Инициативы, связанные с повышением безопасности своих программных продуктов, выдвигают все ведущие производители. К примеру, Oracle говорит о «непробиваемых вычислениях», а Microsoft пропагандирует Trustworthy Computing, последовательно совершенствуя механизмы защиты, интегрированные в ее продукты, и вместе с тем еженедельно публикует исправления для своих продуктов, критичных с точки зрения безопасности. Аналогичные проблемы встают и перед разработчиками продуктов с открытыми кодами — ошибок здесь не меньше, а возможностей для анализа куда больше. В частности, фонд Mozilla Foundation объявил программу Security Bug Bounty Program Bug, в рамках которой за подробную информацию о найденных в программах семейства Mozilla критических для безопасности дефектах выплачивается премия.

Корпоративная крепость

До тех пор, пока все производители не озаботятся безопасностью своих продуктов, предприятиям придется тратить свои ресурсы на покупку, установку и сопровождение средств защиты, обеспечивающих оперативное решение проблем даже в том случае, когда производитель не реагирует на сообщения о дефектах своих продуктов.

Отрасль информационной безопасности развивается стремительно; наработано множество инструментов, относящихся к разным классам — от сканеров безопасности до интеллектуальных систем управления комплексной защитой. Известные различные классификации для всех этих продуктов: по платформам, по скорости реакции, по снижаемым угрозам, по необходимости обновления базы сигнатур.

Можно в качестве признака разделения на группы взять отношение каждого из продуктов к политике безопасности — своеобразному кодексу поведения комплекса информационной защиты предприятия. Согласно такому критерию можно выделить следующие категории продуктов: порождающие новые правила, реализующие политику безопасности и проверяющие систему на нарушение правил. Результатом работы первой группы продуктов является корректировка правил работы второй. Реализация правил порождает поток данных о состоянии информационной системы, который используется третьей группой продуктов. А в результате у администраторов безопасности должны появиться свежие идеи, которые можно будет реализовать с помощью первой группы продуктов.

Офицерский состав

Системы, порождающие новые правила безопасности, необходимы для оперативного внесения изменений в конфигурацию защиты. К ним можно отнести различные продукты для администрирования компонентов защиты, моделирования различных стратегий защиты и оперативного реагирования на инциденты. Скажем, у компании ISS есть модуль Security Fusion Module, интегрируемый в систему управления Site Protector. Он получает информацию о присутствующих в системе уязвимостях от детектора дефектов и, взаимодействуя с детектором вторжений, понижает уровень значимости атак, направленных на эксплуатацию уже исправленных или отсутствующих в системе дефектов. Перечислим классы продуктов, которые можно отнести к этой категории.

  • Управление идентификационной информацией. Любое средство управления идентификацией предназначено для того, чтобы в информационной системе содержалась максимально подробная и актуальная информация о пользователях. В дальнейшем она используется всеми средствами разграничения доступа для оценки необходимости доступа конкретных пользователей к конкретным ресурсам, поскольку добавление новых пользователей или ролей через продукты этого класса приводит к появлению новых учетных записей и новых правил доступа для их использования. Примером этого класса приложений может служить система Logon компании «Декарт».
  • Инструменты моделирования. Продукты этого класса (их еще называют системами управления рисками) позволяют проанализировать конфигурацию информационной системы, выделить требующие защиты ресурсы и с помощью моделирования найти конфигурацию защитных механизмов, которая бы оптимально защищала от наиболее опасных угроз, минимизируя потенциальные потери — риски. Некоторые системы этого класса по результатам моделирования могут выдавать конфигурационные файлы для защитных инструментов, таких, как межсетевые экраны. В качестве примера можно привести систему «КиберГард», разработанную в Институте системного анализа РАН.
  • Корреляционные системы. Эти продукты автоматизируют процессы изменения конфигурации исполнительных систем на основе данных, собранных механизмами мониторинга. Так достигается оперативное автоматическое переключение конфигураций защитных механизмов. Корреляционные системы ускоряют реакцию на атаку, а в отдельных простых случаях даже способны ее отразить. К этому классу продуктов относится, в частности, модуль Fusion.
  • Единая консоль управления. Обычно производители с большой продуктовой линейкой разрабатывают консоль для централизованного управления своими решениями. Но не все предприятия обходятся продуктами только одного производителя, поэтому зачастую для каждой группы защитных механизмов используется отдельная консоль, которая плохо координирует свои действия с решениями других производителей. Поэтому возник класс инструментов, позволяющих управлять защитой от разных производителей. Информацию они получают от средств обработки событий. В частности, компания Symantec недавно выпустила модульную систему Symantec Enterprise Security Architecture, которая взаимодействует с программными продуктами третьих фирм через специальных агентов.

Конечно, продукты перечисленных категорий не имеют жестко фиксированных рамок, часто совмещая функции управления с мониторингом. Тем не менее, такая классификация удобна, поскольку позволяет распределить роли сотрудников информационной безопасности: средства управления и корректировки правил защиты должны контролироваться руководителями, в то время как мониторингом могут заниматься и менее квалифицированные сотрудники.

На боевом посту

Продукты для реализации политики безопасности отвечают за исполнение правил, которые содержатся в политике и определены продуктами управления. В частности, они занимаются аутентификацией и авторизацией пользователей, управлением сетевыми потоками, созданием криптографической защиты, поисками опасных программ, вирусов и другой рутиной. Продукты такого типа есть и «в домашнем обиходе», но к их корпоративным вариантам предъявляются дополнительные требования. В частности, корпоративные продукты должны хорошо масштабироваться, интегрироваться в корпоративную систему и иметь более гибкое управление. (К примеру, в Symantec даже по-разному называют свои продукты, выпуская под собственной маркой корпоративные решения, а индивидуальным пользователям предлагая продукцию под именем Norton.) Рассмотрим классификацию продуктов этой категории.

  • Сетевые экраны. Продукты этого класса занимаются управлением сетевыми потоками, реализуя политику удаленного доступа к корпоративным ресурсам. При этом могут учитываться самые разнообразные параметры фильтрации: IP-адреса и порты, используемый тип сервиса и другие параметры. Классические сетевые экраны не контролировали данные, передаваемые с использованием протоколов, но современные продукты этого класса имеют формализованное описание протоколов и блокируют их некорректное использование. Впрочем, сетевые экраны начального уровня встроены и в современные операционные системы.
  • Virtual Private Network (VPN). Создание каналов, защищенных с помощью криптографических методов, также можно отнести к этому типу инструментов защиты, поскольку они обеспечивают разграничение доступа между корпоративной и открытой сетями. Очень часто решения для создания защищенных каналов интегрируются в сетевые экраны. Однако, в нашей стране ситуация с криптографическими средствами защиты еще неясна: легально разрешено использовать ограниченный круг алгоритмов, куда не включены зарубежные стандарты. Правда, современные VPN-решения не зависят от используемого типа шифрования, поскольку могут интегрировать в себя внешние библиотеки. Пожалуй, наиболее популярен для встраивания сейчас криптопровайдер от компании «Сигнал Ком», который реализует отечественные стандарты шифрования.
  • Intrusion Prevention System (IPS). Системы предотвращения вторжений появились как нечто среднее между межсетевыми экранами и средствами категории IDS (intervention detection system — «система обнаружения вторжений»). IPS считает опасным любое некорректное или просто необычное использование сетевых протоколов, в отличие от сетевых экранов контролируя как входящий, так и исходящий потоки пакетов. Иногда IPS нужно обучить работе в штатном режиме, поскольку в них используются технологии распознавания образов. Все отклонения от нормы IPS в дальнейшем блокирует. IPS предотвращают использование скрытых каналов, которые могут возникать при использовании редких возможностей сетевых протоколов. Такие инструменты часто объединяют с сетевыми экранами. В качестве примера можно привести модуль Application Intelligence для сетевого экрана компании CheckPoint Software.
  • Public Key Infrastructure (PKI). Инфраструктура открытых ключей используется для надежной аутентификации пользователей с помощью технологии открытых ключей. При этом пользователю выдается сертификат, позволяющий шифровать сообщения только его владельцу, а расшифровывать любому желающему. С помощью таких сертификатов происходит взаимная проверка подлинности, например, в протоколе SSL. Продукты для управления сертификатами можно использовать для универсального входа в систему, организации VPN (в том числе и по технологии SSL) и для генерации электронных подписей под документами. В качестве примера можно привести удостоверяющий центр, встроенный непосредственно в ОС Windows.
  • Системы обновлений. Большинство внешних атак направлено против конкретных ошибок программного обеспечения, поэтому их своевременное исправление повышает защищенность всей информационной системы предприятия. Однако организовать оперативное и правильное исправление ошибок в большой корпоративной сети для всех используемых продуктов непросто. Для решения этой задачи и появились продукты, которые занимаются централизованным управлением процесса обновления программного обеспечения. Одним из примеров такой системы является инструментарий Software Update Services от Microsoft, но его можно использовать только для обновления Windows. Коммерческие сервисы подобного рода позволяют обновлять программные продукты разных производителей.
  • Фильтры. Все фильтры (спам-фильтры, фильтры для предотвращения утечки конфиденциальной информации, почтовые антивирусы и т.п.) проверяют потоки информации для поиска и удаления опасных вложений. Традиционно фильтруется электронная почта, но есть продукты и для Web, и для других технологий передачи данных. Фильтры могут либо настраиваться извне, либо обучаться на примере эталонной выборки. В качестве примера можно привести свободно распространяемый инструментарий SpamAssassin.
  • Средства виртуализации. Инструментальные средства для разделения одной физической среды на несколько логических предназначены не для обеспечения безопасности, однако, их можно учитывать в корпоративной политике безопасности как инструмент разграничения полномочий. Они могут использоваться для реализации на одном сервере нескольких различных политик безопасности для различных подразделений компании, например, при организации центра обработки данных и консолидации приложений. Виртуализация может осуществляться на уровне сети, операционной системы, приложений и подсистемы хранения данных. В качестве примера средства виртуализации операционных систем можно привести продукт Virtuozzo от компании SWsoft.

У всех перечисленных классов программных продуктов есть и средства управления, и средства мониторинга, но все они относятся к типу исполнительных устройств, поскольку занимаются применением правил, заложенных в корпоративной политике безопасности, а также порождают поток событий, контролируемый системами мониторинга. Продуктов этого типа, работающих в самых разных уголках информационного пространства компании, в отличие от управления и мониторинга, может быть много. Это обеспечивает максимальный контроль со стороны ИТ-службы.

Спецслужбы

В задачи мониторинга безопасности входит контроль за соблюдением правил политики безопасности и нарушений в работе защитных механизмов. Для этого все служебные сообщения, порождаемые в корпоративной системе, должны сопоставляться и анализироваться, а результатом может быть отчет о состоянии информационной системы и, возможно, рекомендации по ее улучшению. Продукты этого типа можно отнести к одному из следующих классов.

  • Intrusion Detection System (IDS). Детекторы вторжений собирают информацию о защищаемой системе и в случае возникновения подозрений поднимают тревогу. Контролироваться могут сетевые потоки и сообщения от сетевых экранов (сетевые детекторы), а также процессы ОС и открываемые порты (системные детекторы). Существуют также детекторы вторжений в базы данных и другие приложения. Традиционно подобные инструменты используют сигнатуры уже известных атак, но в последнее время наметилась тенденция применять в них методы систем категории IDP (гибридные средства обозначают термином Intrusion Detection and Prevention), которые используют технологии искусственного интеллекта. В качестве примера IDS можно привести свободно распространяемую систему SNORT.
  • Детекторы дефектов. Служба безопасности может не ждать атаки злонамеренных нападающих для проверки надежности своей защиты, а самостоятельно проводить их. Для этого можно использовать детекторы дефектов или сканеры уязвимостей. Они автоматизируют проведение стандартных атак, не нанося вреда и проверяя реальный уровень защищенности корпоративной среды. Детекторы дефектов подготавливают списки уязвимых мест корпоративной системы и рекомендации по их защите. Эта информация в дальнейшем может быть использована для изменения политики безопасности предприятий. Пример детектора дефектов — свободно распространяемый инструментарий Nessus.
  • Средства управления событиями. Корпоративная система ежесекундно порождает огромное количество событий, которые записываются в системные журналы. Часть из них имеет отношение и к событиям безопасности. Их нужно уметь выделить из общего потока и привлечь к ним внимание администраторов. Системы обработки событий предназначены, в основном, для административных нужд и учета ресурсов, однако, их можно использовать и для отправки оповещения сотрудникам службы безопасности о подозрительной активности. С помощью системы управления событиями можно автоматизировать реакцию системы на нападения, поскольку продукты этого класса, как правило, имеют возможность автоматического изменения конфигурации системы.
  • Системы предупреждения. Системы данного класса с помощью датчиков, расположенных в разнообразных частях Сети, контролируют общую активность пользователей Internet, пытаясь найти в ней подо?зрительную активность. Как только эксперты, контролирующие такую глобальную систему мониторинга, обнаруживают появление нового вируса или троянского коня, они рассылают предупреждения всем своим подписчикам с рекомендациями защиты от новой угрозы. Есть аналогичные глобальные системы мониторинга, которые следят за появлением новых сообщений о найденных ошибках. В качестве примера подобных решений можно привести сервисы Symantec DeepSight Threat Management System.
  • Ловушки. Хорошим средством мониторинга нападений являются ловушки, которые специально предназначены для привлечения хакерской активности нападающих. Внешне ловушка выглядит как очень привлекательный ресурс, на котором происходит определенная активность. Однако это виртуальная среда, которая лишь создает видимость бурной деятельности, но основная ее задача как можно подробнее фиксировать действия посетителей. Легальные пользователи на нее не должны попадать, поэтому все заходящие по умолчанию считаются злоумышленниками и система должна собрать на них максимально подробное досье. В качестве примера подобного продукта можно привести Symantec Decoy Server.

Данный список средств защиты далеко не полон. Постоянно появляются инструменты, которые собирают информацию о новом типе приложений или реализующие более интеллектуальный анализ данных. К тому же средства мониторинга могут организовываться в иерархические структуры, когда данные, например, с ловушек передаются в систему управления событиями и далее попадают в системы управления для предотвращения дальнейшей атаки.

Войско на театре боевых действий

Остановимся на возможных методах защиты от разных типов угроз. Рассмотрим только классификацию по целям нападения: добавление сечений по методам нападений и типам дефектов оказывает влияние лишь на характеристики функциональности защитных механизмов, не выводя их за пределы класса.

  • Помеха. Нападение, основная цель которого помешать служащим исполнению своих обязанностей, как правило, связано с передачей пользователю информации или программы, которую он не запрашивал. Для защиты от этого типа нападений логично использовать фильтрацию — спам-фильтр и антивирусы. Кроме того, если вирус направлен против конкретного дефекта в программном продукте нужно задействовать и систему обновлений. Избавление от этого типа нападений повышает эффективность использования ресурсов, как вычислительных и сетевых, так и людских.
  • Утечка конфиденциальной информации. Предотвращение утечки — сложная задача, особенно если воруют информацию внутренние злоумышленники. Здесь могут пригодиться и решения VPN, и надежная идентификация PKI, и фильтрация по содержанию исходящего потока информации, и системы предот?вращения вторжений IDP. Правда, ни одно из перечисленных средств не дает полной гарантии, что утечка не произойдет по не защищаемым им каналам, поэтому лучше максимально защитить все каналы или хотя бы контролировать передачу информации по ним.
  • DoS-атака. Атаки, направленные на отказ в обслуживании, часто связаны с какой-либо программной ошибкой, поэтому в большинстве случаев достаточно своевременно обновлять программное обеспечение. Более сложные распределенные DoS-атаки можно блокировать на уровне сетевого экрана или IDS/IPS. сейчас появляется новый класс продуктов для защиты от DoS-атак; в частности, один из них выпустила компания Cisco. Впрочем, для компаний лучше, если борьбой с DoS-атаками займется ее провайдер. В качестве примера можно привести компанию TeliaSonera и некоторых ее клиентов, которые выделяют DDoS-трафик и не учитывают его в расчетах со своими клиентами.
  • Захват. Традиционно для защиты от захвата используют сетевые экраны, IDS/IPS, системы идентификации и контроля доступа, но не стоит забывать о системах обновлений и об антивирусах. Для захвата используют самые изощренные методы нападения, поэтому для защиты стоит использовать несколько методов. Заниматься защитой от нападений нужно, поскольку это очень популярная цель индивидуальных атак, которые могут оказаться очень разрушительными.

Правда, в определенном смысле, для защитных механизмов все атаки одинаковы: все они являются отклонением от нормального поведения системы. В каждом конкретном случае можно применять один из методов, важно чтобы при этом не возникало разрывов между средствами управления, исполнения и контроля, чтобы не терялась важная для защиты информация.

Единым фронтом

Полным арсеналом средств защиты не располагает ни один производитель. Такие компании, как Cisco Systems и Symantec активно скупают специализированные фирмы, поставляющие отдельные достаточно популярные продукты, однако ряда компонентов до сих пор нет и у этих «интеграторов» защитных комплексов. Тем не менее, процесс консолидации рынка информационной безопасности идет стремительно, поэтому, возможно, скоро на этом рынке останутся лишь несколько крупных компаний (к двум названным, возможно, стоит добавить такие имена, как Computer Associates, CheckPoint вместе с партнерами по альянсу OPSEC или Internet Security Systems), которые будут предлагать исчерпывающий спектр решений.


Symantec

Свою деятельность на ниве информационной безопасности компания Symantec начинала с покупки детища Питера Нортона, среди прочих продуктов обладавшего еще и антивирусом. Позднее компания пополнила свой арсенал средств безопасности сетевыми экранами, детекторами дефектов, системами IDS, постепенно выстраивая обширную линейку продуктов защиты.

К числу продуктов для управления безопасностью от Symantec относятся единая консоль управления Enterprise Security Manager (ESM), средство обработки оповещений Inciden Manager и инфраструктурное решение Symantec Enterprise Security Architecture. К ESM «прилагаются» наборы модулей для управления защитой баз данных, сетевых экранов и Web-серверов. Система имеет трехуровневую архитектуру и обеспечивает комплексное тестирование корпоративной безопасности. Систему Inciden Manager можно отнести к корреляционным инструментам, поскольку она собирает информацию из различных источников, отслеживает взаимосвязи между событиями и обеспечивает ответную реакцию защитных механизмов по схемам, подготовленным общественными центрами реакции на инциденты SANS и CERT. Систем моделирования угроз, управления рисками и идентификации пользователей у компании пока нет.

Больше всего у Symantec исполнительных продуктов: линейка антивирусов; Gateway Solution; антивирусы, оптимизированные под конкретную систему электронной почты (SMTP Gateways, Lotus Domino, Microsoft Exchange, ISA Server); средства фильтрации данных для Web, электронной почты и других протоколов (Web, BrightMail, Gateway Security); сетевые экраны; корпоративные системы для создания VPN; продукты класса IDS (сетевой детектор Intruder Alert, серверный детектор Host IDS); система управления обновлениями ON iPatch.

Немало и средств мониторинга: система обработки событий Event Manager; детектор дефектов Netrecon; система обнаружения вторжений Manhunt; два варианта ловушек (Mantrap, Decoy Server); два сервиса оповещения, позволяющие пользователям быть в курсе всех новостей по информационной безопасности (новостной сервис DeepSight Alert Services и сервис сообщений о новых угрозах DeepSight Threat Management System).


Computer Associates

Компания Computer Associates, известная своими продуктами по управлению корпоративными информационными системами, выстроила под торговой маркой eTrust свою собственную линейку продуктов защиты. Эта линейка в большой мере ориентирована на продукты управления информационной безопасностью с акцентом на идентификацию пользователей и контроль их доступа к информационной системе. В частности, одним из продуктов CA является eTrust Directory, предназначенный для хранения всей информации по корпоративным пользователям. Есть в арсенале компании и такие уникальные продукты, как eTrust 20/20, который обеспечивает взаимодействие двух традиционно разделенных служб безопасности — информационной и физической.

Управлением различной информацией, связанной с безопасностью, заведует в линейке eTrust продукт под названием Admin. Для организации доступа к корпоративным ресурсам можно использовать eTrust Access Control, а для входа по единому паролю — eTrust Single Sign-On. Для управления также используется приложение eTrust Security Command Center, собирающее информацию из различных средств мониторинга и на ее основе управляющее всеми аспектами корпоративной безопасности. В частности, в этом продукте реализованы методы корреляционного анализа данных и ролевого управления доступом. В этой линейке есть даже средства для работы с мэйнфреймами и Unix-серверами для реализации мандатного доступа eTrust CA-ACF2 Security и eTrust CA-Top Secret Security.

Компания предлагает достаточно полный спектр продуктов, которые можно отнести к категории исполнительных устройств: сетевой экран eTrust Firewall, антивирус eTrust Antivirus, продукт для организации инфраструктуры с открытым ключом — eTrust PKI. Есть у CA и продукт для фильтрации содержимого передаваемой информации — eTrust Secure Content Manager, контролирующий передачу данных по электронной почте и Web. В качестве системы обновлений можно использовать продукт eTrust Vulnerability Manager, который решает проблемы с найденными и известными дефектами программного обеспечения.

Для оценки защищенности информационной системы можно использовать продукт eTrust Policy Compliance, выполняющий функции детектора дефектов и генерирующий необходимые сценарии для решения найденных проблем в безопасности. Есть также в арсенале CA и детектор вторжений — eTrust Intrusion Detection, контролирующий загрузку корпоративных каналов связи. Для анализа информации из системных журналов можно использовать продукт eTrust Audit, который может обслуживать различные платформы и приложения — Unix, Windows, OS390, Web-серверы и СУБД. Для платформы z/OS имеется специальный продукт CA-Examine Auditing, а для получения оперативной информации о комплексной защите информационной системы можно воспользоваться продуктом eTrust Network Forensics.


Cisco

Компания Cisco Systems занимается выпуском оборудования для организации сетей передачи данных, а с недавнего времени начала интегрировать в свои устройства технологии информационной защиты, начав с сетевых экранов Cisco PIX, а потом купив еще ряд технологических компаний. Компания, в основном, занимается продажей сетевого оборудования, а не программного обеспечения, поэтому ее продукты ориентированы, главным образом, на сферу применения политики безопасности. Например, имеется уникальный механизм защиты от распределенных DoS-атак — связка Traffic Anomaly Detectors и Guard.

По части управления у Cisco наиболее сильной стороной являются средства контроля доступа — серия продуктов Cisco Secure Access Control, работающая на различных платформах. В то же время средства управления собственно устройствами сконцентрированы на отдельных продуктах или их классах, но не в целом по всем задачам обеспечения информационной безопасности предприятия. Тем не менее, компания предлагает по своей дистрибьюторской сети решение своего партнера — Security Information Management Solution. Есть в арсенале компании также и средство предупреждения об угрозах — Threat Response.

Наибольшую компетенцию Cisco имеет в области исполнительных устройств, причем предпочтение отдается предустановленным решениям: сетевые экраны PIX и решения для организации VPN, интегрированные в некоторые серии сетевых устройств. Есть у Cisco и специализированное программное обеспечение, которое устанавливается на удаленных мобильных клиентах и позволяет реализовывать на них корпоративную политику безопасности — это Security Agent и Trust Agent. Из средств мониторинга можно назвать только различные варианты детектора вторжений и специализированный модуль для Catalyst 6500, представляющие собой высокоскоростную систему обнаружения вторжений в маршрутизаторе — IDSM.


Internet Security Systems

Компания ISS начинала свою «карьеру» с детекторов дефектов Internet Scanner и других продуктов, к которым затем добавились средства обнаружения вторжений RealSecure. Постепенно ассортимент компании расширялся, в основном, в направлении средств мониторинга и управления. Постепенно появились и предустановленные решения, например, на платформе Nokia. Определенное развитие получили работы по ускорению функционирования механизмов IDS. Постепенно в портфеле продуктов компании появилось и средство централизованного управления SiteProtector, которое позволяет управлять решениями ISS и обеспечивать взаимодействие с продуктами других производителей. Постепенно в SiteProtector начали появляться дополнительные модули, которые позволяли коррелировать работу детектора дефектов и детектора нападений SecurityFusion Module. При этом компания стимулирует также разработку дополнительных модулей сторонних разработчиков.

Максимальную компетенцию компания накопила в области выявления дефектов в системе защиты и обнаружения нападений. В частности, кроме сканера IP-протокола у компании есть анализатор дефектов в операционных системах, в базах данных и даже в беспроводной сети. Детекторы нападений также работают на разных уровнях (компьютерная сеть, серверы, рабочие станции). Таким образом, продукты ISS могут работать на разных уровнях и тем самым прикрывать друг друга.

Впрочем, в компании начали появляться и исполнительные решения, такие, как системы предотвращения вторжений Proventia, а также технологии фильтрации Web и электронной почты.

Наконец, ISS предлагает комплексное решение Integrated Security Appliance, которое объединяет все приложения.