одновременно проводит устранение обнаруженных рисков и составляет отчет.

КОНТРОЛЬ ЗА ВЫПОЛНЕНИЕМ ПРАВИЛ КАК ВЛАСТЬ В ВОПРОСАХ БЕЗОПАСНОСТИ

Такие решения самостоятельно проводят мониторинг рисков на сотнях тысяч конечных устройств и принимают соответствующие меры в реальном времени. Вручную, без дополнительных инструментов, этого сделать нельзя. Управление рисками должно контролировать как локальные, так и удаленные виды доступа и учитывать в директивах безопасности предприятия системы внешних пользователей, у которых нет корпоративных инструментов для управления доступом.

Любой анализ рисков оказывается бесполезным, если нет путей для реализации вытекающих из него стратегических решений. Поэтому безопасность сети включает в себя анализ ситуации и контроль за соблюдением правил. Обе области должны быть взаимосвязаны, обмениваться информацией и проводить обоюдный мониторинг. Система контроля за выполнением правил проверяет все регистрирующиеся в сети системы на соответствие заданным параметрам безопасности при каждой попытке соединения, а также во время всего периода активности последнего. Она следит за соблюдением директив безопасности и автоматически блокирует доступ, если система не соответствует определенным требованиям. Однако в таком случае часто оказывается достаточно ограничения доступа для пользователя сети. Именно поэтому в небольших сетях вовсе не обязательно применять масштабное решение управления безопасностью — достаточно специальных инструментов мониторинга, чтобы они поддерживали соблюдение определенных директив безопасности. Эти инструменты проводят мониторинг как внутренних, так и внешних систем, за которыми отсутствует контроль со стороны сети.

Рисунок 2. Управление рисками: система управления рисками на основе сигнатур угроз ищет подозрительные процессы.

В крупных сетях за актуальность сигнатур угроз (см. Рисунок 2) и инсталляцию корректных механизмов, сервисных пакетов и заплат отвечают распределенные хранилища базы данных. Таким образом, системы предоставляют информацию вышестоящей системе управления рисками и одновременно реализуют необходимые меры.

В идеальном случае эти решения не являются закрытыми разработками, а поддерживают самые разные решения обеспечения безопасности. Они должны работать с такими продуктами, как Cisco Network Admission Control (CNAC), Microsoft Network Access Protection (NAP) или TGG Trusted Network Connect (TNC) 802.1х.

СОПРЯЖЕНИЕ НЕОБХОДИМО

Управление рисками неизбежно ставит требования, которые затрагивают всю систему. Тот, кто стремится обеспечить безопасность предприятия и старается не повредить протеканию деловых процессов, должен знать, что он хочет защитить, каким образом и в каком объеме. При большом количестве разнородных систем в современных сетях лишь системы оценки риска в комбинации с инструментами для отражения угроз и реализации директив безопасности в состоянии обеспечить реальную безопасность.

Изабель Унсельд — менеджер по связям с общественностью компании McAfee.


? AWi Verlag