Централизованное управление как рубеж обороны против АЕТ

Основные причины

Во-первых, усложнилась сетевая инфраструктура организаций: среднее предприятие развертывает десятки сетевых экранов, систем обнаружения и предотвращения вторжений, SSL VPN-шлюзов и других физических и виртуальных сетевых устройств.

В большинстве случаев это устройства разных производителей. Это означает, что каждое устройство (или набор устройств одного производителя) должно управляться с отдельной консоли. При этом любое действие по настройке и обновлению вручную, кроме затрат по времени, может стать причиной ошибки. По подсчетам известного аналитического агентства Gartner, более 99% всех уязвимостей систем информационной безопасности вызваны именно неправильными настройками средств защиты.

Во-вторых, никогда не был столь востребованным спрос на быстрое реагирование. Правда в том, что хакеры и киберпреступники всегда находятся на шаг впереди систем безопасности. Если происходит сетевая атака, администратор должен иметь возможность немедленно обнаружить, блокировать и устранить последствия атаки при минимальном ущербе для сети и ее активов. Без централизованного управления сетевыми устройствами невозможно осуществлять их мониторинг и обновление.

Централизованное управление

Важной, если не критичной, линией обороны от многих угроз является централизованное управление. Например, для эффективного противодействия АЕТ, которые позволяют злоумышленнику доставить до целевой системы вредоносный контент (вирус или эксплойт), не будучи обнаруженными межсетевыми экранами и системами предотвращения вторжений (IPS), нет "пуленепробиваемого" решения. Для защиты от них система сетевой защиты должна постоянно обновляться, чтобы идти "в ногу" с угрозами. Это гонка на время – знание ситуации, детальный анализ методов нападения и понимание того, как были проведены эксплойты, играют ключевую роль.

На сегодняшний день, к сожалению, нет 100%-ной, абсолютной защиты против AET. Компания Stonesoft как вендор, занимающийся этими вопросами больше и дольше всех, в своих решениях предлагает защиту от обнаруженных динамических техник обхода, теоретическое число которых только на текущий момент оценивается как 2 в 128-й степени. Только чтобы проверить все эти комбинации, потребуется несколько лет!

Защита от динамических техник обхода

Теперь, зная о существовании AET, можно объяснить ранее непонятные случаи вторжений: специалисты не смогли их расследовать – не нашли следов. Необходимо подчеркнуть, что разница в уровне обнаружения техник обхода и защиты сетей, предоставляемых различными поставщиками систем безопасности, огромна. Для клиентов это только вопрос управления рисками и вопрос принятия решения, насколько допустим для их информационных систем низкий уровень защиты. Вендоры, утверждающие о 100%-ной защите своих систем безопасности от динамических техник обхода, вероятно, не понимают, о чем они говорят, или намеренно вводят своих клиентов в заблуждение. Сообществом информационной безопасности данная угроза упорно замалчивается, поскольку с большой долей вероятности можно сказать, что уровень защиты большинства современных средств защиты против AET равен нулю. На сегодняшний день только технологии Stonesoft помогают справляться с этими угрозами.

Таким образом, единственный выход – быть готовыми немедленно и эффективно реагировать. Это означает возможность централизованного контроля всех сетевых устройств, вне зависимости от поставщика или типа устройства. При подозрительной активности администраторы должны быть в состоянии точно определить атаку, восстановить и быстро обновить и сконфигурировать настройки сетевых устройств с минимальным ущербом для своих информационных систем. Одна централизованная консоль управления и мониторинга всей сетевой инфраструктуры позволит администраторам не только контролировать, но и тестировать и создавать типовыые конфигурации перед из одного центра.

Как в медицине, когда нет никакого доступного средства лечения, лучший выход из положения – лечение симптомов. Пока не существует 100%-ного "лечения" от AET, централизованное управление является обязательным для обеспечения "обороны" сетей и критически важных информационных активов.