БЕЗОПАСНОСТЬ

    

Ольга Павлова    

Руководствуясь принципом "Предупрежден - значит защищен", корпорация Symantec (www.symantec. ru) разработала модель безопасности, состоящую из нескольких компонентов и включающую комплекс мер, которые способны помочь компаниям подготовиться к ожидаемым интернет-атакам и защититься от них. В первую очередь следует организовать раннее оповещение клиентов, чтобы те успели принять необходимые действия до того, как угроза нанесет ущерб их бизнесу. Во-вторых, и это самое главное, нужно защитить предприятие. Для этого требуется набор средств безопасности на всех уровнях корпоративной сети, что позволит предохранить информационную инфраструктуру, в то же время избежав простоев в работе и снижения производительности. В-третьих, необходимо быстро реагировать на появление угроз, что включает постоянную готовность к атаке и концентрацию усилий на ее предотвращении. И наконец, надо обеспечить управление этой обширной средой безопасности путем эффективного использования технологий, данных и персонала. При этом оптимальный уровень защиты компании достигается только в том случае, когда принимаются во внимание все четыре компонента безопасности.

    

Джим Харт (слева) и Алан Осборн демонстрируют

работу центра UK SOC

Подобная модель, как считают специалисты Symantec, имеет сходство с системой защиты от природных катаклизмов - тайфунов, землетрясений, наводнений и т. д. Именно такая система использовалась, например, при защите от урагана "Катрина" в американском штате Флорида в 2005 г. Вначале на основании данных наблюдения за приближающимися бурями служба метеопрогноза разослала предупреждение о надвигающемся стихийном бедствии, после чего была проведена экстренная защита домов и предприятий и организована эвакуация жителей. Полученный в ходе решения этой кризисной ситуации опыт помог выработать комплекс мер, которые позволят в дальнейшем предотвращать аналогичные события или сводить к минимуму их последствия.

    

Модель безопасности Symantec

В целях реализации этой модели Symantec создала разветвленную сеть центров Security Operations Centers (SOC), расположенных по всему миру и круглосуточно предоставляющих услуги по обеспечению безопасности информации. Мы посетили один из таких центров - UK SOC, он находится в Великобритании и ведет свою деятельность в регионе EMEA.

Организация сбора данных в корпорации Symantec. Цифры и факты

Symantec имеет разветвленную систему сбора информации об угрозах во всем мире, которая включает:

- пять международных центров SOC - в Лондоне (Великобритания), Мюнхене (Германия), Александрии (США), Сиднее (Австралия) и Токио (Япония);

- шесть международных центров Symantec Security Response - в Санта-Монике (США, штаб-квартира центра реагирования), Редвуд-Сити (США), Сиднее (Австралия), Калгари (Канада), Дублине (Ирландия) и Токио (Япония);

- пять международных центров технической поддержки - в Спрингфилде (США), Торонто (Канада), Сиднее (Австралия), Токио (Япония) и Дублине (Ирландия).

В процессе сбора оперативных данных задействовано 20 тыс. датчиков DeepSight, установленных в 180 странах мира.

Компания контролирует свыше 120 млн. систем Symantec и более 6 тыс. управляемых устройств защиты в 74 странах.

За один месяц специалисты Symantec регистрируют около 200 тыс. сообщений о вредоносных кодах и миллионы сообщений об угрозах.

В UK SOC трудится команда из 25 человек, которая разбита на две работающие посменно функциональные группы: инженеры и аналитики. Инженерная группа поддерживает функционирование систем предупреждения о глобальных угрозах и раннего оповещения, которые обеспечивают рассылку своевременных всесторонних уведомлений о надвигающихся компьютерных атаках по всему миру. Эти уведомления предлагают также эффективные решения и контрмеры для противодействия таким угрозам.

Группа аналитиков проводит анализ событий в области безопасности, которые происходят в системах клиентов, в целях выявления чего-либо необычного. Основная задача здесь - мониторинг таких событий и их предупреждение. Одни события бывают чисто локальными, не приводящими к каким-либо серьезным последствиям, другие же, наоборот, служат серьезным предупреждением о глобальной угрозе. При этом некоторые из поступающих данных - "фальшиво положительные", т. е. по всем признакам представляют собой атаку, хотя на самом деле таковой не являются. При отслеживании событий в системе специалисты сопоставляют их, выясняя, есть ли похожие, а также изучают их взаимодействие друг с другом. Это позволяет понять, единая ли у них природа и из какого источникa они возникли. На основе связи между несколькими отдельными событиями аналитики выявляют те или иные тенденции в области безопасности. Естественно, что чем больше информации будут иметь в своем распоряжении специалисты, тем более точные и достоверные выводы они смогут сделать.

Пример данных, сгенерированных за один месяц у реального клиента Symantec

- Сетевой экран и система IDS выдали 9 481 688 записей событий в журналах регистрации и сигналов о подозрительной активности.

- Из них выделено 620 событий.

- После отсеивания маловажных фактов осталось 55 событий, которые требовали внимания клиента.

- Из этих 55 событий всего два действительно потребовали принятия срочных мер.

Сбор и анализ данных

Работа центра UK SOC, по словам Алана Осборна, старшего менеджера и руководителя инженерной группы EMEA, происходит следующим образом. Все записи событий и сигналы, выдаваемые разнообразными средствами безопасности, имеющимися у клиента, с помощью компактных удаленных агентов, встроенных в эти средства, передаются по каналу SSL во входные устройства SOC. Там с использованием архитектуры Symanteс SOC Technology Platform полученная информация проверяется, обрабатывается и вводится в реляционную базу данных, где хранятся записи регистрации событий и сигналы. Объем такой базы в UK SOC составляет около 50 Тб.

После этого начинается процесс добычи информации, в ходе которого применяется специальный механизм, реализованный в базе данных Symantec для каждого клиента и непрерывно считывающий нормализованные данные безопасности со скоростью несколько тысяч операций в минуту. Такой механизм позволяет обнаруживать случаи потенциально вредоносной деятельности и их характер. В настоящее время процесс добычи данных включает тысячи запросов по анализу трафика, выявлению аномальной деятельности и проверке сигнатур проникновения, а также сотни проверок состояния.

Установление корреляции событий, по мнению главного аналитика EMEA Джима Харта, представляет собой наиболее важную часть архитектуры Symanteс SOC Technology Platform. Полученные в ходе этого процесса новые подсобытия безопасности (т. е. отдельные признаки вредоносной деятельности) сортируются в таблицу подсобытий для дальнейшего анализа. Через регулярные интервалы времени механизм Event Correlation Engine по множеству параметров сравнивает отдельные подсобытия, и те из них, между которыми найдена связь, проверяются и исследуются аналитиками с помощью программы Analyst Response Console. На основании этой информации определяются характер угроз и степень серьезности каждого события.

Возможности по выявлению корреляции событий и их анализу Symantec называет "прогрессивной моделью угроз". Поскольку аналитики из SOC проверяют коррелируемые события безопасности, каждое из которых состоит из нескольких случаев вредоносной деятельности, то по мере обнаружения новых видов вредоносной деятельности они могут проанализировать эти атаки повторно.

    

Работа с клиентами

Как считает Алан Осборн, большую роль в противодействии возникающим угрозам играет личный контакт. Каждый клиент, заключив соглашение с UK SOC, получает доступ к службе MSS (Management Security Services), которая на основании собранных по всему миру сведений ведет постоянный мониторинг и оперативный анализ данных о безопасности. За счет этого обеспечивается быстрое реагирование на инциденты и тем самым удается сократить ущерб, наносимый корпоративным системам информационной безопасности, или вовсе избежать его. Служба MSS осуществляет круглосуточную техническую поддержку клиентов, используя три способа предупреждения их об угрозе. Во-первых, это автоматические уведомления, создаваемые путем преобразования текстовой информации в речевые сигналы. Они позволяют быстро, в пределах 15 мин, оповестить о возникающих угрозах всех пользователей, включенных в базу данных определенного клиента, а также передать сообщение об угрозе на все зарегистрированные точки контакта (point-of-contact, POC). Во-вторых, это уведомления, рассылаемые по электронной почте. Такие сообщения содержат ссылки на Web-портал, где имеется более подробная информация. И наконец, это публикация материалов на Web-портале. Там содержатся анализ возникающих угроз, выполненный службой Symantec Security Response, а также рекомендации по противодействию атакам.

Как показывает практика UK SOC, к услугам MSS клиенты обращаются в основном в течение первых трех месяцев после заключения договора с компанией Symantec. За это время они накапливают достаточный объем информации о событиях в области безопасности, который может использоваться в центре SOC для дальнейшего анализа. В результате в следующий период (от четырех до семи месяцев) количество критических угроз для одного клиента падает до 30% (если за 100% считать их объем в самом начале сотрудничества).

На настоящий момент UK SOC обслуживает около 6 тыс. устройств у 600 клиентов, представляющих очень широкий спектр отраслей. Самые крупные работают в нефтегазовой индустрии, много их и в финансовом секторе. Интересно отметить, что все имеющиеся сегодня у центра клиенты относятся к частному сектору. Что же касается государственных структур, то они только начинают проявлять интерес к обеспечению безопасности своих данных, и лишь небольшая часть из них ведет переговоры на предмет комплексных услуг MSS.

Особенно уязвимы, по мнению специалистов UK SOС, те системы, которые имеют наибольшее количество подключенных пользователей, а также кабельный Интернет - это как раз то, что в настоящее время сильно развито в Англии и США. Данные технологии так же быстро развиваются на Тайване, во Франции и Южной Корее. Сегодня одной из самых незащищенных стран является Китай, поскольку там, несмотря на широкое распространение Интернета, очень плохо обстоит дело с обновлениями ПО, при том что это страна, где весьма активно действуют хакеры.

Центр UK SOC под защитой надежных стен

Английский центр безопасности UK SOC находится примерно в часе езды из Лондона. Надо сказать, что если вы не знаете его точное местоположение, то легко проедете мимо, не обратив внимания на ничем не примечательный, поросший кустарником холм недалеко от дороги. Когда же вы свернете с автострады, вам, пожалуй, очень пригодятся познания и сноровка, которыми обладает Джеймс Бонд. Дело в том, что инструкция, которая должна помочь вам добраться до места, выдержана в стиле лучших традиций секретной службы Ее Величества. Так, один из ее пунктов гласит: "На углу у светофора рядом с почтой поверните налево. Езжайте по этой дороге примерно 180 м и справа увидите большое дерево, у которого надо повернуть направо на проселочную дорогу. Если вы вдруг доехали до старой водокачки, значит, вы пропустили нужное дерево и надо вернуться обратно".

Так выглядит “здание” лондонского центра SOC с автострады

Успешно справившись с этой задачей, вы доберетесь до небольшой автостоянки, располагающейся на вершине того самого холма, который можно было увидеть с автострады. Стоянка кажется практически пустой - на ней находится не более десятка машин. Вниз по склону идет узкая деревянная лестница, которая заканчивается перед массивной металлической дверью, ведущей внутрь холма. Ни вывески, ни какой-либо таблички с названием... Единственное, что указывает на то, что это место обитаемо, - кнопка звонка рядом с дверью и камера видеонаблюдения.

Главный вход в центр UK SOC

Оказавшись внутри, вы обнаруживаете, что находитесь в бункере, оставшемся со времен "холодной войны" и ранее использовавшемся в качестве резервуара для хранения воды на случай ядерного взрыва. Изначально этот стратегический объект принадлежал военному ведомству Великобритании, а затем перешел к гражданским владельцам. Около пяти лет назад в нем разместился UK SOC. К настоящему времени центр освоил только незначительную часть бункера, где прежде находились вспомогательные службы, а теперь располагаются сотрудники UK SOC. На остальной площади еще идут ремонтные работы. Интерьер реконструированных помещений ничем не отличается от обстановки в какой-либо другой современной ИТ-компании, за исключением только некоторых деталей, которые выдают их прошлое. Сохранились тяжелые, толщиной в несколько десятков сантиметров, двери между служебными блоками, заглушки, предназначавшиеся для выравнивания давления в случае ядерного взрыва, аварийный выход, очень напоминающий топку в деревенской печи, толстые вентиляционные трубы, проходящие повсюду, и многое другое. А в целом - работа кипит, как и везде.

    

Главные трудности

Одна из серьезных проблем, возникающих при решении задачи защиты от кибератак, состоит в том, что средства безопасности генерируют огромное количество сложных и трудных для управления данных. Так, один сетевой экран в интенсивно работающей сети может создавать 1000 Мб данных регистрации в час, что составляет 23,4 Гб в сутки, или 164 Гб в неделю. А одна система обнаружения атак IDS (Intrusion Detection System) может подавать 1500 сигналов в час (36 тыс. в сутки, или 252 тыс. в неделю). Поэтому чем крупнее организация и чем больше средств безопасности она использует, тем значительней объем информации, который приходится обрабатывать.

Примеры наиболее заметных компьютерных атак за последние годы

Середина 2001 г. Червь Code Red удваивал уровень заражения сетей каждые 37 мин.

Январь 2003 г. Интернет-червь удваивал уровень заражения уже каждые 8,5 с. При этом он заразил 90% незащищенных серверов по всей Сети всего за 10 мин.

Лето 2003 г. Эпидемия сетевого червя Blaster (другие названия - Lovsan, MSBlaster), использующего дыру в службе DCOM RPC. Примечательно, что угроза Blaster появилась всего через 27 дней после публикации корпорацией Microsoft сообщения о соответствующей уязвимости. Это явилось самым коротким периодом между объявлением об известной уязвимости и реализацией соответствующей угрозы за всю историю. В будущем, по мере дальнейшего сокращения такого периода, производителям антивирусных средств будет все труднее своевременно разрабатывать механизмы защиты.

Осень 2004 г. Появление новой модификации червя Mydoom, который заразил системы электронной почты, распространившись по всему миру. В момент своей максимальной активности этот червь содержался в каждой двенадцатой системе в Интернете.

Осень 2005 г. Зафиксирована эпидемия червя Zotob, распространявшегося через брешь в ПО Microsoft. Это стало одной из самых сильных и успешных хакерских атак. Особенность червя Zotob заключается в его способности поражать практически любое устройство.

Другая проблема обеспечения безопасности связана с непредсказуемостью частоты и конечного эффекта инцидентов и атак. Это создает неравномерность в работе по обеспечению безопасности, так как объем требуемых ресурсов и знаний, а также сроков их задействования постоянно меняется. Поэтому для сохранения эффективного уровня защиты необходимо осуществлять надлежащее управление как в течение пиков, так и во время спадов подобных инцидентов и атак. Обычно штат организаций рассчитан на определенный базовый уровень деятельности, так что во время авралов, связанных с безопасностью, численность специалистов в этой области становится недостаточной и часть ресурсов бросают на борьбу с угрозами. Особую сложность представляют смешанные угрозы, имеющие множество средств распространения, возможно, через многие типы устройств. В таких случаях рост интенсивности атак может начаться с одного уровня, а затем проходить несколько стадий в период расширения. Все это приводит к незапланированным расходам и значительно снижает скорость реагирования на инциденты.

Средства раннего предупреждения

Алан Осборн рассказал, что для защиты информационных ресурсов клиентов UK SOC использует два основных средства раннего предупреждения Symantec: службу DeepSight Alert Services и систему DeepSight Threat Management System.

Первое из них обеспечивает своевременную, заблаговременную рассылку предупреждений о надвигающихся атаках, производит полный и надежный анализ угроз и оценку риска, поддерживающих процесс принятия решений. Помимо этого служба DeepSight Alert Services предлагает действенные контрмеры по отражению атак, которые помогают администраторам укрепить уязвимые места и заблаговременно защитить корпоративные системы от вредоносного кода еще до попытки нанесения ущерба.

Следует отметить, что полная персонификация этой службы дает клиентам возможность получать только те оповещения, которые значимы для их компаний. Способы доставки оповещений включают электронную почту, факс, SMS и телефон; допускается также выбор степени подробности оповещения. Таким образом обеспечиваются беспрепятственный доступ к информации и ускоренная доставка данных о потенциальной атаке.

Второе средство, DeepSight Threat Management System, осуществляет глобальное слежение за угрозами в области интернет-безопасности, обеспечивая раннее предупреждение об атаках. Функции настройки уведомлений и наличие инструментов экспертного анализа в системе помогает компаниям определять очередность использования ИТ-ресурсов, улучшая тем самым защиту важнейших информационных активов от атак. А благодаря автоматической передаче уведомлений с заданными приоритетами система позволяет классифицировать данные по времени, странам, отраслям и другим критериям.

Поддержку обоих средств осуществляет Symantec Security Response - организация, занимающаяся исследованиями и обслуживанием пользователей в сфере интернет-безопасности.