29.07.2007

Проактивная безопасность по-настоящему

image

Несмотря на широко разрекламированный слоган «безопасность должна быть проактивной» он касается только одного аспекта - предвосхищения атак, вирусов и другой вредоносной активности. Но сами средства защиты остаются по-прежнему реактивными

На написание этой заметки меня подвигло появление в нашей компании двух продуктов – Cisco Monitor Manager и Monitor Director. Суть их достаточно проста – контролировать решения Cisco, установленные на удаленных площадках, распознавать и прогнозировать различные нештатные ситуации до того как они смогут произойти и сигнализировать об этом ответственному персоналу. Идея не нова – мы сталкиваемся с ней регулярно в нашей жизни. В автомобиле начинает мигать лампочка, когда бензина остается на 20-30 км. Специальное покрытие на бритве Gillette MACH3 напоминает нам о том, что пора ее менять, т.к. лезвие сточилось и уже не такое острое. По сети контролируемый принтер может своевременно предупредить о том, что картридж скоро закончится. А вот в средствах защиты таких механизмов, исключая предупреждение о скором окончании срока действия лицензии, почти нет. А ведь такая потребность существует.

Несмотря на широко разрекламированный слоган «безопасность должна быть проактивной» он касается только одного аспекта – предвосхищения атак, вирусов и другой вредоносной активности. Но сами средства защиты остаются по-прежнему реактивными. Например, они обновляются только тогда, когда об этом вспоминает администратор или когда срабатывает подсистема работы по расписанию, но не тогда, когда это действительно надо. Но это далеко не все, что можно было бы реализовать для создания настоящей проактивности.

Во-первых, мониторинг использования оперативной памяти или загрузки процессора и превышения определенных пороговых значений. Конечно, такие механизмы есть и сейчас. Например, в системе Cisco MARS есть возможность контроля перегрузки средств защиты. Но функционирует такая возможность только в случае ее настройки администратором и только при наличии системы Cisco MARS. Нет ее и вы не сможете узнать о том, что ваша системы защиты сама находится под атакой. Иными словами ни о какой проактивности речи не идет.

Вторая востребованная возможность – контроль срока давности обновления правил или сигнатур системы защиты (антивируса, межсетевого экрана, антиспама, системы предотвращения атак, сканера безопасности и т.д.). Если антивирус не обновлялся, например, 3 дня, то доверять его защитным функциям уже не стоит – с последними угрозами он уже не справится, т.к. просто «не знает» о них. Тоже самое относится к межсетевому экрану или антиспамовой системе. В условиях постоянных изменений в сети (новые пользователи, новые узлы, новые приложения, новые конфиденциальные документы…) отсутствие обновлений на системе защиты говорит о том, что администратор зря есть свой хлеб - он или забыл про эту систему или не знает о произошедших в его епархии изменениях.

Еще одна нужная функция – контроль пропускной способности системы сетевой безопасности. Допустим при планировании точки внедрения сенсора IPS мы учли будущий рост скорости и в полугигабитной сети разместили гигабитный сенсор. Однако со временем мы забыли про это ограничение; сетевые скорости росли и скоро достигли значения в 1 Гбит/сек. Наш сенсор начал работать на пределе, но мы об этом не знаем, т.к. сама IPS не умеет отслеживать сетевую загрузку – она просто начинает пропускать отдельные пакеты, а с ними и атаки. Встроенная функция мониторинга сетевой нагрузки позволила бы быстро отследить такую ситуацию и, например, при достижении скоростей в 800 Мбит/сек уведомить об этом администратора. У него как раз будет время, чтобы подать заявку на обновление аппаратной части системы защиты или полную ее замену. Учитывая бюрократию в современных организациях и подходы к финансированию информационной безопасности новая система защиты будет получена и внедрена к тому моменту, когда уже установленная IPS перестанет справляться с поставленными задачами.

Разумеется, все названные функции могут быть реализованы с помощью систем централизованного управления безопасностью, но это решение уже не удовлетворяет современным требованиям. Мы могли забыть это сделать, или не знаем как это сделать, или система управления не обладает такими возможностями… В итоге вся инфраструктура защиты становится неэффективной, в ней появляются пробелы, которые обнаруживают злоумышленники и пользуются ими. Иными словами помимо мониторинга со стороны систем централизованного управления функция самостоятельного уведомления о превышении некоторых критичных параметров работы должны быть реализованы и в самих средствах защиты. Это позволит сделать контроль и мониторинг обоюдным и в случае отсутствия или выходе из строя одного из направлений (например, от системы управления к системе защиты) переключиться на второе, резервное (от системы защиты к системе управления).


Об авторе:

Алексей Лукацкий, бизнес-консультант по безопасности Cisco Systems

alukatsk@cisco.com

или введите имя

CAPTCHA
Страницы: 1  2  
30-07-2007 09:20:27
Что то подобное писалось в одном журнале с расширением СПЕЦ.
0 |
30-07-2007 17:52:19
что то не в тему по моему... по моему сейчас любой софт у меет автоматом проверять и сливать обновления с инета
0 |
30-07-2007 20:48:27
Умеет, только при включении подсистемы работы по расписанию. А если админа приступ схватил или похмелье мучит, а тут началась эпидемия? Кто даст команду на обновление?
0 |
30-07-2007 20:20:34
Почти все отключают автоматическое обновление. Это иногда не эффективно, а порой просто опасно (например подмена сервера обновлений). Процесс обновления должен проходиться под контролем админа. Всё как всегда зависит от человеческого фактора.
0 |
31-07-2007 00:05:43
Ну, расписание настраивает и включает опять же человек. Не факт, что в момент начала эпидемии обновление будет готово. P.S. Болеющий с похмелья админ - это уже не админ (а программист =) ) P.P.S. Похмелье - это тоже человеческий фактор )))
0 |
31-07-2007 10:41:09
меня всегда удивляло отсутствие в антивирусах технологий pull-push, т.е. pull есть - когда забирает обновления вирусной базы по расписанию , но push отсутствует, когда критическое обновление засовывается из антивирусного центра. Это бы очень помогло бы снижению вирусных эпидемий.
0 |
31-07-2007 15:52:44
Ну почему? В ряде решений такое есть.
0 |
03-08-2007 14:23:24
Такое есть, например в Cisco Security Agent.
0 |
Страницы: 1  2