100 Мифы и заблуждения информационной безопасности Лукацкий

Вид материалаДокументы

Содержание


Миф №75 «Одно устройство, включающее все функции безопасности, выгоднее чем несколько устройств»15.04.2010 22:22
Наименование UTM-решения
Подобный материал:
1   ...   46   47   48   49   50   51   52   53   ...   69

Миф №75 «Одно устройство, включающее все функции безопасности, выгоднее чем несколько устройств»15.04.2010 22:22


Недавно я занялся дооснащением своего домашнего рабочего места и к имеющемуся компьютеру решил приобрести давно желаемый принтер и сканер. Выбор был непрост, учитывая имеющиеся на рынке предложения, но главную скрипку в данном процессе играли два криетрия – цена и занимаемое на столе пространство. Поэтому мой окончательный выбор пал на устройство, которое до недавнего времени я даже и не стал бы рассматривать. Речь идет о МФУ (многофункциональные устройства), включающие в себя принтер, сканер и ксерокс (есть еще модели и с встроенным факсом). Аналогичный выбор сегодня стоит и перед многими корпоративными пользователями, желающими защитить себя от различных угроз, и стоящих перед выбором купить несколько разных систем защиты или одно многофункциональное устройство (т.н. Unified Threat Management System, UTM). Многие производители преподносят UTM-решения как новый виток эволюции рынка безопасности и как единственно существующую альтернативу. Верно ли это?

С одной стороны классический принцип «не кладите все яйца в одну корзину» продолжает действовать до сих пор. Если унифицированное решение выйдет из строя, то вся сеть станет абсолютно незащищенной перед злоумышленниками. С другой стороны по стране идет кризис и выкладывать деньги за пять разных средств защиты (межсетевой экран, систему предотвращения вторжений, антивирус, VPN и систему контроля доступа к Интернет-сайтам) готовы далеко не все заказчики. Безопасность безопасностью, но и денежки счет любят. Что же выбрать?

Универсального ответа на этот вопрос нет, т.к. в зависимости от ситуации, ответы на него могут быть диаметрально противоположными. Если речь идет о только-только зарождающемся бизнесе, когда все деньги идут на развитие и безопасность не является приоритетной задачей, то выбор в пользу устройства, объединяющего в себе межсетевой экран, систему предотвращения атак, антивирус, VPN и фильтрацию URL является закономерным и обоснованным. Аналогичное решение может быть принято и в том случае, когда перед людьми, принимающими решения, встает исконно русский вопрос: «А где взять деньги?» Когда денег нет и выбор не большой, а угроз от этого меньше не становится. Поэтому вместо приобретения самостоятельных защитных устройств остается покупка только системы «все в одном». С другой стороны, когда речь идет о крупном и тем более вставшем на ноги предприятии, то выбор в пользу многофункциональных устройств будет обоснованным только для удаленных офисов, отделений и филиалов. В остальных случаях раздельно установленные средства защиты будут лучшей альтернативой.

Задумываясь о переходе к UTM-решениям надо понимать, что за внешней привлекательностью скрывается и ряд особенностей. Во-первых, большинство существующих UTM-решений построено на базе вполне конкретной системы защиты, как правило, это межсетевой экран (очень редко система предотвращения вторжений). Следовательно, именно данная функциональность и будет в UTM отлично работающей; остальные функции могут сильно подкачать.

Возьмем, к примеру, результаты одного из тестов UTM, в котором проверялась антивирусная составляющая. Мы видим, что и протоколы для контроля вредоносных программ контролируются далеко не все, и эффективность антивируса в UTM не самая высокая.

Наименование UTM-решения

Поддерживаемые протоколы

Процент обнаружения вредоносных программ

Astaro ASG 425a

FTP, HTTP, SMTP,POP3

67%

Check Point UTM-1 2050

FTP, HTTP, SMTP, POP3

70%

Crossbeam C25

FTP, HTTP, SMTP, POP3

70%

Fortinet FortiGate 3600A

FTP, HTTP, SMTP, IMAP, POP3, IM, NNTP

75%

IBM/ISS Proventia MX5010

FTP, HTTP, SMTP, POP3

60%

Juniper Networks SSG-520M

FTP, HTTP, SMTP, IMAP, POP3

72%

Nokia IP290

FTP, HTTP, SMTP, POP3

75%

Secure Computing Sidewinder 2150D с IPS-ускорителем

FTP, HTTP, SMTP

75%

SonicWALL PRO 5060

FTP, HTTP, SMTP, IMAP, POP3, CIFS, TCP

85%

WatchGuard Firebox Peak X8500e

SMTP, HTTP, TCP

45%

Аналогичные, по сути, результаты показывают модули предотвращения вторжений, встроенные в UTM-решения. Мы видим из таблицы, что уровень обнаружения атак встроенных подсистем сильно отличается от эффективности отдельных IPS тех же производителей.

Производитель

Продукт

Версия

Настройки

Атаки на ПК

Атаки на сервер

Astaro

ASG 425a

v7.009

Рекомендованные производителем

19%

36%

Check Point

UTM-1 2050

NGX R65

SecureDefense

27%

32%

Crossbeam

C25

NGX R65

SecureDefense

27%

32%

Fortinet

FortiGate 3600A

v3.00 MR4

Только критичные сигнатуры

14%

23%

Все сигнатуры

41%

24%

IBM System

x3650

NGX R65

SecureDefense

27%

32%

IBM/ISS

Proventia MX5010

v3.12

Рекомендованные производителем

75%

44%

Juniper Networks

ISG-1000

6.0.0

IDP, только критичные сигнатуры

42%

46%

IDP, все сигнатуры

87%

70%

Без дополнительной защиты

5%

17%

Juniper Networks

SSG-520M

6.0.0

Deep Inspection, только критичные сигнатуры

19%

24%

Deep Inspection, все сигнатуры

21%

25%

Nokia

IP290

NGX R65

SecureDefense

27%

32%

Secure Computing

Sidewinder 2150D

v7.0

С IPS

22%

34%

Только proxy

7%

14%

SonicWALL

PRO 5060

v4.0.0.0

Только критичные сигнатуры

22%

19%

Все сигнатуры

45%

46%

WatchGuard

Firebox Peak X8500e

v9.0.1

Только критичные сигнатуры

39%

30%

Все сигнатуры

40%

31%

Почему это происходит? Потому что производители, следуя моде, не всегда следуют правильной методологии построения UTM-решений. Видя потребность в многофункциональных устройствах, ряд производителей пошли по пути наименьшего сопротивления – скупили ряд мелких фирм и попытались из их продуктов сделать единое решение. А в итоге получилось лоскутное одеяло, которое «расходится по швам» как только начинаешь применять его по назначению. Ряд производителей, вместо слияния с другими компаниями, просто лицензировали недостающие им технологии. Но и это решение далеко от идеала – чужой продукт вообще никак не изменить и в случае проблем с совместимостью пользователь остается с ними один на один, т.к. даже продавшая ему систему защиты компания не в состоянии исправить обнаруженную проблему – ведь права на изменение чужого кода у них нет.

Поэтому желательно, чтобы все компоненты, входящие в состав UTM, были разработаны одним производителем. Единая операционная среда позволяет упростить процесс настройки, мониторинга, устранения неполадок и обучения сотрудников, отвечающих за информационную безопасность. В крайнем случае, решения третьих фирм должны быть выполнены в виде независимого (желательно аппаратного) модуля, вставляемого в свободный слот защитного устройства. Это позволит обеспечить отказоустойчивость основных компонентов в случае возникновения неполадок.

Так как же быть? Стоит переходить на UTM под давлением производителей средств защиты или нет? Что поставить во главу угла? Денежную экономию или эффективность защиты? Эксперты рекомендуют применять UTM-устройства в следующих случаях:
  • Сеть только что создана и для нее средства защиты только приобретаются.
  • Срок амортизации текущих средств защиты подходит к концу.
  • Производитель предлагает различные лизинговые схемы, позволяющие не «вешать» новые программно-аппаратные комплексы на свой баланс.
  • Существующие средства защиты морально устарели и необходимо их обновление.
  • Для новых приложений необходимы новые защитные функции, которых в «старых» решениях нет.

Все эти сценарии, разумеется, применимы, если UTM-решение действительно эффективно решает задачу защиты информационных активов. Во всех остальных случаях, несмотря на видимую привлекательность, применение многофункциональных решений будет необоснованным и эффекта не принесет.