20 января 2009 г.
Сетевые атаки, кражи баз данных, всё более изощренный спам и попытки фишинга...Не каждая растущая или новая угроза попадает в заголовки новостей. Но они есть и постоянно видоизменяются, становясь серьезнее и находя всё новые лазейки, чтобы атаковать корпоративную ИТ-инфраструктуру.
Тест-центр CRN провел последние несколько месяцев, анализируя вполне обычные, но тем не менее опасные сетевые угрозы, используя собственную сеть-приманку (honeynet). Атаки приходят из таких мест, как Китай и даже Средний Запад США. Временами наблюдалось почти непрерывное, 24x7, сканирование портов безымянными, безликими сетевыми рейдерами, искавшими, как проникнуть в наш центр обработки данных. Мы наблюдали всплеск атак на нашу базу данных SQL ближе к концу 2008 года. На один из наших ноутбуков попало вредоносное ПО, предприняв попытку взломать банковский счет.
Если бы эти атаки были направлены против медицинского учреждения, сети супермаркетов или государственного органа, мог бы быть причинен огромный ущерб в результате кражи баз данных клиентов или уничтожения записей. Даже мелкие компании, столкнувшись с такими атаками, могут серьезно пострадать, если, к примеру, атакован почтовый сервер, уничтожены все записи, и требуются тысячи долларов, чтобы всё восстановить. Гораздо лучше понимать возможные слабые места и усилить их защиту.
Давно ушли те времена, когда сетевая безопасность означала лишь установить клиент-серверный антивирусный пакет и регулярно обновлять файлы сигнатур на всех машинах. Даже так называемая единая защита от угроз (UTM) сама по себе недостаточна, чтобы полностью защитить сеть. Сегодня надежная защита сети это не просто оборона, но упреждающее обнаружение возможных угроз - например, непрерывное сканирование портов на предмет возможных попыток вторжения и мониторинг любых изменений, сделанных не только извне, но и изнутри корпоративной сети.
Поэтому сегодня в условиях всё новых сложных угроз для действительно надежной защиты сетевой инфраструктуры используется не одна, даже самая лучшая технология безопасности, а стратегия многоуровневой всесторонней защиты. Имея это в виду, мы решили взглянуть на главные точки уязвимости типичной сети, исходя из угроз, которые мы наблюдали собственными глазами в нашей тестовой сети. Мы изучили основные продукты, которые могут защитить эти слабые места и надежно запереть сеть от злонамеренных атак и даже просто беспечности пользователей. Рассмотренные продукты включали предложения от Guardium, Sophos, Trend Micro Inc., Sourcefire Inc. и Check Point Software Technologies Ltd.
Мы начали с того, что очертили несколько главных типов защиты, которые необходимы в типичной корпоративной сети: защита баз данных, обнаружение/ блокирование вторжений, безопасность точек подключения к сети, защита от вредоносного ПО и контроль Web-контента. Есть несколько продуктов, обеспечивающих по крайней мере один или несколько из этих типов защиты. Далее следует описание некоторых лучших продуктов, которые охватывают каждую из этих областей.
Защита баз данных
Было немало атак на SQL Server в прошлом году, о чем свидетельствуют отчеты об угрозах в сети Тест-центра за 2008 год. Зарегистрировано также бессчетное количество попыток взлома SQL.
Взлом баз данных был темой многих громких историй нарушения компьютерной безопасности в 2008 году, и поэтому многие компании обращаются к таким решениям для защиты баз данных, как Guardium. Это сетевое устройство обеспечивает защиту от внешних и внутренних угроз. Модель, испытанная Тест-центром, представляла собой усиленную версию Dell PowerEdge 1950, имеющую 160 Гбайт памяти и патентованный механизм сжатия данных. Guardium исключает взлом баз данных, обеспечивая мониторинг в реальном времени и предупреждения, включая мониторинг учетных записей привилегированных пользователей, таких как администраторы баз данных.
Решение включает службу Software TAP - агент, который устанавливается на той же машине, где находятся базы данных. Установка агента S-TAP выполняется легко и быстро. Что еще лучше, служба S-TAP включает собственный аудит и мониторинг; если предпринята попытка ее деинсталляции, будет послано предупреждение.
Web-консоль управления позволяет легко сконфигурировать политики структурированной безопасности. При любых нарушениях политики Guardium обеспечивает высокий уровень предупреждений и противодействия. В случае обнаружения атаки или кражи данных устройство может дать детальную информацию: с какого IP и что было атаковано, к каким таблицам был получен доступ, и какое приложение было задействовано. Дается также информация о пользователях, которые могли быть обмануты.
Понятно, что финансовое учреждение может иметь миллионы учетных записей пользователей, хранимых в базе данных. Если часть этих данных украдена, то Guardium может сообщить, какие именно данные пострадали. Столь детальная информация позволит компании немедленно связаться с этими конкретными лицами, не рассылая предупреждения всем своим клиентам, что их счета, возможно, взломаны.
Вот пример возможностей противодействия: в случае нарушения политики паролей Guardium может блокировать учетную запись. Можно задать пороговые уведомления (correlation alerts) - это предупреждения, которые посылаются, и действия, которые предпринимаются в случае, если нарушение превысило определенный пороговый уровень. Один из типичных способов, как можно использовать пороговые уведомления - это обнаружить ряд последовательных попыток зарегистрироваться в течение короткого промежутка времени - скажем, менее 5 минут. Как правило, это верный признак попытки взлома. Guardium обеспечивает высокий уровень анализа уязвимости. Вместе с аналитикой и статистикой баз данных это дает детальную информацию о том, кто или что атакует или пытается атаковать данные. Можно также исключить несанкционированный доступ к конфиденциальным данным и маскировать конфиденциальную информацию в таблицах (например, директор по информационной безопасности может не хотеть, чтобы системный администратор видел номера карточек соцобеспечения заказчиков.)
Защита баз данных в Guardium включает, быть может, самые мощные средства соблюдения регулятивных норм, какие довелось видеть Тест-центру. Имеются шаблоны и высокоуровневые, но простые в использовании, сводки лучших методов для PCI (стандартов безопасности отрасли платежных карточек), закона Сарбанеса-Оксли (SOX), требований Административно-бюджетного управления Белого дома (OMB) и конфиденциальности данных. Эти шаблоны можно легко модифицировать, чтобы удовлетворить и другие требования, в частности HIPAA (Закон о переносимости и подотчетности документации о страховании здоровья).
Устройство охраняет также «черный ход». Агент S-TAP сидит на самом сервере базы данных, так что контролируется служебный трафик, включая соединения через именованные каналы или разделяемую память. Обеспечена также установка всех текущих и требуемых «заплат» и защита клиентских Web-приложений. Обнаружение аномалий позволяет блокировать атаки внедрения кода SQL.
Еще одна впечатляющая особенность - это отсутствие потерь производительности СУБД при использовании Guardium. Ведение журналов и мониторинг осуществляются на самом устройстве; в результате накладные расходы гораздо ниже, чем если используется встроенный мониторинг СУБД.
Обнаружение/ блокирование вторжений
Обнаружение и блокирование вторжений (IPS/IDS) стало сегодня важной частью сетевой безопасности. Многие продукты включают некую «разбавленную» функциональность IPS/IDS как часть полного решения, но Sourcefire - ведущий разработчик в этой области. Основателем компании является создатель SNORT - сетевой системы IPS/IDS с открытым кодом, и высокий уровень знания этой технологии очевиден в системе 3D от Sourcefire. Эта IPS/IDS представляет собой трехуровневое решение, компонентами которого являются IPS, Adaptive IPS и корпоративная защита от угроз (Enterprise Threat Management).
Установка проста. С помощью «мастера» конфигурируется сенсор; для этого нужно ввести сетевые параметры. После того, как сенсор запущен, администратор может выбрать одну из политик IPS по умолчанию (которые можно также модифицировать). Эти политики защищают от известных угроз и атак в день "икс". Web-интерфейс управления носит название Defense Center Management Console. Возможности индивидуальной настройки кажутся безграничными; можно создать желаемые виды, «перетаскивая» виджеты (widgets), выбор которых велик. Можно даже добавить RSS-каналы с вебсайта Sourcefire или других сайтов новостей Интернет-безопасности, чтобы администратор был в курсе всех последних событий в этой области.
Попытки вторжения можно детально анализировать. При тестировании Sourcefire обнаружил сетевого "троянца" как событие с высоким приоритетом, а также IP-адреса, которые были мишенью. Когда обнаружено событие, щелчком правой кнопки мыши вызывается меню, позволяющее выполнить различные действия для этого события. Предлагаются готовые отчеты, или же можно создать свои собственные. Система может обеспечить предупреждение в реальном времени через системный журнал, по электронной почте или через SNMP.
Adaptive IPS - это служба наблюдения за сетью (Realtime Network Awareness, RNA) от Sourcefire. Она дает возможность понимать, что вы защищаете. С помощью RNA можно создать карту сети, чтобы получить детальную информацию в реальном времени об операционной системе, портах, службах, протоколах и тысяче других вещей, касающихся сети. Adaptive IPS находит также потенциальные уязвимости хоста и способна различать физические и виртуальные машины. Еще одной возможностью является автоматическая настройка IPS: система рекомендует, какие правила IPS следует применить к определенным хостам в зависимости от их местоположения и уровня критичности в организации. При любых изменениях в сети Adaptive IPS всегда оптимизируется. Благодаря данным о точках подключения, собранным RNA, модуль Defense Center может анализировать последствия и относительную важность атак.
Компонент Enterprise Threat Management включает блокирование вторжений, контроль идентичности пользователей, анализ сетевого поведения и соответствие ИТ-политике.
3D System от Sourcefire использует службу наблюдения за пользователями (Realtime User Awareness, RUA), чтобы получить полную картину всех машин. К примеру, администратор может видеть, если клиентская машина инфицирует другую клиентскую машину. Решение Sourcefire может измерить сетевой трафик и выявить аномалии, такие как распространение вредоносного ПО по сегменту сети, не контролируемому системой IPS.
Безопасность точек подключения к сети
Компания Sophos продолжает свое шествие как признанный лидер в сетевой безопасности. Ее Network Access Control Advanced - это корпоративное решение по защите точек подключения к сети (end-points). На все точки подключения устанавливается агент, который отлавливает такие вещи, как вредоносное ПО, реклама, шпионские программы и подозрительные файлы. NAC Advanced использует генотип поведения и осуществляет контроль приложений, а также контроль устройств (предложенный в начале прошлого года). Продукт обеспечивает защиту ноутбуков, настольных ПК и серверов. Он позволяет администраторам контролировать установку ПО пользователями и другие их действия, такие как использование пиринговых сетей, игр, чата или подключение съемных накопителей. NAC служит цели дать компаниям больше функциональности без потерь производительности на клиентских машинах. NAC Advanced является многоплатформным решением, которое совместимо с Windows, Mac OS, Linux, Unix и Open VMS.
Sophos обладает невероятной способностью создавать превосходные продукты в безопасности, сохраняя всё тот же уровень простоты в администрировании. Через консоль управления администратор может выполнять различные задачи, например, развернуть антивирусную защиту или политики на все точки подключения к сети. Это централизованное управление позволяет системным администраторам надежно следить за инфраструктурой с одной машины. Агент включает также клиентский брандмауэр; агент и защита точек подключения будут работать, даже если в сети установлен антивирус любого другого вендора. NAC Advanced - это способ обеспечить, что все точки подключения к сети удовлетворяют внутренним политикам безопасности. Точки подключения могут быть блокированы, если они не отвечают заранее заданному набору требований, который может включать обязательно запущенный антивирус, установленный на клиенте брандмауэр, включенную службу обновлений Windows или проверку того, что операционная система имеет все последние «заплаты» и обновления.
NAC Advanced позволяет расширить антивирусную защиту на мобильные устройства, использующие Windows. В планах компании структурированный контроль БЛВС, Bluetooth и инфракрасных каналов, но текущая версия NAC Advanced обеспечивает лишь общий контроль через эти интерфейсы: если вы не хотите, чтобы кто-то использовал адаптер БЛВС на ноутбуке, его можно блокировать. Sophos сделала упор на упрощение работы администратора. NAC Advanced прекрасно интегрируется с Active Directory, так что заданные политики автоматически распространяются на новых сотрудников и новые машины, и администратору не нужно добавлять их вручную через консоль.
Защита от вредоносного ПО/ Контроль Web-контента
Worry-Free Business Security Advanced - это хостинговое решение в безопасности от Trend Micro. Компания называет свой продукт «стражем глобального сетевого окружения». Worry-Free защищает Windows-серверы, клиентские машины и ноутбуки, использующие Microsoft Exchange, MS Small Business и MS Essential Business Server (выпущенный в версии 5.1). Поскольку это хостинговая служба, не требуется никаких дополнительных ресурсов в физической инфраструктуре. Предусмотрена Web-консоль с простой навигацией для централизованного управления, через которую администратор может отправить агенты клиент-серверной защиты на настольные ПК, ноутбуки и серверы, агент Messaging Security на сервер Exchange или объединить клиенты в логические группы для упрощения администрирования и конфигурирования. Через ту же консоль задается конфигурация защиты от вирусов и шпионских программ и можно вручную запустить сканирование.
Служба Worry-Free посылает уведомления о попытках вторжения или обнаружении любого вредоносного ПО. Это делается через хостинговый Security Server, который ищет активно циркулирующие и известные угрозы. Другие функции включают клиентский брандмауэр вместе с агентом и защиту от Web-угроз, которая оценивает потенциальный риск запрошенной веб-страницы, прежде чем ее показать.
Функция TrendProtect (также часть базы данных безопасности Trend Micro) может оценить уровень риска гиперссылок на веб-странице. Worry-Free использует мониторинг поведения, фильтрацию контента и даже защиту транзакций, которая проверит защищенность Wi-Fi сетей и имеет буфер паролей - это экранная клавиатура для безопасного ввода имени пользователя и пароля, скрывающая текст от перехватчиков нажатий клавиш.
Единая защита от угроз (UTM)
Устройств единой защиты от угроз (UTM) на рынке предостаточно, но есть такие, которые лучше других. Неудивительно, что Check Point выпускает качественные продукты, ведь это компания, создавшая первый коммерческий брандмауэр в 1993 году. Check Point прошла путь от брандмауэров до VPN и теперь нацелена исключительно на безопасность. Настолько, что ее устройства обеспечивают защиту всех компаний списка Fortune 100.
Ее UTM-1 Edge - это полностью готовое к работе устройство. Это решение, предназначенное для СМБ или филиалов компаний. Оно включает межсетевой экран, защиту от спама, контроль сетевого доступа (NAC), Web-фильтрацию, обнаружение вторжений (IDS) и VPN - всё это с централизованным управлением. UTM-1 предлагается с беспроводным шлюзом или ADSL-модемом либо в промышленном исполнении для экстремальных температур. Устройство включает также расширенную фильтрацию Web-адресов и блокирование чата и может осуществлять структурированную фильтрацию спама. Можно создать политики и внедрить их в масштабе всей компании.
Таковы лучшие, на взгляд Тест-центра, ингредиенты, которые позволят поставщикам решений построить надежную инфраструктуру безопасности для своих заказчиков. Пока что не видно конца нарастанию киберпреступности, и новый 2009 год принесет с собой новые угрозы. Так что, даже несмотря на сокращение бюджетов и экономию на всём, компании будут вынуждены инвестировать в технологии безопасности, чтобы надежно защитить самый ценный из своих активов - данные.
Источник: Сэмара Линн, CRN Tech