Разпределени роли при проблеми със сигурността

Класическите преимущества и недостатъци на аутсорсинга са известни много по-добре от специфичните технически предимства на аутсорсинга на ИТ сигурността. Особено внимание трябва да се отдели на това как трябва да действат участващите страни при атака или в случай на вече компрометирани системи и как се разпределят техните роли. За реализация на системите за ИТ защита в предприятията, те трябва да се инсталират в своите изчислителни центрове всички системи за безопасност — защитна стена, достъп през VPN с използване на IPSec, филтри за вируси и спам, прокси сървър, и да се занимаят с тяхната поддръжка самостоятелно („инсорсинг”). Такъв подход води до максимална управляемост и гъвкавост, но и до неизбежен ръст на инвестициите и експлоатационните разходи. Значителен технически недостатък е в това, че пропускателната способност на връзката с Интернет е абсолютно незащитена. Разпределена атака с цел „отказ от обслужване” (Distributed Denial of Service, DDoS) или голяма вълна от вирусни спам писма водят до претоварване или на канала за връзка с доставчика, или на Web сървъра и електронната поща. По този начин, атаката, независимо от всички мерки за безопасност, все пак ще бъде успешна. Управляема безопасност Ако предприятието не е в състояние да реализира системата за сигурност със собствени сили, то може да прибегне до един от няколкото подхода, понякога със значителни предимства за себе си. Става дума за управляема безопасност на базата на отделния потребител, на базата на доставчика, а също за комбинация на двата подхода. Управляемата безопасност на базата на потребителя (вж. Фиг. 1) задейства същата материална база, както и при самостоятелна експлоатация на инфраструктурата за сигурност: всички системи са разположени в изчислителния център на предприятието, но за тяхната поддръжка, управление и настройка отговаря доставчика на защитни услуги. Техническите предимства и недостатъци са едни и същи. Все пак цената на експлоатацията е по-ниска, но основните плюсове на такъв подход се проявяват в случаи на нападения: предприятието може да ползва ресурси и ноу-хау от доставчик на защитни услуги. При управляемата безопасност на базата на доставчика (вж. Фиг. 2) ставка се прави на мащабируеми системи за сигурност на доставчика на услугата. Неговата защитна стена предпазва мрежата на клиента, VPN достъпът се осъществява през операторската VPN мрежа с помощта, например, на многопротоколна етикирана комутация (Multi-Protocol Label Switching, MPLS). Осъществявайки филтриране на вируси и спам, доставчикът пропуска трафика от и към електронната поща през собствената си сървърна ферма и предоставя свои прокси сървъри за Web трафика. Това позволява снижаване на разходите до минимум. Каналът между доставчика и предприятието е защитен, тъй като firewall системата и сървърната ферма на доставчика спират атаките преди те да достигнат целите си. Минус на решението е недостатъчната гъвкавост: в общия случай демилитаризираната зона (DeMilitarized Zone, DMZ — отделна зона в защитната стена) не може да бъде използвана. Когато се намират извън пределите на операторската мрежа (например, в чужбина), потребителите могат да работят с VPN само ограничено, посредством скъп и бавен комутируем достъп. Комбиниране на силните страни Само комбинацията от управляема безопасност на базата на потребителя и доставчика (вж. Фиг. 3) позволява постигане на оптимален резултат: мрежовият firewall и инсталираните при доставчика вирусни и антиспамови филтри защитават каналите и сървърите от DDoS атаки, спам или вируси. Инсталацията на управляема защитна стена при клиента позволява организиране на демилитаризирана зона, а прилагането на управляеми филтри за спам на място се адаптира към конкретните потребности на предприятието. Управляемият филтър за вируси създава допълнително отбранително ниво в многостенната концепция за защита от вируси. Повечето VPN потребители се включват през VPN на базата на мрежата. Потребители, намиращи се извън операторската мрежа, получават достъп до VPN чрез IPSec връзка с корпоративния firewall. Съответната настройка се прави от доставчика. Компютърно разследване: поведение при сериозни случаи Под „разследване” се разбира разследване от правен или криминален характер. Компютърното разследване в тесния смисъл на думата се състои в събиране на доказателства за престъпление. В широкия смисъл с това понятие се обозначава търсенето на следи в случаи на някакви произшествия, несвързани непременно с цел углавно преследване. Преди да се инициират подобни действия, пострадалият е длъжен да определи за себе си каква е целта на разследването. Вариантите са няколко: углавно - или гражданско-правно преследване на виновника, ограничаване на щетите, а също предотвратяване на повторни деяния. В зависимост от целите процесът по разследване се води по различен начин (вж. Фиг. 4), затова успехът в голяма степен зависи от вземането на това първоначално решение. Времето във всеки конкретен случай може да се окаже много малко: например, заради това, че лицето, притежаващо съответните пълномощия, в дадения момент отсъства, следователно този въпрос трябва отрано да бъде щателно обмислен и фиксиран в политиката за сигурност. В специалната литература, в която се разглеждат действия по време на произшествия със сигурността, основно внимание се отделя на углавно- и гражданско-правното преследване на виновника. Да се смята, че това е главната цел и на компютърното разследване, би било грешка. Получаването на доказателства за съдебно преследване е доста сложно, тъй като цифровите данни се манипулират много лесно. И накрая, зложелателите от този род често се намират извън юрисдикцията на съответните органи (в чужбина). Методите на търсене на доказателства за съда нерядко откровено противоречат на другите цели на процеса на разследване: минимизиране на щетите и предотвратяване на повторни действия. Осен това, много компании се боят от отрицателното влияние на съответните съобщения, ако те се появят в пресата, върху котировките на борсата и доверието от страна на клиентите. Затова често изобщо не се провежда преследване на престъпника. Ограничаването на щетите като висш приоритет на компютърното разследване има смисъл само при изпълнение на един от следните критерии:  Причината е известна и може да се изключи вариант с повторение на атаката;  причината по принцип не може да се установи;  повторението не трябва да се предотвратява;  потенциалната щета е толкова голяма, че тя трябва да се избегне на всяка цена, а повторение е малко вероятно. При избора на тази цел трябва да се знае, че съществен недостатък на такова решение е пренебрегването на защитата срещу повторно произшествие. Тази цел е оправдана само когато повторението е изключено, а стойността на общата вреда може да се минимизира за дълго време. Методи за реакция Ще илюстрираме с два примера какви действия трябва да бъдат предприети, ако възникнат проблеми със безопасността: в първия случай жертвата е цел на атака (например, DDoS), във втория — системата вече е компрометирана в резултат на взлом. Типовете произшествия като шпионаж, саботаж от страна на вътрешни сътрудници и т.н. оставаме настрана. Следните правила са приложими за всички случаи:  още преди възможните инциденти се разработва политика за сигурност и се определят препоръчителните действия;  запазвате спокойствие;  нищо не се включва и изключва;  съобщава се случилото се на доставчика и инсталатора на услугата по обезпечаване на сигурността. Третият съвет - “нищо не включвай или изключвай” - почти никога не се спазва. Това правило е въведено, защото изключването и повторното включване на системите унищожава множество следи, необходими за компютърното разследване. По-нататъшните действия зависят от целите. Този, който се готви да започне углавно- или гражданско-правно преследване на престъпника, задължително трябва да се обърне към външен специалист и да чака неговите указания. Действията на собствените сътрудници или на доставчика на услугата по обезпечаване на сигурността могат да повлияят отрицателно на възможността за използване на всяка информация в съда. Затова, а и заради възможен конфликт на интереси специалистът по разследване не трябва да е на щат при доставчика на услугата за осигуряване на ИТ защита. Ако става дума за ограничаване на щетите в компрометираните системи, трябва веднага да се прекъсне тяхната връзка към мрежата, но да не се изключват. Съвместно с доставчика на услугата предприятието трябва да анализира кога е настъпило компрометирането и, ако е възможно, да не се спират системите, а да се извадят дисковете, работещи в “горещ режим на замяна” и да се изследват в обезопасена система. За получаване на информация полезни са системните журнали в компютъра, защитната стена и при доставчика, както и сравнението с резервните копия на данните. Компрометираните системи трябва напълно да се изтрият, а не да се опитвате да ги възстановявате. След повторната инсталация на системите от резервните копия трябва да се вкарат само данните, но не и програмите. В зависимост от важността на данните се копират само запазените от периода преди компрометиране на системата. По принцип за данни, които не са толкова конфиденциални могат да се използват и по-нови копия, макар че се препоръчва те да бъдат проверени дали не са подменени и дали са приемливи. В никакъв случай не трябва да се опитвате да “чистите” компрометираната система без цялостното й отделяне от мрежата и повторната инсталация. Съвременните инструменти за взлом — Root Kit, някои вируси, троянци и т.н. — притежават способност за много ефективно скриване. Не може да се гарантира, че от системата изцяло са отделени всички внедрени зложелателя средства, чрез които той би повторил или продължил атаката. Ограничаване на щетите Ако става дума за ограничаване на щетите или предотвратяване на повторения по време на продължителна атака, то съвместно с провайдера или доставчика на услугата “ИТ защита” трябва да се установи източника и типа на атаката. Когато е възможно, източникът трябва да бъде напълно блокиран с помощта на защитната стена или в магистралата на оператора. Ако все пак опасността от компрометиране на системата остава, тя трябва да се изключи от Интернет. Във всеки случай общото време за престой е по-малко, отколкото при пълно възстановяване заради компрометиране. След това съвместно с доставчика на услугата за ИТ защита предприятието трябва да разработи обходен маршрут за повторно включване на “заздравените “ системи към мрежата. Ако източникът на атака не трябва да се блокира, но опасност от компрометиране няма (например в случай DDoS атака), доставчикът и инсталаторът на системата за сигурност са длъжни съвместно да разработят стратегия за противодействие. Тя може да предвижда модификация на целевата система (брой буфери, кръпки, смяна на операционната система и т.н.), възможни действия спрямо магистралата (антиспуфинг, филтриране на определени протоколи, ремаршрутизация и т.н.) и административни мерки (обръщане към доставчика на атакуващия). След повторно включване на системата към мрежата на оператора с помощта на устройства за проверка на текущото състояние или система за откриване на прониквания той трябва внимателно да следи дали не протича или вече е стартирала нова атака. Предотвратяване на повторни атаки За спиране на възможни повторни атаки, следващи вече успял опит, предприятието и доставчикът на услугата по осигуряване на ИТ защитата са длъжни съвместно и без да си пречат да следят за работещите системи (прослушване на мрежата). По този начин при определени обстоятелства може да се установи способът на компрометиране и, при необходимост, целта на атаката. При това системата трябва да се изключи, да се махне твърдия диск и да се анализира на обезопасено място. Целта на търсенето е информация за това как атакуващият е проникнал в машината и какви “следи” в системата за сигурност биха могли да станат предпоставка за това нападение. Разширил ли е атакуващият своите права? Дали Root Kit и троянските коне са претърпели някакви модификации? Имало ли е нападение отвън или то е дело на компрометирана вътрешна система? Полезни се оказват изучаването на системните журнали в пострадалите системи, защитната стена и при доставчика. След това специалистите сравняват наличните данни с резервното копие, а операционната система — с оригиналната инсталация. На по-късен етап се правят списъци за разпращане по темата безопасност, консултанти по безопасност и информация за хакерски сайтове. Съвместно с доставчика на услуги по ИТ защита предприятието определя как може да се предотврати подобна атака в бъдеще: с помощта на кръпки, защитни стени, смяна на конфигурацията, версията на софтуера, операционната система или приложенията. Както и в предишния случай, системата трябва напълно да се отдели, да се инсталира наново и да се направят необходимите изменения. Заключителната проверка на защитата от вече проявените дефекти на системата, също с участието на независим доставчик, гарантират допълнителна степен на сигурност. И тук действа известното правило: от резервното копие се възстановяват само данни, но не програми. След повторно пускане на системите се провежда мониторинг. Разпределение на ролите Необходимите мерки в случай на нападение са много сложни и изискват немалки ресурси. В зависимост от типа и размера на атакуваното предприятие за предприемане на правилните действия наличното в компанията и частност в ИТ отдела ноу-хау може да се окаже недостатъчно. Затова в общия случай има смисъл да се привлече външен доставчик на услуги, а ако възникне потребност от правно преследване, няма да минете без тяхната помощ. По време на атака преди всичко трябва да се обърнете към доставчика. Много действия — например против DDoS атаки— могат да се предприемат само от него на ниво опорна магистрала. Взаимодействието с други оператори е негова задача. Освен това той може и е длъжен при необходимост да предостави системния журнал за изясняване личността на нападателя. Инсталаторът на услугата ИТ защита осигурява ноу-хау и човешки ресурси за определяне на необходимите мерки, които предприятието да реализира самостоятелно или да предаде на оператора в рамките на решението за управляема безопасност. Заключение В триъгълника “предприятие — оператор— доставчик на услугата ИТ защита“ разходите за поддръжка на конфигурацията са големи, а отговорността често се оказва размита (вж. карето “Когато ти припари”). Най-доброто положение за потребителите е, когато задачите на оператора и доставчика на услугата ИТ безопасност се решава от една и съща компания, разбираща перфектно от управление на инфраструктура за обезпечаване на сигурност. Тогава степента на отговорност е очевидна, а реакцията е бърза и професионална. Този подход обезпечава бърз достъп до информация и координирано приемане на мерки без непредвидено претоварване на ресурсите на предприятието. Когато ти припари под краката Колкото и елегантна да ни се вижда съвместната работа на предприятието, поръчител и доставчика на услугата “управляема безопасност”, при взлом в системата за сигурност (пробив в защитата) тяхното взаимодействие може да се окаже сериозно застрашено. Възможните последствия се простират от взаимни обвинения и продължително недоверие до съдебни искове. За да запазят всички страни хладен разум в най-стресовите ситуации, при избора на решение в полза на управляемата безопасност предприятието трябва да обърне внимание на следните моменти: - независима професионална юридическа поддръжка още при съставяне на списъка със задължения на страните ще позволи да се избегнат възможни недоразумения впоследствие; - договорът и съдържащите се в него клаузи за ниво на обслужването (Service Level Agreement, SLA) трябва да предвиждат ясно разграничаване на компетенциите и отговорностите; - споразумението за ниво на обслужването е безсмислено без ясно структурирана отговорност на страните и описание на процесите за всички реалистични сценарии на нападение; - сами по себе си заключенията в контракта изискват привличане на компетентен по въпросите на ИТ сигурността юрист и, в идеалния случай, второ независимо предприятие, работещо в областта на безопасността и действащо в качеството си на одитор; - регулярни проверки на системата за управляема безопасност - например с помощта на тестове за проникване с помощта на сменяващи се оператори – това помага да се видят слабите места преди настъпване на сериозни последствия. Все пак дори тестовете за проникване, проведени с втори доставчик на услуги, никога не могат напълно да изключат възможността от успешна атаки. Още по-важни са грамотно съставените договори и SLA споразумения. За съжаление, юристите, специализиращи в областта на ИТ сигурността, са много малко, но, ако искате да спите спокойно нощем, търсенето на такъв е оправдано.

Последни новини

• Двуобхватен маршрутизатор от новата серия amplifi обяви D-Link
• D-Link вдига HD оборотите с нов двулентов високопроизводителен рутер DIR-857
• Мултимедийните системи Aastra 400 обслужват комуникациите на СМБ
• Aastra обявява виртуализирана мултимедийна централа
• Vivacom обяви нови двойни пакети, подсилващи фиксираната телефония.

Активни теми във форума

• » Супер Боб
• » въпрос:Как да изградя мрежа
• » Закони за успех във високите доходи.
• » Сайт за гледане на онлайн телевизия
• » Ето едно саийче, за пари!