Поделиться
Защита сети: как вести оборонительный бой
Чтобы защита была максимально эффективной, каждый элемент должен находиться в строго отведенном ему месте и выполнять именно те функции, для которых он предназначен. В этом смысле базовую платформу безопасности можно сравнить с эшелонированной обороной: у нее есть свои средства "ближнего боя", свои "разведчики", свои "патрули" и свои "диверсанты".Основными функциональными возможностями межсетевых экранов и маршрутизаторов являются контроль общего сетевого доступа и политик корпоративной виртуальной частной сети VPN (Virtual Private Network). Как правило, такие технические средства используются на шлюзе компании или на стыках сегментов сети.
Средства обеспечения безопасности периметра можно соотнести с формированиями для круговой обороны в реальном бою.
В сфере защиты информации второй эшелон защиты периметра используют свое сравнительное преимущество в случае расположения на границе сети, лицом к внешнему миру. Этот внешний мир – интернет. Если обратиться к аналогии с боевыми действиями, то это оперативные границы. Средства защиты периметра должны создавать полную картину характеристик обмена входящей и исходящей информацией в защищаемой сети, что позволит задать нормальные исходные данные, наилучшим образом соответствующие обороняемой сети. Они должны уметь определять отклонения от этих исходных данных, принимать решение о степени их угрозы для защищаемой сети, а затем, соответственно, фильтровать или блокировать их. Отклонения такого вида обычно отражают реализацию блокирующих DDoS-атак (DDoS, Distributed Denial of Service или "распределенный отказ в обслуживании"). Средства защиты периметра также должны обнаруживать действия по зондированию перед атакой, которые выполняются с помощью разнообразных методик сетевого сканирования. Поскольку целью таких действий является зондирование сетевых элементов для создания топологии атакуемой сети, их можно обнаружить только путем выполнения анализа данных с пограничных шлюзов. Другими словами, нахождение и предотвращение подобных ситуаций также входит в ответственность средств обеспечения безопасности периметра.
Алексей Гребенюк, "Доктор Веб": Информация стала товаром, на который имеется постоянный спрос, за который идет борьба в киберпространстве.
Средства защиты периметра обязаны также находить и предотвращать распространение компьютерных червей, которые могут автоматически проникать через границы сети во внутренние компоненты. Для обнаружения этих злонамеренных действий обычно используются специализированные сетевые средства обеспечения безопасности периметра.
Средства обеспечения безопасности периметра также должны уметь выполнять трансляцию сетевого адреса (NAT, Network Address Translation). Устройство NAT предназначено для сокрытия адреса внутренних компонентов сети и понижения вероятности внешних атак (подобно мероприятиям по маскировке в условиях сражения). В дополнение к функциям контроля доступа и политик VPN, за NAT обычно отвечают пограничные межсетевые экраны и маршрутизаторы.
Еще одной важной обязанностью второго эшелона является защита внутренних элементов систем безопасности (первого эшелона). Без их успешной работы средств первые будут испытывать ослабления своих функциональных возможностей и станут уязвимыми для блокирующих DDoS-атак, а в результате повысится уязвимость сети ко всем видам атак в целом.
Эффективное взаимодействие войск
Во время боя все формирования должны обмениваться информацией друг с другом на универсальном языке или при помощи предварительно согласованных знаков. В отсутствие эффективных протоколов связи нападающей стороне будет легче обойти оборонительные силы. Эта концепция напрямую применима к тактике проектирования систем защиты сети.
Хотя правильное расположение элементов обеспечения безопасности в защищаемой сети немаловажно, одного его недостаточно. Инженер-проектировщик систем безопасности должен проверить их способность к обмену информацией между собой, а также с другими комплексами, как, например, централизованные системы управления безопасностью и сетью в целом. Это очень важная составляющая полного формирования эффективной платформы защиты. Связь с соседними элементами улучшит функциональность каждого отдельного средства и приведет к формированию более устойчивой к атакам.
Многоуровневый подход к обороне является неотъемлемой частью эффективной программы обеспечения защиты информации
Когда речь идет о средних и крупных сетях, в которых обычно установлены системы разных производителей, очень важной становится возможность контроля всех этих средств защиты и управления ими посредством одного. Системы SIM (Security Information Management, управление системами защиты информации) разработаны для мониторинга, согласования и управления различными элементами в мультивендорной среде. SIM обеспечивает механизм применения универсального языка для "коммуникации" между всеми устройствами защиты сети, при условии, что все средства способны поддерживать универсальные протоколы и могут отправлять данные на центральное управляющее приложение или консоль. Задачей централизованной системы управления является сбор, координация и анализ сведений с различных устройств защиты. В результате принимается максимально надежное решение по обнаружению атаки и более точно оценивается угроза каждого инцидента. Централизованное управление также помогает уменьшить число лишних, ненужных оповещений об угрозах и улучшить качество данных экспертизы, которая может последовать за обнаружением новых инструментов нападения, вторжений, червей, троянских вирусов, и т.д.
Командование
В реальном сражении необходимы военачальники всех уровней - от командира отделения до командира корпуса - которые координируют действия и управляют войсками на поле боя. Они делают это, исходя из общей картины, которая создается из крупиц информации, собранной до сражения и во время него. Таких "руководителей" можно сравнить с модулем принятия решений, который поддерживается каждым элементом обеспечения информационной безопасности. Данные модули несут прямую ответственность за действия каждого элемента, которому необходимо наличие эффективного модуля принятия решений, быстро выполняющего сбор, анализ и соотнесение предоставляемой этими устройствами информации. Естественно, что в целях поддержки таких модулей каждое устройство будет применять различные технологии согласно характеру проблем, для решения которых оно предназначено. Модуль может быть очень простым, как в случае с устройствами контроля доступа, или же более "интеллектуальным", как в случае с активными средствами обеспечения безопасности периметра, устройствами защиты, ориентированными на приложения, и так далее. Естественно ожидать, что первые будут приходить к выводам быстрее, чем модули интеллектуальных устройств.
Системы управления информационной безопасности (средства защиты SIM) можно сравнить с командирами корпусов или генералами в сражениях. Эти генералы – жизненно важный фактор в широкомасштабных битвах. Подобно командирам, которые получают информацию от всех уровней боевых сил, система управления должна анализировать различную информацию и принимать решения, влияющие на всю сеть. Эта труднейшая задача требует передовых сложных технологий, которые применяются и улучшаются почти ежедневно.
Средние и крупные сети обычно состоят из различных видов элементов ИБ. Для создания эффективной и защищенной сетевой инфраструктуры инженеру следует полностью понимать главную роль каждого элемента системы защиты, его сравнительное преимущество и характерное местоположение. И, хотя всевозможные виды имеющихся и появляющихся средств защиты в этой статье не рассматривались, практически к каждому виду систем безопасности можно применить аналогии из района боевых действий, что сделает более понятной сложную архитектуру современных сетей передачи данных. Многоуровневый подход, а также эффективный способ синхронизации средств защиты на различных уровнях сети формируют базовую платформу безопасности.
Елизавета Валяева
Короткая ссылка
