100 Мифы и заблуждения информационной безопасности Лукацкий
Вид материала | Документы |
СодержаниеМиф №75 «Одно устройство, включающее все функции безопасности, выгоднее чем несколько устройств»15.04.2010 22:22 Наименование UTM-решения |
- Аннотация, 418.67kb.
- Е. А. Свирский Рассматриваются вопросы работы курсов повышения квалификации по информационной, 67.93kb.
- Система менеджмента информационной безопасности, 205.89kb.
- Теоретические основы информационной безопасности автоматизированных систем, 26.65kb.
- Содержание курса. Урок, 902.96kb.
- Обеспечение информационной безопасности организации как метод антикризисного управления, 54.18kb.
- Мифы Древней Греции Мифы Древней Индии Мифы древних славян Мифы североамериканских, 33.93kb.
- «Комплексные системы информационной безопасности», 260.23kb.
- Вопросы по информационной безопасности, 268.68kb.
- Рекомендации по обеспечению информационной безопасности Заключение, 358.69kb.
Миф №75 «Одно устройство, включающее все функции безопасности, выгоднее чем несколько устройств»15.04.2010 22:22
Недавно я занялся дооснащением своего домашнего рабочего места и к имеющемуся компьютеру решил приобрести давно желаемый принтер и сканер. Выбор был непрост, учитывая имеющиеся на рынке предложения, но главную скрипку в данном процессе играли два криетрия – цена и занимаемое на столе пространство. Поэтому мой окончательный выбор пал на устройство, которое до недавнего времени я даже и не стал бы рассматривать. Речь идет о МФУ (многофункциональные устройства), включающие в себя принтер, сканер и ксерокс (есть еще модели и с встроенным факсом). Аналогичный выбор сегодня стоит и перед многими корпоративными пользователями, желающими защитить себя от различных угроз, и стоящих перед выбором купить несколько разных систем защиты или одно многофункциональное устройство (т.н. Unified Threat Management System, UTM). Многие производители преподносят UTM-решения как новый виток эволюции рынка безопасности и как единственно существующую альтернативу. Верно ли это?
С одной стороны классический принцип «не кладите все яйца в одну корзину» продолжает действовать до сих пор. Если унифицированное решение выйдет из строя, то вся сеть станет абсолютно незащищенной перед злоумышленниками. С другой стороны по стране идет кризис и выкладывать деньги за пять разных средств защиты (межсетевой экран, систему предотвращения вторжений, антивирус, VPN и систему контроля доступа к Интернет-сайтам) готовы далеко не все заказчики. Безопасность безопасностью, но и денежки счет любят. Что же выбрать?
Универсального ответа на этот вопрос нет, т.к. в зависимости от ситуации, ответы на него могут быть диаметрально противоположными. Если речь идет о только-только зарождающемся бизнесе, когда все деньги идут на развитие и безопасность не является приоритетной задачей, то выбор в пользу устройства, объединяющего в себе межсетевой экран, систему предотвращения атак, антивирус, VPN и фильтрацию URL является закономерным и обоснованным. Аналогичное решение может быть принято и в том случае, когда перед людьми, принимающими решения, встает исконно русский вопрос: «А где взять деньги?» Когда денег нет и выбор не большой, а угроз от этого меньше не становится. Поэтому вместо приобретения самостоятельных защитных устройств остается покупка только системы «все в одном». С другой стороны, когда речь идет о крупном и тем более вставшем на ноги предприятии, то выбор в пользу многофункциональных устройств будет обоснованным только для удаленных офисов, отделений и филиалов. В остальных случаях раздельно установленные средства защиты будут лучшей альтернативой.
Задумываясь о переходе к UTM-решениям надо понимать, что за внешней привлекательностью скрывается и ряд особенностей. Во-первых, большинство существующих UTM-решений построено на базе вполне конкретной системы защиты, как правило, это межсетевой экран (очень редко система предотвращения вторжений). Следовательно, именно данная функциональность и будет в UTM отлично работающей; остальные функции могут сильно подкачать.
Возьмем, к примеру, результаты одного из тестов UTM, в котором проверялась антивирусная составляющая. Мы видим, что и протоколы для контроля вредоносных программ контролируются далеко не все, и эффективность антивируса в UTM не самая высокая.
Наименование UTM-решения | Поддерживаемые протоколы | Процент обнаружения вредоносных программ |
Astaro ASG 425a | FTP, HTTP, SMTP,POP3 | 67% |
Check Point UTM-1 2050 | FTP, HTTP, SMTP, POP3 | 70% |
Crossbeam C25 | FTP, HTTP, SMTP, POP3 | 70% |
Fortinet FortiGate 3600A | FTP, HTTP, SMTP, IMAP, POP3, IM, NNTP | 75% |
IBM/ISS Proventia MX5010 | FTP, HTTP, SMTP, POP3 | 60% |
Juniper Networks SSG-520M | FTP, HTTP, SMTP, IMAP, POP3 | 72% |
Nokia IP290 | FTP, HTTP, SMTP, POP3 | 75% |
Secure Computing Sidewinder 2150D с IPS-ускорителем | FTP, HTTP, SMTP | 75% |
SonicWALL PRO 5060 | FTP, HTTP, SMTP, IMAP, POP3, CIFS, TCP | 85% |
WatchGuard Firebox Peak X8500e | SMTP, HTTP, TCP | 45% |
Аналогичные, по сути, результаты показывают модули предотвращения вторжений, встроенные в UTM-решения. Мы видим из таблицы, что уровень обнаружения атак встроенных подсистем сильно отличается от эффективности отдельных IPS тех же производителей.
Производитель | Продукт | Версия | Настройки | Атаки на ПК | Атаки на сервер |
Astaro | ASG 425a | v7.009 | Рекомендованные производителем | 19% | 36% |
Check Point | UTM-1 2050 | NGX R65 | SecureDefense | 27% | 32% |
Crossbeam | C25 | NGX R65 | SecureDefense | 27% | 32% |
Fortinet | FortiGate 3600A | v3.00 MR4 | Только критичные сигнатуры | 14% | 23% |
Все сигнатуры | 41% | 24% | |||
IBM System | x3650 | NGX R65 | SecureDefense | 27% | 32% |
IBM/ISS | Proventia MX5010 | v3.12 | Рекомендованные производителем | 75% | 44% |
Juniper Networks | ISG-1000 | 6.0.0 | IDP, только критичные сигнатуры | 42% | 46% |
IDP, все сигнатуры | 87% | 70% | |||
Без дополнительной защиты | 5% | 17% | |||
Juniper Networks | SSG-520M | 6.0.0 | Deep Inspection, только критичные сигнатуры | 19% | 24% |
Deep Inspection, все сигнатуры | 21% | 25% | |||
Nokia | IP290 | NGX R65 | SecureDefense | 27% | 32% |
Secure Computing | Sidewinder 2150D | v7.0 | С IPS | 22% | 34% |
Только proxy | 7% | 14% | |||
SonicWALL | PRO 5060 | v4.0.0.0 | Только критичные сигнатуры | 22% | 19% |
Все сигнатуры | 45% | 46% | |||
WatchGuard | Firebox Peak X8500e | v9.0.1 | Только критичные сигнатуры | 39% | 30% |
Все сигнатуры | 40% | 31% |
Почему это происходит? Потому что производители, следуя моде, не всегда следуют правильной методологии построения UTM-решений. Видя потребность в многофункциональных устройствах, ряд производителей пошли по пути наименьшего сопротивления – скупили ряд мелких фирм и попытались из их продуктов сделать единое решение. А в итоге получилось лоскутное одеяло, которое «расходится по швам» как только начинаешь применять его по назначению. Ряд производителей, вместо слияния с другими компаниями, просто лицензировали недостающие им технологии. Но и это решение далеко от идеала – чужой продукт вообще никак не изменить и в случае проблем с совместимостью пользователь остается с ними один на один, т.к. даже продавшая ему систему защиты компания не в состоянии исправить обнаруженную проблему – ведь права на изменение чужого кода у них нет.
Поэтому желательно, чтобы все компоненты, входящие в состав UTM, были разработаны одним производителем. Единая операционная среда позволяет упростить процесс настройки, мониторинга, устранения неполадок и обучения сотрудников, отвечающих за информационную безопасность. В крайнем случае, решения третьих фирм должны быть выполнены в виде независимого (желательно аппаратного) модуля, вставляемого в свободный слот защитного устройства. Это позволит обеспечить отказоустойчивость основных компонентов в случае возникновения неполадок.
Так как же быть? Стоит переходить на UTM под давлением производителей средств защиты или нет? Что поставить во главу угла? Денежную экономию или эффективность защиты? Эксперты рекомендуют применять UTM-устройства в следующих случаях:
- Сеть только что создана и для нее средства защиты только приобретаются.
- Срок амортизации текущих средств защиты подходит к концу.
- Производитель предлагает различные лизинговые схемы, позволяющие не «вешать» новые программно-аппаратные комплексы на свой баланс.
- Существующие средства защиты морально устарели и необходимо их обновление.
- Для новых приложений необходимы новые защитные функции, которых в «старых» решениях нет.
Все эти сценарии, разумеется, применимы, если UTM-решение действительно эффективно решает задачу защиты информационных активов. Во всех остальных случаях, несмотря на видимую привлекательность, применение многофункциональных решений будет необоснованным и эффекта не принесет.