Захист мережі: як вести оборонний бій

Щоб захист була максимально ефективною, кожен елемент повинен перебувати в строго відведеному йому місці і виконувати саме ті функції, для яких він призначений. У цьому сенсі базову платформу безпеки можна порівняти з ешелонованої оборони: у неї є свої кошти "ближнього бою", свої "розвідники", свої "патрулі" і свої "диверсанти".


І, нарешті, кожному бою необхідний командир. Вмілий керівник добре знайомий з усіма можливостями і слабкими сторонами формувань і знає, як найефективнішим чином здійснювати контроль і синхронізацію військ згідно поточну обстановку, якій він також повинен володіти.


Ці методи принципово дуже схожі на ті, яким необхідно дотримуватися при створенні консолідованої та узгодженої системи інформаційної оборони, що розглядається в якості базової платформи безпеки.


Базова платформа безпеки визначається як опорна оборонна структура, в якій для раціональної захисту мережі найефективнішим чином використовуються існуючі технології і засоби. Вирішуючи кожному елементу використовувати своє порівняльну перевагу і функціонувати у взаємодії з іншими, дана платформа повністю сформує запропоновану стратегію мережевого захисту.


Стратегія захисту


У реальному бої стратегія, що визначає початкове положення бойових і розвідувальних підрозділів, повинна йти за планом, де ретельно розглянуті можливі сценарії очікуваної атаки. Для підготовки дієвого плану захисту спочатку потрібно позначити критичні чи важливі об'єкти, які не можна втратити. Потім необхідно проаналізувати їх слабкі сторони – це єдиний спосіб зрозуміти, яким чином може бути здійснено напад.

Перед фактичної розстановкою військ необхідний ретельний аналіз кожного ймовірного сценарію нападу, який може вплинути на критичні ділянки. Необхідно розглянути і прийняти до уваги всі схеми, починаючи з самої незначною і легкою у реалізації і закінчуючи найменш вірогідною.


Такий порядок дій дуже схожий на той, який необхідно застосовувати при створенні технологічної платформи захисту мережі. Подібно командирові бойової частини, інженер-проектувальник системи ІБ повинен ретельно вивчити слабкі сторони своєї мережі, вирішити, які об'єкти або конкретне устаткування найбільш уразливі або є життєво-важливими, а потім змоделювати всі можливі сценарії нападу, які можуть мати негативний вплив. І тільки після цього він може приймати рішення про тип технічних засобів, необхідних для зменшення потенційного збитку і зниження ризику.


Як і у випадку бойових дій, після того, як інженер визначив критичні компоненти мережі компанії, усвідомив їх вразливості і ймовірні сценарії очікуваних атак, йому необхідно перейти до наступного етапу і вибрати найбільш підходящий засіб забезпечення захисту.


Розташування сил і рубежі


Для оборонних дій потрібні різні види військ. Населені пункти звичайно припускають ближній бій, який можуть вести формування, навчені для вуличних боїв. Дезінформація передбачає методики, змушують наступаючі боку відхилитися від нападу на дійсно важливі об'єкти і витратити ресурси на помилкові цілі. Бій на кордоні вимагає військ, які можуть вести битви під відкритим небом, володіючи ефективними можливостями по довготривалого опору. Маскування складається із заходів, спрямованих на приховування життєво-важливих об'єктів. Розвідувальна операція допоможе "дізнатися ворога", проте для цього необхідний збір відомостей до бою або під час нього. Патрульні формування необхідні для виявлення супротивника, просочившегося через всі оборонні лінії.


Для підготовки дієвого плану захисту потрібно позначити важливі об'єкти, які не можна втратити


Такий багаторівневий підхід до оборони є невід'ємною частиною ефективної програми забезпечення захисту інформації. Оскільки в останні роки наступ на мережі зросла і стало більш витонченим, компанії, поставляють засоби ІБ, розробили цілий ряд нових технологій, що ще більше підкреслило необхідність в добре продуманому впровадженні багаторівневого підходу до захисту. У міру інтеграції нових засобів в програму мережевої безпеки відбувається визначення їх місця розташування і "експлуатаційних кордонів". Наприклад, виявилося, що деякі з них краще всього розташовувати на периферії мережі, тоді як інші – Біля ключових серверів, і, можливо, в DMZ-зоні. Немов у реальному бою, ці межі допомагають формуванням опинитися в потрібній точці і, виходячи зі своєї бойової підготовки, впоратися з погрозами найбільш ефективним шляхом.


Перший ешелон оборони


Перший ешелон оборони формують засоби забезпечення безпеки, призначені для ретельного захисту зовнішніх життєво-важливих мережевих елементів. Деякі з них також вважаються і останнім рубежем оборони мережі. Всі вони повинні вміти точно діагностувати обмін інформацією та операції, вироблені захищається системою, приймати рішення про наявність в поточний момент зловмисних дій, а також швидко їх припиняти. Для ефективної роботи ці кошти необхідно встановлювати на хостах, які вони будуть захищати, перед або безпосередньо на критично-важливій сегменті мережі – це і є експлуатаційні межі даного засоби захисту. За аналогією з реальними бойовими діями це – оперативні кордону формування.


У першому ешелоні можна виділити наступні рубежі оборони. Системи для виявлення вторгнення на рівні хоста та сервера повинні визначити доступ до життєво-важливих файлів, переповнення буфера, установку нелегітимних додатків, троянські версії системних файлів і використання в чужих інтересах вразливостей системи.



Засоби забезпечення безпеки, орієнтовані на додатки, повинні виконувати дії, спрямовані на їх захист. Широко відомим прикладом є захист web-сервера.


Системи виявлення й запобігання мережевої атаки, засновані на визначенні сигнатур, виконують дії з розпізнавання шаблонів атак. Для ефективного визначення попередньо заданих сигнатур їх необхідно розміщувати на життєво-важливих сегментах мережі.


Пастки для хакерів і мережі-приманки (honeypot і honeynet) теж можна порівняти з першим ешелоном оборони. Ці кошти намагаються обдурити нападаюча сторона і відвернути її на віртуальні або спеціальні сервери, не є реальними виробничими серверами захищається організації. За аналогією з бойовими діями ці засоби-пастки можна порівняти зі спеціальними підрозділами, які відповідають за дезінформування ворога з використанням, наприклад, хибних цілей. Крім того, можна провести паралель з реальними розвідувальними формуваннями, що відповідають за аналіз і вивчення способів атак, які ворог планує використовувати в майбутньому.


Всі вищевказані кошти захисту відносяться до першого ешелону оборони, подібно до того, як певні польові формування перебувають на першій лінії оборони в битві.


Другий ешелон оборони: захист периметра


У другій ешелон оборони входять технічні засоби, які обробляють атаки на периметр мережі – міжмережеві екрани, маршрутизатори з інтегрованою функціональністю захисту та деякі інші.


Щоб захист була максимально ефективною, кожен елемент повинен перебувати в строго відведеному йому місці і виконувати саме ті функції, для яких він призначений. У цьому сенсі базову платформу безпеки можна порівняти з ешелонованої оборони: у неї є свої кошти "ближнього бою", свої "розвідники", свої "патрулі" і свої "диверсанти".


Основними функціональними можливостями міжмережевих екранів і маршрутизаторів є контроль загального мережевого доступу і політик корпоративної віртуальної приватної мережі VPN (Virtual Private Network). Як правило, такі технічні засоби використовуються на шлюзі компанії або на стиках сегментів мережі.


Засоби забезпечення безпеки периметра можна співвіднести з формуваннями для кругової оборони в реальному бою.


У сфері захисту інформації другий ешелон захисту периметра використовують своє порівняльну перевагу у разі розташування на кордоні мережі, особою до зовнішнього світу. Цей зовнішній світ – інтернет. Якщо звернутися до аналогії з бойовими діями, то це оперативні кордону. Засоби захисту периметра повинні створювати повну картину характеристик обміну вхідної та вихідної інформацією в мережі, що захищається, що дозволить задати нормальні вихідні дані, найкращим чином відповідні оборонявся мережі. Вони повинні вміти визначати відхилення від цих початкових даних, приймати рішення про ступінь їх загрози для захищається мережі, а потім, відповідно, фільтрувати або блокувати їх. Відхилення такого виду звичайно відображають реалізацію блокуючих DDoS-атак (DDoS, Distributed Denial of Service або "розподілена відмова в обслуговуванні"). Засоби захисту периметра також повинні виявляти дії з зондування перед атакою, які виконуються за допомогою різноманітних методик мережевого сканування. Оскільки метою таких дій є зондування мережевих елементів для створення топографії атакується мережі, їх можна виявити тільки шляхом виконання аналізу даних з прикордонних шлюзів. Іншими словами, знаходження і запобігання подібним ситуацій також входить у відповідальність засобів забезпечення безпеки периметра.



Засоби захисту периметра зобов'язані також знаходити і запобігати розповсюдження комп'ютерних черв'яків, які можуть автоматично проникати через кордони мережі у внутрішні компоненти. Для виявлення цих зловмисних дій зазвичай використовуються спеціалізовані мережеві засоби забезпечення безпеки периметра.


Засоби забезпечення безпеки периметра також повинні вміти виконувати трансляцію мережевої адреси (NAT, Network Address Translation). Пристрій NAT призначено для приховування адреси внутрішніх компонентів мережі і зниження ймовірності зовнішніх атак (подібно заходам щодо маскування в умовах битви). На додаток до функцій контролю доступу і політик VPN, за NAT зазвичай відповідають прикордонні міжмережеві екрани і маршрутизатори.


Ще однією важливою обов'язком другого ешелону є захист внутрішніх елементів систем безпеки (першого ешелону). Без їхньої успішної роботи засобів перші будуть відчувати ослаблення своїх функціональних можливостей і стануть вразливими для блокуючих DDoS-атак, а в результаті підвищиться вразливість мережі до всіх видів атак в цілому.


Ефективна взаємодія військ


Під час бою всі формування повинні обмінюватися інформацією один з одним на універсальній мові або з допомогою попередньо узгоджених знаків. За відсутності ефективних протоколів зв'язку нападаючої стороні буде легше обійти оборонні сили. Ця концепція безпосередньо застосовна до тактики проектування систем захисту мережі.


Хоча правильне розташування елементів забезпечення безпеки в мережі, що захищається важливо, одного його недостатньо. Інженер-проектувальник систем безпеки має перевірити їхню здатність до обміну інформацією між собою, а також з іншими комплексами, як, наприклад, централізовані системи управління безпекою та мережею в цілому. Це дуже важлива складова повного формування ефективної платформи захисту. Зв'язок з сусідніми елементами поліпшить функціональність кожного окремого засобу і призведе до формування більш стійкою до атак.


Багаторівневий підхід до оборони є невід'ємною частиною ефективної програми забезпечення захисту інформації


Коли мова йде про середніх та великих мережах, в яких зазвичай встановлені системи різних виробників, дуже важливою стає можливість контролю всіх цих засобів захисту і управління ними шляхом одного. Системи SIM (Security Information Management, управління системами захисту інформації) розроблені для моніторингу, узгодження та управління різними елементами в мультивендорної середовищі. SIM забезпечує механізм застосування універсальної мови для "комунікації" між всіма пристроями захисту мережі, за умови, що всі засоби здатні підтримувати універсальні протоколи і можуть відправляти дані на центральний управляючий додаток або консоль. Завданням централізованої системи управління є збір, координація та аналіз відомостей з різних пристроїв захисту. У результаті приймається максимально надійне рішення по виявленню атаки і більш точно оцінюється загроза кожного інциденту. Централізоване управління також допомагає зменшити кількість зайвих, непотрібних повідомлень про погрози і поліпшити якість даних експертизи, яка може піти за виявленням нових інструментів нападу, вторгнень, черв'яків, троянських вірусів, і т.д.


Командування


У реальному бої необхідні воєначальники всіх рівнів – від командира відділення до командира корпусу – які координують дії і управляють військами на полі бою. Вони роблять це, виходячи із загальної картини, яка створюється з крупиць інформації, зібраної до бою і під час нього. Таких "керівників" можна порівняти з модулем прийняття рішень, який підтримується кожним елементом забезпечення інформаційної безпеки. Дані модулі несуть пряму відповідальність за дії кожного елемента, якому вимагає створення ефективного модуля прийняття рішень, швидко виконує збір, аналіз і співвіднесення надається цими пристроями інформації. Природно, що з метою підтримки таких модулів кожен пристрій буде застосовувати різні технології згідно з характером проблем, для вирішення яких він призначений. Модуль може бути дуже простим, як у випадку з пристроями контролю доступу, або ж більш "інтелектуальним", як у випадку з активними засобами забезпечення безпеки периметра, пристроями захисту, орієнтованими на додатки, і так далі. Природно очікувати, що перші будуть приходити до висновків швидше, ніж модулі інтелектуальних пристроїв.


Системи управління інформаційної безпеки (засоби захисту SIM) можна порівняти з командирами корпусів або генералами в боях. Ці генерали – життєво важливий чинник у широкомасштабних битвах. Подібно командирам, які отримують інформацію від усіх рівнів бойових сил, система управління повинна аналізувати різну інформацію і приймати рішення, що впливають на всю мережу. Це завдання вимагає передових складних технологій, які застосовуються і поліпшуються майже щодня.


Середні і великі мережі зазвичай складаються з різних видів елементів ІБ. Для створення ефективної і захищеної мережевої інфраструктури інженеру слід повністю розуміти головну роль кожного елемента системи захисту, його порівняльну перевагу і характерне місце розташування. І, хоча всілякі види наявних і з'являються засобів захисту в цій статті не розглядалися, практично до кожного виду систем безпеки можна застосувати аналогією з району бойових дій, що зробить більш зрозумілою складну архітектуру сучасних мереж передачі даних. Багаторівневий підхід, а також ефективний спосіб синхронізації засобів захисту на різних рівнях мережі формують базову платформу безпеки.


Єлизавета Валяєва

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*