Программные средства обеспечения информационной безопасности предприятий
Информационная безопасность — непременное условие нормального функционирования любой компании, так или иначе связанной с внешним миром. Большинство компаний используют Интернет как одну из составляющих своего бизнеса, вследствие чего постоянно возрастает роль аппаратных и программных средств как для обеспечения безопасного функционирования внутренних приложений компании в ее IT-инфраструктуре, так и для общей политики компаний в области безопасности. При этом нередко бывает весьма сложно оценить экономический эффект от внедрения подобных средств, по крайней мере в сравнении с оценкой эффективности офисных приложений или систем управления предприятием.
Согласно классификации, средства обеспечения информационной безопасности предприятий можно разделить на три большие группы: средства антивирусной защиты, брандмауэры и средства обнаружения атак. Если первые две категории средств применяются довольно широко, то последняя группа является относительно новой, хотя некоторые продукты, относящиеся к классу брандмауэров, содержат и средства обнаружения атак. Ниже мы подробнее остановимся на каждой из этих категорий, но прежде перечислим возможные виды нарушений информационной безопасности.
Наиболее распространенные виды атак
Как правило, атаки направлены на получение административных привилегий с целью запуска определенных процессов и неправомерного использования корпоративных ресурсов. Атака может исходить как извне, так и изнутри, но независимо от ее источника первым шагом должен стать поиск уязвимых мест, позволяющих получить административные права. К сожалению, подобные уязвимые места существуют во многих программных продуктах и нередко хорошо документированы.
Список возможных видов атак, которые могут использовать в своих целях «слабое звено» программного продукта, довольно широк — начиная с угадывания паролей и заканчивая атаками на Web-серверы и внедрением в Web-страницы объектов, содержащих исполняемый код (таких, как элементы управления ActiveX). К самым распространенным из них относятся:
- переполнение буфера — неавторизованный пользователь направляет большое число запросов приложению, на которое производится атака, вследствие чего становится недоступной функциональность данного приложения, связанная с реакцией на запланированную одновременно с этим атаку. Хотя такой вид атаки известен очень давно, приложения, обладающие подобной уязвимостью, по-прежнему создаются;
- использование стандартных паролей — этот вид рассчитан на то, что администратор сети или базы данных не изменил административных паролей, значение которых по умолчанию документировано и, следовательно, известно;
- malware (malicious softeware) — использует специальное программное обеспечение, предназначенное для несанкционированного мониторинга сети, поиска уязвимых мест и выявления паролей;
- вирусы — разновидность malware; это ПО, служащее, как правило, для разрушения данных либо для нарушения в работе сети и отличающееся способностью к саморазмножению. Нередко вирусы используются и для получения контроля над сетью или для несанкционированного доступа к ресурсам;
- отказ в обслуживании (Denial of Service, DoS) — один из наиболее распространенных видов сетевых атак. Простейшая форма проявления подобной атаки — отказ от выполнения вполне легитимного запроса в связи с тем, что все ресурсы сети (либо функционирующего в ней программного обеспечения) заняты обслуживанием большого количества запросов, поступающих из других источников. Отметим, что следует не только защищать свою сеть от подобных атак, но и предотвращать возможность использования ее в качестве источника атаки на сети других компаний.
Обычно средства обеспечения информационной безопасности применяются в комплексе, поэтому во многих источниках нередко говорят не о конкретных продуктах, а о платформах безопасности — security platforms. Далее мы рассмотрим наиболее распространенные составные части таких платформ.
Антивирусное программное обеспечение
Антивирусное программное обеспечение предназначено для защиты предприятия от различных типов вирусных атак. Поскольку сегодня передача вирусов происходит в основном посредством сообщений электронной почты, наиболее распространенной категорией корпоративного антивирусного ПО являются антивирусы для почтовых серверов, распознающие сигнатуры вирусов внутри сообщений. Наряду с этим многие компании выпускают антивирусное ПО для файловых серверов, а также специализированное ПО, используемое Интернет-провайдерами.
Антивирусное ПО обязательно содержит следующие компоненты:
- приложение для управления настройками;
- средства сканирования файлов и поиска сигнатур вирусов;
- база данных или библиотека, содержащая определения известных вирусов (заметим, что успешность функционирования антивирусного ПО зависит от регулярности обновления баз данных, содержащих определения вирусов).
На российском рынке широко распространены корпоративные антивирусы «Лаборатории Касперского» и ЗАО «ДиалогНаука» (DrWeb). Также пользуются популярностью мировые бренды Semantec, McAfee,Nod32
Корпоративные брандмауэры
Корпоративные брандмауэры контролируют трафик, поступающий в локальную корпоративную сеть и выходящий из нее, и могут представлять собой как чисто программные средства, так и аппаратно-программные комплексы. Каждый пакет данных, проходящий через брандмауэр, анализируется им (например, на предмет происхождения или соответствия иным правилам пропускания пакетов), после чего пакет либо пропускается, либо нет. Обычно брандмауэры могут выполнять роль фильтра пакетов или роль прокси-сервера, в последнем случае брандмауэр выступает в качестве посредника в выполнении запросов, инициируя собственный запрос к ресурсу и тем самым не допуская непосредственного соединения между локальной и внешней сетями.
При выборе брандмауэра компании обычно руководствуются результатами независимого тестирования. Наиболее распространенными стандартами, на соответствие которым тестируются брандмауэры, являются ITSEC (Information Technology Security Evaluation and Certification Scheme) и IASC (Information Assurance and Certification Services), также носящий название Common Criteria Standard.
Самыми популярными производителями корпоративных брандмауэров, с точки зрения Gartner Group, являются CheckPoint Software, Cisco Systems, Microsoft, NetScreen Technologies и Symantec Corporation.
Отметим, что продукты Check Point Software Technologies, Cisco Systems и NetScreen Technologies представляют собой аппаратно-программные комплексы, тогда как продукты Microsoft и Symantec — это программные средства, функционирующие на обычных компьютерах под управлением стандартных серверных операционных систем.
Средства обнаружения атак
Средства обнаружения атак предназначены для определения событий, которые могут быть интерпретированы как попытка атаки, и для уведомления об этом IT-администратора. Данные средства можно разделить на две категории по принципу их функционирования: средства, анализирующие трафик всей сети (в этом случае на рабочих станциях сети нередко устанавливается часть соответствующего программного обеспечения, называемая агентом), и средства, анализирующие трафик конкретного компьютера (например, корпоративного Web-сервера). Средства обнаружения атак, как и брандмауэры, могут быть реализованы и в виде программного обеспечения, и в виде аппаратно-программного комплекса. Очевидно, что подобные средства требуют тщательной настройки, чтобы, с одной стороны, были обнаружены истинные попытки атак, а с другой — чтобы по возможности были исключены ложные срабатывания.
Лидерами рынка средств обнаружения атак, по мнению Gartner Group, являются Cisco Systems, Internet Security Systems, Enterasys Networks и Symantec. По данным Butler Group, весьма популярными производителями этой категории средств обеспечения безопасности являются также Computer Associates и Entercept Security Technology.
Средства, анализирующие трафик конкретного компьютера, производятся компаниями Symantec и Entercept Security Technology. Продукт Cisco IDS 4210 является аппаратно-программным комплексом, остальные вышеперечисленные продукты — программными средствами, которые выполняются под управлением стандартных операционных систем на обычных компьютерах.
Согласно прогнозам Gartner Group, одним из ключевых направлений развития рынка корпоративных средств обеспечения информационной безопасности будет дальнейшее развитие так называемых платформ безопасности (security platforms), комбинирующих аппаратные и программные брандмауэры, средства обнаружения атак, средства поиска уязвимостей, антивирусное программное обеспечение и, возможно, средства сканирования электронной почты и антиспамовые средства.
Еще одним фактором, влияющим на развитие технологий обеспечения корпоративной безопасности, по мнению Gartner Group, станет рост применения Web-сервисов. Поэтому от производителей брандмауэров и средств обнаружения атак следует ожидать выпуска дополнительных инструментов защиты сетей от атак, использующих в качестве средств проникновения SOAP-сообщения и XML-данные.