ОБЗОР

Информационные технологии открывают хорошие перспективы, но эти перспективы влекут появление рисков, которыми необходимо управлять, по мере того, как новые приложения и сеть Интернет способствуют преобразованию и расширению взаимоотношений с клиентами, партнерами и поставщиками. Организации любого масштаба полагаются на критически важные приложения, которые все чаще используются при взаимодействиях через сеть Интернет и действия которых распространяются за пределами общепринятых границ информационной безопасности. Тем временем атаки на приложения становятся все более изощренными, опасными и быстрыми. Существующая модель сетевой безопасности не позволяет обеспечить необходимый уровень защиты. Поэтому необходим новый подход к информационной безопасности, который должен быть интегрированным, совместным и адаптивным; этот подход должен обеспечивать достижение корпоративных целей и управление рисками.

ЗАДАЧА

Сетевые и Интернет-приложения в корне изменяют структуру систем и способы их взаимодействия между собой. Появление новых технологий приводит к резким изменениям общепринятых деловых моделей и создает возможности привлечения внешних ресурсов для решения своих задач, создания оффшоров, управления поставками, предоставления услуг сторонним компаниям и поддержания работоспособности предприятий с помощью приложений, обеспечивающих беспроводную связь, передачу голоса в IP-сетях и пр. Эти технологии предоставляют новый уровень делового сотрудничества, которое, в некотором смысле, становится «цифровым, мобильным, виртуальным и персональным»*.

Для использования предоставляемых этими технологиями преимуществ для делового роста и повышения рентабельности каждая организация стремится создать единую среду доставки приложений и объединенную инфраструктуру. В результате, ориентированные на предоставление услуг архитектуры приводят к возникновению новых форм сотрудничества, в то время как объединение центров обработки данных обеспечивает доставку приложений и появление эффективных моделей. Эти новые средства доставки и централизованные архитектуры в корне изменяют структуру внутренних систем и способы их взаимодействия между собой.

В результате организации все больше переносят в режим онлайн бизнес-процессов, таких как осуществление финансовых операций, управление персоналом, производство или торговля. Более того, интерактивный просмотр информации с помощью Web-браузеров, общение по электронной почте и IP-телефония становятся основными элементами деловой инфраструктуры. Приложения диалогового обмена сообщениями все в большей степени рассматриваются как чрезвычайно полезные средства для деловых взаимодействий между сотрудниками, а также партнерами и клиентами.

Однако повышение эффективности делового сотрудничества приводит к появлению рисков, которыми необходимо контролировать. Несмотря на увеличение объема инвестиций в безопасность по всему миру, число преступлений в сети Интернет продолжает расти. По данным исследовательской фирмы Computer Economics, преступники одерживают верх – в 2004 году общий ущерб от атак на компании всего мира составил рекордную сумму в 17,5 миллиардов долларов, что на 30% больше по сравнению с 2003 годом**. Мнения экспертов сводятся к тому, что по мере расширения возможностей совместной работы и приложений на основе служб сети Интернет этот ежегодный ущерб будет увеличиваться.

Отчасти проблема заключается в чрезмерной уверенности организаций в надежности своих сетей и распределенных вычислений в интерактивном пространстве - ведь критически важные бизнес-приложения, которые до недавнего времени размещались в центрах обработки данных во внутренней сети компаний под защитой межсетевых экранов, теперь доступны в любое время из любого местоположения, что противоречит общепринятым концепциям информационной безопасности и делает эти приложения уязвимыми к атакам. Такие возможности, как изменение портов (port-hopping) и туннелирование, наделяют приложения развитой логикой, позволяющей им выполнять сканирование открытых портов межсетевого экрана, например, для интерактивного просмотра информации в Интернет (порт 80), и проникать через обнаруженные дыры; при этом работающие на более низком уровне традиционные средства защиты фактически не могут контролировать соблюдение политик безопасности. Кроме того, наиболее распространенные атаки, такие как внедрение вредоносного SQL-кода, несанкционированный доступ или атака на основе переполнения буфера, использование известных уязвимостей Web-узлов, тестирование которых является непростой задачей в силу ежедневного добавления на серверы нового кода. (По материалам Severre Huseby, Common Security Problems in the Code of Dynamic Web Applications, 2005)

Эти проблемы усугубляют корпоративные пользователи. Одну из самых серьезных угроз нарушения бизнес-процессов представляют отнюдь не хакеры или конкуренты, а сотрудники, партнеры и доверенные лица, имеющие привилегии на доступ к сетям, системам и конфиденциальной информации. Для защиты от внутренних нарушителей необходим новый подход, обеспечивающий разработку и контроль соблюдения политик безопасности, которые позволят избежать непреднамеренного или умышленного нанесения ущерба системам и данным, а так же избежать ”лазеек”, из-за которых может быть запущен недопустимый исполняемый код по небрежности или злому умыслу.

Стремясь идти в ногу со временем, многие организации приобретают одни средства сетевой защиты за другими, повышая сложность функций защиты и увеличивая вероятность ложных срабатываний системы безопасности, что приводит к ситуациям, в которых отличить легальное событие от нарушения бывает весьма трудно. Испытывая недостаток сотрудников, организации зачастую попадают в замкнутый круг, тщетно пытаясь справляться с установкой новейших обновлений безопасности и истощая временные и человеческие ресурсы. Недостаточный контроль над приложениями может привести к снижению производительности сотрудников, излишнему расходу сетевых ресурсов, а, кроме того, к уголовной ответственности.

Ущерб от атак на приложения достиг ошеломляющих размеров. Всего одной атаки бывает достаточно для прерывания деловых процессов по всему миру. Кроме того, организации могут понести убытки непосредственно от потерь производительности и снижения репутации. Также возникают косвенные затраты, которые складываются из потери сбыта, ослабления взаимоотношений с клиентами и привлечения к правовой ответственности. Традиционные межсетевые экраны, системы обнаружения вторжений и антивирусное ПО уже не обеспечивают достаточный уровень защиты. Кроме того, всем этим средствам недостает важных сетевых функций и эксплуатационных характеристик, требуемых в условиях современной сетевой среды. Например, методы передачи критически важного трафика, такого как голосовой IP-трафик, должны быть высокодоступными и обеспечивать поддержку качества сервиса по всей сети. Поэтому воздействие традиционных средств защиты на современные сетевые приложения неприемлемо. Система предотвращения атак на приложения на основе самозащищающейся сети Cisco предоставляет организациям возможность управления рисками сетевой безопасности, связанными с использованием интерактивных процессов, обеспечивая достижение корпоративных целей.

РЕШЕНИЕ

Комплексный подход к безопасности бизнес-приложений должен учитывать как требования этих приложений, так и требования к производительности и функциональным возможностям современных сетей. Кроме того, для распознавания и блокирования еще более сложных атак необходимо наличие передовых технологий встроенной системы обнаружения, взаимосвязи и отражения сетевых воздействий. Для обеспечения масштабируемости и гибкости эти технологии должны быть интегрированы в инфраструктуру IP-сетей.

Настольные компьютеры и серверы также должны содействовать в определении какие приложения, могут получать доступ к сети. Необходимо обеспечить эти системы механизмами, позволяющими создавать и назначать правила и политики безопасности, а также мгновенно предотвращать известные и неизвестные атаки без необходимости обновления баз данных сигнатур, предоставляя организациям возможность контроля загрузки обновлений и снижения связанных с этим процессом расходов. Наконец, данный подход должен обеспечивать единую платформу управления, позволяющую соединять вместе отдельные системы управления которые позволяют выполнять конфигурацию средств защиты сети, настольных компьютеров и серверов, а также осуществлять текущий контроль гетерогенных сред для сокращения ложных срабатываний системы безопасности и повышения защиты.

Для реализации этого комплексного подхода была создана самозащищающаяся сеть Cisco. В состав самозащищающейся сети входят следующие элементы: устройства адаптивной защиты семейства Cisco ASA 5500 или Cisco PIX®, система предотвращения вторжений Cisco IPS (Cisco Intrusion Prevention System) в аппаратном и программном исполнении, программа-агент Cisco Security Agent, система контроля, анализа и ответной реакции Cisco MARS (Cisco Security Monitoring, Analysis, and Response System), система управления безопасностью Cisco Security Manager, а также программное обеспечение Cisco IOS® и модули для маршрутизаторов и коммутаторов на базе Cisco IOS. Совместная работа этих технологий обеспечивает комплексную защиту от атак на приложения без нарушения функционирования традиционных решений (рис. 1).

Рис. 1. Самозащищающаяся сеть Cisco.

Подсистемы комплексной проверки приложений

Комплексная сетевая защита приложений требует наличия механизмов проверки и управления, действующих по всей сети. С целью решения этой задачи в систему предотвращения атак на приложения на основе самозащищающейся сети была включена обеспечивающая функции проверки технология сетевой защиты приложений и программа-агент безопасности CSA (Cisco Security Agent) для настольных компьютеров, предоставляющая функции инвентаризации, анализа и управления.

Расположенные на стыке между границами зон безопасности сетевые подсистемы проверки приложений охватывают все основные сетевые протоколы и предоставляют новый уровень защиты и контроля политик безопасности в сетях. Каждая подсистема проверки осуществляет непрерывный контроль потоков данных приложений, отмечает нарушения протоколов и предпринимает соответствующие действия по блокированию конкретного протокола. Кроме обнаружения несоответствий в работе протоколов, сетевые подсистемы проверки приложений расширяют набор инструментальных средств администраторов по контролю доступа, предоставляя эффективные средства контроля, позволяющие управлять отдельными функциями или возможностями приложений. Все эти услуги настраиваются с помощью простой, но эффективной системы управления на базе Web Cisco ASDM (Cisco Adaptive Security Device Manager) с использованием программ-настройщиков и наглядного интерфейса, который обеспечивает быстрое развертывание надежных механизмов защиты приложений.

Настольные конечные узлы также должны участвовать в процессе анализа и контроля приложений во избежание установки и запуска пользователями неразрешенных программ, а также для отражения известных и неизвестных атак, способных обходить традиционные механизмы защиты. Кроме того, конечные узлы должны обеспечивать контроль аномального поведения с помощью политик, запрещающих выполнение приложений или разрешающих их выполнение, но блокирующих аномальное поведение. Для решения этих задач программа-агент Cisco Security Agent предоставляет широкий набор возможностей инвентаризации и анализа приложений, включая следующие:

• Контроль приложений, устанавливаемых на компьютер или группу компьютеров и имеющих доступ к сети.
• Контроль аномального поведения на основе политик, позволяющих блокировать злонамеренные действия, но разрешать выполнения доверенного кода.
• Определение и назначение пользовательских правил и политик безопасности.
• Обеспечение оперативными исправлениями и проверку наличия новых пакетов обновлений.
• Проверка устанавливаемого программного обеспечения на наличие вредоносного кода, а также контроль над удалением критически важных файлов.

Система комплексной безопасности обеспечивает масштабируемость подсистем проверки приложений Cisco и защитного ПО настольных компьютеров для приспособления к любым сетевым средам – от малых и средних организаций и филиалов до крупных предприятий и поставщиков услуг. К разработанным для конкретных целей платформам Cisco с функциями защиты приложений относятся устройства адаптивной защиты семейства Cisco ASA 5500, устройства Cisco PIX, а также коммутаторы семейства Cisco Catalyst® 6500. Модуль функций межсетевого экрана Cisco IOS FWSM (Cisco IOS Firewall Services Module) для маршрутизаторов доступа Cisco предоставляет функции защиты малых представительств и филиалов наряду с взаимодействиями между системами деловых партнеров, а программа-агент Cisco Security Agent обеспечивает безопасность более чем 100000 настольных компьютеров.

Расширенные возможности обнаружения, корреляции и предотвращения

Для противостояния новым и усовершенствованным атакам на приложения необходимо наличие расширенных методов обнаружения, корреляции и предотвращения. Система предотвращения атак на приложения Cisco включает программное обеспечение Cisco IPS Sensor Software, позволяющее блокировать атаки на приложения в сети, а также программа-агент Cisco Security Agent, который обеспечивает защиту серверов. Cisco IPS Sensor Software позволяет с высокой вероятностью блокировать большое число атак за счет применения следующих методов:

• Технология точного предупреждения – дает гарантию принятия мер по предотвращению более широкого спектра угроз, исключая вероятность отбрасывания легального трафика.
• Рейтинг риска – сокращение числа ложных срабатываний при обнаружении атак на основе сигнатур на основе использования алгоритмов защиты приложений.
• Выработка комплексных ответных действий – метод может быть привязан к механизму обнаружения нарушений политик безопасности.

Серверы также должны участвовать в контроле политик безопасности и аномального поведения приложений. Программа-агент Cisco Security Agent позволяет мгновенно предотвращать известные и неизвестные атаки без необходимости обновления баз данных сигнатур, предоставляя организациям возможность контроля загрузки обновлений и снижения, связанных с этим процессом расходов. Кроме того, Cisco Security Agent сочетает и расширяет множество функций защиты, обеспечивая предотвращение вторжений, возможности распределенного межсетевого экрана, защиту от вредоносного мобильного кода, гарантированную целостность операционной системы и регистрацию выполняемых действий на базе одного пакета программ. Таким образом, обеспечивается упреждающая защита настольных компьютеров и серверов от всех распространенных видов атак, включая сканирование портов, атаки на основе переполнения буфера, троянских коней, искажения пакетов, злонамеренные HTML-запросы и червей, распространяющихся в письмах электронной почты.

Система комплексной безопасности обеспечивает функции предотвращения вторжений для любых сетевых сред – от малых и средних организаций и филиалов до крупных предприятий и поставщиков услуг. К разработанным для конкретных целей платформам Cisco, обеспечивающим функции предотвращения вторжений, относятся датчики серии Cisco IPS 4200, коммутаторы серии Cisco Catalyst 6500, а также модули с функциями адаптивной проверки и предотвращения вторжений (Advanced Inspection and Prevention Security Services Module, AIP-SSM) для устройств адаптивной защиты серии Cisco ASA 5500. Модуль IDS для маршрутизаторов доступа Cisco обеспечивает традиционные функции обнаружения с расширенными возможностями. Кроме того, широкий набор возможностей предотвращения вторжений доступен на базе программного обеспечения Cisco IOS для маршрутизаторов.

Совместное управление

Действия в ответ на нарушения безопасности необходимо предпринимать для защиты приложений и систем в реальном масштабе времени. Система Cisco MARS (Cisco Security Monitoring, Analysis, and Response System) предоставляет не имеющие аналогов возможности тщательного наблюдения и контроля существующей системы безопасности. Полный набор интеллектуальных сетевых функций и возможности наблюдения за сетевой активностью в реальном масштабе времени позволяют системе Cisco MARS быстро соотносить данные журналов приложений с информацией, полученной из сети, для выполнения следующих действий:

• Раскрытие смысла разрозненных непонятных сообщений, поступающих от приложений, и определение нарушений безопасности, требующих принятия ответных мер.
• Наглядное представление источника возникновения атаки и ресурсов, являющихся ее целью.
• Использование свойственных сетевым системам предотвращения вторжений и межсетевым экранам интеллектуальных функций защиты приложений, работающих совместно и представляющих собой комплексную систему, а не набор отдельных точечных продуктов.
• Согласование важной информации между интеллектуальными устройствами для их точной настройки.

Являясь ключевым элементом жизненного цикла управления безопасностью Cisco, система Cisco MARS предоставляет департаментам безопасности и сетевым ИТ-подразделениям возможность обнаружения, управления и отражения атак на приложения. На основе имеющихся инвестиций в сеть и систему безопасности данная система выполняет обнаружение, изоляцию и устранение элементов, нарушающих нормальную работу сети. Кроме того, данная система обеспечивает поддержку соответствия политикам безопасности и может быть включена в состав общего механизма соблюдения соответствия нормативным документам.

Для конфигурирования устройств и отслеживания событий в системы Cisco включены Cisco Device Manager и система Cisco Security Manager, сочетающая в себе инструментальные средства на основе Web для конфигурирования, контроля и устранения неполадок VPN сетей, межсетевых экранов, а также сетевых систем обнаружения вторжений и систем предотвращения вторжений на базе конечных узлов. Система Cisco Security Manager также обеспечивает функции инвентаризации сетевых устройств, учета изменений и распространения программного обеспечения.

Единый подход к защите от атак на приложения

Новые приложения и сеть Интернет способствуют преобразованию и расширению взаимоотношений с клиентами, партнерами и поставщиками. Организации любого масштаба полагаются на сервис-ориентированные архитектуры и критически важные приложения, которые все чаще используются при взаимодействиях через сеть Интернет и действия которых распространяются за пределами общепринятых границ информационной безопасности. Тем временем атаки на приложения становятся все более изощренными, опасными и быстрыми. Для достижения корпоративных целей и управления рисками необходим интегрированный, совместный и адаптивный подход.

Система предотвращения атак на приложения на основе самозащищающейся сети Cisco предоставляет организациям возможность управления рисками сетевой безопасности, связанными с использованием интерактивных процессов, обеспечивая достижение корпоративных целей. Самозащищающаяся сеть является системной архитектурой, которая предоставляет возможность более эффективной реализации средств контроля сетевой безопасности и поддерживает общепризнанные в отрасли механизмы контроля и передовые методы, позволяя повысить защищенность корпоративной сети в целом и обеспечить соответствие организации нормативным документам. В отличие от подхода на основе точечных разработок, который предлагается другими разработчиками, система предотвращения атак на приложения на основе самозащищающейся сети предоставляет системный подход к сетевой безопасности, обеспечивающий контроль расходов и соответствия нормативным требованиям.

Более подробную информацию о системах предотвращения атак на приложения на основе самозащищающейся сети см. по адресу: http://www.cisco.com/go/AppAbuse


* Thomas Friedman, "The World is Flat: A Brief History of the Twenty-first Century"
** Business Week, May 2005, "Hacker Hunters: an elite force takes on the dark side of computing"