Сложность типичной сетевой инфраструктуры возросла настолько, что даже одна ошибка в параметрах ключевого межсетевого экрана способна парализовать функционирование всей сети. К несчастью, о рисках зачастую задумываются лишь в тот момент, когда что-либо предпринимать уже слишком поздно.

 

История использования межсетевых экранов (МЭ) насчитывает уже более 20 лет, но мы все еще не научились как следует управлять этими устройствами и использовать их потенциал в полной мере. В результате бизнес не может противостоять угрозам, с которыми правильно настроенное сетевое оборудование могло бы справиться.

Среди основных упущений, из-за которых возникают риски безопасности, можно выделить следующие:

  • несоответствие отраслевым нормам и требованиям государственных регулирующих органов;
  • ошибочные изменения правил работы межсетевых экранов, нарушающие функционирование бизнес-приложений;
  • устаревание правил, создающее угрозу неавторизованного доступа к ресурсам сети.

Парадокс заключается в том, что для компрометации межсетевого экрана вовсе не требуется изощренных хакерских атак — главным врагом бизнеса зачастую оказываются собственные ИТ-специалисты. Тривиальные ошибки и упущения в процедурах управления экранами могут обнажить периметр сети для внешних атак и поставить под угрозу непрерывность бизнес-процессов. Если учесть, что, помимо управления межсетевыми экранами, сотрудники ИТ-отдела должны обеспечивать работу достаточно сложной корпоративной сети и решать ряд других задач, становится очевидным: к проблеме управления экранами нужно подойти максимально серьезно и решить ее раз и навсегда.

ЗАДАЧА БИЗНЕСА № 1: ОЦЕНКА РИСКОВ, СВЯЗАННЫХ С ПРАВИЛАМИ МСЭ

По мере усложнения сетевой инфраструктуры и разрастания списка правил все труднее обнаруживать и оценивать риски, связанные с неверными или чрезмерно «разрешающими» правилами настройки межсетевого экрана.

К примеру, как показало исследование «Ошибки конфигурирования межсетевых экранов: основные тенденции», которое провел Авишай Вул, профессор Тель-Авивского университета, 42% всех межсетевых экранов различных производителей разрешают внешний доступ к сети для служб Microsoft, служащих каналом распространения множества интернет-червей. В ходе исследования было выявлено, что 75% наиболее сложных моделей экранов имеют свыше 20 ошибок в конфигурации. Кроме того, 80% МСЭ, проверенных на предмет наличия брешей в системе безопасности, пропускали трафик, подлежащий блокировке, из-за того, что были неправильно настроены.

Таким образом, основная причина рисков, связанных с применением политики безопасности экранов, состоит в недостаточном понимании задач, которые данный экран должен решать в определенный момент времени. Нормальное функционирование приложений и беспрепятственная циркуляция трафика еще не являются надежными показателями защищенности сети.

Решение. Каждый профессионал в области ИТ и сетевой безопасности непрерывно анализирует свои действия и возникающие в результате потенциальные угрозы. Изменения, вносимые в политики межсетевых экранов, способны как укрепить безопасность сети, так и увеличить риски, поскольку даже самые опытные администраторы порой совершают непредумышленные ошибки. Не имея точной картины состояния дел, невозможно оценить, насколько защищен бизнес.

Наилучший способ свести риски к минимуму — оценить критичность имеющихся активов, использовать преимущества интеллектуальных межсетевых экранов и сетевых устройств и применять автоматизированные инструменты для своевременного выявления и устранения слабых мест сетевой инфраструктуры, пока они не превратились в проблему. Развитые автоматизированные инструменты опираются на признанную наилучшую практику управления межсетевыми экранами и способны анализировать текущую среду для выявления пробелов в безопасности. За счет точной идентификации трафика, который данное конкретное правило пропускает через МСЭ, ряд инструментов помогает усилить слишком нестрогие правила (например, сервис «ANY»).

Применение эффективных инструментов в сочетании с ручным анализом позволяет перейти от устранения рисков «по факту» к проактивным действиям, когда проблема выявляется задолго до возникновения критической ситуации.

ЗАДАЧА БИЗНЕСА № 2: УПРАВЛЕНИЕ ИЗМЕНЕНИЯМИ

В ИТ-отрасли изменения следуют одно за другим непрерывной чередой. Управление ими является одной из главных задач бизнеса. Неспособность грамотно управлять изменениями сулит значительные риски, начиная от таких безобидных проблем, как блокировка «легального» трафика, и заканчивая полной недоступностью сетевой инфраструктуры. На данный момент не существует простого стандартного решения для управления изменениями в межсетевых экранах. Трудности управления изменениями на МСЭ вызваны следующими причинами.

Отсутствие формальных правил. При рассмотрении особенностей межсетевых экранов наборы правил (политику) нередко путают с формальной политикой информационной безопасности. Необходимо четко разделять эти понятия и сформировать официальную политику управления изменениями, которая бы охватывала и вопросы, связанные с межсетевыми экранами.

Нечеткие процедуры, оставляемые без внимания. Одно дело иметь политику в виде предписаний «что нужно делать», и совершенно другое — иметь формальное описание последовательности шагов для реализации политики. Чтобы успешно управлять изменениями в межсетевых экранах, необходимо четко и подробно определить действия, которые должен предпринять каждый сотрудник, если ему придется вносить изменения. Любые исключения должны быть учтены, четко изложены и утверждены.

Отсутствие взаимодействия между сотрудниками отдела ИТ. Еще одно серьезное препятствие для успешного обеспечения безопасности сети — низкое качество коммуникации между лицами, ответственными за обеспечение эффективной работы экранов. В плохой коммуникации кроется одна из главных причин неподготовленных изменений, которые, в свою очередь, вызывают множество сбоев в системе безопасности.

Непонимание сопутствующих рисков для бизнеса. Необходимо иметь полное представление о том, какие угрозы и уязвимости могут отразиться на работе предприятия. Тем не менее нередко недооценивается разрушительный эффект, который неграмотное управление изменениями в межсетевых экранах может оказать на бизнес. Зачастую огромные ресурсы тратятся на то, чтобы не допустить злоумышленника в сеть, при этом забывается, что худший враг — это мы сами.

Сложность сетей. Сложная сеть сама по себе уже может быть источником множества ошибок, особенно если эксплуатируются многочисленные МСЭ разных производителей, для каждого из которых сформирован отдельный набор правил. Сложность — враг безопасности, поэтому нужно предпринять все возможные шаги для снижения сложности конфигурации экранов и упрощения процедур управления этими устройствами.

Непонимание последствий изменений в межсетевых экранах. Отказ от анализа и выяснения того, какой эффект окажет на сетевую инфраструктуру каждое, даже самое незначительное изменение, чреват серьезными неприятностями. Не проведя должной оценки, специалист рискует не узнать:

  • какие приложения и соединения могут пострадать в результате изменений;
  • какие новые уязвимости принесет с собой то или иное изменение;
  • как изменения отразятся на работоспособности и прозрачности сетевой инфраструктуры.

Убедиться, что всего несколько неверных действий могут обернуться настоящей катастрофой, можно на примере компании из сферы электронной торговли, которая была одним из ведущих поставщиков этих услуг на американском рынке. Однажды все предприятие оказалось отключенным от сети в течение нескольких часов: все рабочие транзакции — и входящие, и исходящие — не выполнялись. Впоследствии выяснилось, что ряд сотрудников, ответственных за управление межсетевыми экранами, произвели неподготовленные (и непротестированные) изменения на основном межсетевом экране, из-за чего нарушилась связь между торговым приложением и Интернетом.

По следам инцидента было проведено расследование с участием высшего руководства компании, и виновные получили взыскания. Сотни тысяч долларов были потрачены на то, чтобы выяснить причину случившегося. Оказалось, что системные администраторы не тестировали вносимые изменения, стремясь уйти от «слишком долгих и сложных» процедур на основе ITIL, и не задумывались о последствиях.

Решение. Если ИТ-специалисты способны управлять изменениями на систематической основе в течение длительного времени, половина дела уже сделана. Компания получит не только более защищенную сетевую среду, но и вернет ИТ-отделу его первоначальное назначение: помогать предприятию, а не осложнять ведение бизнеса. Следует помнить, что эффективные автоматизированные инструменты должны:

  • разрабатывать и внедрять процедуры для различных процессов управления изменениями в политике безопасности;
  • обладая знанием сетевой топологии, идентифицировать межсетевые экраны, на которые распространяются предполагаемые изменения;
  • моделировать эффект изменения для заблаговременного обнаружения рисков и нарушений требований регуляторов;
  • сопоставлять производимые изменения с запрашиваемыми, чтобы выявить все неподотчетные изменения.

При облачных вычислениях риски из-за неправильного управления изменениями в межсетевых экранах, многократно повышаются, так как одно неверное действие может парализовать работу не одной, а сразу многих компаний.

Без достаточного понимания и предсказуемости процессов бизнес обречен на провал, а успех возможен только при наличии тщательно продуманных и документированных политик и процедур, дополненных мерами контроля. Иными словами, когда указанные инструменты и процессы интегрированы с общекорпоративной системой управления изменениями, компания уверенно становится на путь процветания, не надеясь на извечный авось.

ЗАДАЧА БИЗНЕСА № 3: ПОДДЕРЖАНИЕ ПРАВИЛ В ОПТИМАЛЬНОМ СОСТОЯНИИ

Беспорядок в наборах правил межсетевых экранов — не эстетическая проблема, а источник прямых рисков для бизнеса, таких как открытие ненужных портов и туннелей VPN, появление точек входа для сетевых атак из-за конфликта правил. Кроме того, неупорядоченность существенно повышает сложность сети в целом.

Кроме того, чрезмерное разрастание наборов правил значительно усложняет проведение аудита, когда требуется проанализировать каждое правило и найти соответствующее ему бизнес-основание. В итоге возникают дополнительные расходы и тратится ценное время ИТ-специалистов. Вот только некоторые примеры потенциально проблемных правил:

  • неиспользуемые правила;
  • «перекрывающиеся» правила;
  • устаревшие правила;
  • правила без комментариев;
  • правила, расположенные в неоптимальном порядке (например, когда наиболее часто применяемое правило находится в конце списка, что приводит к излишней нагрузке на межсетевой экран).

Все это вынуждает предприятия время от времени проводить «чистку» или «повторную проверку» межсетевых экранов. Еще больший масштаб указанные проблемы приобретают на крупных предприятиях, где развернуто множество МСЭ от разных производителей. Рост сложности приводит к ухудшению прозрачности, затрудняет учет и чреват неожиданным возникновением брешей в системе безопасности.

Проведение аудита правил работы межсетевых экранов может стать труднейшей задачей, особенно если отвечающий за это специалист слабо разбирается в технических вопросах или плохо изучил инспектируемую сеть. Ситуация усугубляется еще и тем, что проверка конфигурации экранов зачастую вообще исключается из процесса анализа системы безопасности, так как считается, что «если сеть работает, то все в порядке».

Для проверки можно провести простой эксперимент: попросить сетевых администраторов или руководителей службы безопасности предоставить схему сети. Чаще всего оказывается, что никакой схемы нет или она сильно устарела. С наборами правил все обстоит точно так же. Но подобное положение дел не всегда результат оплошности одного конкретного человека, скорее это побочный эффект от неправильной организации работы ИТ-отдела в целом, когда сотрудники заняты затыканием все новых «пробоин», вместо того чтобы систематически, изо дня в день работать над укреплением защищенности сети. Эта проблема, вместе со сложностью сети и правил, приводит к снижению эффективности управления экранами, что приводит к возникновению соответствующих рисков для бизнеса.

Решение. Необходим более формализованный подход к поддержанию правил в оптимальном состоянии, аналогичный применяемому при управлении изменениями, где каждая процедура описана формально и имеет ответственного за ее исполнение. Периодическая проверка базы правил поможет заблаговременно устранить проблемы и обеспечить надежную защиту сети.

Для эффективного управления наборами правил нужны подходящие качественные инструменты, которые помогут не только определить, какие правила можно удалить или оптимизировать, но и составить представление о последствиях изменения конкретного правила. Наиболее совершенные инструменты автоматизируют этот процесс, избавляя сотрудников от рутинных действий и ошибок при ручных проверках.

Кроме того, необходимо, чтобы управление наборами правил охватывало сразу все межсетевые экраны. Концентрация внимания только на одном устройстве означает произвольное сужение области оценки, результаты которой будут создавать ложное впечатление защищенности. Конечно, начинать следует с наиболее критичных межсетевых экранов, но в итоге необходимо обследовать наборы правил на всех устройствах.

ЗАДАЧА БИЗНЕСА № 4: СООТВЕТСТВИЕ ВНУТРИКОРПОРАТИВНЫМ ПОЛИТИКАМ И ТРЕБОВАНИЯМ РЕГУЛЯТОРОВ

Обеспечить соответствие различным нормативно-правовым требованиям (наряду с выполнением условий клиентов и бизнес-партнеров и соблюдением собственных внутрикорпоративных стандартов), как правило, очень непросто. Для этого необходимо дать четкие ответы на следующие вопросы:

  • Что действительно нужно для соблюдения данного требования/политики?
  • Какие технические и юридические условия закреплены в контрактах и соглашениях об уровне обслуживания?
  • Каким образом принятые в компании методы управления межсетевыми экранами соотносятся с ее основной деятельностью?

Все стандарты и нормы в сфере защиты информации, такие как PCI DSS, GLBA и HIPAA, в основе своей направлены на сохранение конфиденциальности и целостности информации, а также обеспечение доступности сетевой инфраструктуры и приложений. Это не что иное, как наилучшие методы работы, которые известны и практикуются в течение многих лет.

Трудность в том, что сотрудники ИТ-отделов оказываются «между многих огней» и отстранены от вопросов нормативно-правового соответствия более, чем когда-либо прежде. Зачастую они загружены настолько, что не успевают заниматься стратегическими задачами, в том числе обеспечением соответствия нормативным требованиям. Время — самый дефицитный ресурс в ИТ, вследствие чего, увы, возникает упомянутая отстраненность ИТ-руководителей и сетевых администраторов, которые оказываются в крайне затруднительном положении, когда дело касается нормативно-правового соответствия и юридического обеспечения ИТ. Как это ни парадоксально, все перечисленное лишь вредит бизнесу, сдерживая его развитие или даже ухудшая состояние дел. От этого страдают и межсетевые экраны как один из компонентов системы сетевой безопасности.

Решение. Даже с учетом всех сложностей выполнения требований стандартов по защите информации ни одно предприятие не может позволить себе игнорировать угрозы, которые сулит невыполнение этих требований. Необходимо назначить специалиста, обеспечивающего соответствие систем общепринятым нормам. Идеальным решением будет создание формального комитета, куда вошли бы руководители кадрового, производственного, юридического и ИТ-отделов. Привлечение лиц, принимающих решения, поможет привить культуру ответственности за безопасность данных в масштабе всей организации. Тем самым будет гарантировано распространение информации о всех требованиях, нормах и правилах, которые определяют ее деятельность.

Стоит иметь в виду, что регулирующие нормы, с которыми сталкивается компания, представляют собой наилучшие практические применения в области безопасности, которые зачастую уже в той или иной мере внедрены в организации. Кроме того, многие требования не слишком различаются. Рассматривая задачу нормативно-правового соответствия в перспективе стратегического управления информационными рисками, руководство сможет снизить угрозы в сфере безопасности и обеспечить соблюдение всего спектра требований.

Для упрощения задачи обеспечения соответствия нормативным требованиям следует применять автоматизированные инструменты, использующие информацию о сети (о том, какие подсети являются защищенными зонами PCI) и учитывающие задачи безопасности (конкретные требования PCI и внутрикорпоративных политик). Подобные инструменты помогут оценить правила межсетевого экранирования на предмет соответствия требованиям и выявить исключения, нуждающиеся в особом внимании.

Соблюдение всех требований может казаться неподъемной задачей, однако, помня о целях, которые преследуют регуляторы, руководство предприятия способно преобразовать их в меры по управлению межсетевыми экранами — особенно при наличии необходимых специалистов и инструментов, когда каждый сотрудник понимает, что именно он должен делать для обеспечения безопасности.

ЗАДАЧА БИЗНЕСА № 5: ПРАВИЛЬНАЯ ОЦЕНКА СИТУАЦИИ

Ключевой аспект сетевой безопасности — владение оперативной информацией, что, в свою очередь, зависит от прозрачности сети и способности в любой момент получить оценку степени защищенности и соответствия требованиям.

Оценка эффективности работы межсетевых экранов может потребоваться во многих ситуациях, к примеру:

  • ИТ-аудитор проводит обследование системы управления;
  • руководству компании нужно получить более детальное представление о защищенности сети;
  • есть причины полагать, что сеть атакована;
  • эксперт ИБ производит анализ бреши в системе безопасности после атаки.

Зачастую не мы управляем межсетевыми экранами, а экраны «управляют» нами. В таком случае, связанные по рукам и ногам высокой сложностью сетей и ограниченностью ресурсов, сетевые администраторы даже примерно не представляют, что на самом деле происходит в сети.

Правильная оценка ситуации — это ключ к соблюдению требований и стратегическому управлению рисками. Если нельзя точно определить, насколько хорошо защищена сеть в конкретный момент, то в чем смысл использования экранов? Можно ли утверждать, что безопасность сети действительно находится под контролем? Скорее всего, ответ будет отрицательным.

Решение. Возможность выяснить состояние защищенности сети и степень соблюдения требований зависит от того, насколько качественно реализованы механизмы контроля. К техническим средствам контроля относятся такие функции, как ведение журналов аудита и тревожных оповещений — они встроены буквально в каждый межсетевой экран. Однако зачастую сетевые администраторы и профильные руководители пренебрегают даже этими средствами.

Проблема типовых решений состоит в том, что они легко становятся неуправляемыми, когда в сети имеется более десятка экранов. Для крупных предприятий, особенно тех, где используется оборудование различных производителей, приложения для управления экранами от независимых поставщиков могут стать реальной панацеей и дадут лучшее представление о работе сети. Подобные инструменты способны даже создавать отчеты для мгновенного получения оценки соответствия отраслевым нормам и внутренним политикам, что позволяет экономить ценное время для подготовки к аудиту.

ДЕЙСТВУЙТЕ НА ОПЕРЕЖЕНИЕ

Защита информации может быть весьма дорогостоящим делом, но и одновременно неэффективным: ее надежность зависит не только от объема инвестиций, но и от того, как она организована. Задачи, связанные с управлением межсетевыми экранами, часто упускаются из виду. Однако те вещи, которые на первый взгляд кажутся банальными и второстепенными, могут оказать существенное влияние на бизнес, особенно если что-то пойдет не по плану. ИТ-инфраструктура должна служить достижению поставленных перед компанией целей, поэтому руководству следует сделать все возможное, чтобы застраховать себя, сетевых администраторов и весь свой бизнес от неудач. Необходимо постараться за битами и байтами увидеть тесную взаимосвязь, которая существует между защищенностью сети и грамотным управлением межсетевыми экранами.

Основная задача руководства — предоставление эффективных инструментов и организация продуманных процедур, с помощью которых станет возможным принимать информированные решения в сфере сетевой безопасности. Сегодня необходимо владеть точной информацией о работе сети и управлять сетью в систематическом, рабочем режиме. Без внедрения жизненно важных инструментов и процедур ИТ-специалисты вряд ли смогут достоверно утверждать, что инфраструктура межсетевых экранов функционирует надежно и полностью готова к выполнению всех стоящих перед ней задач.

Владимир Емышев — менеджер по развитию бизнеса NGS Distribution.