В новом году компании ищут многоуровневый подход, обеспечивающий надежную защиту

В последние несколько месяцев Тест-центр CRN проанализировал вполне обычные, но тем не менее опасные сетевые угрозы, используя собственную сеть-приманку (honeynet). Временами наблюдалось почти непрерывное, 24Ч7, сканирование портов безымянными, безликими сетевыми рейдерами, искавшими, как проникнуть в наш центр обработки данных. На один из наших ноутбуков попало вредоносное ПО, предприняв попытку взломать банковский счет.

Если бы эти атаки были направлены против медицинского учреждения, сети супермаркетов или государственного органа, то они могли бы причинить огромный ущерб (кража баз данных клиентов, уничтожение записей).

Даже мелкие компании могут серьезно пострадать от таких действий, если, к примеру, атакован почтовый сервер, уничтожены все записи, а на восстановление требуются тысячи долларов.

Даже мелкие компании могут серьезно пострадать от таких действий, если, к примеру, атакован почтовый сервер, уничтожены все записи, а на восстановление требуются тысячи долларов.

Давно ушли те времена, когда сетевая безопасность сводилась к установке клиент-серверного антивирусного пакета и регулярному обновлению файлов сигнатур на всех машинах. Даже так называемая единая защита от угроз (UTM) сама по себе недостаточна, чтобы полностью защитить сеть. Сегодня надежная защита это не просто оборона, но упреждающее обнаружение возможных угроз.

Для надежной защиты сетевой инфраструктуры используется стратегия многоуровневой всесторонней защиты. Мы изучили основные продукты, которые могут защитить эти слабые места и надежно запереть сеть от злонамеренных атак и просто беспечности пользователей. Рассмотрены предложения Guardium, Sophos, Trend Micro Inc., Sourcefire Inc. и Check Point Software Technologies Ltd.

Мы начали с того, что очертили несколько главных типов защиты, которые необходимы в типичной корпоративной сети: защита баз данных, обнаружение/блокирование вторжений, безопасность точек подключения к сети, защита от вредоносного ПО и контроль Web-контента.

Защита баз данных

В прошлом году было немало атак на SQL Server, о чем свидетельствуют отчеты об угрозах в сети Тест-центра за 2008 г. Зарегистрировано также бессчетное количество попыток взлома SQL.

Многие компании обращаются к таким решениям, как Guardium. Это сетевое устройство обеспечивает защиту от внешних и внутренних угроз. Модель, испытанная Тест-центром, представляла собой усиленную версию Dell PowerEdge 1950, имеющую 160 Гбайт памяти и патентованный механизм сжатия данных. Guardium исключает взлом баз данных, обеспечивая мониторинг в реальном времени и предупреждения, включая мониторинг учетных записей привилегированных пользователей (администраторы баз данных).

Решение включает службу Software TAP — агент, который устанавливается на той же машине, где находятся базы данных. Установка S-TAP выполняется легко и быстро. Служба S-TAP включает собственный аудит и мониторинг; если предпринята попытка ее деинсталляции, будет послано предупреждение.

Web-консоль управления позволяет легко сконфигурировать политики структурированной безопасности. При любых нарушениях политики Guardium обеспечивает высокий уровень предупреждений и противодействия. В случае обнаружения атаки или кражи данных устройство может дать детальную информацию: с какого IP и что было атаковано, к каким таблицам получен доступ и какое приложение задействовано. Дается также информация о пользователях, которые могли быть обмануты.

Понятно, что в базе данных финансового учреждения могут храниться миллионы учетных записей пользователей. Если часть этих данных украдена, то Guardium сообщит, какие именно данные пострадали. Столь детальная информация позволит компании немедленно связаться с конкретными лицами, не рассылая предупреждения всем клиентам о том, что их счета, возможно, взломаны.

Вот пример противодействия: в случае нарушения политики паролей Guardium блокирует учетную запись. Можно задать пороговые уведомления (correlation alerts) — это предупреждения, которые посылаются, и действия, которые предпринимаются, в случае, если нарушение превысило определенный пороговый уровень. Один из типичных способов применения пороговых уведомлений — обнаружение ряда последовательных попыток зарегистрироваться в течение короткого промежутка времени — скажем, менее 5 минут. Как правило, это верный признак попытки взлома. Guardium обеспечивает высокий уровень анализа уязвимости. Вместе с аналитикой и статистикой баз данных это дает детальную информацию о том, кто или что атакует или пытается атаковать данные. Можно также исключить несанкционированный доступ к конфиденциальным данным и маскировать конфиденциальную информацию в таблицах (например, директор по информационной безопасности не хочет, чтобы системный администратор видел номера карточек соцобеспечения заказчиков).

Защита баз данных в Guardium включает, быть может, самые мощные средства соблюдения регулятивных норм, какие довелось видеть Тест-центру. Имеются шаблоны и высокоуровневые, но простые в использовании сводки лучших методов для PCI (стандартов безопасности отрасли платежных карточек), закона Сарбейнса — Оксли (SOX), требований административно-бюджетного управления Белого дома (OMB) и конфиденциальности данных. Эти шаблоны можно легко модифицировать, чтобы удовлетворить и другие требования, в частности HIPAA (закон о переносе и подотчетности документации о страховании здоровья).

Устройство охраняет также «черный ход». Агент S-TAP сидит на самом сервере базы данных, так что контролируется служебный трафик, включая соединения через именованные каналы или разделяемую память. Обеспечена также установка всех текущих и требуемых «заплат» и защита клиентских Web-приложений. Обнаружение аномалий позволяет блокировать атаки внедрения кода SQL.

Еще одна впечатляющая особенность — при использовании Guardium не теряется производительность СУБД. Ведение журналов и мониторинг осуществляются на самом устройстве; в результате накладные расходы гораздо ниже, чем при использовании встроенного мониторинга СУБД.

Обнаружение/блокирование вторжений

Обнаружение и блокирование вторжений (IPS/IDS) стало сегодня важной частью сетевой безопасности. Многие продукты включают некую «разбавленную» функциональность IPS/IDS как часть полного решения, но Sourcefire — ведущий разработчик в этой области. Основал компанию создатель SNORT — сетевой системы IPS/IDS с открытым кодом, и высокий уровень знания этой технологии очевиден в системе 3D от Sourcefire. IPS/IDS представляет собой трехуровневое решение, компонентами которого являются IPS, Adaptive IPS и корпоративная защита от угроз (Enterprise Threat Management).

Установка проста. С помощью «мастера» конфигурируется сенсор; для этого нужно ввести сетевые параметры. После того как сенсор запущен, администратор может выбрать одну из политик IPS по умолчанию (которые можно также модифицировать). Эти политики защищают от известных угроз и атак в день «икс». Web-интерфейс управления носит название Defense Center Management Console. Возможности индивидуальной настройки кажутся безграничными; можно создать желаемые виды, «перетаскивая» виджеты (widgets), выбор которых велик. Можно даже добавить RSS-каналы с Web-сайта Sourcefire или других сайтов новостей интернет-безопасности, чтобы администратор был в курсе всех последних событий в этой области. Попытки вторжения можно детально анализировать. При тестировании Sourcefire обнаружил сетевого «троянца» как событие с высоким приоритетом, а также IP-адреса, которые были мишенями. Когда событие обнаружено, щелчком правой кнопки мыши вызывается меню, позволяющее выполнить различные действия. Предлагаются готовые отчеты, можно создать и свои собственные. Система дает предупреждение в реальном времени через системный журнал, по электронной почте или через SNMP.

Adaptive IPS — это служба наблюдения за сетью (Realtime Network Awareness, RNA) от Sourcefire. Она дает полную картину того, что вы защищаете. С помощью RNA можно создать карту сети, чтобы получить детальную информацию в реальном времени об операционной системе, портах, службах, протоколах и тысяче других вещей, касающихся сети. Adaptive IPS находит также потенциальные уязвимости хоста и способна различать физические и виртуальные машины. Еще одной возможностью является автоматическая настройка IPS: система рекомендует, какие правила IPS следует применить к определенным хостам в зависимости от их местоположения и уровня критичности в организации. При любых изменениях в сети Adaptive IPS всегда оптимизируется. Благодаря данным о точках подключения, собранным RNA, модуль Defense Center может анализировать последствия и относительную важность атак.

Компонент Enterprise Threat Management включает блокирование вторжений, контроль идентичности пользователей, анализ сетевого поведения и соответствие ИТ-политике.

Чтобы получить полную картину всех машин, 3D System от Sourcefire использует службу наблюдения за пользователями (Realtime User Awareness, RUA). К примеру, администратор может видеть, что клиентская машина инфицирует другую клиентскую машину. Решение Sourcefire способно измерить сетевой трафик и выявить аномалии, такие как распространение вредоносного ПО по сегменту сети, не контролируемому системой IPS.

Безопасность точек подключения к сети

Компания Sophos — признанный лидер в области сетевой безопасности. Ее Network Access Control Advanced — это корпоративное решение по защите точек подключения к сети (end-points). На все точки подключения устанавливается агент, который отлавливает вредоносное ПО, рекламу, шпионские программы и подозрительные файлы. NAC Advanced использует генотип поведения и осуществляет контроль приложений, а также контроль устройств. Продукт обеспечивает защиту ноутбуков, настольных ПК и серверов. Он позволяет администраторам контролировать установку ПО пользователями и другие их действия, такие как использование пиринговых сетей, игр, чата или подключение съемных накопителей. NAC служит тому, чтобы дать компаниям больше функциональности без потерь производительности на клиентских машинах. NAC Advanced является многоплатформным решением, которое совместимо с Windows, Mac OS, Linux, Unix и Open VMS.

Через консоль управления администратор может выполнять различные задачи, например развернуть антивирусную защиту или политики на все точки подключения к сети. Это централизованное управление позволяет системным администраторам надежно следить за инфраструктурой с одной машины. Агент включает также клиентский брандмауэр; агент и защита точек подключения будут работать, даже если в сети установлен антивирус любого другого вендора. С помощью NAC Advanced можно добиться, чтобы все точки подключения к сети удовлетворяли внутренним политикам безопасности. Точки подключения могут быть блокированы, если они не отвечают заранее заданному набору требований, который может включать обязательно запущенный антивирус, установленный на клиенте брандмауэр, включенную службу обновлений Windows или проверку того, что операционная система имеет все последние «заплаты» и обновления.

NAC Advanced позволяет расширить антивирусную защиту на мобильные устройства, использующие Windows. В планах компании структурированный контроль БЛВС, Bluetooth и инфракрасных каналов, но текущая версия NAC Advanced обеспечивает лишь общий контроль через эти интерфейсы: если вы не хотите, чтобы кто-то использовал адаптер БЛВС на ноутбуке, его можно блокировать. Sophos сделала акцент на упрощении работы администратора. NAC Advanced прекрасно интегрируется с Active Directory, так что заданные политики автоматически распространяются на новых сотрудников и новые машины, и администратору не нужно добавлять их вручную через консоль.

Защита от вредоносного ПО/контроль Web-контента

Worry-Free Business Security Advanced — это хостинговое решение в безопасности от Trend Micro. Компания называет свой продукт «стражем глобального сетевого окружения». Worry-Free защищает Windows-серверы, клиентские машины и ноутбуки, использующие Microsoft Exchange, MS Small Business и MS Essential Business Server (выпущенный в версии 5.1). Поскольку это хостинговая служба, не требуется никаких дополнительных ресурсов в физической инфраструктуре. Предусмотрена Web-консоль с простой навигацией для централизованного управления, через которую администратор может отправить агенты клиент-серверной защиты на настольные ПК, ноутбуки и серверы, агент Messaging Security на сервер Exchange или объединить клиенты в логические группы для упрощения администрирования и конфигурирования. Через ту же консоль задается конфигурация защиты от вирусов и шпионских программ и можно вручную запустить сканирование.

Служба Worry-Free посылает уведомления о попытках вторжения или обнаружении любого вредоносного ПО. Это делается через хостинговый Security Server, который ищет активно циркулирующие и известные угрозы. Другие функции включают клиентский брандмауэр вместе с агентом и защиту от Web-угроз, которая оценивает потенциальный риск запрошенной Web-страницы, прежде чем ее показать.

Функция TrendProtect (также часть базы данных безопасности Trend Micro) может оценить уровень риска гиперссылок на Web-странице. Worry-Free использует мониторинг поведения, фильтрацию контента и даже защиту транзакций, которая проверит защищенность Wi-Fi-сетей, и имеет буфер паролей — это экранная клавиатура для безопасного ввода имени пользователя и пароля, скрывающая текст от перехватчиков нажатий клавиш.

Единая защита от угроз (UTM)

Устройств единой защиты от угроз (UTM) на рынке предостаточно, но есть такие, которые лучше других. Check Point прошла путь от брандмауэров до VPN и теперь нацелена исключительно на безопасность. Настолько, что ее устройства обеспечивают защиту всех компаний списка Fortune 100.

Ее UTM-1 Edge — полностью готовое к работе устройство. Это решение, предназначенное для СМБ или филиалов компаний. Оно включает межсетевой экран, защиту от спама, контроль сетевого доступа (NAC), Web-фильтрацию, обнаружение вторжений (IDS) и VPN — всё это с централизованным управлением. UTM-1 предлагается с беспроводным шлюзом или ADSL-модемом либо в промышленном исполнении для экстремальных температур. Устройство включает также расширенную фильтрацию Web-адресов и блокирование чата и может осуществлять структурированную фильтрацию спама. Можно создать политики и внедрить их в масштабе всей компании.

Таковы лучшие, на взгляд Тест-центра, решения, которые позволят построить надежную инфраструктуру безопасности. Несмотря на сокращение бюджетов и экономию на всем, компании будут вынуждены инвестировать в технологии безопасности, чтобы надежно защитить самый ценный свой актив — данные.