РЕШЕНИЯ

Алексей Лукацкий,  

менеджер по развитию бизнеса Cisco Systems. Связаться с ним можно по адресу: alukatsk@cisco.com ;

Екатерина Дербенцева,

ведущий специалист компании "Информзащита". С ней можно связаться по адресу: kate@infosec.ru.

Несмотря на то, Что согласно ежегодной статистике Ernst & Young ("Глобальное исследование по информационной безопасности 2004 года" www.ey.com/global/content.nsf/Russia/AABS), 99% компаний применяют антивирусные средства, угроза заражения червями и "троянами" по-прежнему не спадает. С каждым годом растет число вредоносных программ и вместе с ним - количество случаев компьютерного заражения. Это утверждение иллюстрирует статистика компании Trend Micro (www.trendmicro.com/en/security/white-papers/overview.htm), приведенная на рис. 1.

Рис. 1. Количество инфицированных компьютеров

С чем же связан такой рост? Представьте себе современную компанию, которая внедряет у себя концепцию виртуального офиса, позволяющую сотрудникам не быть привязанными к своим рабочим местам. Подключиться к корпоративной сети теперь можно из любой точки, где есть Интернет, - из квартиры, аэропорта, гостиницы, интернет-кафе. Но и это еще не все. Нередки ситуации, когда к внутренним ресурсам подключаются партнеры, заказчики и представители других внешних организаций (например, для проведения аудита). В результате периметр корпоративной сети размывается, а его защита - усложняется. Все труднее найти ту единственную точку, в которой можно поставить межсетевой экран, чтобы через него проходил весь трафик, требующий контроля.

Даже если мы заставим собственных сотрудников установить на компьютеры антивирусы и персональные межсетевые экраны и регулярно обновлять ПО, то останутся внешние, посторонние пользователи, от которых почти нереально добиться соблюдения требований нашей политики безопасности.

Можно привести простой пример: в компанию приходит гость - клиент или представитель поставщика с собственным ноутбуком. Подключив свой компьютер к сети, он запускает в нее какого-нибудь червя. Прежде чем вы узнаете о том, что сеть инфицирована, определите источник инфекции и начнете бороться с ней, пройдет довольно много времени - во всяком случае, достаточно для того, чтобы вывести из строя какие-либо сетевые ресурсы. Вполне успеет червь и вырваться наружу, но уже от имени вашей компании. Он может поставить под удар вашу репутацию или причинить прямой финансовый ущерб - не стоит забывать об уголовной статье за распространение (в том числе и неумышленное) вредоносных программ.

Вот почему мобильные пользователи - как свои, так и чужие - стали головной болью для служб антивирусной защиты. Число таких пользователей растет изо дня в день, и многие компании сталкиваются с необходимостью подключения к своей сети мобильных компьютеров в большом количестве. Не следует сбрасывать со счетов также КПК, смартфоны и иные гаджеты, которые могут использоваться как носители компьютерной заразы. Нельзя быть уверенным, что чужой компьютер будет соответствовать требованиям вашей политики безопасности. Ситуация усугубляется еще и тем, что пользователь, работающий за этим компьютером, может иметь необходимые привилегии для доступа в сеть.

С одной стороны, мы должны пустить пользователя в сеть, а с другой - его компьютер может быть заражен. Как же быть? Следует предотвратить вероятное заражение сети в отсутствие антивируса на узле, пытающемся получить доступ к корпоративным ресурсам. Это абсурд, скажете вы, как можно блокировать распространение вредоносных программ, если не установлены средства защиты? Можно. Для этого надо посмотреть схему предоставления доступа с любого терминала к тем или иным ресурсам.

Когда доступ осуществляется из Интернета, запрос обязательно проходит через маршрутизатор, стоящий на границе корпоративной сети, а также через межсетевой экран или средство построения VPN. Запрос из внутренней сети идет на коммутатор или точку беспроводного доступа. Следовательно, на сетевом устройстве, через которое проходит запрос на доступ, узел можно проверить на соответствие корпоративной политике безопасности. Такой подход позволяет выполнять практически любые проверки перед разрешением доступа в сеть. Из множества возможных типов подобных проверок одной из первых была реализована интеграция антивируса с сетевым оборудованием.

В рамках этого подхода данные обо всех сетевых подключениях передаются на центральный антивирусный сервер, с которого, в свою очередь, осуществляется управление политиками для таких подключений. Этот процесс можно сравнить с таможенной и пограничной проверкой при пересечении границы: вас обязательно спросят, откуда вы едете и что везете, и только после этого пропустят (либо попросят задержаться для более тщательной проверки). Вся информация о вас хранится не на компьютере сотрудника таможни, а в центральной базе данных, к которой и идет обращение. После произведенной проверки вас либо пропускают в зону вылета и беспошлинной торговли, либо задерживают "до выяснения" (например, если ваша фамилия похожа на фамилию опасного преступника, объявленного в международный розыск).

Аналогичная ситуация складывается и в корпоративной сети: если узел соответствует политике антивирусной безопасности, то доступ к запрашиваемым ресурсам разрешается, если нет - к узлу будет применен один из вариантов политик реагирования. Конечно, никто не блокирует доступ узла, это помешало бы бизнес-процессам компании. Просто "подозреваемый" узел будет направлен в специальный карантин, где он подвергнется доскональной проверке и где на него при необходимости будет установлен отсутствующий антивирус, актуализирована база сигнатур вредоносных программ и т. п.

Подобную технологию, названную Network Admission Control, предложила компания Cisco Systems (www.cisco.com/go/nac). Инициатива была поддержана производителем антивирусов Trend Micro (www.trendmicro.com). Маршрутизаторы, коммутаторы, точки беспроводного доступа, средства организации VPN-доступа и другие устройства, произведенные Cisco, интегрируются с сервером политик Trend Micro (см. рис. 2).

Рис. 2. Схема реализации Trend Micro Cisco NAC

 

Технология Network Admission Control позволяет проконтролировать любой компьютер, подключающийся к корпоративной сети, - стационарный и мобильный, получающий доступ через локальную или глобальную сеть, через проводное или беспроводное подключение, выделенное или коммутируемое соединение. Вы не только проверяете наличие антивируса Trend Micro на интересующем вас компьютере, но и можете контролировать работу этого антивируса (запущен ли он), актуальность антивирусной базы вновь подключившегося узла и т. д. Вся информация поступает непосредственно на антивирусную консоль, и с нее же автоматически запускается принудительное обновление агента, если таковое требуется. Подобная централизация позволяет не допустить проникновение инфекции в сеть, так как если подключенный пользовательский компьютер инфицирован, то он будет просто заблокирован либо - в зависимости от степени угрозы - его доступ к ресурсам сети будет ограничен. Варианты реагирования для данной технологии предусматривают четыре типа управления доступом:

- разрешить,

- запретить,

- отправить в карантин,

- ограничить.

Заключение

Технология Network Admission Control в сочетании с программным обеспечением Trend Micro позволяет проверять любые подключающиеся к сети узлы до того, как им будет разрешен соответствующий доступ. Предотвращение заражения и локализация эпидемий выходят на качественно новый уровень. Такое решение, несомненно, предпочтительнее ситуации, когда приходится иметь дело с уже проникшей в сеть инфекцией. Бизнес-процессы защищены от простоя, который возник бы в результате атаки вируса либо червя, сэкономлены те ресурсы (временные, людские, финансовые и т. д.), что пошли бы на устранение последствий заражения.

Подводя итог сказанному, можно выделить пять ключевых преимуществ, которые получает клиент от использования данной технологии:

- полный контроль над доступом любых узлов (не только своих, но и "чужих") в корпоративную сеть;

- гибкий подход к управлению доступом для подозрительных узлов - от направления в карантин до возможности полного блокирования доступа (в зависимости от корпоративной политики безопасности);

- обеспечение непрерывности бизнес-процессов благодаря принудительному применению политик безопасности для подключенных узлов (в конечном итоге доступ в сеть получает любой узел, но после того как уровень его безопасности будет приведен в соответствие с корпоративным);

- защита компании, ее сотрудников и контрагентов от уголовной ответственности за распространение вредоносных программ;

- снижение совокупной стоимости владения системой обеспечения информационной безопасности компании.

Версия для печати