Защита информационной среды на предприятии

Подсистема анализа обнаруживает подозрительные действия и сетевые атаки. Хранилище хранит первичные события и результаты анализа. С точки зрения способов мониторинга системы IDS делятся на network- based(NIDS) и host-based (HIDS).Network-basedIDS захватывают и анализируют пакеты, на основе которых затем выявляют атаки.NIDS прослушивает участок сети и способна анализировать сетевой трафик от нескольких хостов, подключенных к участку сети, чтобы в результате защищать эти хосты.Host-basedIDS обрабатывают данные, находящиеся внутри одного компьютера. Благодаря такому удачному расположению HIDS может точно и надежно анализировать информацию, выявляя пользователей и программы, которые непосредственно участвуют в конкретной атаке. Чаще всего HIDS пользуются двумя типами источников информации результаты проверки ОС и системные журналы.В зависимости от способа определения нежелательного трафика системы IDS делятся на: signature-based (сигнатурный метод), anomaly-based (метод аномалий) и policy-based (метод, основанный на политике).Работа системы анализируется детекторами атак, для этого применяются одно или несколько событий, соответствующие заранее заданному образцу, который описывает известную атаку. Сигнатурой называется соответствие образца известной атаке, а выявление атаки или вторжения также называется "сигнатурным определением". К достоинствам сигнатурного метода можно отнести:низкое количество ложных срабатываний, эффективное определение атак;достоверное определение использования конкретного метода или оборудования для атаки. Благодаря этому администраторы с любым уровнем знаний о безопасности могут принять меры по устранению инцидента, и к тому же исправить способы обеспечения безопасности.Недостатком сигнатурного метода является тот факт, что для получения новых сигнатур, необходимо обновлять базу данных.На определении необычного, или аномального, сетевого поведения основывается метод аномалий. В основе детекторов аномалий лежит идея о том, что атаки отличаются от нормальных операций, то есть их можно выявить с помощью системы, которая умеет определять эти различия. Для своей работы детекторы аномалий формируют профили, которые описывают нормальную работу пользователей, сетей и приложений. Эти профили формируются на основе информации, полученной в течение обычной работы. После этого детекторы выполняют сбор данных и анализируют метрики, чтобы выявить отклонения рассматриваемой деятельности от нормы.Метод политики строится на правилах сетевой безопасности, говоря языком распределения доступа, то есть, например, задаются взаимодействующие сети и используемые при этом протоколы.Система предотвращения вторжений (англ. IntrusionPreventionSystem (IPS)) является программным или аппаратным средством, которое в реальном времени наблюдает за сетью или системой, чтобы выявить, предотвратить или блокировать нежелательные действия. Классификация и функции IPS во многом идентичны IDS. Отличаются они тем, что их работа осуществляется в реальном времени, и они способны в автоматически блокировать сетевые атаки. В каждой IPS содержится модуль IDS.Системы предотвращения утечки информацииСегодня для обеспечения защиты информации наиболее актуально стоит вопрос предотвращения утечки конфиденциальной информации (DataLossPrevention, DLP). Система предотвращения утечек конфиденциальной информации представляет собой единый комплект инструментов, который предназначен для защиты конфиденциальной информации от получения третьими лицами или для регулировки перемещения информации из организации.Нынешние DLP-системы построены на методе анализа потоков данных по периметру информационной системы, подлежащей защите. Защита активируется при нахождении в потоке конфиденциальной информации, после чего передача сообщения (пакета, потока, сессии) блокируется или отслеживается.Система DLP досконально анализирует содержимое информации, автоматически защищает секретные данные информационных ресурсов, на уровне шлюза данных и в системах хранения данных, и, помимо этого, выполняет различные функции реагирования, позволяющие принять необходимые меры. СтандартнаяDLP состоит из следующих составляющих:EndpointDLP контролирует потоки данных на ПК и мобильных станциях.Модуль в режиме реального времени выполняет отслеживание и предотвращение копирования информации (если обнаружены запрещенные материалы) на съемные носители, печати и отправки по факсу, по электронной почте и т. д. Система контролирует данные вне зависимости от того, подключен ли компьютер к сети компании, работает ли он автономном режиме или же работа осуществляется удаленно. Система, помимо тихого контроля и предотвращения утечек, позволяет сообщить пользователю о недостаточности у него прав на выполнение таких действий, в результате становится возможным обучить сотрудников методикам обращения с конфиденциальной информацией.Модуль StorageDLP контролирует правильное выполнение процедур хранения конфиденциальных данных. В него встроен режим сканирования по расписанию, который позволяет находить конфиденциальные данные, которые хранятся статически на файловых, почтовых, Web-серверах, в системах документооборота, на серверах баз данных и т. д. Модуль также анализирует правомерность нахождения данных в их текущем месте хранения и при необходимости выполняет их перенос в защищенные хранилища.Модуль NetworkDLP управляет движением данных через шлюзы передачи данных. Может выполнять слежение за информацией, передаваемой через каналы TCP/IP или UDP. Система управляет информацией, передаваемой через службы сообщений и торренты, имеет возможность останавливать пересылку данных через HTTP(s), FTP(s) и SMTP-каналы, а также сообщать пользователям о нарушении политики организации.Система EnforcePlatform позволяет управлять всеми модулями системы централизованным способом. Она может контролировать работу самой системы, следя за ее эффективностью и нагрузкой, а также выполнять проверку правил и политик по передаче конфиденциальных данных. Система базируется исключительно на Web-технологиях и имеет в своем составе все необходимые инструменты, которые позволяют от начала до конца осуществлять управление политиками безопасности, которые относятся к обращению с конфиденциальными данными организации, включая классификацию, индексацию, оцифровку и т. д. Платформа также имеет в своем составе модуль отчетности, который выполняет простую и эффективную оценку имеющегося состояния безопасности хранения и передачи информации, и выполняет сложные выборки по регрессивному и прогрессивному анализу.Два механизма, имеющиеся в DLP, позволяют службе информационной безопасности выполнять классификацию информации по заданным категориям важности. Первый механизм носит название контентной фильтрации, с помощью него можно выделить из потока передаваемых данных ту или иную информацию или документы, в которых имеются необходимые слова, фразы, файлы заданного типа, а также разнообразные сочетания цифр и символов. Второй механизм именуется как метод цифровых отпечатков и выполняет защиту определенных блоков данных, не позволяя разбавить их, использовать куски текста и т.д.Для безопасной передачи информации разработаны протоколы и алгоритмы с высокой степенью надежности. Одним из решений могут стать протоколы передачи данных линейки IPsec, которые используются для обеспечения сервисов приватности и аутентификации на сетевом уровне модели OSI. Выделяют два класса названных протоколов – защиты передаваемых данных и обмена ключами.Защита от вредоносного программного обеспеченияФункции системы защиты при доступе к Web-ресурсам должны быть направлены и на борьбу с вредоносным программным обеспечением, а так же обеспечивать эффективную, экономически выгодную, многоуровневую защиту.Антивирусная программа - специализированная программа для обнаружения компьютерных вирусов, а также нежелательных (считающихся вредоносными) программ вообще и восстановления заражённых (модифицированных) такими программами файлов, а также для профилактики — предотвращения заражения (модификации) файлов или операционной системы вредоносным кодом.Антивирусная программа также участвует в роли защитника информационных ресурсов в автоматизированной системе организации. На рынке информации существуют много антивирусных продуктов, каждая программа уникальна по-своему. В качестве анализа программных средств защиты было проведено их тестирование.В тесте принимали участие антивирусные продукты, среди которых:KasperskyTotalSecurityDr.WebSecuritySpaceBitDefenderInternetSecurityAvast! InternetSecurityPandaInternetSecurityТест проводился на следующих вредоносных программах:TDL (TDSS, Alureon, Tidserv)KoutodoorWin32/GlazeSinowal (Mebroot)Rootkit.Protector (Cutwail, Pandex)Worm.RorpianRootkit.Podnuha (Boaxxe)Virus.Protector (Kobcka, Neprodoor)Rustock (Bubnix)Email-Worm.Scano (Areses)Проверка возможности лечения активного заражения антивирусными программами проводилась строго в соответствии с определенной методологией. Результаты тестирования представлены в таблице 7.Таблица 7. Результаты лечения активного заражения различными антивирусами Вредоносная программа \АнтивирусKasperskyTotalSecurityDr.WebSecuritySpaceBitDefenderInternetSecurityAvast! InternetSecurityPandaInternetSecurityTDL (TDSS, Alureon, Tidserv)++++-Koutodoor+++--Win32/Glaze++--+Sinowal (Mebroot)+-+--Rootkit.Protector (Cutwail, Pandex)++++-Worm.Rorpian++++-Rootkit.Podnuha (Boaxxe)++++-Virus.Protector (Kobcka, Neprodoor)+---+Rustock (Bubnix)+++--Email-Worm.Scano (Areses)+++--Вылечено/Всего10/108/108/104/102/10Результаты анализа Антивирусных программ приведены в таблице 8.Таблица 8. ИтоговыерезультатытестаАнтивирус% вылеченныхKaspersky Total Security100%Dr.Web Security Space80%Bit Defender InternetSecurity80%Avast! InternetSecurity40%PandaInternetSecurity20% Таким образом, в качестве рекомендации по антивирусной защиты при доступе к Web-ресурсам можно предложить установку KasperskyTotalSecurity, Dr.WebSecuritySpace или BitDefenderInternetSecurity.Наиболее оптимальным вариантом из предложенных может стать KasperskyTotalSecurity для бизнеса (см. рис.13), который выполняет следующие функции:Контроль и защита рабочих мест.Шифрование данных.Управление мобильными устройствами.Средства системного администрирования.Защита почтовых серверов.Защита серверов совместной работы.Защита интернет-шлюзов.Рисунок 13. Kaspersky Total Security длябизнесаСредства идентификации и аутентификацииВ качестве основного способа защиты информации от несанкционированного доступа (НСД) злоумышленниками применяется внедрение средств AAA (ЗА)- authentication (аутентификация), authorization (авторизация), administration (администрирование). Устройства ввода идентификационных признаков и системы идентификации и аутентификации (СИА) - основные средства защиты от НСД к КС.В случае применения СИА пользователи получают доступ КС или в корпоративную сеть после успешного прохождения процедуры идентификации и аутентификации. Процесс идентификации заключается в распознавании пользователя по присвоенному идентификационному признаку. Определение принадлежности пользователя к предъявленному идентификационному признаку происходит при аутентификации.Аппаратно-программные комплексы СИА включают идентификаторы, устройства ввода-вывода, драйвера и управляющее программное обеспечение. Идентификаторы используются для хранения уникальных идентификационных признаков, также они применяются для хранения и обработки различной конфиденциальной информации. Устройства ввода-вывода ведут передачу информации между устройством-идентификатором и защищаемой КС.Опишем логическое управление доступом, которое, в отличие от физического, реализуется программными средствами. Основой программных средств служат такие инструменты, как идентификация и аутентификация. Идентификация позволяет субъекту (пользователю, процессу, действующему от имени определенного пользователя, или иному аппаратно-программному компоненту) назвать себя (сообщить свое имя). Посредством аутентификации вторая сторона убеждается, что субъект действительно тот, за кого он себя выдает. В качестве синонима слова «аутентификация» иногда используют словосочетание «проверка подлинности». Самый простой пример аутентификации – вход пользователя в систему.Для уменьшения влияния человеческого фактора требуется реализовать ряд требований к подсистеме парольной аутентификации:задавание минимальной длины пароля для затруднения перебора паролей в лоб;использование для составления пароля различных групп символов для усложнения перебора;проверка и отбраковка паролей по словарю;установка максимальных и минимальных сроков действия паролей;применения эвристических алгоритмов, бракующих нехорошие пароли;определение попыток ввода паролей;использование задержек при вводе неправильных паролей;поддержка режима принудительной смены пароля;запрет на выбор паролей самим пользователем и назначение паролей администратором, формирование паролей с помощью автоматических генераторов стойких паролей.На рынке программных продуктов представлена система JC-WebClient, которая предоставляет возможность строгой двухфакторной взаимной аутентификации пользователя и Web-сервера (см. рис.14). Кроме того, разработчики предусмотрели функции формирования и проверки электронной подписи и шифрования передаваемых данных (см. рис.15).Рисунок 14. Технология JC-WebClientКроме того, существует ряд программных комплексов, обеспечивающих защиту персональных данных в облачных сервисах. Примером может статьПлатформа TrendMicroDeepSecurity (см. рис.6). Это автоматизированная система безопасности для «облачных» сред, обладающая широкими возможностями масштабирования.Выделим преимущества системы:Функции защиты включают защиту от вредоносного программного обеспечения, сетевое экранирование, обнаружение и предотвращение вторжений, проверку журналов, шифрование, контроль целостности.Возможность поддержки множества клиентов.Эффективная оптимизация облачных сервисов и, как следствие, снижение затрат и уровня сложностиРисунок 15. Платформа Trend Micro Deep SecurityПри идентификации и аутентификации пользователей с помощью технических устройств в качестве пользовательского идентификатора используется некое техническое устройство, содержащее уникальный идентификационный код, который используется для решения задач идентификации владельца, а отдельных случаях данное устройство содержит и аутентифицирующую информацию, ограничивающее доступ к устройству. В качестве аппаратного средства идентификации и аутентификации в рекламном агентстве можно предложить магнитные карты. Главное их преимущество – низкая стоимость.Карты с магнитной полосой уже более двух десятилетий используются в системах контроля физического доступа. Магнитные карты срабатывают при проведении в определенном направлении и с определенной скоростью по щели считывателя. Повременные магнитные полосы изготовлены из материалов, требующих сильных магнитных полей для записи и уничтожения информации, с целью сохранности информации от случайного размагничивания. На рынке аппаратных средств представлено множество предложений пот реализации функции аутентификации. Например, компания CARDSolutions предлагает карты с магнитной полосой, которые несут в себе закодированную информацию (см. рис.16).Рисунок 16. Карта CARDSolutions