Стратегия защиты корпоративной сети в трех измерениях

Стратегия защиты корпоративной сети в трех измерениях

Стратегия защиты корпоративных сетей

При проектировании системы защиты крупной корпоративной сети от вредоносного кода и прочих угроз всегда возникают следующие вопросы:

• охвачены ли все точки проникновения угроз?
• учтены ли все аспекты защиты?

На эти вопросы дает ответ концепция, разработанная компанией Trend Micro "Enterprise Protection Strategy" ("Стратегия защиты корпоративных сетей"). Эта концепция предлагает рассматривать систему защиты в трех измерениях. Первое - это точки применения средств защиты. Второе - сетевой уровень технологии. Третье - время, которое определяет этап жизненного цикла борьбы с угрозой. Под угрозами будем понимать весь спектр современных Интернет-угроз, то есть это не только традиционные вирусы, троянцы и черви, но и рут-киты, боты, вредоносный мобильный код, спам, фишинг, вредоносные сайты и т.п. Кроме того, важно учитывать борьбу с еще неизвестными угрозами известных видов.

Защита всех точек

Сегодня, кроме традиционных точек проникновения, таких как почта и рабочие станции, пользователям необходимо учитывать защиту web-порталов, портативных устройств и web-шлюза. Разумеется, совсем не обязательно пытаться реализовать защиту от всех видов угроз в каждой точке. Так, защиту от спама и фишинга удачнее всего реализовывать на уровне Интернет-шлюза, а не внедрять персональный антиспам на каждой рабочей станции.

Второе измерение в концепции - сетевой уровень - предполагает, что недостаточно внедрять продукты, работающие на прикладном (антивирусы) и сетевом уровнях (межсетевые экраны, IDS/IPS) по отдельности. Есть много возможностей интеграции между ними, которые позволяют существенно повысить уровень защиты. Приведем несколько примеров такой интеграции.

Интеграция между прикладным и сетевым уровнями

Начнем непосредственно с сетевых угроз. В межсетевом экране Trend Micro OfficeScan используются специальные обновления, которые позволяют блокировать сетевых червей на сетевом уровне. Разумеется, что на уровне шлюза также необходимо использовать систему IDS.

Есть и другой пример блокировки угроз непосредственно на сетевом уровне - репутацион-ный сервис. В этой технологии каждый посещаемый пользователем сайт проверяется по базе репутации, которая хранит историю всех Интернет-доменов и, исходя из "поведения" домена, разрешает или блокирует доступ к ресурсу. Такой подход эффективнее, чем традиционная категоризация, так как позволяет блокировать доступ к только что появившимся вредоносным сайтам и взлом браузера пользователя при посещении легитимного, но взломанного сайта.

Именно на сетевом уровне можно выявлять источник заражения в сети для адресной очистки. Например, можно интегрировать Trend Micro InterScan Web Security Suite или InterScan Web Securiry Applicance с Damage Cleanup Service и запускать процесс очистки на том компьютере, который попытается отправить в Интернет информацию, накопленную программой-шпионом. Также на сетевом уровне реализуются системы принудительного применения политик, но об это ниже.

Третье измерение

Третье измерение в стратегии защиты корпоративных сетей состоит из четырех этапов: контроль, принуждение, предотвращение и восстановление (см. рисунок).

Первый этап - это контроль за потенциальными угрозами. Например, определение узлов без критичных заплат. Второй этап -это принуждение пользователей к соблюдению политик безопасности. Здесь можно в качестве простого примера привести блокировки потенциально опасных файлов в почте. Более серьезный пример - принудительное применение политик, которое реализуется при помощи технологии Cisco NAC или Microsoft NAP в грядущей версии Microsoft Windows Server 2008.

Третий этап - предотвращение распространения угрозы. Этот этап включает в себя как блокировку известных угроз при помощи сигнатурного анализа, так и блокировку неизвестных угроз с использованием эвристических механизмов и репута-ционных сервисов.

Последний этап - восстановление. Это очистка пораженных узлов в случае, если угроза реализовалась на какой-либо части узлов. Очень важна максимальная автоматизация этого процесса, так как именно эта часть наиболее затратная. Примером такой автоматизации может служить Trend Micro InterScan Web Security Suite и Damage Cleanup Server, описанный выше. Если рабочие станции в сети защищены при помощи Trend Micro OfficeScan, то подобная интеграция не требуется, так как Damage Cleanup Service уже встроен в клиентскую часть OfficeScan, что полностью автоматизирует очистку.

Очень важно, что все компоненты стратегии защиты корпоративных сетей управляются из единого центра - Trend Micro Control Manager. Такой подход к реализации стратегии позволяет минимизировать затраты на администрирование системой безопасности.