Представьте себе организацию, которая в своей работе использует Internet. Причем использование не ограничивается электронной почтой и "хождением" по Web-серверам. Организация имеет свое представительство в сети Internet при помощи Web- и FTP- серверов, которые находятся на территории организации. Для защиты внутренних ресурсов корпоративной сети от посягательств внешних злоумышленников используется межсетевой экран (firewall), который блокирует доступ внешних пользователей во внутреннюю сеть. Межсетевой экран (МСЭ) также формирует т.н. демилитаризованную (DMZ) зону, в которой размещаются сервера, к которым осуществляется доступ извне. Знакомая ситуация, неправда ли? По такому классическому сценарию строятся практически все сети с выходом в Internet. Этот же сценарий описан практически во всех руководствах по установке и настройке межсетевых экранов различных производителей. Применением МСЭ все защитные функции, как правило, и ограничиваются. На рисунке показана такая типовая схема подключения к Internet.

Многие организации переоценивают свою систему защиту, что делает их более уязвимыми для различного рода атак. При этом, как ни парадоксально, наибольшее внимание уделяет защите от внешних злоумышленников, игнорируя внутреннюю угрозу. А ведь неумолимая статистика уже не раз предупреждала, что до 80% всех компьютерных инцидентов происходят изнутри организации. Но многие организации для такого рода угроз беззащитны. И даже применение система разграничения доступа не всегда спасает.

Очень часто злоумышленники преодолевают установленные в компании или банке защитные средства (системы аутентификации, межсетевые экраны и т.д.), установленные для разграничения доступа к ресурсам корпоративной сети. С увеличением квалификации злоумышленники становятся более изощренными в разработке и применении методов проникновения за защитную преграду. Обнаружить таких злоумышленников очень трудно. Они маскируются под авторизованных пользователей, используют промежуточные узлы для сокрытия своего истинного адреса, осуществляют атаки распределенные во времени (в течение нескольких часов) и пространстве (одновременно с нескольких узлов) и т.д. Многие атаки осуществляются за очень короткое время (минуты и даже секунды), что также не позволяет обнаружить и предотвратить их стандартными защитными средствами.

Связано это с тем, что большинство компьютерных защитных систем построено на классических моделях разграничения доступа, разработанных в 70-х, 80-х годах. Согласно этим моделям субъекту (пользователю или программе) на основе заданных правил разрешается или запрещается доступ к какому-либо объекту (например, файлу). Однако действия, производимые субъектом над объектом, никак не регламентируется и таким образом невозможно, например, предотвратить копирование файла пользователем, которому доступ к данному файлу разрешен. Развитие этих моделей позволило устранить эти недостатки путем контроля конфиденциальности (модель Белла-Лападула) или целостности (модель Биба) информационных потоков. Однако возникает закономерное противоречие между удобством использования системы и уровнем обеспечиваемой ею безопасности. Приходится чем-то жертвовать. Либо удобством использования защищаемой системы, либо уровнем ее защищенности. Очень трудно придти к компромиссу и найти такую конфигурацию системы, которая совмещает в себе и достаточный уровень ее защищенности, и удобство в эксплуатации.

Кроме того, модели управления доступом не могут помочь в случае реализации атак от "посвященных", авторизованных пользователей или процессов (программ), прошедших процедуру аутентификации. Если злоумышленник подобрал или перехватил Ваш пароль (а делается это достаточно легко), то никакая система разграничения доступа не поможет предотвратить кражу или подмену информации, доступную для скомпрометированного пользователя.

Одной из технологий, которая может быть применена для обнаружения нарушений и которые не могут быть идентифицированы при помощи моделей контроля доступа является технология адаптивного управления безопасностью, которая реализует (согласно отчету Yankee Group) следующие механизмы:
- Обнаружение атак;
- Анализ защищенности;
- Компоненты, отвечающие за управление и динамическое изменение названных механизмов (их адаптацию).

Очевидно, что одна система не может эффективно реализовать все описанные технологии. Поэтому для реализации концепции адаптивной безопасности необходимо использовать совокупность систем, объединенных единым замыслом. Ярким примером таких систем является семейство SAFEsuite, разработанное американской компанией Internet Security Systems, Inc. (ISS). Это первое, и на сегодняшний день единственное, семейство, которое включает в себя все компоненты модели адаптивного управления безопасностью сети и состоит из четырех систем:
- системы анализа защищенности на уровне сети Internet Scanner;
- системы анализа защищенности на уровне операционной системы System Scanner;
- системы обнаружения атак на уровне сети и операционной системы RealSecure;
- системы анализа защищенности на уровне баз данных Database Scanner.

В настоящий момент семейство SAFEsuite стало базой для создания нового семейства продуктов - SAFEsuite Enterprise. Первой системой, которая является одной из составляющих нового семейства, можно назвать систему поддержки принятия решения в области безопасности SAFEsuite Decisions.

Исследование рынка, проведенное в августе 1999 года компанией IDC, показывает, что компания ISS продолжает сохранять свое положение мирового лидера в области адаптивного управления безопасностью с рыночной долей 43%, что опять же почти в 2 раза больше, чем у ее ближайшего конкурента.

На выставке Internetcom'99 на стенде НИП "Информзащита" будут представлены следующие продукты компании Internet Security Systems:
- Система анализа защищенности сетевых сервисов и протоколов Internet Scanner. Предназначена для дистанционного сканирования программного и аппаратного обеспечения, образующего сетевую инфраструктуру любого предприятия. К такому обеспечению относится: Web-сервера, межсетевые экраны (firewall), маршрутизаторы, коммутаторы, почтовые программы и сервера и т.д. Общее число обнаруживаемых системой Internet Scanner уязвимостей превышает 600. Кроме того, пользователи могут описывать свои собственные уязвимости, не внесенные в базу данных системы Internet Scanner. Система Internet Scanner - единственная система анализа защищенности, которая имеет сертификат Гостехкомиссии РФ.
- Система анализа защищенности операционных систем System Scanner. Предназначена для сканирования операционных систем Windows NT, Windows 9x, NetWare и около 20 различных Unix. Проверяются различные параметры ОС, влияющие на ее защищенность. К таким параметрам относятся загрузочные файлы, системный реестр, конфигурация систем удаленного доступа (например, pcAnywhere), конфигурация модемов, права доступа к заданным файлам и т.д. Общее число обнаруживаемых системой System Scanner уязвимостей превышает 400. Кроме того, пользователи могут описывать свои собственные уязвимости, не внесенные в базу данных системы System Scanner.
- Система анализа защищенности СУБД Database Scanner. Предназначена для сканирования систем управления базами данных MS SQL Server, Sybase Adaptive Server и Oracle. Общее число обнаруживаемых уязвимостей - около 300.
- Система обнаружения атак на узлы сети RealSecure. Предназначена для обнаружения любой несанкционированной деятельности, направленной на узлы сети. Функционирует на уровне сети (RealSecure Network Engine), обнаруживая сетевые атаки, которые могут вызвать нарушение работоспособности сетевых сервисов и устройств (атаки типа "Отказ в обслуживании". Кроме того, система RealSecure может функционировать на уровне ОС (RealSecure System Agent), обнаруживая системные атаки типа "подбор пароля", нарушение прав доступа к системным файлам и т.д. Общее число контролируемых событий и обнаруживаемых атак превышает 700. После обнаружения атаки система RealSecure может реагировать на нее заданным образом, начиная от уведомления администратора по e-mail, телефону или факсу и заканчивая автоматическим завершением соединения с атакующим узлом. Кроме того, система RealSecure может автоматически реконфигурировать маршрутизаторы и межсетевые экраны для предотвращения атак в дальнейшем.
- Система принятия решений в области безопасности SAFEsuite Decisions. Предназначена для получения, обобщения и анализа данных от различных средств защиты, установленных в различных точках сети. К таким средствам относятся все продукты компании ISS, а также межсетевые экраны, маршрутизаторы и т.д.
- Система Attacker Tracker. Предназначена для автоматизации задачи сбора информации об атаках, осуществляемых в сети. Система Attack Tracker может быть использована как самостоятельное приложение или может подключаться к системе обнаружения атак RealSecure для исследования источника возникновения инцидентов. Система находится в постоянном развитии и в ближайшее время будет включать в себя открытый API для расширения функциональных возможностей.
- Система обнаружения в заданном списке телефонов модемных входов Telephony Scanner. Является аналогом популярной программы WarDialer. В случае обнаружения модема система обнаруживает тип хоста и сохраняет всю информацию в базе данных (ODBC).

На стенде НИП "Информзащита" будут смоделированы наиболее распространенные атаки и уязвимости, а также способы их обнаружения и предотвращения с использованием продуктов компании Internet Security Systems.

Об авторе:

Алексей Викторович Лукацкий, руководитель отдела Internet-решений, НИП "Информзащита"

• Безопасность корпоративной сети глазами специалистов
• Атака через Internet
• Гибкое управление средствами защиты - необходимое условие их успешного применения
• Введение в информационную безопасность.