Руководство компаний редко задается вопросом: достаточно ли тех средств защиты информации, которые внедрены на предприятии? Пожалуй, нет сегодня компаний, которые не использовали бы в своей работе ИТ-решений, однако строились они, как правило, без учета требований по безопасности. Многие нынешние информационные системы выросли из отдельно стоящих компьютеров, впоследствии связанных в сети, а затем включенных в Internet. На первом этапе компьютеризации редко кто задумывался о сетевой безопасности, однако дожившие до сегодняшнего дня решения часто являются источником проблем.
К защите стихийно развиваемых систем можно подходить двумя путями: полностью перестраивать получившуюся систему, либо надстраивать защиту поверх уже существующей инфраструктуры. И в том, и в другом случае придется использовать общекорпоративные защитные механизмы, взаимодействующие между собой. Удачной иллюстрацией комплексного подхода к построению инструментария информационной безопасности может служить семейство продуктов eTrust компании Computer Associates.
Теория
На сегодняшний день существует очень много различных продуктов, выполняющих те или иные функции защиты. По объектам управления их можно разделить на три большие группы: идентификация, контроль доступа и угрозы. В любой корпоративной системе защиты и даже любом продукте все это должно быть, однако.
Идентификация
Система идентификации должна узнавать пользователя, каким бы способом подключения он ни пытался подключиться к информационной системе. Эта задача распадается на две: хранение учетной информации пользователя и идентификация претендентов на доступ к ресурсам.
Конечно, идентификационная информация может храниться распределено, и пользователям для доступа к каждой системе нужно заново себя идентифицировать, но сейчас признана более удобной и эффективной система единого пароля для всех корпоративных приложений. Впрочем, сами пароли сейчас постепенно заменяются на инфраструктуру открытых ключей с использованием электронных сертификатов — их можно хранить на USB-ключах. Всю информацию, которая необходима для идентификации пользователей, создания защищенных каналов связи с ними и других целей, по-хорошему надо хранить в дереве каталогов, — благо для доступа к такой информации уже разработаны необходимые стандарты (например, X.509) и протоколы (например, LDAP).
В задачи системы установления идентичности входит общение с пользователем, получение от него идентификационной информации, ее проверка и передача прав пользователя на системы контроля доступа. Когда пользователь узнан, то его в дальнейшем идентифицируют по устройству, на котором он работает; в редких случаях проводится повторная идентификация. Надежность такой схемы контроля доступа зависит от способа подключения пользователя к приложению. Если подключение идет из внутренней сети, то достаточно однократной проверки. Для связи с удаленными компьютерами можно пользоваться протоколом SSL или другим шифрованным соединением, гарантирующим неизменность пользователя. Использование USB-ключа или смарт-карты, в отличие от средств узнавания — паролей, биометрии, штрих-кодов, позволяет проводить проверки их идентичности достаточно часто.
Контроль доступа
Системы контроля доступа обеспечивают исполнение установленных в организации правил работы с информацией (политики безопасности), определяющих ресурсы, доступные пользователям: для этого и нужны системы идентификации. Для каждого из способов доступа (локальный терминал, локальная сеть или через Internet) и даже для каждого приложения нужны свои средства контроля доступа. Впрочем, сам канал доступа к Internet также является ресурсом, доступ к которому нужно контролировать.
Важным пунктом контроля является внешнее соединение с Internet где встречаются два информационных потока: внутренние пользователи, получающие доступ вовне, и внешние посетители, обращающиеся к общедоступным ресурсам компании. Здесь обычно и ставят такое средство контроля доступа, как межсетевой экран, контролирующий удаленные подключения. Часто межсетевые экраны объединяют со средствами организации VPN (virtual private network — «виртуальная частная сеть»), которые также можно отнести к инструментам контроля доступа для случая небезопасной среды связи. В общем же контроль доступа внутри информационной системы выполняется стандартными средствами операционных систем и приложений, а извне — с помощью межсетевых экранов и VPN, блокирующих все лишнее.
Защита от нападений
Системы идентификации узнают пользователей, а механизмы контроля доступа допускают их к нужным ресурсам, но нужны также системы, которые бы определяли и предотвращали запрещенные и опасные действия. Частично этим занимаются системы контроля доступа, однако лучше использовать для этого независимые проверочные инструменты, позволяющие выделить, зафиксировать и по возможности предотвратить агрессивные действия. Продукты такого класса можно разделить на два класса: поиск потенциальных проблем и определение вторжений. К первому классу можно отнести сканеры безопасности и антивирусы, а ко второму — системы обнаружения вторжений (intrusion detection system — IDS), а также различные хорошо контролируемые среды исполнения, такие как виртуальные машины Java или CLR (компонент технологии Microsoft .NET).
Технологии проверки на уязвимость обычно ищут в конкретной системе признаки уже известных проблем: известные ошибки в программном обеспечении, неправильные конфигурации, плохо определенные права доступа и т.п. Такие проверки выполняются по базе правил, которая должна постоянно обновляться по мере появления новых методов атак, вирусов или троянских программ, поэтому современные антивирусы и сетевые сканеры имеют механизмы обновления, а их производители — центры по исследованию угроз и разработке методов защиты. Пользователям таких продуктов приходится платить уже не столько за саму программу, сколько за обновление базы данных. Тем не менее, такая защита определяет только уже известные проблемы и на шаг отстает от нападающих, поэтому ее лучше всего объединять с другими механизмами.
Впрочем, в антивирусных пакетах сейчас начали появляться средства поведенческого анализа программ и сценариев. Они пытаются контролировать поведение подозрительных утилит, пресекая их опасные действия. Аналогичным способом действуют и системы обнаружения вторжений — они пытаются выделить в действиях пользователей опасные последовательности, определяемые базой данных стандартных атак. Так же как и в антивирусах есть две части: проверяющая на наличие известных вирусов и контролирующая поведение конкретных программ, так и для сетевых соединений можно интегрировать сетевой сканер и IDS. Первый выявляет потенциальные проблемы, а IDS уделяет повышенное внимание именно тем атакам, которые направлены против найденных прорех. Можно также интегрировать IDS с межсетевым экраном, когда система обнаружения вторжений выявляет опасные действия и передает экрану команду на изменение правил доступа, чтобы прервать дальнейшее нападение.
Еще один серьезный способ нанесения ущерба предприятию при помощи каналов связи с внешним миром — передача наружу конфиденциальных или секретных данных. Сейчас начинают появляться системы анализа текстового и графического содержания передаваемых по сети информации, которые можно использовать как для выявления утечек, так и для мониторинга действий внутренних пользователей во внешних сетях. К сожалению, такие системы сложно сделать универсальными, поскольку качество их работы зависит от содержания конфиденциальной информации — общими правилами можно описать только небольшую часть корпоративных секретов. Кроме того, способов секретной передачи информации достаточно много; им посвящена особая наука — стеганография. Распространение первых анализаторов содержания подхлестнет ее развитие.
Вообще же список потенциальных угроз, от которых нужно защищать современные ИТ-системы, достаточно велик. Основные атаки сейчас направлены уже не на общие механизмы, а на конкретные приложения: Web-службы, серверы приложений, СУБД и т.п. Общие сканеры и системы обнаружения вторжений не смогут полноценно работать на таком уровне — нужны иные решения.
Централизованное управление
Защита надежна настолько, насколько надежно ее самое слабое звено. Хотя три базовых компонента комплексной защиты информационной сети: идентификационные системы, механизмы контроля доступа и приложения для защиты от нападений по отдельности могут отлично работать, но если они плохо взаимодействуют между собой, то это может свести на нет все усилия по созданию комплексной защиты. Для того чтобы злоумышленнику не удалось дезорганизовать ни один из этих элементов, требуется централизованное управление описанными подсистемами. На систему управления безопасностью возлагаются обязанности координации действий различных подсистем в режиме реального времени, контроль за их функционированием, сбор статистики, подготовка отчетов и другие обязанности, которые может выполнить только централизованная система управления.
Практика
Остановимся на компании Computer Associates — ее продукты для защиты корпоративных сетей объединены торговой маркой eTrust.
Идентификация
Идентификационная информация пользователей может храниться в системе eTrust Directory, построенной на основе промышленной СУБД и способной работать по протоколу LDAP. В хранилище eTrust Directory можно хранить исчерпывающую идентификационную информацию о пользователях, ресурсах, клиентах, предоставляемых службах и многом другом. Это хранилище информации создает основу для ролевой модели управления правами доступа пользователей к ресурсам, а также хорошо подходит для построения инфраструктуры открытых ключей.
С помощью eTrust Single Sign-On можно реализовать систему единого пароля для всех приложений. Пользователю достаточно знать только один пароль, который дает возможность подключиться к любой разрешенной системе. Этот продукт может пригодиться компаниям, у которых есть несколько приложений со строгими разграничениями прав доступа, а также служащим, которым часто приходиться подключаться снаружи корпоративной сети к внутренним ресурсам.
Есть также инструмент для управления идентификационной информацией для различных платформ. eTrust Admin позволяет администратору корпоративной системы централизовано взаимодействовать с хранилищами идентификационной информации в Microsoft Exchange, Lotus Notes/Domino, Oracle, доменах Windows NT, каталогах Active Directory и NDS, для различных вариантов ОС Unix. Если у заказчика приложения построены на базе различных платформ со своими системами идентификации, то есть прямой резон использовать eTrust Admin для синхронизации идентификационной информации между ними.
Если простых паролей компании уже недостаточно, то можно построить и инфраструктуру открытых ключей, для чего достаточно установить программное обеспечение eTrust PKI, включающее все необходимое для работы с сертификатами. Сертификаты хорошо использовать в информационных системах, для которых необходимо точно протоколировать все действия персонала. Впрочем, сертификаты уже сейчас широко используются для создания защищенных каналов связи через Internet по технологии SSL.
Контроль доступа
Разграничением прав доступа к приложениям для идентифицированных пользователей занимается продукт eTrust Access Control, контролирующий работу механизмов идентификации на платформах Unix и Windows NT/2000 и позволяющий объединять пользователей по групповому и ролевому признаку и контролировать их действия на всех компьютерах. eTrust Access Control также позволяет протоколировать действия пользователей в системе для их дальнейшего анализа при разборе конфликтных ситуаций.
Для контроля за сетевой деятельностью пользователей CA предлагает межсетевой экран eTrust Firewall, выполняющий необходимые функции блокировки неразрешенных политикой безопасности сетевых соединений. Межсетевой экран также протоколирует действия внешних посетителей.
Для управления сетевыми соединениями предназначен и другой продукт — средство контроля доступа к Web-сайтам eTrust Web Access Control. Эта система позволяет жестко разграничивать права доступа для разных категорий посетителей корпоративного Web-сервера: служащие компании, клиенты, партнеры и просто посетители Internet. Продукт умеет совместно работать с Web-серверами Apache, Microsoft IIS и Sun ONE, а также с платформами для Web-служб IBM WebSphere и BEA Weblogic. Этот продукт нужен тем компаниям, у кого внедрен корпоративный портал, централизованно обслуживающий разные группы посетителей.
Защита от нападений
Базовым компонентом защиты от нападений является продукт eTrust Police Compliance, проверяющий соответствие существующей конфигурации информационной системы требованиям корпоративной политики безопасности. По сути это сканер безопасности, проверяющий нарушения в корпоративной политике, дополненный средствами исправления ошибок. Он генерирует сценарии для исправления проблем и исполняет их на соответствующих компьютерах. Police Compliance может корректировать работу операционных систем, баз данных, Web-служб, файловых систем, проверять учетную информацию и другие объекты информационной системы.
Наиболее распространенным компонентом корпоративной защиты являются антивирусные программы. CA предлагает своим клиентам продукт eTrust Antivirus, который состоит из двух частей: защита периметра и рабочих станций. Антивирус для проверки входящих и исходящих сообщений раньше назывался Content Inspection и занимался выявлением опасных исполнимых вложений и обнаружением утечки конфиденциальной информации. Если же вирус проник через первый рубеж защиты, то прежде чем он будет исполнен, его попытаются выявить системы на рабочих станциях. Таким образом, Computer Associates предлагает не один, а два антивируса в одном пакете. Кроме того, у компании есть также антивирусные решения для корпоративных систем электронной почты Microsoft Exchange и Lotus Notes/Domino.
У компании имеется свой продукт для обнаружения вторжений — eTrust Intrusion Detection, позволяющий контролировать сетевые соединения в режиме реального времени и защищаться от атак типа «отказ в обслуживании» (denial of service — DoS). Система обнаружения вторжений умеет взаимодействовать с различными средствами контроля сетевого доступа, такими как межсетевые экраны eTrust Firewall, Checkpoint Firewall-1, и маршрутизаторами Cisco Systems. В результате пользователь может построить динамически перестраиваемую в момент атаки защиту от сетевых нападений.
Централизованное управление
Computer Associates предлагает несколько продуктов для централизованного управления системой безопасности. eTrust Portal предназначен для сведения в одно графическое представление информации из разных защитных систем, причем в качестве такого интерфейса выступает Web-сервер и любой браузер. С его помощью можно не только контролировать работу различных систем безопасности, но и управлять ими. Продукт eTrust 20/20 позволяет совместно контролировать аппаратные и программные системы, выясняя различные несоответствия в использовании ресурсов и аномальную активность пользователей.
Еще одной общей системой управления является eTrust Audit, собирающая информацию и сообщения от всех других продуктов, работающих на разных платформах, объединяя ее для дальнейшего анализа и подготовки отчетов. Администраторы могут использовать eTrust Audit для мониторинга общего состояния корпоративной системы безопасности, выявления наиболее важных для защиты событий и подготовки отчетов.
Заключение
Были перечислены только наиболее значимые универсальные инструменты информационной безопасности от Computer Associates. В ассортименте компании имеются также продукты для внесения исправлений, найденных ошибок в различные продукты, средства для создания максимально защищенных фрагментов корпоративной сети, продукты для мэйнфреймов и другие. Однако для создания общего представления о том, что должна содержать комплексная информационная защита, перечисленных продуктов вполне достаточно.