СОСТОЯНИЕ В СФЕРЕ БЕЗОПАСНОСТИ

Использование сетевых приложений позволило организациям повысить производительность и усовершенствовать механизм обслуживания клиентов. Однако повышение мобильности и доступности современных глобальных сетей порождает новые проблемы в сфере безопасности. Точки беспроводного доступа, рабочие станции и домашние компьютеры сотрудников являются потенциальными точками проникновения в сеть злоумышленников или вредоносного кода.

Подбор квалифицированных специалистов по защите информации является весьма сложной задачей. Кроме того, непростой задачей для организаций является определение объема дополнительных инвестиций в безопасность. Затраты на организацию сети и информационные технологии часто оцениваются на основе расчета возврата инвестиций (ROI). При этом не все организации уделяют достаточное внимание безопасности сети, что обычно считается дорогостоящим делом. Понимание приходит с опытом, когда руководство организации осознает, что более совершенная система защиты обеспечивает большую надежность и эффективность деловых операций во всей сетевой инфраструктуре. В перспективе надежная защита сети позволяет сэкономить денежные средства организации.

ПРОБЛЕМА ПРЕДОТВРАЩЕНИЯ ЭПИДЕМИЙ

В настоящее время задача предотвращения эпидемий червей и вирусов становится все более актуальной. Возникновение этих атак может стоить организациям не только потерь в продажах и снижения производительности труда сотрудников. Некоторые черви и вирусы могут создавать «лазейки» в компьютерах пользователей для хищения информации или использовать зараженные компьютеры (зомби) для распространения других вирусов, спама и прочих атак. Например, атаки большого числа распространяющихся в настоящее время червей вызывают DDoS атаки у ничего не подозревающих компаний.

Угрозы безопасности постоянно видоизменяются, что приводит к необходимости адаптации и изменения средств защиты. Расширение сетевых взаимодействий и увеличение пропускной способности каналов связи способствует увеличению темпа распространения червей и вирусов, что еще больше усложняет задачу предотвращения эпидемий. Например, червь Blaster/Lovsan заразил более 1,4 миллиона компьютеров по всему миру, причем первые 138 000 из них были инфицированы в течении четырех часов с момента запуска червя**.

Обычное обновленное антивирусное программное обеспечение позволяет защитить рабочие станции и серверы от уже известных червей и вирусов, однако новые или неизвестные атаки (атаки нулевого дня) могут обойти эту систему защиты. Кроме того, в больших сетевых средах, охватывающих комплекс зданий, или в территориально рассредоточенных филиалах организации трудно обеспечить наличие последних версий антивирусного ПО и критических обновлений программного обеспечения на всех компьютерах сети. Распространение и загрузка обновлений программного обеспечения может оказаться трудоемкой задачей для обслуживающего сеть персонала. Необходимо своевременно выполнять тестирование и проверять, что эти обновления не оказывают негативного влияния на критически важные для бизнеса приложения. В противном случае сети этих организаций будут уязвимы в отношении атак. Согласно недавно полученной оценке*** до конца 2005 года 90% сетевых атак будут использовать бреши в системе безопасности, для которых заранее известны способы устранения и подготовлены обновления. Установка антивирусного программного обеспечения является хорошим началом, но этого далеко не достаточно.

Наконец, трудно контролировать человеческое любопытство. Распространению большого числа вирусов по-прежнему способствуют пользователи, посещая вредоносные Web-узлы, загружая не заслуживающие доверия данные или открывая вредоносные вложения электронной почты. Эти атаками, не являясь преднамеренными, все же вызывают существенные финансовые потери и снижение производительности организаций. ИТ-менеджеры должны довести до сведения сотрудников и пользователей всю важность соблюдения установленных политик и режимов безопасности.

Для эффективного предотвращения сбоев в работе, вызванных эпидемиями червей или вирусов, организации должны предпринимать следующие меры:

• защита конечных узлов сети (настольные и портативные компьютеры, серверы и пр.) от атак;
• предотвращение распространения инфекций через сетевую инфраструктуру;
• эффективный и комплексный мониторинг и управление сетями для быстрой реакции на эпидемии.

Для выполнения этих задач необходимо иметь четкое и всеобъемлющее представление о системе безопасности сети, поскольку каждое подключенное к сети устройство играет важную роль в обеспечении защиты сети от нежелательных вторжений.

СТРАТЕГИЯ САМОЗАЩИЩАЮЩЕЙСЯ СЕТИ CISCO

Черви и вирусы способны распространяться по глобальной сети в считанные минуты или даже секунды. Поэтому системы безопасности должны обеспечивать мгновенную и автоматическую реакцию на эти угрозы. Интегрированная по всей сети система безопасности обеспечивает обнаружение угроз, изоляцию зараженных устройств (карантин) и выполнение скоординированных ответных действий. Стратегия самозащищающейся сети Cisco Self-Defending Network является разработанной Cisco концепцией интегрированной сетевой безопасности. На основе имеющихся капиталовложений в платформы маршрутизации, коммутации, беспроводной связи и защиты организации могут развернуть самозащищающуюся сеть, которая позволяет обнаруживать, предотвращать и адаптироваться как к известным, так и к неизвестным угрозам безопасности. Только Cisco Systems предлагает не имеющий аналогов системный подход на основе логического объединения сетевых и защитных технологий и сервисов.

Cамозащищающаяся сеть Cisco характеризуется наличием трех компонентов (рис. 1). Среди этих трех компонентов система защиты от угроз (Cisco Threat Defense System), система управления доверием и идентификацией (Cisco Trust and Identity System), система защищенного взаимодействия (Secure Connectivity) - эти компоненты взаимодействуют друг с другом с целью эффективного отражения эпидемий.

Рис. 1. Компоненты самозащищающейся сети Cisco

Система защиты от угроз Cisco Threat Defense System

Сеть должна распознавать как внешние, так и внутренние атаки, противостоять им, а также быстро восстанавливаться после атаки. Система защиты от угроз Cisco, предназначенная для предотвращения эпидемий, сочетает в себе защиту конечных узлов и сетевую защиту для обнаружения атак и предотвращения их дальнейшего распространения по всей сети.

Система управления доверием и идентификацией Cisco Trust and Identity System

Первая линия обороны сети организации - определить пользователей и устройства, которые имеют доступ к сети, проверить состояние таких устройств и уточнить ресурсы, к которым необходим доступ. Система доверия и идентификации обеспечивает контроль доступа к сети на основе безопасности, позволяя подключаться к сети организации и передавать и получать данные только доверенным пользователям и устройствам, соответствующим корпоративной политике безопасности.

ЗАЩИТА КОНЕЧНЫХ УЗЛОВ

Мишенью для червей и вирусов являются приложения, выполняющиеся на настольных компьютерах, серверах и других конечных узлах. Антивирусное ПО и персональные межсетевые экраны являются эффективными средствами противостояния угрозам с распознаваемыми сигнатурами, но обычно этого недостаточно. С целью обнаружения и предотвращения злонамеренных и аномальных действий на конечных узлах программа-агент Cisco Security Agent выполняет анализ на основе поведения системы. На основе анализа поведения системы Cisco Security Agent может устранить как известные, так и неизвестные риски. Программа-агент Cisco Security Agent сочетает множество функций защиты, обеспечивая предотвращение вторжений, возможности распределенного межсетевого экрана, защиту от вредоносного мобильного кода, гарантированную целостность операционной системы и регистрацию выполняемых действий. Все это собрано в эффективный единый пакет программ. Настройка и отслеживание всех политик и действий программы-агента Cisco Security Agent выполняются достаточно просто с помощью централизованной системы управления.

Что пользователь может занести в сеть

С появлением портативных компьютеров и удаленного доступа к виртуальным частным сетям (VPN) возросла производительность мобильных сотрудников. При этом возрастают проблемы, с которыми приходится сталкиваться персоналу службы информационной безопасности. Например, во время командировки корпоративный пользователь может посчитать обременительной загрузку больших по объему обновлений антивирусного ПО или обновлений операционной системы. Отели, аэропорты и Интернет-кафе могут иметь незащищенные точки беспроводного доступа, что вызывает распространение червей или вирусов от одних зараженных компьютеров к другим. Когда пользователь подключится к корпоративной сети, инфекция распространяется по всей инфраструктуре организации.

Разработанная компанией Cisco стратегия контроля доступа в сеть Network Admission Control (Cisco NAC) позволяет сократить ущерб от угроз безопасности, таких как вирусы и черви. NAC позволяет выполнять доступ к сети организации только проверенным и безопасным конечным устройствам; непроверенным устройствам в доступе может быть отказано. На данный момент NAC позволяет маршрутизаторам Cisco задействовать контроль привилегий доступа для выполняющих подключение к сети конечных устройств. Решение о предоставлении доступа может быть принято на основе информации о конечном устройстве, такой как текущее состояние установленного антивирусного ПО и степень обновления операционной системы. NAC позволяет запретить доступ непроверенным устройствам и поместить их в карантинную зону либо предоставить ограниченный доступ к вычислительным ресурсам.

ЛОКАЛИЗАЦИЯ ОЧАГА ЗАРАЖЕНИЯ

Иногда, несмотря на все усилия ИТ персонала организации, червь или вирус все же проникает в сеть. Для противостояния современным вирусам и червям, которые способны распространяться с большой скоростью, необходимо наличие возможности автоматического и быстрого реагирования. Эта возможность предоставляется только интегрированным функциям защиты, встроенным в саму структуру сети.

Сигналы тревоги

Без системы мгновенного обнаружения и реагирования сеть может быть выведена из строя в считанные минуты. Сетевые системы обнаружения и предотвращения вторжений Cisco IPS (Intrusion detection and Prevention Systems) способны точно обнаруживать, классифицировать и блокировать вредоносный трафик в реальном масштабе времени. Развитая логика позволяет системе Cisco IPS анализировать весь проходящий через сеть трафик, идентифицировать атаки, оценивать их опасность, подавать соответствующие сигналы тревоги сетевым администраторам и предпринимать нейтрализующие действия. Например, установленный в сети филиала компании маршрутизатор с системой Cisco IPS (такой как маршрутизатор семейства Cisco 2800) позволяет идентифицировать червя MyDoom при попытке его проникновения в сеть. Маршрутизатор блокирует червя и одновременно выдает сигнал тревоги.

Разделение сети на изолированные участки

Межсетевые экраны традиционно применяются на периметре сети организации, например, в точках выхода в Интернет, для предотвращения проникновения в сеть вредоносного или ненужного трафика, а также злоумышленников. Межсетевые экраны также применяются для защиты внутренней сети. Межсетевые экраны можно настроить для идентификации и блокирования большого числа известных червей, а также для блокирования портов, которые не следует использовать в отдельных сегментах сети. При атаке червя или вируса межсетевые экраны предотвращают дальнейшее заражение за счет разделения внутренней сети на изолированные безопасные участки и контроля доступа к сетевым ресурсам на отдельных участках. Например, попытка обхода червем SQL Slammer внутреннего межсетевого экрана для проникновения на Web-сервер центрального офиса закончится неудачей, если межсетевой экран настроен только на пропуск Web-трафика.

Cisco предоставляет максимально широкий набор функций межсетевых экранов для сетей любого масштаба. Функции межсетевого экрана встроены во все маршрутизаторы Cisco и коммутаторы Cisco Catalyst®. Аппаратные модули межсетевого экрана для коммутаторов Cisco Catalyst обеспечивают поддержку высокопроизводительных приложений. Эффективные межсетевые экраны серии PIX Security Appliances обеспечивают защиту домашних пользователей, филиалов организаций, групп зданий компаний (кампусов) и центров обработки информации.

МОНИТОРИНГ И УПРАВЛЕНИЕ СОСТОЯНИЕМ БЕЗОПАСНОСТИ СЕТИ

В крупных распределенных сетях общее представление всех сетевых устройств, а также устройств и сервисов защиты позволяет ИТ-персоналу эффективно выполнять мониторинг сети. Благодаря встроенным функциям защиты Cisco информация от всех маршрутизаторов, коммутаторов, систем предотвращения вторжений, межсетевых экранов, устройств VPN и защищенных конечных узлов собирается и анализируется системой управления безопасностью информации CiscoWorks Security Information Management Solution (SIMS), позволяющей персоналу службы информационной безопасности быстро обнаруживать угрозы и предпринимать соответствующие ответные действия.

Кроме того, система CiscoWorks VMS позволяет повысить производительность организации за счет объединения инструментальных средств на основе Web для централизованного конфигурирования, мониторинга и устранения неполадок виртуальных частных сетей, межсетевых экранов и систем обнаружения вторжений. Правила и конфигурации можно применять ко всей сети, что существенно упрощает процесс использования общесетевых политик безопасности.

ПРЕДОТВРАЩЕНИЕ ЭПИДЕМИЙ В СЕТИ НА ОСНОВЕ КОНЦЕПЦИИ САМОЗАЩИЩАЮЩЕЙСЯ СЕТИ CISCO

Организациям необходимо предотвращать разрушительные действия, вызываемые эпидемиями червей и вирусов, осуществляя управление затратами на развертывание и поддержание защищенной сети. Интегрированные системы информационной безопасности позволяют организациям извлечь максимальную пользу из средств обеспечения безопасности существующей сетевой инфраструктуры и построить реальную самозащищающуюся сеть. Самозащищающаяся сеть Cisco - это уникальный способ внедрить развитую логику управления безопасностью в сеть, обеспечивая защиту корпоративных ресурсов и снижение совокупной стоимости владения (TCO). Персоналу службы информационной безопасности требуется меньше времени для принятия ответных мер, устранения эпидемий вирусов и червей, что позволяет сконцентрировать внимание на вопросах повышения эффективности, производительности и надежности сети организации.

Cisco является ведущим в отрасли производителем сетевых систем и систем защиты. Только Cisco предлагает не имеющий аналогов системный подход на основе разумного объединения сетевых технологий, технологий безопасности и сервисов. Наряду с системами защиты от угроз и системами идентификации Cisco предоставляет наиболее полный в отрасли набор систем информационной безопасности для оптимальной защиты организаций любого масштаба от разрушительных эпидемий червей и вирусов.

Более подробную информацию о защите организации от эпидемий, а также дополнительные сведения о стратегии самозащищающейся сети Cisco см. по адресу:
http://www.cisco.com/go/selfdefend

* Источник: 2004 CSI/FBI Computer Crime and Security Survey
** Источник: http://Hackerwatch.org
*** Источник: GartnerG2 Research, 2002 г.