Концепция "авторитетных рекомендаций" представляет собой набор указаний, которые обеспечивают должный уровень безопасности. Авторитетные рекомендации (далее - рекомендации) - это комбинация указаний, эффективность которых доказана при применении в самых различных организациях. Не все указания пригодны для использования в конкретной организации. В некоторых компаниях необходимы дополнительные политики и процедуры, обучение персонала или контроль за технической безопасностью для достижения приемлемого уровня управления безопасностью .
Административная безопасность
Рекомендации по административной безопасности - это те решения, которые соответствуют политикам и процедурам, ресурсам, степени ответственности, потребностям в обучении персонала и планам по выходу из критических ситуаций. Эти меры призваны определить важность информации и информационных систем для компании и объяснить персоналу, в чем именно заключается эта важность. Рекомендации по обеспечению административной безопасности определяют ресурсы, необходимые для осуществления должного управления рисками и определения лиц, несущих ответственность за управление безопасностью организации.
Политики и процедуры
Политики безопасности определяют метод, согласно которому обеспечивается безопасность внутри организации. После определения политики предполагается, что большинство сотрудников компании будут ее соблюдать. Следует понимать, что полного и безоговорочного выполнения политики не будет. В некоторых случаях политика будет нарушаться из-за требований, связанных с деловой деятельностью организации. В других случаях игнорирование политики обусловлено сложностью ее выполнения.
Даже принимая во внимание тот факт, что политика будет выполняться не постоянно, она формирует ключевой компонент программы по обеспечению безопасности и должна быть включена в перечень рекомендаций по защите. При отсутствии политики сотрудники не будут знать, что делать для защиты информации и компьютерных систем.
- Информационная политика. Определяет степень секретности информации внутри организации и необходимые требования к хранению, передаче, пометке и управлению этой информацией.
- Политика безопасности. Определяет технические средства управления и настройки безопасности, применяемые пользователями и администраторами на всех компьютерных системах.
- Политика использования . Определяет допустимый уровень использования компьютерных систем организации и штрафные санкции, предусмотренные за их нецелевое использование. Данная политика также определяет принятый в организации метод установки программного обеспечения и известна как политика приемлемого использования.
- Политика резервного копирования. Определяет периодичность резервного копирования данных и требования к перемещению резервных данных в отдельное хранилище. Кроме того, политики резервного копирования определяют время, в течение которого данные должны быть зарезервированы перед повторным использованием.
Политики сами по себе не формируют исчерпывающих инструкций по выполнению программы безопасности организации. Следует определить процедуры, согласно которым сотрудники будут выполнять определенные задачи, и которые будут определять дальнейшие шаги по обработке различных ситуаций с точки зрения безопасности. Внутри организации должны быть определены следующие процедуры.
- Процедура управления пользователями. Определяет, кто может осуществлять авторизованный доступ к тем или иным компьютерам организации, и какую информацию администраторы должны предоставлять пользователям, запрашивающим поддержку. Процедуры управления пользователями также определяют, кто несет ответственность за информирование администраторов о том, что сотруднику больше не требуется учетная запись. Аннулирование учетных записей важно с той точки зрения, чтобы доступ к системам и сетям организации имели только лица с соответствующими деловыми потребностями.
- Процедуры системного администрирования. Описывают, каким образом в данный момент времени применяется политика безопасности на различных системах, имеющихся в организации. Эта процедура подробно определяет, каким образом должна осуществляться работа с обновлениями и их установка на системы.
- Процедуры управления конфигурацией. Определяют шаги по внесению изменений в функционирующие системы. Изменения могут включать в себя обновление программного и аппаратного обеспечения, подключение новых систем и удаление ненужных систем.
Примечание
Во многих организациях управление обновлениями представляет собой большую проблему. Отслеживание обновлений для снижения уровня уязвимости систем, а также тестирование этих обновлений перед установкой на функционирующие системы (чтобы не отключать работающие приложения) занимает очень много времени, но эти задачи очень важны для любой организации.
Наряду с процедурами по управлению конфигурацией устанавливаются методологии разработки новых систем. Они очень важны для управления уязвимостями новых систем и для защиты функционирующих систем от несанкционированного изменения. Методология разработки определяет, как и когда должны разрабатываться и применяться меры защиты. Необходимо делать акцент на этих сведениях при проведении любых инструктажей разработчиков и менеджеров проектов.
В условиях взрывного роста онлайновых приложений, таких как электронная коммерция, электронное правительство и удаленный доступ, компании получили возможность добиваться высочайшей эффективности при упрощенной обработке и снижении текущих расходов. Сегодня сети передачи данных состоят из множества различных типов аппаратного и программного обеспечения и протоколов, являющихся взаимосвязанными и интегрированными. Профессионал по сетевой безопасности должен иметь возможность получить более глубокое и полного понимание того, где могут возникать уязвимости сетей, чтобы предотвратить возможность злонамеренного проникновения.
Требующие безотказного функционирования сети разрешают работу большего количества приложений и доступны широкому кругу пользователей, что делает их, как никогда ранее, уязвимыми для широкого диапазона угроз безопасности. Сети уязвимы со стороны неправомочных, деструктивных вторжений: от вирусов до атак отказа в обслуживании (denial-of-service attack). Чтобы обеспечить защиту от неправомочного доступа и порчи или воровства информации, при разработке и управлении сложными сетями, специалистам по работе с сетями приходится испытывать все возрастающую нагрузку. Источники угроз могут быть очень разными. Вопросы обеспечения безопасности претерпели эволюцию от непризнаваемого излишества до полностью осознанной необходимости. Существует огромное число онлайновых ресурсов, посвященных документированию нарушений сетевой безопасности.
Цель сетевой безопасности
Как правило, целью обеспечения информационной безопасности является предоставление авторизованным пользователям доступа к нужной информации и обеспечение уверенности в том, что эта информация правильна и что система доступна. Эти аспекты приводят нас r понятиям конфиденциальности, целостности и доступности (CIA, confidentiality, integrity and availability). Как критически важная часть информационной безопасности, сетевая безопасность - это защита сетей передачи данных от неправомочного доступа. Ограничение доступа к сетевым службам, управление сетевым трафиком и полосой пропускания, а также шифрование данных являются основными методами обеспечения сетевой безопасности.
Прежде всего, давайте рассмотрим архитектуру типичной сети. Затем мы обсудим потенциальные уязвимости, а также технологии и практические приемы, используемые для защиты от этих потенциальных угроз.
Обзор архитектуры современных компьютерных сетей
Критически важно ясно представлять себе архитектуру современных компьютерных сетей. Мы должны рассмотреть перемещение данных "в" и "из" сети и то, как сетевые устройства, программное обеспечение и оборудование взаимодействуют друг с другом для достижения определенных экономических или операционных целей.
Модель OSI
Стандартной моделью для сетевых протоколов и распределенных приложений является модель Open System Interconnect (OSI) организации International Standard Organization (ISO). Понимание модели OSI является полезным для понимания того, каким образом различные сетевые протоколы включены в мозаику компьютерных сетей. Как мы увидим далее, основная часть сетевых атак может быть отнесена к одному (или более) из семи уровней модели OSI.
- Уровень 1: физический (Physical) уровень: Этот уровень определяет электрические, механические, процедурные и функциональные технические условия для активации и поддержки физической связи между взаимодействующими сетевыми системами. Технические условия физического уровня определяют такие характеристики, как уровни питания, физические скорости передачи данных и физические соединители.
- Уровень 2: канальный (Data Link) уровень: Этот уровень обеспечивает синхронизацию, контроль ошибок и управление потоками данных по физическим каналам, включая физические и логические соединители с местами доставки пакетов, как правило, с помощью сетевых адаптеров (NIC, network interface card). Этот уровень разделен на два подуровня: уровень управления логической связью (MAC, Media Access Control) и уровень управления доступа к устройствам (LLC, Logical Link Control). На этом уровне работают такие протоколы, как Point-to-Point Protocol (PPP), Layer 2 Tunneling Protocol (L2TP) и Fiber Distributed Data Interface (FDDI).
- Уровень 3: уровень сети (Network): Этот сети определяет сетевой адрес и обеспечивает маршрутизацию и перенаправление (forwarding) данных. На этом уровне работают такие протоколы, как Internet Protocol (IP), Internet Control Message Protocol (ICMP) и Routing Information Protocol (RIP).
- Уровень 4: уровень транспорта (Transport): Этот уровень обеспечивает сквозное (end-to-end) управление, включая проверку на наличие ошибок и управление потоками. Он получает данные с уровня сеанса (см. уровень 5) и разбивает данных для транспортировки по сети. На уровне транспорта работают протоколы Transmission Control Protocol (TCP) и User Datagram Protocol (UDP). TCP отслеживает состояние соединения, например, порядок доставки пакетов и то, какие пакеты должны передаваться следующими. UDP, напротив, является протоколом, который не устанавливает соединения и не проверяет, дошел ли пакет до адресата.
- Уровень 5: уровень сеанса (Session): Этот уровень устанавливает, поддерживает и прекращает сеансы связи. Сеансы связи состоят из запросов служб и их ответов, происходящих между приложениями, расположенными на различных сетевых устройствах. Эти запросы и ответы согласовываются с помощью протоколов, реализованных на уровне сеанса. На этом уровне работают протоколы Secure Socket Layer (SSL), Remote Procedure Call (RPC) и AppleTalk Protocol.
- Уровень 6: уровень представления данных (Presentation): Этот уровень форматирует данные, представляемые уровнем приложения. Он может рассматриваться в качестве переводчика для сети (упорядочение битов данных). Этот уровень может переводить данные из формата, используемого уровнем приложения в общий для посылающей и принимающей стороны формат. На этом уровне работают такие хорошо известные графические форматы, как Graphics Interchange Format (GIF) и Joint Photographic Experts Group (JPEG). Этот уровень также выполняет сжатие и шифрование данных.
- Уровень 7: уровень приложения (Application): Этот уровень обычно обеспечивает идентификацию партнеров по взаимодействию, определяет доступность ресурсов и синхронизует взаимодействие. Этот уровень не включает самих приложений, но только протоколы, поддерживающие их. На уровне приложения работают такие протоколы, как Simple Mail Transfer Protocol (SMTP), Hypertext Transfer Protocol (HTTP) Telnet и FTP.
Информация, передаваемая из программного приложения на одной компьютерной системе программному приложению на другой, должна пройти через все уровни модели OSI. Приложение на передающем узле будет пересылать информацию на уровень приложения и вниз по модели, до тех пор, пока она не достигнет физического уровня. На физическом уровне эта информация помещается в физическую среду и пересылается по ней на принимающий узел. Физический уровень принимающего узла получает эту информацию из физической среды, а затем пересылает ее вверх по уровням модели, пока она не достигнет уровня приложения для обработки.
Классификация уязвимостей по уровням модели OSI
Получив базовое представление о том, как структурированы сети и как происходит обмен данными, давайте теперь посмотрим на некоторые конкретные уязвимости сетей и возможные виды атак. Существует множество способов классификации уязвимостей систем безопасности и атак. Будет полезным сделать их небольшой обзор с точки зрения уровней OSI. Мы рассмотрим уязвимости с другой точки зрения в следующем разделе статьи.
Львиная доля уязвимостей приходится на уровень приложения, расположенный в непосредственной близости к самому пользовательскому приложению. Яркими примерами этого являются такие протоколы как Telnet и FTP. Эти приложения пересылаю пользовательские пароли таким образом, что любой, кто может "прослушивать" сетевой трафик, получит пользовательское регистрационное имя и пароль, а следовательно неправомочный доступ. На уровне представления данных существует множество способов атак против шифрованных данных. На уровне сеанса в Remote Procedure Call (RPC) существует одна из самых серьезных уязвимостей компьютерных систем по версии института SANS. На уровне транспорта выполняются атаки с помощью SYN flood или подмены одного из участниковTCP-соединения (ТСР-hijacking). Сканирование портов является распространенной техникой, используемой хакерами для выявления уязвимых систем. Подмена IP-адреса - обычная атака для уровня сети. Частое прослушивание трафика и перехват сообщений - атаки, осуществляемые на Уровне 1 и 2. Появление беспроводных сетей открыло новые возможности для хакеров.
Сетевые уязвимости и угрозы
Поскольку фактически все сетевые уровни содержат уязвимости, злонамеренные хакеры имеют изобилие возможностей для осуществления различных атак. Без создания надлежащей защиты любая часть любой сети может оказаться уязвимой для атак или другой несанкционированной деятельности. Угроза может исходить из широкого круга источников, включая профессиональных хакеров, конкурентов или даже собственных работников. Для определения наилучшего способа нейтрализации этих угроз и защиты сетей от осуществляемых атак, ИТ-менеджеры должны знать множество типов возможных атак и тот вред, который эти атаки могут нанести сетевой инфраструктуре вашей организации.
Вирусы и черви составляют подавляющее большинство хорошо известных атак. Вирус - это небольшой кусочек программного кода, присоединенный к легальной программе. Например, вирус может присоединить себя к таким программам, как программы табличных вычислений. Вирусы Melissa и "ILOVEYOU" попали в заголовки международных новостей вследствие того ущерба, который они вызвали. Червь - это небольшой кусочек программного кода, использующий "дыры" в безопасности для своего тиражирования. Копия червя сканирует сеть в поисках другого компьютера, имеющего определенную "дыру" в системе безопасности. Он копирует себя на новую машину через эту уязвимость, а затем начинает распространяться так же и с нее. W32/Blaster и W32/Slammer - вот только два примера из получивших известность в последнее время червей.
Атака отказа в обслуживании (DoS, denial-of-service) генерирует фальшивые сетевые запросы с целью загрузки сетевых ресурсов и лишения других пользователей возможности их использования. DoS-атаки могут осуществляться на уровне сети с помощью посылки искусно подделанных пакетов, приводящих к отказу в работе сетевых соединений. Они могут также быть выполнены на уровне приложения, когда искусно подделанные команды приложения передаются программе, что приводит к ее чрезмерной загрузке или остановке работы. Атака может исходить из единственного источника (DoS) или быть распределенной между многими машинами (DdoS, distributed denial of service), предварительно подготовленными к этому. Эти неосведомленные компьютеры-соучастники, проводящие DoS-атаки, известны под именем "зомби". За работу "зомби" могут привлечь к судебной ответственности, даже если ваша организация не являлась инициатором атаки. Smurf, Trinoo, tribe flood network (TFN) и Slammer являются примерами DdoS-атак.
Исторически, атаки на пароль, в которых злоумышленник получает несанкционированный доступ к сети, являются наиболее распространенным типом атаки. Когда хакер "ломает" пароль законного пользователя, он получает доступ к его сетевым ресурсам. Хакер может легко получить пароль, потому что пользователи обычно выбирают простые слова или числа в качестве паролей, давая возможность хакеру использовать специальные программы для их методического перебора и угадывания. "Подслушивание" - другой способ получения пароля "жертвы", если сеть использует незащищенные удаленные соединения. Тщательно разработанные программы для "подслушивания" могут извлекать имя пользователя и его пароль в ходе сеанса входа в систему. Для получения доступа к паролям хакеры также используют технологии социального инжиниринга.
Переполнение буфера (buffer overflow) происходит в том случае, если программа или процесс пытаются использовать большее количество данных, чем объем буфера (область временного хранения данных), предназначенный для их хранения. В атаках переполнения буфера избыточные данные могут запускать код по желанию атакующего, например, получение прав пользователя root, позволяющих атакующему установить полный контроль над системой.
Скрипт-киддеры (script kiddy) используют широко распространенные программы или сценарии для случайного поиска уязвимостей через Интернет. Зачастую они слабо подготовлены в техническом отношении, но, к сожалению, представляют не меньшую угрозу, чем опытные хакеры.
Другая, часто остающаяся неразглашаемой угроза, исходит от своих сотрудников. Одно из исследований CSI говорит о том, что 45 процентов опрошенных респондентов регистрировали несанкционированный доступ со стороны собственных сотрудников. Эти злоумышленники обладают детальным знанием сети и вторгаются в нее со слабо-защищенной внутренней стороны (где брандмауэры теряют большую часть своей силы, а шифрование почти совсем не используется). Поэтому, внутренние злоупотребления остаются незамеченными и от них труднее всего защищаться.
Основные элементы обеспечения безопасности сети
Существует множество практических приемов и технологий для ослабления уязвимостей и угроз, описанных выше. Как профессионалы в области безопасности, мы должны понимать, что не существует единственной "панацеи" в этом чрезвычайно сложном и динамичном сетевом мире. Лучшей реализацией обычно является высоко специализированное решение, подходящее к особым нуждам именно вашей организации.
Практические приемы обеспечения безопасности
В каждодневной практике, администраторы по сетевой безопасности, намеренно или ненамеренно, идут на компромисс между уровнем защищенности, стоимостью и удобством для пользователей. Однако, при аккуратном планировании, безопасность может быть обеспечена технически и не является помехой.
Политика безопасности в масштабах предприятия - это руководящий принцип обеспечения безопасности в организации. Она диктует, как сеть должна быть спроектирована и какие технологии должны быть выбраны. Обычно, политики безопасности адресована к двум основным проблемам: требованиям по безопасности, управляемым запросами бизнеса организации и реализацией руководящих принципов, относящихся к доступной технологии обеспечения безопасности. Например, политика безопасности обычно включает в себя политику аутентификации, определяющую уровни паролей и прав, требуемых для различных типов пользователей. Она также включает политику шифрования сетевого трафика и данных. Политика безопасности должна обновляться регулярно для того, чтобы отражать изменения требований бизнеса и развитие технологий обеспечения безопасности.
Когда организации разрабатывают свою архитектуру сетевой безопасности, соответствующую требованиям, определенным в политиках безопасности, они должны принимать во внимание целый ряд факторов. Не все сети и связанные с ними приложения имеют одинаковую степень риска быть подверженными атакам или возможную стоимость восстановления ущерба, нанесенного подобными атаками. Не существует абсолютной безопасности. Следовательно, организации должны осуществлять анализ затрат и результатов для оценки потенциальной отдачи от инвестирования в различные технологии и компоненты обеспечения сетевой безопасности по сравнению со скрытыми издержками, к которым приведет неиспользование этих элементов.
Довольно регулярно архитектура безопасности организации должна модифицироваться в зависимости от ИТ-служб, предлагаемых в сетевой инфраструктуре. Архитектура безопасности определяет, какие общие службы безопасности должны быть реализованы для этой сети. Зачастую для ограничения ущерба от нарушения системы безопасности применяется уровневый подход (или "защита в глубину"), что сказывается на благополучии всей сети. В подобном подходе, требования безопасности подразделяются на модули или уровни с определенными явно уровнями прав. Каждый уровень может рассматриваться отдельно и относиться к различным моделям безопасности. Целью является обеспечение уровней безопасности, которые ограничат возможности "успешного" взломщика небольшой частью сети, определяемой только этим уровнем.
Технологии обеспечения безопасности
Выбор технологии обеспечения безопасности напрямую определяется политикой безопасности и архитектурой и, наряду с ними, такими факторами, как стоимость, простота интеграции и т.д. Технологический ландшафт должен быть быстроизменяющимся полем битвы с тем, чтобы сдерживать постоянно растущий арсенал инструментов хакеров и вновь открываемые уязвимости в аппаратных и программных продуктах. Можно утверждать, что сетевая безопасность - это соревнование между специалистами по безопасности и хакерами.
Периметр защиты контролирует доступ к критически важным сетевым приложениям, данным и службам, поэтому только легальные пользователи и информация должны иметь возможность перемещаться по сети. Брандмауэры обеспечивают барьер для пересечения трафиком "периметра" сети и разрешают прохождение только санкционированного трафика в соответствии с предварительно установленной политикой безопасности. Дополнительные инструменты, включая такие, как сканеры вирусов и фильтры содержания, также помогают контролировать периметр сети для отражения вирусов, червей и других вторжений. Должным образом сконфигурированные брандмауэры могут также препятствовать потенциальным DDoS-атакам, включая попытки "зомбирования" компьютеров вашей организации. Следовательно, брандмауэры и сканеры вирусов являются одними из первых продуктов безопасности, которые организации развертывают для улучшения безопасности своих сетей. С помощью реализации виртуальных частных сетей (VPN, virtual private network) организации могут организовать защищенное взаимодействие через публичные сети, например, через Интернет. Технологии шифрования помогают обеспечить конфиденциальность и целостность сообщений, передаваемых по VPN.
Чтобы нейтрализовать связанные с паролями нарушения, реализуются механизмы идентификации, позволяющие убедиться в том, что только полномочные пользователи получают доступ к необходимым им сетевым ресурсам, в то время как неправомочным пользователям доступ запрещен. Решения по идентификации обычно включают в себя аутентификацию, авторизацию и учет. Среди прочего, они определяют правильную идентификацию сетевых пользователей, узлов, служб и ресурсов. Эта технология может обращаться к инфраструктуре открытого ключа (PKI, public key infrastructure), шифрованию и другим, связанным с обеспечением безопасности службам. Некоторые смарт-карты могут генерировать одноразовый динамический пароль для противодействия различным атакам на пароли.
Системы обнаружения вторжений (IDS, Intrusion detection system) обеспечивают дополнительный уровень сетевой безопасности. В то время как традиционные брандмауэры разрешают или запрещают трафик, исходя из оценки источника, цели, порта или других критериев, они обычно не могут анализировать трафик на наличие атаки или исследовать сеть на присутствие в ней уязвимостей. Дополнительный уровень анализа наличия шаблонов в трафике, обеспечиваемый IDS, необходим для обнаружения более завуалированных атак. Аудит безопасности позволяет убедиться, что подозрительное поведение контролируется как извне, так и изнутри сети за брандмауэром.
Важно помнить, что технологии, обсуждаемые здесь, являются самыми базовыми и, хотя они чрезвычайно важны для инфраструктуры сетевой безопасности, но не являются всесторонними. Эволюция требований по безопасности управляет большинством технологических нововведений в области сетевой безопасности.
Сертификационные программы по сетевой безопасности
Сложность проблем сетевой безопасности нуждается в специалистах по безопасности различных уровней и специализаций.
Среди специальных сертификационных программ конкретных производителей широкое признание и уважение в индустрии получил статус Sun Certified Security Administrator для операционной системы Solaris OS, предлагающий его обладателю широкий круг преимуществ. Для его получения требуется глубокие знания вопросов безопасности, включая основные концепции безопасности, управления устройствами обнаружения, атак на системы безопасности, защиты файлов и системных ресурсов, предохранения узлов и сетей и сетевых соединений, аутентификации и шифрования. Этот экзамен включает знания по безопасности в сетевых средах, а не только на изолированных системах и доступен на английском, японском и немецком языках. Он предназначен для продвинутых сетевых администраторов, сетевых администраторов и специалистов по безопасности, ответственных за управление безопасностью на одном или более компьютерах, работающих под управлением ОС Solaris. Эта сертификация подтверждает навыки, необходимые для обеспечения конфиденциальности, усиления идентифицируемости и уменьшения суммарного риска появления уязвимостей в системе безопасности.
Сертификационная программа Cisco Certified Security Professional (CCSP) сфокусирована на вопросах идентификации, брандмауэрах, VPN, системах защиты от вторжений и управлении безопасностью. Она оценивает понимание основных сетевых протоколов и процедур и то, как устройства защиты интегрируются с сетями. Специалисты, обладающие статусом CCSP, подготовлены для построения безопасных сетей, что защищает инвестиции организаций в ИТ-области. Компания Cisco также предлагает другой статус - Cisco Certified Internetwork Expert - Security (CCIE), предназначенный для сертификации специалистов по различным продуктам для обеспечения безопасности компании, например, брандмауэров, VPN и IDS.
Компании Check Point, Symantec, RSA Security, IBM и ряд других также предлагают ценные сертификационные программы в таких технологических областях, как брандмауэры, сканирование вирусов, PKI и управлении вопросами безопасности.
Различные индустриальные ассоциации и консорциумы предлагают сертификационные программы, не зависящие от конкретного производителя. Сертификационная программа CompTIA Security+ является такой программой начального уровня, включающей в себя такие темы, как безопасность сетевых соединений, контроль доступа, аутентификацию, внешние атаки, операционную и организационную безопасность. Сертификационные программы (ISC)2 Certified Information Systems Security Professional (CISSP) и Systems Security Certified Practitioner (SSCP) были разработаны для оценки владения интернациональными стандартами информационной безопасности и понимания Общепринятого Объема Знаний (CBK, common body of knowledge) в диапазоне от сетевой безопасности до безопасности операций и шифрования. Программа Global Information Assurance Certifications (GIAC) института SANS посвящена широкому диапазону навыков, включающих в себя широкий круг вопросов по безопасности начального уровня, а также более продвинутые области знаний, например, аудит, законодательство и технологии, применяемые хакерами.
Обладание этими сертификационными статусами помогает специалистам подтвердить технические навыки по общим проблемам сетевой безопасности и служит хорошим основанием для карьеры в этой многообещающей и динамично развивающейся области.
Кевин Сонг, доктор философии, CISSP, Sun Certified Security Administrator, является инженером по сетевой безопасности компании Sun Microsystems Inc. Его электронный адрес: [email protected].
Англоязычные ресурсы по данной теме:
Сертификационные программы:
- Security Certified Network Professional (SCNP)
- Security Certified Network Architect (SCNA)
- Check Point Certified Security Principles Associate (CCSPA)
- Check Point Certified Security Administrator (CCSA)
- Check Point Certified Security Expert (CCSE) & CCSE Plus
- Check Point Certified Managed Security Expert (CCMSE) & CCMSE Plus VSX
- Cisco Certified Security Professional (CCSP)
- Cisco Certified Internetwork Expert - Security (CCIE)
- Cisco Certified Specialist designations
- Security+
- Certified Ethical Hacker (CEH)
- Certified Information Systems Auditor (CISA)
- Certified Information Security Manager (CISM)
- Systems Security Certified Practitioner (SSCP)
- Certified Information Systems Security Professional (CISSP)
Microsoft www.microsoft.com/traincert
- Microsoft Certified Systems Administrator: Security (MCSA: Security)
- Microsoft Certified Systems Engineer: Security (MCSE: Security)
- Certified Wireless Security Professional (CWSP)
- Certified Internet Webmaster (CIW) Security Analyst
- RSA Certified Systems Engineer
- RSA Certified Administrator
- GIAC Security Essentials Certification (GSEC)
- GIAC Certified Firewall Analyst (GCFW)
- GIAC Certified Intrusion Analyst (GCIA)
- GIAC Certified Incident Handler (GCIH)
- GIAC Certified Windows Security Administrator (GCWN)
- GIAC Certified UNIX Security Administrator (GCUX)
- GIAC Information Security Fundamentals (GISF)
- GIAC Systems and Network Auditor (GSNA)
- GIAC Certified Forensic Analyst (GCFA)
- GIAC IT Security Audit Essentials (GSAE)
- GIAC Certified ISO-17799 Specialist (G7799)
- GIAC Security Engineer (GSE)
- Sun Certified Security Administrator
- Symantec Certified Security Engineer (SCSE)
- Symantec Certified Security Practitioner (SCSP)
- TruSecure ICSA Certified Security Associate (TICSA)
Сетевая безопасность - это набор политик и требований, предъявляемых к инфраструктуре сети организаций, для предотвращения и мониторинга попыток несанкционированного доступа, модификации информации, возможного отказа работы всей компьютерной сети и других сетевых ресурсов.
В глобальном смысле выделяют четыре основных принципа, выполнение которых позволит говорить о безопасности сети на предприятии:
- Защита конечных сетевых устройств. Обеспечить достаточный уровень безопасности устройства можно лишь в случае использования последних технологий. Например, персональные компьютеры могут быть атакованы с помощью вирусов, червей или уязвимостей при работе с веб-браузерами. Использование корпоративных антивирусов с обновленными базами сигнатур позволяет сократить риск атаки.
- Отказоустойчивость таких устройств, возможность их восстановления. Мониторинг инфраструктуры - обязательное действие для защиты сети. Для того чтобы понимать, в каком статусе находятся сервисы и приложения, необходимо использовать средства защиты доступа к сети.
- Постоянный контроль пропускной способности сети. Успешно выполненная атака всегда приводит к затратам на восстановление инфраструктуры. В случае использования средств защиты от целевых атак, а также средств предотвращения вторжений риски значительно уменьшаются, и шансы злоумышленников на успешную атаку сокращаются. Это в свою очередь позволяет организовать непрерывный рабочий процесс и снизить расходы компании за простои.
- Отказоустойчивость внутренней сети организации и возможность ее восстановления после атаки. Защитить периметр компании на 100% все же не удается, и в таком случае стоит продумать возможность перехода с одного ресурса на другой в случае отказа первого, причем незаметно для пользователей.
В связи с тем, что существует множество как активных, так и пассивных атак, термин сетевой безопасности предполагает под собой большое количество программных и аппаратных средств для защиты информации, а именно:
- Прокси-серверы.
- Межсетевые экраны.
- Средства обнаружения и предотвращения вторжений (IPS/IDS).
- Антивирусы, антиспам, антифишинг (как для устройств, так и для электронной почты).
- Средства мониторинга сети.
- Средства для защиты от целевых атак.
- Средства безопасности беспроводных сетей.
Использование указанных средств дает:
- Защиту внутренней сети от несанкционированного доступа.
- Обеспечение безопасного подключения устройств к внешней сети и возможность осуществления удаленного доступа.
- Мониторинг и контроль приложений, у которых есть доступ к персональным данным.
- Предоставление возможности выполнения банковских операций через интернет.
Здравствуйте, уважаемые читатели блога сайт! Поговорим сегодня о такой важной теме, как сетевая безопасность, ведь именно она определяет возможность плодотворно и безбоязненно “гулять” по дебрям, скажем, осуществлять личную и деловую переписку, зная, что никто другой не сможет получить доступ к вашей конфеденциальной информации, делать покупки в Интернет-магазинах, аукционах, зарабатывать на товарных или валютных биржах, оплачивать счета и прочие расходы и т.д.
Сетевая инфраструктура, службы и данные, хранимые на компьютерах, подключенных к являются критическими персональными и деловыми активами. Попытка скомпрометировать целостность этих активов могла бы иметь серьезные деловые и финансовые последствия.
Обеспечение Сетевой Безопасности
Последствия бреши в сетевой безопасности могли бы включать:
- Сетевые простои, препятствующие осуществлению коммуникаций и транзакций, с последующими убытками для бизнеса
- Неверное перенаправление и потеря личных и деловых фондов
- Интеллектуальная собственность компании (исследовательские идеи, патенты, проекты, чертежи и т.п.), которые могут быть украдены и использованы конкурентом
- Детали контактов с клиентом, которые становятся известны конкуренту или сделаны общедоступными, что приведет к потере рыночного доверия в бизнесе
Отсутствие доверия общественности к степени секретности в бизнесе, к конфиденциальности и целостности могут привести к снижению товарооборота и возможности банкротства компании. Есть два типа вопросов, связанных с сетевой безопасностью, которые должны быть рассмотрены для предотвращения серьезных последствий: безопасность сетевой инфраструктуры и безопасность контента.
Защита сетевой инфраструктуры включает физическую защиту , которые обеспечивают сетевые соединения, а также предотвращение несанкционированного доступа к программному обеспечению, установленному на них.
Безопасность контента включает защиту информации, хранящейся внутри пакетов, передаваемых по сети, а также информации, которая хранится на устройствах, подключенных к сети. При передаче информации через содержимое отдельных пакетов не легко прочитать на устройствах или средствах передачи, по которым путешествуют пакеты. Инструменты, обеспечивающие безопасность контента отдельных сообщений, должны быть реализованы на верхнем уровне лежащих в основе протоколов, управляющих тем, как пакеты форматируются, адресуются и доставляются. Поскольку пересборка и интерпретация содержимого осуществляется программами, запущенными на отдельных системах (источнике и назначении), большая часть инструментов безопасности и протоколов должна быть реализована и в этих системах также.
Меры безопасности, предпринимаемые в , должны:
- Препятствовать несанкционированному доступу или краже информации
- Препятствовать несанкционированному изменению информации
- Предотвращать Отказ Службы
Средства для достижения этих целей включают:
Гарантия конфиденциальности
Конфиденциальность информации поддерживается посредством разрешения доступа к ней только определенным и авторизованным адресатам – людям, процессам или устройствам, которые имеют право считывать данную информацию.
Наличие надежной системы пользовательской аутентификации , предполагающей создание паролей, которые сложно угадать, и смену паролей пользователями через определенные интервалы времени (чем чаще, тем лучше), помогает ограничить доступ к и , которые хранятся на . При необходимости шифрование контента гарантирует конфиденциальность и минимизирует возможность несанкционированного доступа или кражи информации.
Поддержание Целостности Коммуникации
Целостность данных означает уверенность в том, что информация не была изменена во время передачи от отправителя к получателю. Целостность данных может быть нарушена, когда информация была искажена – случайно или умышленно – прежде, чем подразумеваемый адресат получил ее.
Целостность источника – это уверенность в том, что подлинность отправителя была потверждена. Целостность источника нарушается, когда пользователь или устройство маскируется под другого и отправляет некорректную информацию адресату.
Использование цифровых подписей , алгоритмов хэширования и механизмов контрольных сумм – это способы обеспечения целостности источника и информации при передаче для предотвращения несанкционированного изменения информации.
Гарантия Доступности
Гарантия конфиденциальности и целостности бесполезны, если сетевые ресурсы оказываются перегруженными или вообще не доступны. Доступность означает уверенность в своевременном и надежном доступе к службам данных для авторизованных пользователей. Ресурсы могут стать недоступными в результате атаки “Отказ Сервиса” (англ. Denial of Service или DoS) или из-за распространения
В современном глобальном мире сетевая безопасность имеет решающее значение. Предприятиям необходимо обеспечивать безопасный доступ для сотрудников к сетевым ресурсам в любое время, для чего современная стратегия обеспечения сетевой безопасности должна учитывать ряд таких факторов, как увеличение надежности сети, эффективное управление безопасностью и защиту от постоянно эволюционирующих угроз и новых методов атак. Для многих компаний проблема обеспечения сетевой безопасности становится все более сложной, т.к. сегодняшние мобильные сотрудники, использующие личные смартфоны, ноутбуки и планшеты для работы, привносят новые потенциальные проблемы. При этом, хакеры тоже не сидят сложа руки и делают новые киберугрозы все более изощренными.
Недавний опрос ИТ-специалистов, управляющих сетевой безопасностью, [проведенный Slashdotmedia ] показал, что среди важных факторов при выборе сетевых решений безопасности почти половина опрошенных на первое место поставила надежность выбранного сетевого решения.
Заданный вопрос:
Когда вы выбираете решение по сетевой безопасности, какие факторы наиболее важны для вашей компании?
Уязвимости, связанные с сетевой безопасностью, оставляют открытым целый ряд потенциальных проблем и подвергают компанию различным рискам. ИТ системы могут быть скомпрометированы через них, информация может быть украдена, работники и клиенты могут получить проблемы с доступом к ресурсам, которые они уполномочены использовать, что может заставить заказчиков перейти к конкуренту.
Простой сервиса, связанный с проблемами с безопасностью, можете иметь и другие финансовые последствия. Например, неработающий в час-пик веб-сайт может генерировать как прямые убытки, так и мощный отрицательный PR, что очевидно скажется на уровне продаж в будущем. Кроме того, в некоторых отраслях есть строгие критерии по доступности ресурсов, нарушение которых может привести к регуляторным штрафам и другим неприятным последствиям.
Помимо надежности решений, есть еще целый ряд вопросов, вышедших сегодня на первый план. Например, около 23% опрошенных ИТ-специалистов выделяют стоимость решения, как одну из основных проблем, связанных с сетевой безопасностью; что не удивительно, учитывая, что ИТ-бюджеты последних нескольких лет были существенно ограничены. Далее, около 20% опрошенных выделили простоту интеграции, как приоритетный параметр при выборе решения. Что естественно в условиях, когда от ИТ отдела требуют выполнять больше меньшими ресурсами.
Завершая разговор про ключевые параметры в выборе решения, хотелось бы отметить, что только примерно 9% респондентов назвали сетевые функции как ключевой фактор при выборе решений в области сетевой безопасности. При выборе решения по обеспечению сетевой безопасности корпоративных систем и минимизации связанных с этим рисков, одним из важнейших факторов для почти половины (около 48%) опрошенных, была надежность сети и связанного с ней решения.
Заданный вопрос: Какой тип сетевых атак больше всего беспокоит вашу ИТ организацию?
Сегодня хакеры используют разнообразные методы атаки на сети компаний. Исследование показало, что ИТ-специалисты наиболее обеспокоены двумя конкретными типами атак: атаки на отказ в обслуживании (DoS) и подслушивание (Eavesdropping) - эти атаки указаны как наиболее опасные и приоритетные примерно у 25% респондентов. И по 15% респондентов выбрали в качестве ключевых угроз атаки типа IP Spoofing и MITM (man-in-the-middle). Остальные типы угроз оказались приоритетны менее чем для 12% респондентов.
Заданный вопрос: В плане мобильных уязвимостей, что больше всего беспокоит вашу ИТ-команду?
Сегодня растёт число мобильных сотрудников и адаптация политики использования собственных электронных устройств для работы (BOYD) предъявляют новые требования к сетевой безопасности. При этом, к сожалению, очень быстро растет число небезопасных сетевых приложений. В 2013 году компания HP провела тестирование более 2000 приложений, в результате которого было обнаружено, что 90% приложений имеют уязвимости в системах защиты. Эта ситуация представляет серьезную угрозу корпоративной безопасности и не удивительно, что 54% респондентов оценили угрозы от вредоносных приложений как наиболее опасные.
Поводя промежуточный итог вышесказанному, можно сделать следующий вывод: современные решения по обеспечению сетевой безопасности в числе прочего обязательно должны обладать следующими свойствами:
- уметь работать на седьмом уровне модели OSI (на уровне приложений);
- уметь связывать конкретного пользователя с содержанием трафика;
- иметь интегрированную в решение систему защиты от сетевых атак (IPS)
- поддерживать встроенную защиту от атак типа DoS и прослушивания;
- в целом обладать высокой степенью надежности.
- ФЗ 149 «О информации, информационных технологиях и защите информации»;
- ФЗ 152 «О защите персональных данных»;
- ФЗ 139 (поправки в ФЗ 149, закон о связи и ФЗ 436 о защите от информации детей);
- ФЗ 436 (о защите от информации детей);
- ФЗ 187 (о защите интеллектуальной собственности и Интернете);
- ФЗ 398 (о блокировке экстремистских сайтов);
- ФЗ 97 (о блогерах, приравнявших их к СМИ);
- ФЗ 242 (о размещении персональных данных на территории РФ).
- по статье 137 УК РФ (незаконное собирание или распространение сведений о частной жизни лица) - лишение свободы на срок до четырех лет;
- по статье 140 УК РФ (неправомерный отказ в предоставлении собранных в установленном порядке документов и материалов) – штраф или лишение права занимать определенные должности или заниматься определенной деятельностью на срок от 2 до 5 лет;
- по статье 272 УК РФ (неправомерный доступ к охраняемой законом компьютерной информации) - лишение свободы на срок до 5 лет.
Соблюдение предприятиями требований федерального законодательства контролируют сегодня три государственных органа: Федеральная служба безопасности (ФСБ), Роскомнадзор и ФСТЭК. Контроль осуществляется путем проведения плановых и внезапных проверок, по итогам которых компания может быть привлечена к ответственности.
Таким образом, игнорирование проблемы обеспечения сетевой безопасности в нашей стране может не только принести большие убытки бизнесу, но и повлечь за собой уголовную ответственность конкретных руководителей компании.
Заключение
Угрозы информационной безопасности становятся все сложнее, хакеры и киберпреступники используют новые приемы и реализуют все более изощренные атаки с целью взлома систем и кражи данных.Борьба с новыми атаками требует решений по обеспечению сетевой безопасности и разработки сетевой стратегии безопасности, отвечающей требованиям надежности, стоимости и вопросам интеграции с другими ИТ системами. Выработанные решения должны быть надежными, обеспечивать защиту от атак на уровне приложений и позволять идентифицировать трафик.
Из всего вышесказанного напрашивается простой вывод – в современном мире нельзя игнорировать вопросы информационной безопасности; в ответ на новые угрозы нужно искать новых подходы к реализации стратегии защиты информации и использовать новые методы и средства обеспечения сетевой безопасности.
Наши предыдущие публикации:
»
