Эшелонированная оборона

Принцип эшелонированной обороны получает все более широкое распространение среди специалистов по безопасности. Однако, его практическая реализация часто неверна. Стратегия обороны не должна ограничиваться лишь нагромождением многочисленных контрольных проверок и технологий защиты. Сущность эшелонированной обороны - в продуманном расположении средств защиты. Для успешной организации эшелонированной обороны необходимо провести хороший анализ угрозы, в ходе которого необходимо определить:

• ресурсы и значение этих ресурсов;
• опасности, которым подвергаются ресурсы, и вероятность каждой угрозы;
• векторы угрозы, которые могут быть использованы для атаки на предприятие.

Концепция эшелонированной обороны существует тысячи лет, поэтому я приведу часто используемый пример средневекового замка, чтобы показать, что свойственно, и что несвойственно эшелонированной обороне. Для ясности изложения, упростим задачу и рассмотрим только один из векторов угрозы, против которого необходимо защитить замок: прямая атака через главные ворота. Замок располагает многочисленными средствами защиты против этого вектора угрозы. Если оборона правильно организована, взломщикам придется преодолеть каждый рубеж, прежде чем им удастся по-настоящему угрожать людским, военным, политическим или материальным ресурсам замка.

Во-первых, нападающие должны уклониться от града стрел на подходе к замку. Затем, если подвесной мост поднят, нападающие должны преодолеть ров и проникнуть в ворота, закрытые поднятым мостом. После этого нападающие должны пройти по узкому проходу, образованному стенами и попытаться пройти сквозь внутренние ворота под ударами защитников замка.

Этот сценарий - хороший пример многоуровневой обороны, организованной против одного вектора угрозы. Однако, простое наличие средств защиты не означает, что предприятие располагает действительно эшелонированной обороной против конкретных угроз. Например, еще один вектор угрозы против замка - подрыв стен. От этой опасности защищает ров, но как быть, если осаждающим удастся осушить его? Оборону замка вряд ли можно назвать эшелонированной, если нет дополнительных средств, например, глубоко уходящего в землю фундамента или готового запаса кипящей смолы, которую можно в любой момень вылить на противника со стен.

В мире ИТ не существует единого непреодолимого средства защиты, и ни одна стратегия информационной безопасности не будет полной без эшелонированной стратегии. Непросто реализовать эту стратегию в корпорации, которой необходимо защитить свои информационные ресурсы. Преимущество замков заключалось в наличии единственной точки входа, а в производственных сетях компаний существует множество входов (в частности, соединения с поставщиками, провайдерами услуг и потребителями), что делает оборону более пористой. Кроме того, в настоящее время число векторов угроз гораздо больше, чем несколько лет назад. В начале 1990-х безопасность сети сводилась, в сущности, к защите от атак на уровне пакетов, а брандмауэры были маршрутизаторами с дополнительными возможностями. Сегодня угрозы для внутренних ресурсов исходят от переполнений буфера, SQL-подмен, вредных Web-страниц, почтовых сообщений с активным контентом, беспроводных соединений, поддельных URL и многих других типов атаки.

В столь динамичной, сложной среде взломщик может обойти любое препятствие при наличии благоприятных обстоятельств. Рассмотрим, например, антивирусные программы. Новый вектор атаки может обойти классические проверки, также как программы IM обходят проверки со стороны антивирусных утилит. К сети предприятия может быть подключен единственный компьютер без обязательной антивирусной программы. Важное обновление вирусных сигнатур может выйти с опозданием или не будет применено в филиале. Антивирусный механизм может пропустить вирус, или произойдет сбой антивирусной программы из-за некорректного исправления. Все эти события случаются в действительности.

Стратегия исчерпывающей эшелонированной обороны

В современных условиях важнее, чем когда-либо в прошлом, применить несколько средств против каждой угрозы. На примере антивирусной программы можно рассмотреть, как использовать комбинированные приемы для формирования исчерпывающей эшелонированной обороны против вирусов и других вредных программ.

Начальный уровень представлен антивирусной программой, направленной против самых распространенных векторов (или входов) угрозы, к которым относятся электронная почта, Web и IM. Антивирусную технологию следует установить на шлюзовых серверах SMTP, которые обрабатывают входящий почтовый поток, и развернуть антивирусное программное обеспечение на брандмауэрах и входных устройствах, которые перехватывают данные, пересылаемые при перемещениях по Web и загрузке файлов. Средства безопасности IM менее зрелые, чем решения для электронной почты и Web. Кроме того, проблема усложняется из-за широкого распространения IM-служб и способности IM-клиентов обходить защитные меры шлюзов. Тем не менее, существуют решения, с помощью которых можно направить внутренние и внешние IM-сообщения через единый канал с антивирусным фильтром и другими функциями безопасности.

Но электронная почта, Web и IM - не единственные векторы распространения вредных программ. Например, ими могут быть сменные носители, в частности, гибкие диски, компакт диски, устройства USB и флэш-памяти. Пользователь может принести ноутбук в Internet-кафе, подключиться к Wi-Fi-сети, подвергнуться нападению, а затем вернуться с компьютером в офис и установить соединение с сетью предприятия, обойдя периметрическую защиту. Это лишь немногие из возможных путей распространения опасных программ. Невозможно блокировать все маршруты проникновения с помощью специализированных средств. В конечном итоге, в каждой организации появляются защищенные векторы и открытые векторы без превентивных мер.

Что происходит, если вредная программа обходит периметрическую защиту через незащищенный вектор, или специализированное средство безопасности оказывается неэффективным? Дальнейшее развитие событий зависит от наличия эшелонированной обороны. В средние века главной заботой защитников замка была круговая оборона от атаки по окружающей местности. Оборонительные укрепления начинались на дальних подходах к замку, и становились все более мощными по мере приближения к центру замка. Наиболее защищенной была главная башня, которая представляла собой замок в замке. Если изобразить оборонительные рубежи в виде концентрических кругов вокруг защищаемого объекта, то становится очевидной причина выбора данного подхода. Чем дальше от объекта, тем больше длина окружности и тем больше ресурсов требуется для организации круговой обороны.

Различные методы защиты от вирусов, рассмотренные выше, обеспечивают широту, но не глубину обороны. Например, зараженный файл проходит проверку не более, чем одним из антивирусных инструментом, в зависимости от вектора, из которого появился файл. Несмотря на важность ширины, нельзя надеяться блокировать любую опасность на физическом или логическом периметре сети. Поэтому блокируются самые простые или часто используемые векторы заражения, а затем формируется более глубокое кольцо обороны.

Второй уровень обороны может представлять собой комбинацию средств обнаружения, лечения и дополнительной профилактики. Пример средств обнаружения - сканирование файлов в процессе приема. Во многих антивирусных продуктах файлы проверяются прежде, чем их смогут открыть приложения. Антивирусное решение, которое отправляет в карантин или восстанавливает файлы, одновременно выполняет и функцию лечения. Если сканирование файлов в процессе приема приводит к заметному падению быстродействия пользовательских систем или процессоров, то можно регулярно сканировать тома серверов и рабочих станций, и другие хранилища файлов в периоды малой рабочей нагрузки.

Разнообразные другие средства обнаружения могут быть как сложными, так и простыми, но эффективными. К сложным относятся системы обнаружения и предотвращения несанкционированного доступа, которые контролируют трафик в сетях, отыскивая вирусы и "червей". Однако, в этих дорогостоящих системах используется база данных известных атак, которая нуждается в постоянном обновлении. Кроме того, при анализе пакетов существует проблема потерянных пакетов и некорректного восстановления потоков данных. Среди простых решений - организация папок-приманок, в которых содержатся легко доступные для модификации файлы. Затем специальные процессы обнаруживают изменения в файлах. Файлы представляют собой лишь наживку, и любая попытка изменить их может рассматриваться как свидетельство деятельности вредной программы.

Можно реализовать другой уровень превентивного контроля, разместив брандмауэры на хост-машинах, максимально ужесточив порядок изменения файлов и исключив или ограничив доступ к разделяемым папкам. В результате всех этих мер вирусам и "червям" труднее обнаруживать еще незараженные файлы и системы.

Оценка надежности защиты

Эшелонированная оборона - эффективный способ борьбы с многовекторными постоянно меняющимися опасностями в современной информационной среде. Защита должна быть не только широкой, но и глубокой. Не следует ограничиваться лишь физической зоной обороны, рассматривая только физическую сеть и границы систем. В отличие от архитектора замка, которому требовалось защитить единственную точку входа, администратору ИТ приходится иметь дело со множеством точек в виде отдельных компьютеров, приложений, хранилищ данных и процессов. Оборона будет действительно эшелонированной, если для каждого ресурса существует более одного средства защиты от конкретной угрозы.