29.07.2007

Проактивная безопасность по-настоящему

image

Несмотря на широко разрекламированный слоган «безопасность должна быть проактивной» он касается только одного аспекта - предвосхищения атак, вирусов и другой вредоносной активности. Но сами средства защиты остаются по-прежнему реактивными

На написание этой заметки меня подвигло появление в нашей компании двух продуктов – Cisco Monitor Manager и Monitor Director. Суть их достаточно проста – контролировать решения Cisco, установленные на удаленных площадках, распознавать и прогнозировать различные нештатные ситуации до того как они смогут произойти и сигнализировать об этом ответственному персоналу. Идея не нова – мы сталкиваемся с ней регулярно в нашей жизни. В автомобиле начинает мигать лампочка, когда бензина остается на 20-30 км. Специальное покрытие на бритве Gillette MACH3 напоминает нам о том, что пора ее менять, т.к. лезвие сточилось и уже не такое острое. По сети контролируемый принтер может своевременно предупредить о том, что картридж скоро закончится. А вот в средствах защиты таких механизмов, исключая предупреждение о скором окончании срока действия лицензии, почти нет. А ведь такая потребность существует.

Несмотря на широко разрекламированный слоган «безопасность должна быть проактивной» он касается только одного аспекта – предвосхищения атак, вирусов и другой вредоносной активности. Но сами средства защиты остаются по-прежнему реактивными. Например, они обновляются только тогда, когда об этом вспоминает администратор или когда срабатывает подсистема работы по расписанию, но не тогда, когда это действительно надо. Но это далеко не все, что можно было бы реализовать для создания настоящей проактивности.

Во-первых, мониторинг использования оперативной памяти или загрузки процессора и превышения определенных пороговых значений. Конечно, такие механизмы есть и сейчас. Например, в системе Cisco MARS есть возможность контроля перегрузки средств защиты. Но функционирует такая возможность только в случае ее настройки администратором и только при наличии системы Cisco MARS. Нет ее и вы не сможете узнать о том, что ваша системы защиты сама находится под атакой. Иными словами ни о какой проактивности речи не идет.

Вторая востребованная возможность – контроль срока давности обновления правил или сигнатур системы защиты (антивируса, межсетевого экрана, антиспама, системы предотвращения атак, сканера безопасности и т.д.). Если антивирус не обновлялся, например, 3 дня, то доверять его защитным функциям уже не стоит – с последними угрозами он уже не справится, т.к. просто «не знает» о них. Тоже самое относится к межсетевому экрану или антиспамовой системе. В условиях постоянных изменений в сети (новые пользователи, новые узлы, новые приложения, новые конфиденциальные документы…) отсутствие обновлений на системе защиты говорит о том, что администратор зря есть свой хлеб - он или забыл про эту систему или не знает о произошедших в его епархии изменениях.

Еще одна нужная функция – контроль пропускной способности системы сетевой безопасности. Допустим при планировании точки внедрения сенсора IPS мы учли будущий рост скорости и в полугигабитной сети разместили гигабитный сенсор. Однако со временем мы забыли про это ограничение; сетевые скорости росли и скоро достигли значения в 1 Гбит/сек. Наш сенсор начал работать на пределе, но мы об этом не знаем, т.к. сама IPS не умеет отслеживать сетевую загрузку – она просто начинает пропускать отдельные пакеты, а с ними и атаки. Встроенная функция мониторинга сетевой нагрузки позволила бы быстро отследить такую ситуацию и, например, при достижении скоростей в 800 Мбит/сек уведомить об этом администратора. У него как раз будет время, чтобы подать заявку на обновление аппаратной части системы защиты или полную ее замену. Учитывая бюрократию в современных организациях и подходы к финансированию информационной безопасности новая система защиты будет получена и внедрена к тому моменту, когда уже установленная IPS перестанет справляться с поставленными задачами.

Разумеется, все названные функции могут быть реализованы с помощью систем централизованного управления безопасностью, но это решение уже не удовлетворяет современным требованиям. Мы могли забыть это сделать, или не знаем как это сделать, или система управления не обладает такими возможностями… В итоге вся инфраструктура защиты становится неэффективной, в ней появляются пробелы, которые обнаруживают злоумышленники и пользуются ими. Иными словами помимо мониторинга со стороны систем централизованного управления функция самостоятельного уведомления о превышении некоторых критичных параметров работы должны быть реализованы и в самих средствах защиты. Это позволит сделать контроль и мониторинг обоюдным и в случае отсутствия или выходе из строя одного из направлений (например, от системы управления к системе защиты) переключиться на второе, резервное (от системы защиты к системе управления).


Об авторе:

Алексей Лукацкий, бизнес-консультант по безопасности Cisco Systems

alukatsk@cisco.com