Востребованные решения по защите ИТ-инфраструктуры

Защита ИТ-инфраструктуры должна осуществляться на различных уровнях, начиная с защиты от DDoS-атак и заканчивая защитой конечных точек, т.е. компьютеров пользователей. Мы не будем останавливаться подробно на всех из них, расскажем лишь о наиболее востребованных классах подсистем, их плюсах и минусах, вариантах использования для обеспечения наиболее эффективной защиты периметра.

"Нет" DDoS-атакам

В случае DDoS компания сама определяет, насколько это критично для бизнеса. Бывают заказчики, которые не видят критичности в недоступности их сайта в течение часа или даже дня. Для других, наоборот, доступность крайне важна.

Рассматривая данную защиту с технологической точки зрения, отмечают три базовых варианта, на основе которых можно создавать гибридное эшелонирование.

Первый – использование защищенных от DDoS каналов провайдера. В этом случае функцию защиты полностью берет на себя провайдер. Плюсы данной схемы очевидны – только на этом уровне могут быть качественно нивелированы объемные атаки и атаки, направленные на заполнение каналов. Из минусов – стоимость и SLA на данный вид услуг диктует сам провайдер, исходя из стандартных показателей.

Второй – использование оборудования для защиты от DDoS на своей площадке. Здесь плюсом является полная видимость трафика, возможность отслеживать, откуда идет атака, как она развивается, какие сервисы атакуются, и т.д., т.е. возможность гранулярно подстраивать фильтры, противомеры и т.д. Из минусов – как бы вы ни защищались, атаки, направленные на исчерпание канала, все равно будут проходить, а канал будет забиваться.

Третий – использование специализированных сервисов. Компаний, предоставляющих эти сервисы, становится все больше, есть из чего выбрать. Но существует нюанс, который следует учитывать: есть те, кто на постоянной основе пропускает через себя трафик, а есть те, кто переключается только тогда, когда начинается атака на инфраструктуру заказчика.

Вполне возможен и гибридный вариант защиты: использование специализированного оборудования на своей площадке с одновременным задействованием сервисов провайдера. Иными словами: пока компания может отбивать атаку своими силами, она делает это самостоятельно с помощью специализированных средств; как только видит, что утилизация канала превышает пороговое значение, например 80%, то в автоматическом режиме сигнализирует об этом своему провайдеру, чтобы в работу включался его центр фильтрации. И дальнейшее отражение происходит уже совместно. В этом случае организация может эффективно противодействовать атакам на приложения, поскольку знает свои приложения лучше и может оперативно подстраивать противомеры. Но при этом на уровне провайдера имеет возможность отбивать те элементы атаки, которые настроены на исчерпание каналов.

Скажите WAF

Защита Web-приложений с помощью Web Application Firewall (WAF) – для определенного рода компаний вещь необходимая. Часто заказчики задают вопрос: "Зачем нам WAF, у нас же есть IPS?". И здесь ответ один – IPS никак не решает задачу WAF. Да, это необходимый элемент защиты, но WAF – это специализированное решение, которое направлено именно на защиту Web-приложений. Оно стоит ПЕРЕД Web-приложением, знает его структуру, все типы запросов и ответов, которые разрешены или запрещены. И с IPS его роднит только то, что в обоих есть встроенный "движок", который по сигнатурам выявляет определенный класс атак на приложение.

Если говорить об использовании WAF, то на сегодняшний день существует возможность как приобрести это решение и эксплуатировать самостоятельно, так и использовать его по сервисной модели. Но при выборе одного из двух вариантов организации защиты WAF стоит учесть такой момент. Если оборудование стоит непосредственно у вас в виде виртуального или аппаратного решения, то трафик в зашифрованном виде доходит до вашего сайта и дальше вами же и расшифровывается. В случае же использования облачной услуги расшифровкой трафика занимается третья компания или же не расшифровывает его совсем, тем самым пропуская атаки внутри SSL.

WAF требует постоянного присутствия. Этот класс решений должен существовать в непрерывном цикле разработки и защиты приложений. То есть в то время, как разработчики выпускают новый патч, тестируют его, выпускают релиз, вы должны быть к нему уже готовы – у вас должны быть изменены политики безопасности, чтобы пробел между выпуском и началом защиты новой версии был минимальным.

Здесь хорошо зарекомендовало себя использование так называемой отдельной лабораторной инсталляции WAF, которая применяется в тестовой среде. Это позволяет уже на этапе тестирования нового релиза формировать новые политики безопасности, тем самым сводя время переобучения WAF практически к нулю. Такой непрерывный цикл защиты позволяет говорить о методологии DevSec (Development & Security) по аналогии с DevOps (Development & Operations) (рис. 1).

Песочница не для игр

В браузере и почте мы проводим 90% рабочего времени. Поэтому это самые распространенные каналы атак на компанию.

Достаточно долго традиционные антивирусы, установленные на Web- и E-mail-шлюзах, рабочих станциях, могли эффективно противодействовать вирусам. Но в связи с изменением технологий атак их уже недостаточно. Вместе с ними единственным эффективным решением, способным защитить от проникновения вирусов, а в ряде случаев даже предотвратить атаки, являются так называемые песочницы. Файлы, скачанные через Интернет или полученные по почте, анализируются в песочнице путем амуляции их запуска на рабочих станциях сотрудников с целью выявления вредоносной составляющей (рис. 2).

Многие производители в свою линейку продуктов уже добавили эти продукты. Есть даже платформонезависимые решения, работающие с любыми сторонними шлюзами. А заказчики все активнее смотрят в сторону приобретения подобного рода решений. Некоторые даже имеют четкое указание от владельцев бизнеса о выборе и реализации их в компании.

Комфортно и безопасно

В крупных компаниях, где число сетевых устройств может равняться сотням (межсетевые экраны, коммутаторы и маршрутизаторы), защищать периметр становится все сложнее. При этом зачастую встает вопрос, как контролировать то, насколько корректно предоставлен доступ и какие правила и политики настроены для сетевого доступа?

Приведу яркий пример: администратор получает заявку на предоставление доступа, открывает консоль и, недолго думая, пишет новое правило. В 9 случаях из 10 он не будет анализировать, не противоречит ли это правило какому-то другому или не был ли дан доступ ранее. Разбираться в сотнях и тысячах правил – неблагодарный труд.

Чтобы облегчить себе жизнь, рекомендую присмотреться к решениям класса Firewall Management. Из названия может сложиться впечатление, что это лишь универсальная система управления, но это не так. Это средство мониторинга, управления и администрирования, причем полезное как ИТ-, так и ИБ-службам. ИТ-службе оно позволяет осуществлять сбор информации о всех активных сетевых устройствах, понимать, как они сконфигурированы, строить интерактивную карту сети. Помимо этого, оно дает возможность автоматизированной оптимизации правил и поиска затененных правил. А учитывая, что то, как должны быть настроены политики с точки зрения безопасности, определяет ИБ-служба, Firewall Management становится для ИБ инструментом контроля над ИТ-службой, т.е., другими словами, Firewall Management ИБ-службе позволяет видеть, как выполняются политики, а ИТ-службе предоставляет инструмент для понимания, какие доступы открыты и какие надо или не надо открывать (рис. 3).

Подводя итог вышесказанному, отметим, что при выборе средств защиты периметра всегда стоит отталкиваться от специфики бизнеса, принимать во внимание особенности инфраструктуры и общую направленность ИТ-политики компании, а при рассмотрении вариантов построения защиты – ориентироваться на актуальный сценарий.