Сторонние средства обеспечения безопасности
Службы мониторинга веб-сайта
Многие компании для анализа безопасности прибегают к услугам таких компаний, как Counterpane Internet Security (http://www.counterpane.com). Преимущество привлечения сторонних компаний заключается в том, что вы получаете возможность общения с высококвалифицированными специалистами в области безопасности. Этот подход решает проблему дороговизны или нехватки сотрудников, так как позволяет уменьшить уровень знаний, необходимый персоналу вашего отдела безопасности. Аналогичными компаниями являются Loudcloud (http://www.loudcloud.com) и Cyber Attack Management Services (http://www.exodus.co.jp/managed_services/index_e.shtml); они обеспечивают узловое обнаружение вторжений и реагирование на атаки.
Важной частью договора с такой компанией будет соглашение об уровне предоставляемых услуг, поэтому определите для себя четкие требования, чтобы предоставляемые компанией услуги не были слишком "размытыми". В соглашении рекомендуется указать следующие пункты:
- служба 24/7;
- время ответов;
- отчеты о клиентах;
- уменьшение времени работы из-за изменения в политике;
- денежные штрафы за плохую производительность.
Многие широко известные веб-сайты привлекают так называемые "красные отряды" для проведения атак на систему с целью обнаружения уязвимых мест. Моделирование взлома представляет собой контролируемую симуляцию атаки против сети, направленную на достижение определенной цели. Целью может быть нахождение информации на серверах клиента, определение возможности нарушения на длительное время операций клиентов или изменения содержимого веб-сайта. Пробелы в безопасности после этого могут быть устранены, чтобы реальное подобное нападение не повлекло за собой серьезных последствий. Еще одним преимуществом симуляции атаки является то, что она является обучающей процедурой, максимально приближенной к реальным условиям, с помощью которой сотрудники отдела безопасности учатся противостоять атакам.
Сетевые документаторы
Задача по документированию веб-сервера является необходимой, но часто игнорируемой процедурой. Хорошо документируемая система значительно экономит время, когда речь идет об отслеживании проблемы, представляющей собой возможное слабое место системы, или восстановлении после атаки.
Документирование помогает при принятии решения о необходимости обновления или замены, т.е. операций, влияющих на общее состояние сервера. Каждый администратор IIS предпочитает работать с хорошо документированной системой, в которой вся относящаяся к делу информация сохраняется в одном структурированном документе, и не любит заниматься рутинной работой по сбору информации и документированию сервера, являющегося частью большой сети. Выполнение этой задачи вручную отнимает много ресурсов и времени, представляет собой "неблагодарную" работу.
При установке нового сервера IIS рекомендуется выполнить его каталогизацию при включении в работу, что сделает процесс документирования менее сложным и позволит создать грамотно составленный, подробный и эффективный отчет. Однако при документировании имеющегося сервера или сети, возможно, единственным способом создания стоящего документа является привлечение службы сетевой документации, которая выполнит все необходимые операции за соответствующую плату.
Утверждение сторонних программных продуктов
При заключении контракта с внешними разработчиками на построение или отслеживание интранет-сети (или веб-сайта), при использовании готовых библиотек DLL интерфейса программирования ISAPI нельзя быть уверенным в безопасности сторонних исполняемых компонентов. Например, библиотека ISAPI DLL может повысить свои привилегии и права доступа до уровня встроенной в систему учетной записи SYSTEM посредством вызова функции API с именем RevertToSelf(). Проверяйте каждый запускаемый исполняемый модуль с помощью средств анализа, которые выявят все включенные в компонент вызовы функций. Одной из таких программ является утилита Microsoft Binary File Dumper (DumpBin.exe), которая входит в состав средства разработки Windows Visual C++. Для проверки вызова файлом UntrustedISAPI.DLL функции RevertToSelf() используйте следующий синтаксис:
dumpbin /imports UntrustedISAPI.DLL | find "RevertToSelf"
Если на экран не будет выведено никаких результатов, это значит, что библиотека UntrustedISAPI.DLL не вызывает функцию RevertToSelf() напрямую. Она может вызывать API через LoadLibrary(), поэтому нужно осуществить поиск и этой функции.
Обнаружение, документирование и диаграммы
Взвесьте временные и денежные ресурсы, которые понадобятся для составления хороших отчетов, относительно цены установки и запуска специализированной программы. Если изменения в сети происходят редко, рекомендуем выделить время для выполнения всех действия вручную; при большой, постоянно изменяющейся сети такой вариант не подходит.
Программа Configuration Reporter, доступная на сайте Ecora по адресу http://www.ecora.com, решает проблему документирования сетей. Эта программа обладает высокой скоростью работы, основывается на веб-браузере и обеспечивает сбор информации о сети, например, данных о конфигурации оборудования, настройках стека протоколов TCP/IP и файлах общего доступа. В дополнение к этому программа сортирует, сохраняет и представляет информацию в форматах HTML, Microsoft Word или Portable Document File (PDF). Она отображает отчеты в сжатом и расширенном виде. Сжатое представление включает в себя информацию о сетевых устройствах, такую как IP-адреса и число объединенных в сеть CPU, а расширенный формат содержит сведения о параметрах сервера с объяснением того, как тот или иной параметр может представлять собой пробел в системе безопасности. Отчеты могут быть не столь детализованными, как вам бы хотелось; кроме того, цена резко возрастает с увеличением числа серверов. Тем не менее, данная программа осуществляет более эффективное документирование систем Windows NT и Windows 2000, нежели уставший и измученный администратор.
Выбор оптимального решения по соотношению цена/качество
В данной лекции рассмотрен большой объем материала, и вы можете так и не понять, на что разумнее всего потратить деньги. Конечной целью при вынесении решения о привлечении сторонних структур для повышения уровня защищенности является обеспечение безопасности ресурсов сети. Не пытайтесь решить разом все проблемы, связанные с безопасностью; руководствуйтесь последовательным подходом, обрабатывая в первую очередь самые важные аспекты. Посмотрите, насколько качественно программа или служба решит ту или иную задачу, не приведет ли это действие к возникновению побочных проблем, к увеличению персонала для обслуживания какого-либо компонента. Если вы не знаете, как правильно вложить средства, отведенные для обеспечения безопасности, обратитесь за информацией к веб-сайту RiskWatch по адресу http://www.riskwatch.com. На этом сайте расположен пакет программ, осуществляющий анализ угроз и уязвимых мест, которые необходимо учитывать при определении эффективных мер безопасности, а также выдающий рекомендации по поводу того, на что следует потратить денежные средства. Посредством предположений "что-если" вы определите, какие потенциальные меры безопасности отвечают необходимому уровню защиты; этот подход используйте и для распределения бюджета. Сайт Insecure.org производителя программы nmap (утилиты сканирования портов больших сетей) содержит перечень пятидесяти наиболее эффективных средств защиты, составленный на основе мнений 1200 пользователей nmap о предпочитаемых ими утилитах безопасности. Этот перечень доступен по адресу http://www.insecure.org/tools.html.
ПРОБЛЕМА
Предположим, вы только что провели восстановление после вирусной атаки на сеть, и руководство компании выделило денежные средства на повышение уровня антивирусной защиты. Необходимо быстро предпринять какие-то действия, чтобы предотвратить следующий инцидент. Так что же именно следует сделать в первую очередь?
Перед покупкой нового антивирусного продукта следует провести обзор антивирусной политики, чтобы выяснить, требует ли она обновления в свете недавних событий. Если антивирусная политика в порядке, а причиной проникновения вредоносного программного обеспечения стало несоблюдение этой политики одним из сотрудников, тогда проведите дополнительную разъяснительную работу. Проведите семинары по безопасности, которые руководство сделает обязательными для посещения всеми сотрудниками. Это некоторым образом отразится на бюджете, зато повысит эффективность антивирусной политики, так как каждый будет понимать ее роль и важность.
Выясните, в каких местах требуется дополнительная антивирусная защита: на сетевом экране, веб-сервере, почтовом сервере или на рабочих станциях. В идеальном случае следует установить защиту на все типы серверов и рабочих станций. Программное обеспечение протокола Content Vectoring Protocol (CVP) на сетевом экране сканирует данные при входе в сеть, а программы коллективного пользования располагаются на почтовом сервере и осуществляют сканирование хранилища сообщений. Программы InterScan VirusWall компании Trend Micro и ScanMail на сайте http://www.antivirus.com обеспечивают сетевой экран и защиту программ группового пользования, соответственно. Обратитесь к разделу "Популярные сканеры вирусов" для получения информации о продуктах, предназначенных для защиты сервера и рабочих станций.