2.3Корпоративные информационные системы
Инициативы, связанные с повышением безопасности своих программных продуктов, выдвигают все ведущие производители. К примеру, Oracle говорит о «непробиваемых вычислениях», а Microsoft пропагандирует Trustworthy Computing, последовательно совершенствуя механизмы защиты, интегрированные в ее продукты, и вместе с тем еженедельно публикует исправления для своих продуктов, критичных с точки зрения безопасности. Аналогичные проблемы встают и перед разработчиками продуктов с открытыми кодами — ошибок здесь не меньше, а возможностей для анализа куда больше. В частности, фонд Mozilla Foundation объявил программу Security Bug Bounty Program Bug, в рамках которой за подробную информацию о найденных в программах семейства Mozilla критических для безопасности дефектах выплачивается премия. В задачи мониторинга безопасности входит контроль за соблюдением правил политики безопасности и нарушений в работе защитных механизмов. Для этого все служебные сообщения, порождаемые в корпоративной системе, должны сопоставляться и анализироваться, а результатом может быть отчет о состоянии информационной системы и, возможно, рекомендации по ее улучшению. Продукты этого типа можно отнести к одному из следующих классов. Intrusion Detection System (IDS). Детекторы вторжений собирают информацию о защищаемой системе и в случае возникновения подозрений поднимают тревогу. Контролироваться могут сетевые потоки и сообщения от сетевых экранов (сетевые детекторы), а также процессы ОС и открываемые порты (системные детекторы). Существуют также детекторы вторжений в базы данных и другие приложения. Традиционно подобные инструменты используют сигнатуры уже известных атак, но в последнее время наметилась тенденция применять в них методы систем категории IDP (гибридные средства обозначают термином Intrusion Detection and Prevention), которые используют технологии искусственного интеллекта. В качестве примера IDS можно привести свободно распространяемую систему SNORT. Детекторы дефектов. Служба безопасности может не ждать атаки злонамеренных нападающих для проверки надежности своей защиты, а самостоятельно проводить их. Для этого можно использовать детекторы дефектов или сканеры уязвимостей. Они автоматизируют проведение стандартных атак, не нанося вреда и проверяя реальный уровень защищенности корпоративной среды. Детекторы дефектов подготавливают списки уязвимых мест корпоративной системы и рекомендации по их защите. Эта информация в дальнейшем может быть использована для изменения политики безопасности предприятий. Пример детектора дефектов — свободно распространяемый инструментарий Nessus. Средства управления событиями. Корпоративная система ежесекундно порождает огромное количество событий, которые записываются в системные журналы. Часть из них имеет отношение и к событиям безопасности. Их нужно уметь выделить из общего потока и привлечь к ним внимание администраторов. Системы обработки событий предназначены, в основном, для административных нужд и учета ресурсов, однако, их можно использовать и для отправки оповещения сотрудникам службы безопасности о подозрительной активности. С помощью системы управления событиями можно автоматизировать реакцию системы на нападения, поскольку продукты этого класса, как правило, имеют возможность автоматического изменения конфигурации системы. Системы предупреждения. Системы данного класса с помощью датчиков, расположенных в разнообразных частях Сети, контролируют общую активность пользователей Internet, пытаясь найти в ней подозрительную активность. Как только эксперты, контролирующие такую глобальную систему мониторинга, обнаруживают появление нового вируса или троянского коня, они рассылают предупреждения всем своим подписчикам с рекомендациями защиты от новой угрозы. Есть аналогичные глобальные системы мониторинга, которые следят за появлением новых сообщений о найденных ошибках. В качестве примера подобных решений можно привести сервисы Symantec DeepSight Threat Management System. Ловушки. Хорошим средством мониторинга нападений являются ловушки, которые специально предназначены для привлечения хакерской активности нападающих. Внешне ловушка выглядит как очень привлекательный ресурс, на котором происходит определенная активность. Однако это виртуальная среда, которая лишь создает видимость бурной деятельности, но основная ее задача как можно подробнее фиксировать действия посетителей. Легальные пользователи на нее не должны попадать, поэтому все заходящие по умолчанию считаются злоумышленниками и система должна собрать на них максимально подробное досье. В качестве примера подобного продукта можно привести Symantec Decoy Server.
Данный список средств защиты далеко не полон. Постоянно появляются инструменты, которые собирают информацию о новом типе приложений или реализующие более интеллектуальный анализ данных. К тому же средства мониторинга могут организовываться в иерархические структуры, когда данные, например, с ловушек передаются в систему управления событиями и далее попадают в системы управления для предотвращения дальнейшей атаки.Полным арсеналом средств защиты не располагает ни один производитель. Такие компании, как Cisco Systems и Symantec активно скупают специализированные фирмы, поставляющие отдельные достаточно популярные продукты, однако ряда компонентов до сих пор нет и у этих «интеграторов» защитных комплексов. Тем не менее, процесс консолидации рынка информационной безопасности идет стремительно, поэтому, возможно, скоро на этом рынке останутся лишь несколько крупных компаний (к двум названным, возможно, стоит добавить такие имена, как Computer Associates, CheckPoint вместе с партнерами по альянсу OPSEC или Internet Security Systems), которые будут предлагать исчерпывающий спектр решений.
Компания Cisco Systems занимается выпуском оборудования для организации сетей передачи данных, а с недавнего времени начала интегрировать в свои устройства технологии информационной защиты, начав с сетевых экранов Cisco PIX, а потом купив еще ряд технологических компаний. Компания, в основном, занимается продажей сетевого оборудования, а не программного обеспечения, поэтому ее продукты ориентированы, главным образом, на сферу применения политики безопасности. Например, имеется уникальный механизм защиты от распределенных DoS-атак — связка Traffic Anomaly Detectors и Guard.
По части управления у Cisco наиболее сильной стороной являются средства контроля доступа — серия продуктов Cisco Secure Access Control, работающая на различных платформах. В то же время средства управления собственно устройствами сконцентрированы на отдельных продуктах или их классах, но не в целом по всем задачам обеспечения информационной безопасности предприятия. Тем не менее, компания предлагает по своей дистрибьюторской сети решение своего партнера — Security Information Management Solution. Есть в арсенале компании также и средство предупреждения об угрозах — Threat Response.
Наибольшую компетенцию Cisco имеет в области исполнительных устройств, причем предпочтение отдается предустановленным решениям: сетевые экраны PIX и решения для организации VPN, интегрированные в некоторые серии сетевых устройств. Есть у Cisco и специализированное программное обеспечение, которое устанавливается на удаленных мобильных клиентах и позволяет реализовывать на них корпоративную политику безопасности — это Security Agent и Trust Agent. Из средств мониторинга можно назвать только различные варианты детектора вторжений и специализированный модуль для Catalyst 6500, представляющие собой высокоскоростную систему обнаружения вторжений в маршрутизаторе — IDSM.
Компания ISS начинала свою «карьеру» с детекторов дефектов Internet Scanner и других продуктов, к которым затем добавились средства обнаружения вторжений RealSecure. Постепенно ассортимент компании расширялся, в основном, в направлении средств мониторинга и управления. Постепенно появились и предустановленные решения, например, на платформе Nokia. Определенное развитие получили работы по ускорению функционирования механизмов IDS. Постепенно в портфеле продуктов компании появилось и средство централизованного управления SiteProtector, которое позволяет управлять решениями ISS и обеспечивать взаимодействие с продуктами других производителей. Постепенно в SiteProtector начали появляться дополнительные модули, которые позволяли коррелировать работу детектора дефектов и детектора нападений SecurityFusion Module. При этом компания стимулирует также разработку дополнительных модулей сторонних разработчиков.
Максимальную компетенцию компания накопила в области выявления дефектов в системе защиты и обнаружения нападений. В частности, кроме сканера IP-протокола у компании есть анализатор дефектов в операционных системах, в базах данных и даже в беспроводной сети. Детекторы нападений также работают на разных уровнях (компьютерная сеть, серверы, рабочие станции). Таким образом, продукты ISS могут работать на разных уровнях и тем самым прикрывать друг друга.