«Крепости для данных» сильны не только техническими средствами, но и политикой реагирования на инциденты

«Дата-центры» — современные крепости для данных. Эта метафора успела укрепиться в сознании специалистов, несмотря на молодость идеи подобных объектов и создание соответствующих бизнес-моделей в телекоммуникационной индустрии.

Про «стены» крепостей, обеспечивающие защиту от сетевых атак, написано много. «Стены» составляют брандмауэры, средства контроля трафика, системы мониторинга, пароли пользователей и многое другое. Современные центры данных затрачивают колоссальные усилия на возведение и поддержание таких бастионов, и это себя оправдывает.

Но безопасность не бывает абсолютной. Какой бы сложной ни была система защиты, всегда остается вероятность, что периметр безопасности удастся обойти. С учетом того, что центры данных имеют дело с критичной и дорогостоящей информацией своих пользователей, одних лишь технических методов защиты оказывается недостаточно. В таких условиях критически важными оказываются следующие аспекты деятельности сотрудников центра данных:

  • анализ ситуации и общих тенденций, связанных с безопасностью в Сети;
  • предупреждение возможных атак и негативных воздействий извне;
  • тщательное расследование и анализ произошедших инцидентов;
  • жесткое и адекватное реагирование на инциденты.

Поиск и анализ информации

Наличие своевременной и достоверной информации — одна из основ, на которой строится вся структура безопасности. Без оперативных данных о возможных угрозах и профессионального анализа построение нормально функционирующей системы безопасности невозможно. На сегодняшний день в Сети существует достаточное число ресурсов, располагающих подобной информацией. Это в первую очередь организации и службы, как общественные, так и государственные называющиеся командами реагирования (Response Teams). Практически все эти службы выполняют исключительно информационные и аналитические функции, не занимаясь расследованием конкретных инцидентов.

Разумеется, информационной безопасностью занимаются и государственные органы, но этого пункта вопроса мы коснемся чуть позже.

Несмотря на большое количество общедоступных ресурсов по проблемам безопасности, нельзя ограничиваться только ими. Во-первых, в Сети действует неписаный кодекс правил, который гласит, что при обнаружении уязвимости в каком-либо программном продукте об этом в первую очередь уведомляются его разработчики. И только после их реакции (или отсутствия таковой) сообщение об обнаруженной «дыре» становится общедоступным. Сначала обсуждение выявленной проблемы ведется специалистами, как правило, в закрытых форумах и каналах. Кстати, именно нарушение этого правила привело к весьма печальным последствиям во время эпидемии Code Red, когда сообщение об уязвимости было опубликовано сразу после ее обнаружения, и «червь» был создан раньше, чем ликвидирована «дыра» в IIS.

Во-вторых (как следствие первого), официальные ресурсы публикуют сообщения об угрозах и инцидентах с определенной задержкой. Гораздо более оперативную информацию можно получать из списков рассылки и конференций.

Таким образом, для получения оперативной информации о возможных угрозах требуется постоянно анализировать большой поток информации. Аналитическая информация, посвященная безопасности, вполне доступна в Internet и основная задача — не пренебрегать ею. С другой стороны, нельзя доверять полностью какому-либо одному сайту, а следует оценивать и сравнивать данные из различных источников.

Нельзя забывать, что ценность информации падает со временем. По разным оценкам, ценность оперативной информации падает примерно на 10% в день, а ценность аналитических материалов (в зависимости от их характера) «теряет» в среднем 10 — 20% в месяц. Поэтому большинство технических сведений из Hacker?s Handbook сегодня представляет лишь исторический интерес.

Соотношение угроз на WWW и на другие сервисы (включая атаки «червей»). Статистика проекта DATA FORT

Реагирование на инциденты

В случае атаки на защищенную систему особенно важным становится политика реагирования.

Во-первых, ни одна угроза и попытка атаки не должна остаться незамеченной. Во-вторых, никакая атака, пусть даже успешная, не должна застать персонал врасплох. В-третьих, если произошло вторжение, ущерб от него должен быть сведен к минимуму. В-четвертых, повторные атаки, использующие те же самые уязвимости, ни в коем случае не должны оказаться успешными. И в пятых, необходимо предпринять все возможные меры, чтобы исключить саму возможность повторения атаки из данного источника.

Что касается гарантированного обнаружения атак, то это вопрос правильной эксплуатации технических средств, а также соблюдения регламентов и инструкций. Действия по обеспечению безопасности во многом бюрократичны, однообразны и монотонны, но в неукоснительном исполнении предписанных правил — залог неприкосновенности информации.

Если периметр безопасности все же нарушен, это не повод для паники. Какой бы ни была атака, должны быть предприняты экстренные меры по ее локализации и отражению. Здесь снова важно наличие детально проработанных инструкций, которым обязан следовать персонал в чрезвычайных ситуациях. Конечно, невозможно написать параграфы для всех случаев жизни, но действия администраторов, офицеров безопасности и команды реагирования при возникновении ЧП должны быть слаженными и отработанными, что достигается с помощью ролевых игр, ситуационных тренингов, моделирования вторжений.

Когда атака обнаружена и классифицирована, ее локализация и сдерживание — дело техники. Квалифицированные администраторы всегда имеют возможность блокировать действия злоумышленника и минимизировать возможный ущерб. Если в результате инцидента данные были изменены или утеряны, они оперативно восстанавливаются с последней резервной копии. В случае проникновения с целью доступа к защищенной информации, действия администраторов будут определяться принятой политикой безопасности. Одним из вариантов является дезинформация противника, в силу чего он получит заранее модифицированную информацию.

Однако для вторжения могут использоваться и неизвестные ранее уязвимости. При таком стечении обстоятельств администраторам и специалистам по информационной безопасности, очевидно, остается как можно быстрее заделать обнаруженные «бреши». И, как уже говорилось выше, о новых «дырах» в защите всегда уведомляется разработчик программных продуктов.

По каждому инциденту служба безопасности должна составлять точную, ясную и достоверную информацию. Порядок документирования инцидентов, как правило, также жестко регламентирован — такой политики придерживаются как в DATA FORT, так и в других крупных центрах обработки данных и у многих ASP-провайдеров.

Процентное распределение атак по сервисам и протоколам (кроме WWW). Статистика проекта DATA FORT

«Охота на лис»

Если кто-то атаковал систему, он вполне может повторить свою попытку. Поэтому его необходимо вычислить, то есть определить сеть, из которой была предпринята атака, и организацию, отвечающую за эту сеть.

Конкретные злоумышленники сами по себе не представляют никакого интереса для центра данных (тем более, что в большинстве случаев это специалисты далеко не высшей квалификации). Но всегда интересен провайдер, в сети которого находился «источник зла». Ответственность за действия пользователей во многом ложится на администраторов ISP-провайдера.

Как уже говорилось, происходящие инциденты полностью документируются, а сетевые адреса, с которых шло вторжение, локализуются, поэтому служба информационной безопасности центра данных имеет на руках вполне доказуемые сведения. Следующий логичный шаг — это переписка с администрацией сети, в которой обнаружен источник атаки, с целью блокирования сетевого бюджета нарушителя (а иногда и целой подсети). Подобные контакты могут занять много сил и времени, но чаще всего приводят к желаемому результату. Администраторы сетей в большинстве своем не игнорируют мотивированные заявления о серьезных нарушениях безопасности. В противном случае эскалация проблемы может привести, с одной стороны, к передаче дела в правоохранительные или судебные органы, а с другой — к потере связанности сети, то есть к блокированию доступа пользователей во многие сегменты Internet, что для провайдера чревато потерей бизнеса.

Однако для центров данных подобная процедура может оказаться недостаточной. Для оперативного пресечения попыток атаки может возникнуть необходимость прямого контакта в режиме реального времени с администраторами провайдеров и их службами безопасности. Если речь идет о крупной коммерческой или государственной сети, необходимое содействие пострадавшей стороне будет обязательно оказано.

Разумеется, принятие жестких мер реагирования оправданно только в том случае, когда зафиксирована серьезная атака. Впрочем, нередко пользовательские бюджеты блокируются и после единичных случаев сканирования чужой информационной системы, что в принципе не является правонарушением, а рассматривается лишь как нарушение правил пользования Сетью.

Еще раз отметим, что ни одна коммерческая, государственная или образовательная сетевая организация не заинтересована оказаться среди пособников компьютерных и сетевых правонарушений. Это чревато правовыми последствиями, вплоть до потери лицензии на предоставление услуг и судебного преследования. В тоже время администрация любой такой сети будет требовать веских доказательств того, что атака имела место и ее источники находились по указанным сетевым адресам.

Полицейские и «Большие братья»

Internet — не централизованная структура, а сообщество многих сетей, использующих один протокол и единое пространство адресов и имен. В ней нет «сетевой полиции» и «сетевого правительства» со всеми характерными атрибутами. Но реальные пользователи и созданные ими информационные ресурсы находятся на территории реальных государств, где действуют реальные полиция, спецслужбы и суды.

На территории каждого из этих государств действует свое законодательство, поэтому приходится считаться с отличительными особенностями в регуляторных механизмах различных стран. То деяние, которое не противоречит закону в одной стране, может оказаться преступлением в другой. Во избежание правовых коллизий специалист по безопасности, кроме всего прочего, должен хорошо ориентироваться и в подобных юридических вопросах.

В России расследованием компьютерных преступлений занимаются главным образом Управление по борьбе с преступлениями в области высоких технологий (Управление «Р») и региональные управления по борьбе с экономическими преступлениями. Они «специализируются» в основном на телекоммуникационном мошенничестве, хищениях и незаконных операциях с кредитными картами. Что касается ФСБ, то эта служба, безусловно, проявляет интерес к Internet, но не афиширует свою деятельность (как и прочие спецслужбы во всем мире).

Зарубежные спецслужбы сегодня проявляют к Internet повышенный интерес, особенно после известных сентябрьских событий в США. Достаточно вспомнить системы «Хищник» (Carnivore) и «Эшелон». С другой стороны, эти нашумевшие проекты не имеют отношения к обеспечению безопасности информации (если только их самих не рассматривать как угрозу для приватности информации), а лежат в области деятельности разведывательных организаций.

Что касается служб информационной безопасности центров данных, то следует помнить, что это ни в коем случае не «сетевая полиция» и не тень «компетентных органов». Их цель и задача — предотвращение атак и защита информации, отстаивание прав и интересов собственных клиентов. В «крепостях для данных» нет подвалов для пыток злоумышленников. Объекты и «фигуранты» служб безопасности центров данных — это информация, программы, уязвимости, сети и адреса.

Михаил Елагин (myelagin@ibs.ru) — сетевой координатор проекта DATA FORT

Данной публикацией мы хотели бы открыть дискуссию на страницах «Сетей» по проблемам промышленного применения модели аренды приложений (ASP) в нашей стране. Свои отзывы и замечания присылайте по электронной почте: nets@networld.ru


Наиболее известные Response Teams

Международные организации: CERT/CC (http://www.cert.org), IETF (Internet Engineering Task Force, http://www.ietf.org), FIRST (Forum of Incident Response and Security Teams, http://www.firsr.org) и SecurityFocus (http://www.security-focus.com).

Среди российских организаций и общественных служб можно выделить Рабочую группу по вопросам безопасности сетей Комитета Internet Ассоциации документальной электросвязи (АДЭ), Аналитический центр компьютерной безопасности CERT.RU (http://www.cert.ru) и Открытый форум Интернет-провайдеров (OFISP, http://www.ofisp.org).

Кроме того, в Сети представлены организации, занимающиеся исследовательской деятельностью и обучением в области безопасности, например CSI (Computer Security Institute, http://www.gocsi.com), SANS Institute (http://www.sans.org) и другие.

Поделитесь материалом с коллегами и друзьями