Сегодня средства информатизации и связи - один из главных факторов прогресса, без них невозможно представить поступательное развитие многих сфер человеческой деятельности. Информационные технологии прочно вошли в бизнес, образование, производство, открыв человеку небывалые возможности в достижении высоких скоростей получения и обработки информации, автоматизации производственных, управленческих и иных процессов. Глобальное проникновение информационных технологий в нашу жизнь, постепенный переход к электронным способам ведения бизнеса ставят перед участниками рынка новые задачи по обеспечению информационной безопасности. Всеобщая информатизация сопровождается ростом числа компьютерных преступлений и, как следствие, материальных потерь. Согласно отчетам МВД России, за последние три года количество правонарушений в области информационных технологий выросло более чем в 63 раза, а число инцидентов, связанных с несанкционированным доступом к компьютерной информации, увеличилось в 30 раз. Поэтому информационная безопасность стала обязательным условием ведения современного бизнеса.

В нашей стране к вопросам информационной защиты наиболее серьезно подходят компании, имеющие отношение к информационным технологиям, к банковскому сектору, сотовой связи, компании, проводящие операции с ценными бумагами. Что касается других организаций, согласно результатам различных исследований, руководители многих из них знают об основных видах угроз, но не уделяют должного внимания этим вопросам, полагая, что обеспечение информационной безопасности не имеет смысла, если отсутствует видимая угроза. То есть основная проблема в сфере информационной защиты - недостаточное внимание к ней руководства компаний и, как следствие, дефицит ее финансирования.

Тем не менее, постепенно руководители российских компаний изменяют свой взгляд на информационную безопасность, начиная относиться к ней как к одному из способов повышения конкурентоспособности компании. Как правило, сначала они осознают необходимость защиты от внешних атак, а позже, по мере изучения проблемы, - от атак внутренних.

Внешние угрозы - это, вирусные атаки, атаки типа «отказ в обслуживании» (в том числе распределенные), несанкционированный доступ на серверы компании, нарушение конфиденциальности передаваемой информации. Их появление обусловлено взаимодействием предприятия с внешними информационными системами. Но замыкаться на внешних угрозах, недооценивая серьезность внутренних угроз, было бы ошибкой, так как значительно больший ущерб компании может нанести некорректное поведение сотрудников, нарушающих корпоративную политику безопасности. Внутренние атаки не относятся к общим типам атак. В отличие от внешних злоумышленников, внутренний нарушитель - это авторизованный пользователь, имеющий официальный доступ к ресурсам интрасети, в том числе к тем, в которых циркулирует конфиденциальная информация. В России в основном используют службы информационной безопасности для защиты периметра интрасети, а защите от внутренних угроз уделяется гораздо меньше внимания. В действительности же представление о том, что безопасность можно обеспечить защитой периметра сети от внешних атак, уже давно изжило себя. Необходимо вырабатывать комплексную стратегию, обеспечивающую безопасность на всех уровнях - на уровне шлюза, сервера и клиента.

Системы обнаружения компьютерных атак - не панацея

В настоящее время львиную долю отечественного рынка информационной безопасности составляют межсетевые экраны, системы обнаружения атак (Intrusion Detection Systems - IDS) и антивирусные системы. Однако эти средства перестают удовлетворять современным требованиям, предъявляемым к защитным системам. И здесь нет ничего удивительного: интервалы времени между появлением сообщения об очередной новой точке уязвимости в программном обеспечении, выпуском «заплатки» и созданием программы, использующей эту уязвимость, сокращаются сегодня очень быстро. IDS всего лишь обнаруживают компьютерные атаки. Можно провести параллель между такой системой и термометром: последний лишь определяет температуру тела больного, но не является средством лечения. Получается, что система обнаружения компьютерных атак имеет только диагностическое значение.

Существуют две технологии обнаружения атак: технология сигнатурного анализа и так называемая технология выявления аномальной деятельности. IDS, основанные на первой из них, обнаруживают далеко не все атаки, а лишь те, которые уже описаны в сигнатурах (образец IP-пакета данных, характерного для какой-либо определенной атаки). Иными словами, они реагируют только на известные атаки и беззащитны перед новыми, неизвестными. Такие IDS работают по тому же принципу, что и антивирусные программы: известные вирусы ловятся, неизвестные - нет.

Появление новой сигнатуры всегда обусловлено анализом механизма уже прошедшей атаки и ее воздействия на какую-либо информационную систему. Хорошо, если это были действия, направленные на конкретные информационные ресурсы. А если это была, допустим, новая разновидность интернет-червя? Тогда пользователь защитной системы, созданной на основе технологии сигнатурного анализа, не застрахован от последствий возможной компьютерной атаки. Принцип работы «пронесет-не пронесет» устроит лишь тех пользователей, для которых не критична потеря информации, но не тех, чья деятельность основана на использовании информационных ресурсов.

Возникает резонный вопрос, а как же быть с неизвестными атаками? Случавшиеся в последнее время компьютерные атаки, например такие как Slammer или Nimda, ускользают от внимания программных средств, основанных на распознавании сигнатур, и практически мгновенно распространяются через локальные сети - задолго до того, как становится возможным какое-либо обновление систем защиты. Система, ориентированная на выявление новых типов атак, - это система выявления «аномального» поведения, которая отслеживает в сетевом трафике, в работе приложений и в других процессах все отклонения от нормы, контролирует частоту событий и обнаруживает статистические аномалии. Основанная на анализе поведения, такая система может остановить как известные, так и не встречавшиеся ранее виды несанкционированной деятельности. Однако и у нее есть существенный недостаток - трудности с формулировкой эффективных критериев того, что считать аномальным поведением, а что не считать.

Объединяя эти две технологии и устраняя таким образом их взаимные недостатки, можно получить средство обнаружения известных и неизвестных атак.

IPS в противовес интернет-угрозам

Необходимо не только обнаружение, но и блокирование вредоносных воздействий - переход к проактивной защите. Обнаружение вторжений без противодействия нельзя считать эффективным средством защиты. Приобретая систему информационной безопасности, пользователь преследует цель гарантированно защитить свои информационные ресурсы от злонамеренных действий. Поэтому на очередном витке развития информационных технологий, сталкиваясь с постоянной эволюцией угроз и следуя пожеланиям пользователей, разработчики средств информационной защиты предложили на смену IDS системы предотвращения компьютерных атак (Intrusion Prevention Systems - IPS).

Основа функционирования IPS - интеграция IDS с межсетевыми экранами. Кроме того обязательным условием эффективной работы IPS является установка системы «в разрыв» сети. Система IPS не только определяет, но и пытается остановить атаку, и даже может провести ответное нападение на атакующего. Наиболее распространенные типы реагирования - прерывание сессии и переконфигурирование межсетевого экрана.

Сегодня IPS - уже превалирующая технология, реализованная в продуктах практически всех известных производителей средств информационной защиты. Некоторые вендоры идут дальше и пытаются дополнить системы предотвращения атак уникальными разработками.

Интересна в этом плане технология Virtual Patch, разработанная специалистами компании Internet Security System. Она предназначена для блокирования атаки, эксплуатирующей уязвимость в определенной системе, до официального выпуска «заплатки» производителем этой системы. Скорость выхода обновления для модуля Virtual Patch составляет несколько часов с момента обнаружения первой информации об уязвимости, после чего происходит рассылка обновлений и автоматическая реконфигурация сенсоров системы обнаружения атак.

Интеграция = снижение стоимости + увеличение защищенности

В подходах ведущих производителей средств информационной безопасности в настоящее время доминирует принцип эшелонированной защиты. Вместо отдельных межсетевых экранов, устройств организации виртуальных частных сетей (VPN), антивирусных систем, систем обнаружения и предотвращения вторжений на рынок поставляются комплексные решения, в том числе и на программно-аппаратной основе (security appliance), интегрируемые в инфраструктуру компании для обеспечения информационной защиты на всех уровнях. Переход к объединению в одном продукте основных средств информационной защиты не только дает возможность упростить сетевую инфраструктуру, но и обеспечивает многоуровневую защиту с более эффективным управлением.

Информационную безопасность, эту, надо сказать, не маленькую статью расходов, раньше могли позволить себе только крупные компании. Компаниям среднего и малого бизнеса высокий уровень безопасности был не по карману из-за высокой стоимости и сложности разрозненных решений. До тех пор, пока эти решения не стали объединять в многофункциональные аппаратные и программно-аппаратные комплексы. Подобная интеграция позволила значительно снизить общую стоимость владения средствами защиты информации, упростить процесс установки и администрирования и в тоже время повысить уровень безопасности защищаемых информационных ресурсов. Физическое объединение влияет, в первую очередь, на стоимость системы, поскольку одна платформа дешевле нескольких, а технические ресурсы в такой консолидированной системе используются эффективнее. К тому же эти решения легко интегрируются в корпоративную среду.

Практически все основные производители средств защиты предлагают свои решения в этом сегменте, но лидирующие позиции занимают компании Internet Security System (продуктовая линейка Proventia), Symantec (Symantec Gateway Security) и Cisco Systems (Cisco ASA 5500). Однако стремление некоторых вендоров объединить коммутационное оборудование со средствами информационной безопасности может повлечь за собой образование узких мест в производительности подобных устройств или снизить эффективность функционирования средств защиты.

Надежность и качество

Одна из ключевых тенденций в развитии информационной безопасности - повышение требовательности клиентов к качеству и надежности продуктов. Качество и надежность подразумевают действительно бесперебойную работу, отказоустойчивость и одновременно абсолютную прозрачность для сетевого трафика. Прежде всего бесперебойная работа продуктов безопасности связана с наличием надежно работающего оборудования и резервированием критичных к отказу блоков питания и запоминающих устройств. Для последних оптимально применение дисковых массивов горячей замены. Качество и надежность работы достигается оптимизацией программного обеспечения. Операционная система устройств обычно «усекается» под выполнение только задач защиты. За счет этого добиваются минимальной вероятности компьютерных атак на само средство защиты.

При установке программно-аппаратных средств защиты в разрыв сети требования к надежности и отказоустойчивости возрастают в несколько раз, так как выход из строя устройства повлечет за собой нарушение функционирования сети. Дабы избежать этого, разработчики предусматривают механизмы так называемого аппаратного шунтирования, обеспечивающего беспрепятственный проход сетевого трафика через устройство в случае нарушений в его работе. К примеру, такая технология реализована в устройствах Proventia серии G компании Internet Security System. Также один из действенных способов увеличения надежности - объединение устройств в кластеры, что позволяет избежать появления единой точки отказа.

Формула безопасности

Прислушиваясь к общим тенденциям на рынке информационной безопасности, разработчики объединяют различные средства защиты. Это делает подобные объединенные устройства более гибкими при внедрении в информационные системы предприятий и намного упрощает процесс установки и эксплуатации, в частности за счет технической поддержки одним вендором.

Тенденция замены программных решений программно-аппаратными комплексами сохранится. Можно предположить, что еще больше возрастет популярность программно-аппаратных решений с единым центром управления как среди производителей, так и среди потребителей. По прогнозам западных аналитиков, к 2007 году 80% всех решений информационной безопасности будет поставляться в виде «коробочных» многофункциональных комплексов, готовых к эксплуатации сразу после приобретения.

Оценив нынешний уровень развития технологий информационной безопасности, можно вывести формулу эффективной защиты: интеграция аппаратной платформы, межсетевого экрана и системы обнаружения и предотвращения вторжений, использующей сигнатурный и поведенческий анализ.