100 Мифы и заблуждения информационной безопасности Лукацкий

Вид материалаДокументы

Содержание


Миф №12 "Антивирусные компании всегда знают обо всех вредоносных программах"01.12.2008 19:15
Миф №13 "2 МСЭ лучше чем один"05.12.2008 11:45
Подобный материал:
1   ...   8   9   10   11   12   13   14   15   ...   69

Миф №12 "Антивирусные компании всегда знают обо всех вредоносных программах"01.12.2008 19:15


Это не совсем так. Они знают о тех вирусах, которые попадают им в руки. Либо путем анализа трафика с помощью установленных в разных частях Интернет ловушек. Либо путем изучения присланных заказчиками подозрительных файлов. Либо путем обмена с коллегами. Но что, если вирус еще не «вышел в свет» и ждет своего часа на жестком диске своего создателя? Или вирус направлен на конкретную компанию и не жаждет широкой славы? Или антивирусная компания просто не получила по различным каналам код вредоносной программы? Разумеется, антивирусный производитель ничего не знает об этом вирусе и не может его обнаружить. Мне можно возразить, что существуют эвристические механизмы, позволяющие обнаруживать неизвестные вирусы. Но свое мнение об эвристике я выскажу в мифе "Антивирусы умеют обнаруживать неизвестные вирусы".

Относительно недавно я столкнулся именно с такой ситуацией. Установленный у меня на компьютере McAfee VirusScan Enterprise не смог обнаружить попавший ко мне из Интернет троянец. Cisco Security Agent, работающий на моем лэптопе и построенный на совершенно иных принципах, смог обнаружить вредоносную активность и заблокировать работу троянца, но не удалить его (текущая версия это уже умеет). Запуск антивируса компании Symantec тоже ничего не дал – никаких подозрительных программ он не обнаружил. Только с третьей попытки мне удалось поймать и искоренить заразу – в этом мне помог Антивирус Касперского. О чем говорит этот факт? О том, что даже если вирус известен одной компании, то это не еще значит, что о нем автоматически узнают все остальные.

В одном фантастическом романе я прочел об идее применения систем искусственного интеллекта в информационной безопасности. Одна система выполняла функцию защиты, вторая - нападения. И они придумывали бесконечное множество возможных способов нападения и защиты, накапливая базу знаний о самых эффективных из них. Возможно, когда-то этот сюжет воплотится в реальную жизнь (уже сейчас есть отдельные примеры автоматического создания сигнатур вредоносных программ) и тогда, действительно, антивирусные производители смогут иметь в своем арсенале знания обо всех возможных вредоносных программах (если не забывать про борьбу брони и снаряда). Но пока об этом приходится только мечтать.

Миф №13 "2 МСЭ лучше чем один"05.12.2008 11:45


В среде специалистов по информационной безопасности бытует мнение, что два средства защиты от разных производителей лучше чем одно. Аргументация очевидна – вторая преграда станет камнем преткновения для злоумышленника, прошедшего через первую линию обороны. Считается, что разные производители по-разному реализуют те или иные защитные механизмы, что и позволяет надеяться на более высокую защищенность корпоративной сети, использующей два средства защиты вместо одного. Однако на самом деле две различных платформы для системы защиты несут с собой гораздо больше проблем, чем решений.

Возьмем, к примеру, межсетевые экраны (МСЭ). По статистике 99% всех проникновений через эти одни из самых распространенных средств защиты периметра связано не с дырами в программном обеспечении МСЭ, а с их некорректной конфигурацией. При использовании двух межсетевых экранов этот риск возрастает вдвое, т.к. вероятность сделать ошибку увеличивается. Уязвимости в межсетевых экранах достаточно быстро обнаруживаются и также быстро устраняются – производители средств защиты уделяют этому немало сил и времени. А вот с неправильной конфигурацией приходится бороться только самому пользователю. И здесь все зависит только от его умения и квалификации.

Управление обновлениями МСЭ реализовать гораздо проще и менее затратно, чем сконфигурировать два различных экрана, с двумя различными архитектурами, с двумя различными методами описания политик безопасности, с двумя различными графическими интерфейсами, да еще и работающими на двух различных платформах.

Отладка новых Интернет-приложений или установления взаимодействия с новым офисом или партнером приводит к необходимости временного создания правил на межсетевом экране. Зачастую неразбериха в используемых протоколах и портах приводит к тому, что перед тем как все заработает, администратор создает несколько десятков правил, которые в режиме «боевой эксплуатации» приходится удалять. В случае использования 2-х межсетевых экранов возрастает риск, что какие-то тестовые правила не будут удалены и в системе защиты образуется зияющая дыра, которой сможет воспользоваться злоумышленник. И это не говоря об увеличении времени тестирования нового приложения.

Развитие информационных технологий приводит к тому, что правила на межсетевых экранах становятся все сложнее и сложнее. Проникновение приставки «e» во многие сферы нашей жизни (e-Business, e-Commerce, e-Government и т.д.) приводит к росту числа правил. Свыше сотни правил – это уже норма для современной корпоративной сети. А значит, для эффективного использования двух средств защиты периметра нужно быть в них одинаково «подкованным», что требует, как минимум, вдвое увеличить затраты на обучение, внедрение, поддержание и повышение своей квалификации. А если мы вспомним про необходимость резервирования критичных элементов инфраструктуры, то нам потребуется как минимум удвоение инвестиций в систему защиты.

Конечно нельзя быть столь категоричным и утверждать, что применение 2-х различных средств защиты не повышает защищенности сети. Все зависит от квалификации. Если вы смогли обойти все подводные камни при внедрении и настройке решений от двух разных производителей, то уровень вашей защиты возрастет. Главное – продолжать и дальше поддерживать защищенность сети на том же уровне в течение всего срока жизни межсетевых экранов.

Да и время не стоит на месте. Информационные технологии постепенно изменяют наш мир и помогают выполнять многие рутинные операции проще, легче и быстрее. Почему бы не представить, что и в области настройки средств защиты можно уйти от рутины, приводящей к ошибкам? Ведь уже давно существуют примеры межсетевых экранов (как минимум Cisco ASA 5500 и Check Point VPN-1) с подсистемами проверки согласованности задаваемых правил. Если в одном месте вы разрешите использовать IP-телефонию, а в другом запретите, такие системы сразу просигнализируют вам об этом. Можно пойти еще дальше. Не только проверять согласованность правил, по которым будут «трудиться» средства защиты, но и сами правила создавать в автоматическом режиме, исключающем вероятность какой-либо ошибки. И сделать надо совсем немного – интегрировать межсетевые экраны с системами управления информационной безопасностью (security information management systems, SIMS). Эти системы знают, какие ресурсы и где в корпоративной сети они находятся, какие права доступа и какие пользователи к ним имеют, а также регулярно проводят инвентаризацию всех происходящих в сети изменений. Почему бы не добавить в них механизм автоматической генерации правил разграничения доступа? Достоинство данного решения в том, что такие правила могут создаваться как для средств сетевой безопасности (межсетевые экраны, системы обнаружения атак и т.п.), так и для систем, защищающих отдельные сервера и рабочие станции (хостовые системы предотвращения вторжений, системы защиты от НСД и т.п.).

Правда первое решение (проверка согласованности) пока есть далеко не во всех межсетевых экранах, а второе относится пока к области фантазий автора, чем к реальности, – системы класса SIMS пока не обладают такой функциональностью.