Защита критически важных систем — вопрос выживания компании
Информационные системы играют все более значимую роль в деятельности компаний. Иногда от их работоспособности зависит состояние бизнеса, а выход из строя некоторых серверов может привести к большим потерям или даже к полному банкротству компании. Традиционно такие системы защищают от аппаратных или программных сбоев путем дублирования, однако от вирусной атаки невозможно защититься с помощью кластера — при нападении будут заражены все его узлы. Тема защиты особо важных приложений была затронута на семинаре Softline, который был посвящен антивирусным продуктам компании Symantec.
Symantec Critical System Protection (SCSP), продукт, который предназначен специально для защиты критически важных систем, объединяет в себе функции сетевой защиты, предотвращения вторжений, контроля операционной системы и приложений, аудита и анализа происходящих событий. Для защиты от сетевых атак в продукте применяется блокировка портов, ограничение на сетевые подключения для приложений и разграничение трафика. Предотвратить эксплуатацию уязвимостей, в том числе и неизвестных, помогают встроенные технологии контроля за поведением приложений и операционной системы и защиты от переполнения буфера. Чтобы пользователи не могли нарушить работу системы, продукт фиксирует системную конфигурацию и настройки, следит за соблюдением политики безопасности, минимизирует пользовательские полномочия и контролирует использование сменных носителей. Для выявления инцидентов SCSP анализирует системные журналы, порождает сообщения о замеченной угрозе безопасности и инициирует заранее определенную процедуру обработки этого инцидента. В SCSP не хватает только резервного копирования данных, однако, по заверению разработчиков, это можно организовать с помощью других средств.
Для предотвращения вторжений в SCSP используется технология HIPS (Host Intrusion Prevention System), которая контролирует поведение известных программ в соответствии с заранее определенными шаблонами. Набор таких шаблонов для наиболее распространенных приложений входит в состав самого SCSP. Он состоит из правил поведения серверных продуктов Microsoft, ядер операционных систем Linux и Solaris, Web-сервера Apache, почтовых серверов Postfix и Sendmail. Для остальных программ есть средства определения собственных шаблонов поведения. Система также блокирует попытки манипуляции с памятью процессов, которые характерны для атаки с помощью переполнения буфера. Процесс, который замечен в манипуляциях с памятью, будет закрыт SCSP.
Впрочем, на серверные системы, как правило, хакеры нападают через корпоративные рабочие станции, поэтому компании, которая имеет критически важную систему, нужно позаботиться и о комплексной защите рабочих мест своих сотрудников. Symantec планирует в конце сентября выпустить решение под названием Symantec Endpoint Security 11.0 (сейчас этот продукт носит имя Hamlet), в котором реализовано большинство перечисленных выше механизмов защиты, но уже для клиентских ПК. Предусмотрен в этом продукте и контроль поведения приложений, и сбор всех записей о происходящих событиях в единый системный журнал, и контроль использования съемных носителей и периферийных устройств. Сочетание SCSP и Hamlet позволит компании построить полную защиту от всех типов угроз для критически важных приложений и систем.