Защита банковских сетей - безопасность как часть репутации

Многочисленные попытки взломов порталов нескольких крупных российских финансовых и банковских структур заставили общественность по-новому взглянуть на тему "сетевая безопасность". Задача защиты сетей стала связываться не только с предотвращением финансового ущерба или обеспечением конфиденциальности информации, но и с таким понятием как репутация банка. Попытаемся рассмотреть в рамках этой статьи, какие угрозы несут в себе сетевые атаки для современной российской компании и какие шаги можно предпринять для того, чтобы эффективно им противостоять.

Без надлежащей защиты любая часть любой сети может быть подвержена атакам или несанкционированной деятельности. Профессиональные хакеры, конкуренты или даже сами сотрудники компании могут нарушать работу маршрутизаторов, коммутаторов и хостов. По оценкам Института компьютерной безопасности (CSI) в Сан-Франциско, от 60 до 80% неправомерной сетевой активности исходит от самих предприятий. Чтобы определить наиболее оптимальные способы защиты от атак, менеджеры по информационным технологиям должны иметь представление о различных типах атак, которые могут вестись, и о тех последствиях, которые они могут нанести. К наиболее распространенным типам атак относится атаки типа "отказ в обслуживании" (Denial of Service - DoS), парольные атаки и атаки получения административного доступа.

Атаки типа "отказ в обслуживании" особенно опасны, поскольку (хотя они и не предоставляют нарушителю доступа к конкретным данным) они "связывают" ресурсы информационных систем и не дают пользователям получать доступ к приложениям. Обычно такие атаки устраиваются хакерами путем отправки больших объемов беспорядочных или прочих неуправляемых данных на машины, подключенные к корпоративным сетям или интернету. Еще более опасными являются распределенные атаки "отказ в обслуживании" (Distributed Denial of Service - DDoS), когда атака ведется с нескольких машин или хостов. По данным "Обзора компьютерной преступности и безопасности" за 2001 год, составленного Институтом компьютерной безопасности (CSI) и ФБР, 38% респондентов обнаруживали DoS, в то время как в 2000 году таких респондентов было лишь 11%.

Парольные атаки - наиболее распространенный вид атак, при которых нарушитель получает несанкционированный доступ к сетевым паролям, чтобы получить конфиденциальную информацию. Раскрыв пароль пользователя, хакер получает доступ к сетевым ресурсам данного пользователя и имеет в своем распоряжении мощную платформу для получения доступа к остальной сети.

Для получения доступа к паролям хакеры также используют методы социального инжиниринга. Социальный инжиниринг - это все более популярный способ получения конфиденциальной информации о защите сетей с помощью нетехнических средств, например, когда нарушитель выдает себя за представителя службы технической поддержки и непосредственно обзванивает сотрудников с целью получения информации о паролях.

С ранних дней развития интернета, когда в сети находились лишь серверы электронной почты, главной целью хакера было получить корневой доступ к хосту UNIX, на котором работали приложения. Имея корневой доступ, хакер обладал полным контролем над системой и получал достаточно информации для того, чтобы иметь доступ к корпоративной сети и сетям партнеров. С появлением хостов приложений электронного бизнеса у хакеров целей для атак стало еще больше. Часто хакеры используют уязвимые с точки зрения безопасности места или дыры в операционных системах или приложениях этих хостов, которые не успели защитить системные администраторы. Используя переполнение буферы, "троянских коней" и прочие распространенные методы, хакеры получают контроль за хостами, которые могут использоваться в качестве платформ для организации дальнейших атак.

Цель сетевой безопасности заключается в защите сетей и их приложений от атак, обеспечении доступности, конфиденциальности и целостности информации. Не все сети и сопутствующие приложения несут одинаковые риски компании с точки зрения атак, поэтому при разработке архитектуры сетевой безопасности каждая компания должна проанализировать, как инвестиции в различные технологии и компоненты сетевой защиты скажутся на эффективности ее деятельности.

Политика безопасности

Стратегически выверенная политика безопасности является основой для реализации комплекса мер по сетевой защите в компании. Политика безопасности - это официальный документ, разработанный при активном участии руководства компании и включающий правила, обязательные для выполнения сотрудниками, имеющими доступ к корпоративному ресурсу. Этот документ зачастую включает в себя политику аутентификации, определяющую уровни паролей и права для каждого типа пользователей (корпоративные, удаленные, виртуальные частные сети, администраторы и т.д.). Поскольку требования бизнеса и технологии безопасности постоянно развиваются, политика безопасности также должна быть динамичным, регулярно обновляемым документом.

Архитектура безопасности

Архитектура безопасности разрабатывается совместно группой проектирования сети и группой безопасности информационных технологий. Обычно она интегрирована в существующую сеть предприятия и определяется набором услуг в области информационных технологий, предлагаемых через сетевую инфраструктуру. Требования каждой услуги в области информационных технологий к доступу и безопасности должны определяться до деления сети на модули с четко определенными уровнями доверия. Каждый модуль должен рассматриваться отдельно и иметь собственную модель безопасности. Цель такого деления заключается в том, чтобы иметь такие уровни безопасности, при которых доступ нарушителя был ограничен лишь определенной частью сети. Кроме того, архитектура должна определять общие службы безопасности, которые должны внедряться в сети. Обычно эти службы включают:

• Аутентификацию, авторизацию и учет (ААА);
• Конфиденциальность, обеспечиваемую виртуальными частными сетями (VPN);
• Доступ (модель доверия);
• Мониторинг безопасности с использованием систем обнаружения вторжений (IDS).

После принятия ключевых решений архитектура безопасности должна развертываться поэтапно, начиная от самых критичных областей.

Структура сетевой безопасности требует от корпорации определения уровня инвестиций на внедрение и общие издержки сетевых атак. При определении адекватного потребностям компании уровня сетевой защиты необходимо учитывать следующие пять компонентов сетевой безопасности:

Идентичность

Идентичность - это точная и позитивная идентификация сетевых пользователей, хостов, приложений, служб и ресурсов. Механизмы идентичности важны, поскольку они обеспечивают получение авторизованными пользователями доступа к нужным им вычислительным ресурсам предприятия, в то время как неавторизованные пользователи получают отказ в доступе. Например, сети Cisco Systems используют возможности ААА сервера Cisco Secure Access Control Server (ACS), обеспечивающего базу для аутентификации пользователей, определения привилегий доступа и ведения журналов учета.

Безопасность сетевого периметра

Решения в области безопасности периметра управляют доступом к критичным сетевым приложениям, данным и службам таким образом, что только авторизованные пользователи и информация могут передвигаться по сети. Управление доступом осуществляется маршрутизаторами и коммутаторами со списками контроля доступа (ACL) и выделенными межсетевыми экранами. Межсетевой экран ставит барьер, не позволяющий трафику выходить за "периметр" сети, и разрешает проход лишь авторизованному трафику в соответствии с политикой безопасности. Контролировать периметр сети также помогают и дополнительные средства, включая сканеры вирусов и фильтры содержания. Межсетевые экраны обычно становятся первыми средствами защиты, устанавливаемыми организациями для совершенствования процедур безопасности. Хорошо зарекомендовали себя на рынке межсетевые экраны компании Cisco: Cisco PIX(r) Firewall является наиболее распространенным межсетевым экраном, предоставляющим сетевым клиентам всех уровней беспрецедентную надежность, масштабируемость и функциональность; Cisco IOS(r) Firewall обеспечивает встроенные возможности межсетевого экрана в инфраструктурах маршрутизации и коммутации.

Безопасность сетевых соединений

Конфиденциальность информации, защита ее от прослушивания или помех при передаче данных может быть эффективно обеспечена посредством виртуальных частных сетей (VPN). Они позволяют установить конфиденциальную защищенную связь в открытой сети, которой обычно является интернет, и расширять границы корпоративных сетей до удаленных офисов, мобильных пользователей, домашних пользователей и партнеров по бизнесу. Технология шифрования устраняет возможность перехвата сообщений, передаваемых по виртуальной частной сети, или их прочтения лицами, отличными от авторизованных получателей, за счет применения передовых математических алгоритмов шифрования сообщений и приложений к ним. Концентраторы серии Cisco VPN 3000 многими признаются лучшим в своей категории решением удаленного доступа по виртуальным частным сетям. Концентраторы Cisco VPN 3000, обладающие самыми передовыми возможностями с высокой надежностью и уникальной, целенаправленной архитектурой. Позволяют корпорациям создавать инфраструктуры высокопроизводительных, наращиваемых и мощных виртуальных частных сетей для поддержки ответственных приложений удаленного доступа. Идеальным орудием создания виртуальных частных сетей от одного сетевого объекта к другому служат маршрутизаторы Cisco, оптимизированные для построения виртуальных частных сетей, к которым относятся маршрутизаторы Cisco 800, 1700, 2600, 3600, 7100 и 7200.

Мониторинг безопасности

Чтобы обеспечить постоянную безопасность своих сетей, компании должны вести непрерывный мониторинг атак и регулярно тестировать инфраструктуры безопасности. Сканеры уязвимости сетей могут в упреждающем порядке находить слабые места, а системы обнаружения вторжений могут вести контроль и реагировать на подозрительные признаки по мере их возникновения.

Системы обнаружения вторжений и сканеры уязвимости создают дополнительный уровень сетевой безопасности. Хотя межсетевые экраны пропускают или задерживают трафик в зависимости от источника, точки назначения, порта или прочих критериев, они фактически не анализируют трафик на атаки и не ведут поиск уязвимых мест в системе. Кроме того, межсетевые экраны обычно не борются с внутренними угрозами, исходящими от "своих". Система обнаружения вторжений Cisco Intrusion Detection System (IDS) может защитить сеть по периметру, сети взаимодействия с бизнес-партнерами и все более уязвимые внутренние сети в режиме реального времени. Система использует агенты, представляющие собой высокопроизводительные сетевые устройства, для анализа отдельных пакетов с целью обнаружения подозрительной активности. Если в потоке данных в сети проявляется несанкционированная активность или сетевая атака, агенты могут обнаружить нарушение в реальном времени, послать сигналы тревоги администратору и заблокировать доступ нарушителя в сеть. Помимо сетевых средств обнаружения вторжений компания Cisco также предлагает серверные системы обнаружения вторжений, обеспечивающие эффективную защиту конкретных серверов в сети пользователя, в первую очередь серверов WEB и электронной коммерции. Cisco Secure Scanner представляет собой программный сканер промышленного уровня, позволяющий администратору выявлять и устранять уязвимости в сетевой безопасности прежде чем их найдут хакеры.

Управление политикой безопасности

По мере роста и усложнения сетей первостепенное значение приобретает требование наличия централизованных средств управления политикой безопасности, которые могли бы управлять элементами безопасности. Интеллектуальные средства, которые могут обозначать состояние политики безопасности, управлять ею и выполнять аудит, повышают практичность и эффективность решений в области сетевой безопасности. Решения Cisco в этой области предполагают стратегический подход к управлению безопасностью. Cisco Secure Policy Manager (CSPM) поддерживает элементы безопасности Cisco в корпоративных сетях, обеспечивая комплексную и последовательную реализацию политики безопасности. С помощью CSPM клиенты могут определять соответствующую политику безопасности, внедрять ее в действие и проверять принципы безопасности в работе сотен межсетевых экранов Cisco Secure PIX и Cisco IOS Firewall Feature Set и агентов IDS. CSPM также поддерживает стандарт IPsec для построения виртуальных частных сетей VPN. Кроме того, CSPM является составной частью широко распространенной корпоративной системы управления CiscoWorks2000/VMS.

Комплексное решение Cisco по обеспечению безопасности корпоративных сетей - архитектура Cisco SAFE

SAFE - комплексная, интегрированная архитектура безопасности, разработанная для архитектуры голосовой связи, видео и интегрированных данных Cisco AVVID. Архитектура SAFE состоит из модулей, удовлетворяющих различные потребности каждой сетевой области. Используя архитектуру SAFE, менеджеры по безопасности могут не думать о перепланировке всей архитектуры безопасности каждый раз, когда к сети добавляется новая служба. Благодаря модульным шаблонам защита каждой новой службы по мере возникновения необходимости в ней и ее интеграция в общую архитектуру сети становятся проще и экономичнее.

SAFE - первая в индустрии архитектура, содержащая рекомендации в отношении того, какие именно решения безопасности должны включаться в определенные сегменты сети и почему они должны быть включены. Каждый модуль архитектуры SAFE обеспечивает максимальную эффективность электронного бизнеса, позволяя предприятиям поддерживать безопасность и целостность данных и сервисов.

Программы SAFE включают:

• Партнеров по службам безопасности Cisco, обладающих опытом в переводе требований бизнеса на язык рабочих принципов безопасности;
• Программы сертификации Cisco для технологии и продуктов безопасности, чтобы партнеры Cisco могли планировать, проектировать и внедрять архитектуры безопасности для своих клиентов;
• Спектр опций безопасности от комплексных услуг внешних организаций до консультационных услуг по разработке плана операций и выполнению регулярных оценок статуса безопасности (SPA).

Более подробную информацию о SAFE см. на сайте http://www.cisco.com/go/safe

Более подробную информацию о сетевой безопасности см. на сайте http://www.cisco.com/go/security

Copyright Cisco Systems Inc.

Вернуться на главную страницу обзора