В рамках рубрики Клуб экспертов мы продолжаем публикацию книги А.В.Лукацкого Мифы и заблуждения информационной безопасности
Алексей Лукацкий — менеджер по развитию
бизнеса Cisco Systems
В среде специалистов по информационной безопасности бытует мнение, что два средства защиты от разных производителей лучше чем одно. Аргументация очевидна – вторая преграда станет камнем преткновения для злоумышленника, прошедшего через первую линию обороны.
Считается, что разные производители по-разному реализуют те или иные защитные механизмы, что и позволяет надеяться на более высокую защищенность корпоративной сети, использующей два средства защиты вместо одного. Однако на самом деле две различных платформы для системы защиты несут с собой гораздо больше проблем, чем решений.
Возьмем, к примеру, межсетевые экраны (МСЭ). По статистике 99% всех проникновений через эти одни из самых распространенных средств защиты периметра связано не с дырами в программном обеспечении МСЭ, а с их некорректной конфигурацией.
При использовании двух межсетевых экранов этот риск возрастает вдвое, т.к. вероятность сделать ошибку увеличивается. Уязвимости в межсетевых экранах достаточно быстро обнаруживаются и также быстро устраняются – производители средств защиты уделяют этому немало сил и времени.
А вот с неправильной конфигурацией приходится бороться только самому пользователю. И здесь все зависит только от его умения и квалификации.
Управление обновлениями МСЭ реализовать гораздо проще и менее затратно, чем сконфигурировать два различных экрана, с двумя различными архитектурами, с двумя различными методами описания политик безопасности, с двумя различными графическими интерфейсами, да еще и работающими на двух различных платформах.
Отладка новых Интернет-приложений или установления взаимодействия с новым офисом или партнером приводит к необходимости временного создания правил на межсетевом экране. Зачастую неразбериха в используемых протоколах и портах приводит к тому, что перед тем как все заработает, администратор создает несколько десятков правил, которые в режиме «боевой эксплуатации» приходится удалять.
X2116+47, AY — QB n°855157, L’Isthme, 06-09-09.MOV
В случае использования 2-х межсетевых экранов возрастает риск, что какие-то тестовые правила не будут удалены и в системе защиты образуется зияющая дыра, которой сможет воспользоваться злоумышленник. И это не говоря об увеличении времени тестирования нового приложения.
Развитие информационных технологий приводит к тому, что правила на межсетевых экранах становятся все сложнее и сложнее. Проникновение приставки «e» во многие сферы нашей жизни (e-Business, e-Commerce, e-Government и т.д.) приводит к росту числа правил.
Свыше сотни правил – это уже норма для современной корпоративной сети. А значит, для эффективного использования двух средств защиты периметра нужно быть в них одинаково «подкованным», что требует, как минимум, вдвое увеличить затраты на обучение, внедрение, поддержание и повышение своей квалификации.
А если мы вспомним про необходимость резервирования критичных элементов инфраструктуры, то нам потребуется как минимум удвоение инвестиций в систему защиты.
Конечно нельзя быть столь категоричным и утверждать, что применение 2-х различных средств защиты не повышает защищенности сети. Все зависит от квалификации.
Если вы смогли обойти все подводные камни при внедрении и настройке решений от двух разных производителей, то уровень вашей защиты возрастет. Главное – продолжать и дальше поддерживать защищенность сети на том же уровне в течение всего срока жизни межсетевых экранов.
Да и время не стоит на месте. Информационные технологии постепенно изменяют наш мир и помогают выполнять многие рутинные операции проще, легче и быстрее.
Почему бы не представить, что и в области настройки средств защиты можно уйти от рутины, приводящей к ошибкам? Ведь уже давно существуют примеры межсетевых экранов (как минимум Cisco ASA 5500 и Check Point VPN-1) с подсистемами проверки согласованности задаваемых правил.
Если в одном месте вы разрешите использовать IP-телефонию, а в другом запретите, такие системы сразу просигнализируют вам об этом. Можно пойти еще дальше.
Не только проверять согласованность правил, по которым будут «трудиться» средства защиты, но и сами правила создавать в автоматическом режиме, исключающем вероятность какой-либо ошибки. И сделать надо совсем немного – интегрировать межсетевые экраны с системами управления информационной безопасностью (security information management systems, SIMS).
Эти системы знают, какие ресурсы и где в корпоративной сети они находятся, какие права доступа и какие пользователи к ним имеют, а также регулярно проводят инвентаризацию всех происходящих в сети изменений. Почему бы не добавить в них механизм автоматической генерации правил разграничения доступа?
Достоинство данного решения в том, что такие правила могут создаваться как для средств сетевой безопасности (межсетевые экраны, системы обнаружения атак и т.п.), так и для систем, защищающих отдельные сервера и рабочие станции (хостовые системы предотвращения вторжений, системы защиты от НСД и т.п.).
Правда первое решение (проверка согласованности) пока есть далеко не во всех межсетевых экранах, а второе относится пока к области фантазий автора, чем к реальности, – системы класса SIMS пока не обладают такой функциональностью.
