Для эффективного обнаружения вторжений необходимо знать, что должно и что не должно находиться в сети
Камерон Стардевант
Около года назад база данных Калифорнийского университета (UCLA) была взломана хакерами. Тот факт, что свыше 800 тыс. записей хранившейся там персональной информации были уязвимыми в течение целых 13 месяцев, показывает, что все достижения в сфере обнаружения вторжений бесполезны, если их не внедряют в практику.
21 ноября прошлого года технические специалисты UCLA обратили внимание на необычный характер трафика, свидетельствовавший о наличии бреши, которая сделала уязвимыми имена, даты рождения, адреса и номера полисов социального страхования студентов и работников университета, причем это обнаружилось через год с лишним после хакерского взлома. Этот случай тем более досаден и непонятен, что за время после налета на UCLA неведомых и имевших неизвестные цели хакеров появился целый класс новых средств обнаружения сетевых аномалий и предупреждения утечек данных, не говоря уже о новом поколении инструментов обнаружения и блокирования вторжений в сеть.
Шаг третий: обнаружение вторжений
В 2001 г. в разделе "Обнаружение" журнал eWeek в одной из статей серии "Пять шагов к корпоративной безопасности" писал, что обнаружение сетевых атак является не только технологией, но в равной мере и искусством. Это по-прежнему так. Однако техническая сторона дела теперь значительно усовершенствована, отчасти благодаря законодательным нормам, заставившим некоторые организации обратить внимание на свои способы хранения, использования и передачи персональных данных.
Однако впечатляющие факты взлома хранилищ данных в UCLA и других местах создают ощущение, что ряд организаций по-прежнему не придает особой ценности персональным данным и не утруждает себя контролем за обеспечением их безопасности.
Хотя нормативные акты представляются менее эффективным методом защиты частной информации, похоже, что надежды на саморегулирование - вещь еще более призрачная.
Эта суровая правда недавно подтвердилась в Министерстве по делам ветеранов (VA). В мае 2006 г. у одного из его сотрудников украли гигантский объем данных - 26 млн. персональных записей, хранившихся в ноутбуке. По уверению ФБР, вора, который проник в жилище этого человека, заинтересовал сам ноутбук, а не содержавшаяся в нем информация. Тем не менее существующие средства контроля безопасности могли бы предупредить менеджеров VA о факте копирования большой массы ценных данных на мобильное устройство. Доступные в это время системы вполне могли бы предотвратить несанкционированный перенос такой информации на ноутбук.
Иногда случается, что технология все же не может помешать злонамеренному использованию персональных данных. Примером является утечка 145 тыс. персональных записей, сделанных в компании ChoicePoint, которая в 2005 г. непреднамеренно передала их в руки мошенников. Жулики, воспользовавшись слабостью методов защиты, сумели завладеть добычей, выдав себя за клиентов данной фирмы. Но даже в этом случае ПО контроля за утечками данных, вероятно, могло бы добавить еще один уровень аутентификации, ограничивающий свободу использования бизнес-процессов.
За время, прошедшее после публикации отчета eWeek в 2001 г., появился целый класс средств предотвращения утечек информации, выявляющих непредусмотренное использование данных и сигнализирующих или осуществляющих блокировку в случае неразрешенного переноса данных. Инструменты компаний Vontu, GTB Technologies, Verdasys, Reconnex, Tablus и Vericept (это лишь некоторые из производителей) действуют по одинаковому принципу обнаружения и блокирования неразрешенных форм работы с данными, даже если это делают сотрудники предприятия. Большинство подобных продуктов ориентировано на запросы регулирующих организаций - как правило, в сфере финансового обслуживания или здравоохранения.
Основы обнаружения вторжений - Охраняйте данные. Имейте в виду, что собранные организацией персональные данные имеют большую ценность. - Ограничивайте доступ к информации. ИТ-отделы должны работать с бизнес-менеджерами, чтобы свести к минимуму объемы данных, разрешенных к копированию и хранению любыми из людей, связанных с организацией. - Формируйте политику использования данных. Настаивайте на выработке четко сформулированных и документированных правил работы с персональными данными и интеллектуальной собственностью; эти правила являются краеугольным камнем эффективного применения любой системы безопасности и обнаружения. - Документируйте данные. Необходимо досконально знать приложения, трафик и формы использования всех данных в сети организации. - Управляйте изменениями. Поддерживайте контакты с бизнес-менеджерами, чтобы быть в курсе любых перемен в нормальном использовании данных, которые можно ошибочно принять за злоумышленные действия; формируйте процессы управления изменениями, позволяющие добавлять и модифицировать приложения и устройства с сохранением правильной реакции системы обнаружения вторжений. - Оценивайте риски. Причем по каждому компоненту ИТ-инфраструктуры, чтобы сфокусировать затраты на средства обеспечения безопасности на наиболее важных ее участках. Источник: eWeek Labs. |
В UCLA, которому приходится хранить большие объемы секретных и персональных данных, по-видимому, не применяли средств предотвращения утечек, что нанесло ущерб и студентам вуза, и его преподавателям, и служебному персоналу. Это очень плохо. Но несмотря на то что сообщения о крупных утечках данных из UCLA, VA, ChoicePoint и других организаций прогремели по всему миру, можно ручаться, что работающие системы обнаружения предотвратили куда более серьезные инциденты.
Миссия ИТ-менеджеров по безопасности очень сложна - им важно точно установить, что их упреждающие меры действительно защищают от действий злоумышленников.
Доказать, что системы обнаружения работают, - это целое искусство. Для этого необходимо уметь генерировать отчеты таким образом, чтобы они были понятны и неспециалистам в ИТ.
В ряде случаев полезны экспериментальные тесты программ для контроля доступа - например, средств однопарольной аутентификации - с графической демонстрацией неудавшихся попыток получить доступ к данным. Отчеты, генерируемые при тестовом подключении средств предупреждения утечек, зачастую очень наглядно показывают их способность защищать от действий злоумышленников.
Система LANShield фирмы ConSentry зондирует серверы Active Directory на предмет присвоения пользовательских ролей.
Роли содержат правила политики, управляющей сетевым доступом разных пользователей
В этом аспекте наши сегодняшние рекомендации отличаются от советов 2001 г., когда мы фокусировали внимание на оценке уязвимостей и тестах на проникновение. Учитывая приобретенный опыт, мы теперь советуем ИТ-менеджерам помещать в центр архитектуры безопасности авторизованное использование данных и применять оценку рисков для определения мер защиты важных данных и систем. ИТ-менеджеры должны четко знать, что понимается под допустимым и официально разрешенным использованием данных и систем, и уметь пресекать любые действия, выходящие за эти границы.
Практически все продукты для обеспечения безопасности, тестируемые в лаборатории eWeek Labs (особенно претендующие на способность защищать от атак "zero-day", использующих еще не известные общественности уязвимости), действуют на базе закрепленных норм правильного поведения пользователей.
Однако средства безопасности, которые будут лишь выявлять непредусмотренное использование данных и систем, вряд ли очень понравятся руководству организаций. Негибкие системы, не умеющие адаптироваться, скажем, к пиковым выбросам трафика под конец месяца или к трафику новых приложений, тормозят производительность труда. Поэтому нас интересуют продукты, позволяющие ИТ-специалистам, контактирующим с бизнес-подразделениями, формировать политику безопасности как неотъемлемый аспект развертывания средств обнаружения.
Проверяя инструменты обнаружения утечек, мы, в частности, обращаем особое внимание на наличие возможности - для авторизованных пользователей - вносить изменения в функции мониторинга. ИТ-менеджеры, оценивающие продукты этой категории, должны рассматривать такую функциональность как одну из приоритетных характеристик покупаемой системы. Действительно, при решении задач обнаружения нельзя обойтись без глубокого знания того, какой трафик должен циркулировать в сети организации и какие именно данные и транзакции работают для бизнеса.
Хотя поставщики средств обнаружения часто делают упор на простоте инсталляции продукта и его интеграции в сеть, надо понимать элементарную истину: если люди не будут разбираться в трафике и схемах использования данных, предоставляемых этими инструментами, то действия злоумышленников останутся незамеченными. И наконец, возможно, придется уделить серьезное внимание процедурам управления изменениями режимов работы в сетях, чтобы снизить количество ложных тревог, нередко генерируемых средствами обнаружений.
С техническим директором eWeekLabs Камероном Стардевантом можно связаться по адресу: cameron_sturdevant @ziffdavis.com.