Средства обеспечения безопасности и продукты различных поставщиков смогут поддерживать взаимодействие друг с другом
Традиционные средства безопасности, к которым относятся межсетевые экраны, виртуальные частные сети и системы обнаружения вторжений, не обеспечивают сегодня надежной защиты от атак на уровне приложений, поэтому руководители служб безопасности возлагают надежды на продукты следующего поколения — сканеры уязвимых мест, шлюзы безопасности для приложений и системы управления обновлениями.
Однако даже лучшие в своем классе автономные средства по-прежнему нуждаются в индивидуальной настройке и вмешательстве человека.
При этом процедура управления системой безопасности в целом требует слишком большого объема ручной работы, занимает много времени и в конечном счете приводит к возникновению ошибок.
Учитывая все это, ассоциация Organization for the Advancement of Structured Information Standards (OASIS) приступила к разработке нового стандарта интероперабельности систем безопасности Application Vulnerability Description Language (AVDL).
Спецификации AVDL, предложенные ведущими поставщиками и пользователями средств обеспечения безопасности приложений, создают функционально богатый и эффективный набор согласованных схем XML, описывающих свойства системы безопасности и уязвимые места приложений.
С помощью стандарта AVDL средства обеспечения безопасности и продукты различных поставщиков смогут поддерживать взаимодействие друг с другом, а координация соответствующих операций позволит автоматизировать управление системой безопасности.
Новые специализации формируют для Web-приложений безопасную среду, которая помогает автоматизировать выполнение рутинных операций. К их числу прежде всего относятся операции, связанные с проведением обновлений и внесением в конфигурацию изменений, призванных удовлетворить растущие потребности приложений и политик безопасности. Таким образом, администраторы получают возможность сосредоточить основные усилия на высокоуровневом анализе политики.
Поскольку спецификации AVDL содержат согласованное описание всех предупреждений об обнаружении новых уязвимых мест, автоматизация управления безопасностью заметно снижает время реакции, закрытия критически важных с точки зрения уязвимости окон и способствует укреплению безопасности в целом.
Бюллетени предупреждений на основе AVDL обеспечивают эффективность доступа пользователей к коллективным знаниям, накопленным специалистами в области безопасности. Ведь сегодня даже крупные организации вынуждены считаться со стремительным развитием отрасли и своевременно предпринимать необходимые меры.
Концепция, положенная в основу схемы AVDL, состоит в выполнении транзакции на уровне приложений — создании так называемого зонда, который описывает процедуру обмена информацией между браузерами и серверами приложений Web с помощью протокола HTTP. За счет определенных издержек можно получить подробные спецификации сообщений HTTP на различных уровнях абстракции (в виде потока необработанных байтов или в форме уже прошедших синтаксический анализ конструкций заголовков HTTP). Подобные зонды могли бы предоставить весьма ценную информацию о процедуре обмена информацией на уровне запросов и ответов между браузерами и серверами или определить характер использования уязвимых мест приложения.
В первом случае сбором основных сведений (включая целевые адреса, связи, фрагменты данных о предыстории обращений и другие данные заголовков, а также параметры запроса или формы, их атрибуты и диапазон разрешенных значений) занимаются зонды, следящие за перемещением информации. Их можно использовать для автоматического контроля за соблюдением политик безопасности.
Во втором случае зонды выделяют конструкции, в отношении которых возникают вопросы, и предоставляют подробные спецификации уязвимых мест, в том числе описания для человека и информацию об использовании ресурсов для машины.
В этих описаниях содержатся сведения о серьезности обнаруженных уязвимостей, характере их эксплуатации и истории обращений к ним. Зонды уязвимых мест собирают данные, необходимые для настройки конфигурации защитных правил «отказа», и информацию о доступности последних исправлений и изменений, ориентированных на дальнейшую автоматизацию процессов управления.
При типичном сценарии сканер безопасности анализирует приложение и выявляет его недостатки и уязвимые места. Собранная информация затем пересылается другим устройствам в форме наборов зондов AVDL. Приемные механизмы (например, системы управления обновлениями или шлюзы безопасности) используют входные данные AVDL для автоматической генерации рекомендуемой конфигурации.
При такой технологии исключаются неизбежные упущения и ошибки, возникающие при внесении корректив вручную.
В конце концов управление все равно замыкается на администраторах системы безопасности, которые отвергают, модифицируют или подтверждают выполнение рекомендуемых операций.
Технология AVDL позволяет сэкономить время, силы и деньги, повышая при этом точность, устойчивость, а в конечном итоге и безопасность процедуры установки и настройки конфигурации.
Некоторые производители уже успели продемонстрировать интероперабельность своих продуктов на конференции RSA Conference, подтвердив тем самым достаточную зрелость и коммерческую жизнеспособность AVDL.
