Поделиться
Защита сети: как вести оборонительный бой
Чтобы защита была максимально эффективной, каждый элемент должен находиться в строго отведенном ему месте и выполнять именно те функции, для которых он предназначен. В этом смысле базовую платформу безопасности можно сравнить с эшелонированной обороной: у нее есть свои средства "ближнего боя", свои "разведчики", свои "патрули" и свои "диверсанты".И, наконец, каждому сражению необходим командир. Умелый руководитель хорошо знаком со всеми возможностями и слабыми сторонами формирований и знает, как самым эффективным образом осуществлять контроль и синхронизацию войск согласно текущей обстановке, которой он также должен владеть.
Эти методы принципиально очень похожи на те, которым необходимо следовать при создании консолидированной и согласованной системы информационной обороны, рассматриваемой в качестве базовой платформы безопасности.
Базовая платформа безопасности определяется как опорная оборонительная структура, в которой для рациональной защиты сети самым эффективным образом используются существующие технологии и средства. Разрешая каждому элементу использовать свое сравнительное преимущество и функционировать во взаимодействии с другими, данная платформа полностью сформирует предложенную стратегию сетевой защиты.
Стратегия защиты
В реальном сражении стратегия, определяющая изначальное положение боевых и разведывательных подразделений, должна идти по плану, где тщательно рассмотрены возможные сценарии ожидаемой атаки. Для подготовки действенного плана защиты сначала нужно обозначить критические или важные объекты, которые нельзя потерять. Затем необходимо проанализировать их слабые стороны - это единственный способ понять, каким образом может быть осуществлено нападение.
Николай Федотов, Infowatch: Конечно же, информационной безопасности нужно учиться. Это профессия. Это постоянное занятие на значительную часть жизни. Этому учатся годами, а не объясняют на пальцах.
Перед фактической расстановкой войск необходим тщательный анализ каждого вероятного сценария нападения, который может повлиять на критические участки. Необходимо рассмотреть и принять во внимание все схемы, начиная с самой незначительной и несложной в реализации и заканчивая наименее вероятной.
Такой порядок действий очень похож на тот, который необходимо применять при создании технологической платформы защиты сети. Подобно командиру боевой части, инженер-проектировщик системы ИБ должен тщательно изучить слабые стороны своей сети, решить, какие объекты или конкретное оборудование наиболее уязвимы или являются жизненно-важными, а затем смоделировать все возможные сценарии нападения, которые могут иметь негативное воздействие. И только после этого он может принимать решение о типе технических средств, необходимых для уменьшения потенциального ущерба и понижения риска.
Как и в случае боевых действий, после того, как инженер определил критические компоненты сети компании, осознал их уязвимости и вероятные сценарии ожидаемых атак, ему необходимо перейти к следующему этапу и выбрать наиболее подходящее средство обеспечения защиты.
Расположение сил и рубежи
Для оборонительных действий требуются различные виды войск. Населенные пункты обычно предполагают ближний бой, который могут вести формирования, обученные для уличных боев. Дезинформация предполагает методики, заставляющие наступающие стороны отклониться от нападения на действительно важные объекты и потратить ресурсы на ложные цели. Бой на границе требует войск, которые могут вести сражения под открытым небом, обладая эффективными возможностями по долговременному сопротивлению. Маскировка состоит из мероприятий, направленных на сокрытие жизненно-важных объектов. Разведывательная операция поможет "узнать врага", однако для этого необходим сбор сведений до сражения или во время него. Патрульные формирования необходимы для обнаружения противника, просочившегося через все оборонительные линии.
Для подготовки действенного плана защиты нужно обозначить важные объекты, которые нельзя потерять
Такой многоуровневый подход к обороне является неотъемлемой частью эффективной программы обеспечения защиты информации. Поскольку в последние годы наступление на сети выросло и стало более изощренным, компании, поставляющие средства ИБ, разработали целый ряд новых технологий, что еще больше подчеркнуло необходимость в хорошо продуманном внедрении многоуровневого подхода к защите. По мере интеграции новых средств в программу сетевой безопасности происходит определение их местоположения и "эксплуатационных границ". Например, оказалось, что некоторые их них лучше всего располагать на периферии сети, тогда как другие – возле ключевых серверов, и, возможно, в DMZ-зоне. Словно в реальном сражении, эти границы помогают формированиям оказаться в нужной точке и, исходя из своей боевой подготовки, справиться с угрозами наиболее эффективным путем.
Первый эшелон обороны
Первый эшелон обороны формируют средства обеспечения безопасности, предназначенные для тщательной защиты внешних жизненно-важных сетевых элементов. Некоторые из них также считаются и последним рубежом обороны сети. Все они должны уметь точно диагностировать обмен информацией и операции, производимые защищаемой системой, принимать решения о наличии в текущий момент злонамеренных действий, а также быстро их пресекать. Для эффективной работы эти средства необходимо устанавливать на хостах, которые они будут защищать, перед или непосредственно на критически-важном сегменте сети – это и есть эксплуатационные границы данного средства защиты. По аналогии с реальными боевыми действиями это – оперативные границы формирования.
В первом эшелоне можно выделить следующие рубежи обороны. Системы для обнаружения вторжения на уровне хоста и сервера должны определить доступ к жизненно-важным файлам, переполнение буфера, установку нелегитимных приложений, троянские версии системных файлов и использование в чужих интересах уязвимостей системы.
Артем Кириллов, Step Logic: Информационная безопасность – это комплексное решение, начинающееся, как ни странно, с кропотливой бумажной работы.
Средства обеспечения безопасности, ориентированные на приложения, должны выполнять действия, направленные на их защиту. Широко известным примером является защита web-сервера.
Системы обнаружения и предотвращения сетевой атаки, основанные на определении сигнатур, выполняют действия по распознаванию шаблонов атак. Для эффективного определения предварительно заданных сигнатур их необходимо размещать на жизненно-важных сегментах сети.
Ловушки для хакеров и сети-приманки (honeypot и honeynet) тоже можно сравнить с первым эшелоном обороны. Эти средства пытаются обмануть нападающую сторону и отвлечь ее на виртуальные или специальные серверы, не являющиеся реальными производственными серверами защищаемой организации. По аналогии с боевыми действиями эти средства-ловушки можно сравнить со специальными подразделениями, которые отвечают за дезинформирование врага с использованием, например, ложных целей. Кроме того, можно провести параллель с реальными разведывательными формированиями, отвечающими за анализ и изучение способов атак, которые враг планирует использовать в будущем.
Все вышеуказанные средства защиты относятся к первому эшелону обороны, подобно тому, как определенные полевые формирования находятся на первой линии обороны в сражении.
Второй эшелон обороны: защита периметра
Во второй эшелон обороны входят технические средства, которые обрабатывают атаки на периметр сети - межсетевые экраны, маршрутизаторы с интегрированной функциональностью защиты и некоторые другие.
Короткая ссылка
