Безопасность вашего компьютера
в ваших руках
Системы защиты: фокус на комплексные решения
Глобальное проникновение информационных технологий в нашу жизнь, постепенный переход к электронным способам ведения бизнеса ставят перед участниками рынка новые задачи по обеспечению информационной безопасности. Всеобщая информатизация сопровождается ростом числа компьютерных преступлений и, как следствие, материальных потерь. Согласно отчетам МВД России, за последние три года количество правонарушений в области информационных технологий выросло более чем в 63 раза, а число инцидентов, связанных с несанкционированным доступом к компьютерной информации, увеличилось в 30 раз. Поэтому информационная безопасность стала обязательным условием ведения современного бизнеса.
В нашей стране к вопросам информационной защиты наиболее серьезно подходят компании, имеющие отношение к информационным технологиям, к банковскому сектору, сотовой связи, компании, проводящие операции с ценными бумагами.
Как правило, сначала они осознают необходимость защиты от внешних атак, а позже, по мере изучения проблемы, - от атак внутренних.
В России в основном используют службы информационной безопасности для защиты периметра интрасети, а защите от внутренних угроз уделяется гораздо меньше внимания. В действительности же представление о том, что безопасность можно обеспечить защитой периметра сети от внешних атак, уже давно изжило себя. Необходимо вырабатывать комплексную стратегию, обеспечивающую безопасность на всех уровнях - на уровне шлюза, сервера и клиента.
В настоящее время львиную долю отечественного рынка информационной безопасности составляют межсетевые экраны, системы обнаружения атак (Intrusion Detection Systems - IDS) и антивирусные системы. Однако эти средства перестают удовлетворять современным требованиям, предъявляемым к защитным системам. И здесь нет ничего удивительного: интервалы времени между появлением сообщения об очередной новой точке уязвимости в программном обеспечении, выпуском "заплатки" и созданием программы, использующей эту уязвимость, сокращаются сегодня очень быстро. IDS всего лишь обнаруживают компьютерные атаки.
Существуют две технологии обнаружения атак:
технология сигнатурного анализа и так называемая технология выявления аномальной деятельности.
IDS, основанные на первой из них, обнаруживают далеко не все атаки, а лишь те, которые уже описаны в сигнатурах (образец IP-пакета данных, характерного для какой-либо определенной атаки). Иными словами, они реагируют только на известные атаки и беззащитны перед новыми, неизвестными. Такие IDS работают по тому же принципу, что и антивирусные программы: известные вирусы ловятся, неизвестные - нет.
Возникает резонный вопрос, а как же быть с неизвестными атаками? Случавшиеся в последнее время компьютерные атаки, например такие как Slammer или Nimda, ускользают от внимания программных средств, основанных на распознавании сигнатур, и практически мгновенно распространяются через локальные сети - задолго до того, как становится возможным какое-либо обновление систем защиты.
Система, ориентированная на выявление новых типов атак, - это система выявления "аномального" поведения, которая отслеживает в сетевом трафике, в работе приложений и в других процессах все отклонения от нормы, контролирует частоту событий и обнаруживает статистические аномалии. Основанная на анализе поведения, такая система может остановить как известные, так и не встречавшиеся ранее виды несанкционированной деятельности.
Однако и у нее есть существенный недостаток - трудности с формулировкой эффективных критериев того, что считать аномальным поведением, а что не считать. Объединяя эти две технологии и устраняя таким образом их взаимные недостатки, можно получить средство обнаружения известных и неизвестных атак.
Разработчики средств информационной защиты предложили на смену IDS системы предотвращения компьютерных атак (Intrusion Prevention Systems - IPS). Основа функционирования IPS - интеграция IDS с межсетевыми экранами. Кроме того обязательным условием эффективной работы IPS является установка системы "в разрыв" сети. Система IPS не только определяет, но и пытается остановить атаку, и даже может провести ответное нападение на атакующего. Наиболее распространенные типы реагирования - прерывание сессии и переконфигурирование межсетевого экрана. Сегодня IPS - уже превалирующая технология, реализованная в продуктах практически всех известных производителей средств информационной защиты.
В подходах ведущих производителей средств информационной безопасности в настоящее время доминирует принцип эшелонированной защиты. Вместо отдельных межсетевых экранов, устройств организации виртуальных частных сетей (VPN), антивирусных систем, систем обнаружения и предотвращения вторжений на рынок поставляются комплексные решения, в том числе и на программно-аппаратной основе (security appliance), интегрируемые в инфраструктуру компании для обеспечения информационной защиты на всех уровнях.
Прислушиваясь к общим тенденциям на рынке информационной безопасности, разработчики объединяют различные средства защиты. Это делает подобные объединенные устройства более гибкими при внедрении в информационные системы предприятий и намного упрощает процесс установки и эксплуатации. Оценив нынешний уровень развития технологий информационной безопасности, можно вывести формулу эффективной защиты: интеграция аппаратной платформы, межсетевого экрана и системы обнаружения и предотвращения вторжений, использующей сигнатурный и поведенческий анализ.
В нашей стране к вопросам информационной защиты наиболее серьезно подходят компании, имеющие отношение к информационным технологиям, к банковскому сектору, сотовой связи, компании, проводящие операции с ценными бумагами.
Как правило, сначала они осознают необходимость защиты от внешних атак, а позже, по мере изучения проблемы, - от атак внутренних.
В России в основном используют службы информационной безопасности для защиты периметра интрасети, а защите от внутренних угроз уделяется гораздо меньше внимания. В действительности же представление о том, что безопасность можно обеспечить защитой периметра сети от внешних атак, уже давно изжило себя. Необходимо вырабатывать комплексную стратегию, обеспечивающую безопасность на всех уровнях - на уровне шлюза, сервера и клиента.
В настоящее время львиную долю отечественного рынка информационной безопасности составляют межсетевые экраны, системы обнаружения атак (Intrusion Detection Systems - IDS) и антивирусные системы. Однако эти средства перестают удовлетворять современным требованиям, предъявляемым к защитным системам. И здесь нет ничего удивительного: интервалы времени между появлением сообщения об очередной новой точке уязвимости в программном обеспечении, выпуском "заплатки" и созданием программы, использующей эту уязвимость, сокращаются сегодня очень быстро. IDS всего лишь обнаруживают компьютерные атаки.
Существуют две технологии обнаружения атак:
технология сигнатурного анализа и так называемая технология выявления аномальной деятельности.
IDS, основанные на первой из них, обнаруживают далеко не все атаки, а лишь те, которые уже описаны в сигнатурах (образец IP-пакета данных, характерного для какой-либо определенной атаки). Иными словами, они реагируют только на известные атаки и беззащитны перед новыми, неизвестными. Такие IDS работают по тому же принципу, что и антивирусные программы: известные вирусы ловятся, неизвестные - нет.
Возникает резонный вопрос, а как же быть с неизвестными атаками? Случавшиеся в последнее время компьютерные атаки, например такие как Slammer или Nimda, ускользают от внимания программных средств, основанных на распознавании сигнатур, и практически мгновенно распространяются через локальные сети - задолго до того, как становится возможным какое-либо обновление систем защиты.
Система, ориентированная на выявление новых типов атак, - это система выявления "аномального" поведения, которая отслеживает в сетевом трафике, в работе приложений и в других процессах все отклонения от нормы, контролирует частоту событий и обнаруживает статистические аномалии. Основанная на анализе поведения, такая система может остановить как известные, так и не встречавшиеся ранее виды несанкционированной деятельности.
Однако и у нее есть существенный недостаток - трудности с формулировкой эффективных критериев того, что считать аномальным поведением, а что не считать. Объединяя эти две технологии и устраняя таким образом их взаимные недостатки, можно получить средство обнаружения известных и неизвестных атак.
Разработчики средств информационной защиты предложили на смену IDS системы предотвращения компьютерных атак (Intrusion Prevention Systems - IPS). Основа функционирования IPS - интеграция IDS с межсетевыми экранами. Кроме того обязательным условием эффективной работы IPS является установка системы "в разрыв" сети. Система IPS не только определяет, но и пытается остановить атаку, и даже может провести ответное нападение на атакующего. Наиболее распространенные типы реагирования - прерывание сессии и переконфигурирование межсетевого экрана. Сегодня IPS - уже превалирующая технология, реализованная в продуктах практически всех известных производителей средств информационной защиты.
В подходах ведущих производителей средств информационной безопасности в настоящее время доминирует принцип эшелонированной защиты. Вместо отдельных межсетевых экранов, устройств организации виртуальных частных сетей (VPN), антивирусных систем, систем обнаружения и предотвращения вторжений на рынок поставляются комплексные решения, в том числе и на программно-аппаратной основе (security appliance), интегрируемые в инфраструктуру компании для обеспечения информационной защиты на всех уровнях.
Прислушиваясь к общим тенденциям на рынке информационной безопасности, разработчики объединяют различные средства защиты. Это делает подобные объединенные устройства более гибкими при внедрении в информационные системы предприятий и намного упрощает процесс установки и эксплуатации. Оценив нынешний уровень развития технологий информационной безопасности, можно вывести формулу эффективной защиты: интеграция аппаратной платформы, межсетевого экрана и системы обнаружения и предотвращения вторжений, использующей сигнатурный и поведенческий анализ.
Ссылки на сайты основных разработчиков антивирусного ПО:
