БЕЗОПАСНОСТЬ
В результате приобретения Axent Technologies (www.axent.com) компания Symantec (www.symantec. com) обогатилась целым набором продуктов, обеспечивающих корпоративную безопасность. Некоторые из этих средств были представлены на семинаре, организованном российским представительством Symantec для руководителей ИТ-отделов государственных организаций и банков, который провел менеджер по развитию бизнеса в Восточной Европе Михаэль Фельдхаус.
На семинаре были рассмотрены три класса продуктов, помогающих построить информационную систему безопасности предприятия: инструменты исследования текущего состояния безопасности, инструменты для обнаружения атак и автоматического реагирования на них и некоторые средства защиты. В стороне остались такие компоненты системы безопасности, как антивирусная защита и фильтрация пересылаемой информации.
Насколько уязвима сеть?
Два взаимодополняющих средства контроля безопасности предприятия позволяют организовать комплексную проверку информационной инфраструктуры: Enterprise Security Manager (ESM) ориентирован на тестирование компьютеров сети, а NetRecon - на остальные сетевые компоненты.
Действующий через агенты, устанавливаемые на каждом хосте, ESM собирает информацию об уровне защиты на каждом компьютере и оценивает, насколько он соответствует принятой на предприятии политике безопасности. Контролируется более 1500 параметров, а агенты разработаны для 35 ОС. Проверяется устойчивость паролей, параметры учетных записей, конфигурационные файлы, актуальность ключевого ПО и т. п. ESM формирует два типа отчетов - обзорный для руководителей предприятия и подробный для специалистов.
Пакет “двойного назначения” - NetRecon атакует сеть с целью выявления уязвимых мест изнутри и извне. Программа находит, исследует и документирует бреши в системе безопасности. До того как сеть подвергнется настоящему нападению, администратор, отвечающий за безопасность, может узнать, что хакер увидит в сети компании и какими дырами он может воспользоваться. В состав пакета входит постоянно обновляемая база данных сценариев вторжений. Над ее обновлением работает специально созданная группа инженеров, поддерживающая тесные контакты с сообществом хакеров и участвующая в их конференциях, мониторинге соответствующих групп новостей и т. п. Используемый Symantec метод проведения проверок позволяет собирать данные о слабых местах сети. Уязвимости, обнаруженные в одном месте (например, слабый пароль), оперативно проверяются применительно к другим компонентам сети. Этот метод корпорация планирует запатентовать.
Работая под управлением Windows NT, NetRecon проверяет различные ОС (разнообразные Unix, Windows, Netware, Linux) и все распространенные протоколы. При этом в сети подвергаются тестированию серверы, межсетевые экраны, маршрутизаторы, концентраторы и коммутаторы, сетевые принтеры, службы DNS и Web-серверы. Для каждой найденной бреши предлагаются детальное описание и пошаговые инструкции по ее ликвидации.
Что происходит в сети сейчас?
В последнее десятилетие заметна демократизация хакерского сообщества. Уже не надо обладать глубокими знаниями и быть компьютерным гуру, чтобы организовывать атаки. Интернет наводнен программами для автоматизации и этого вида деятельности тоже. И на пиратских развалах во многих странах можно приобрести наборы таких программ. В результате атакам подвергается множество сайтов по всему миру. Поэтому крайне важно иметь систему, оперативно оповещающую о начале атаки.
Для непосредственного отслеживания атак на уровне узла и на сетевом уровне предназначены пакеты Intruder Alert и NetProwler. Оба они построены по трехкомпонентной схеме “агенты - менеджер - консоль”, напоминающей разведывательную организацию. Агенты следят за узлами или сегментами сети и передают собранную информацию менеджеру-резиденту, управляющему поведением агентов, который в свою очередь передает обработанную информацию в центр, т. е. на консоль администратора. Естественно, вся информация между агентами, менеджером и консолью передается по сети в зашифрованном виде.
Intruder Alert выявляет характерные злонамеренные действия, непрерывно контролируя файлы журналов и данные аудита, отслеживая действия пользователей и целостность защищаемых ресурсов, приложений и данных на каждой мониторируемой станции. В случае обнаружения атаки делается запись в файл протокола и посылается сообщение администратору в удобной для него форме.
Агенты Intruder Alert способны действовать в Windows NT, Solaris, HP-UX, AIX, Tru64, IRIX, Sequent, AT&T/NCR и NetWare.
NetProwler, представляющий собой разновидность анализатора протокола, работает под управлением Windows NT, за исключением консоли, которая может функционировать также и под Windows 2000. Технология stealth, примененная в агентах, скрывает интерфейс, через который осуществляется наблюдение за сетью, создавая у атакующего иллюзию отсутствия мониторинга. Обратная связь с используемым брандмауэром позволяет автоматически погасить атаку, усиливая защиту интрасети.
База данных сигнатур известных атак сейчас насчитывает 400 записей для наиболее широко применяемых ОС и обновляется с частотой раз в месяц, но через год планируется делать это в два раза чаще. Администраторы могут добавлять свои сигнатуры для детектирования новых атак.
Предусмотрена интеграция Intruder Alert с NetProwler и с системами управления ИТ-инфраструктурой предприятия - Tivoli, HP OpenView, BMC Patrol.
Как защититься?
Для защиты корпоративной сети Symantec предлагает Enterprise Firewall (бывший Axent Raptor Firewall) - брандмауэр с возможностью анализа пакетов на уровне приложений. Это решение рекомендуется компанией для государственных структур в Германии и США, где предъявляются особенно жесткие требования к безопасности.
По заявлению Symantec, Enterprise Firewall сертифицирован ICSA (www.isca. net) и Checkmark (www.nss.co.uk) и сейчас проходит сертификацию Common Criteria (www.commoncriteria.org) по уровню EAL4.
Symantec: (095) 238-3822.
