Публикации

Атаки, направленные против информационной инфраструктуры предприятий и организаций, становятся все изощреннее. Одновременно растет число сотрудников, использующих в процессе работы удаленное подключение к корпоративной сети – зачастую с незащищенных клиентских компьютеров. Но и те, кто работает непосредственно в самой компании, могут загрузить зараженную веб страницу, открыв тем самым лазейку для распространения инфекции в локальной сети. Клиентский уровень в наши дни уязвим более, чем когда-либо, – вне зависимости от того, работают ли сотрудники в офисе или подключаются к сети предприятия извне, – и для обеспечения безопасности клиентов требуется комплексная система защиты. Иначе говоря, нужны средства сдерживания инфекции, позволяющие предотвратить полномасштабное заражение корпоративной сети.

Знакомая ситуация, не так ли...
Представьте,
что один из ваших сотрудников, использующий удаленное подключение, загрузил на свой переносной компьютер сообщение электронной почты, в котором содержится зараженное вложение. Приложение-то он не открыл*, но прочел сообщение в окне предварительного просмотра, и в результате «червь» Nimda проник на компьютер – причем незаметно для пользователя. Порой (в частности, в этом случае) зараженное вложение может автоматически запускаться на выполнение при обычном просмотре сообщения электронной почты в окне предварительного просмотра. А затем сотрудник
  • подключается со своего переносного компьютера через виртуальную частную сеть (Virtual Private Network, VPN) к корпоративной сети, или
  • на следующий день приносит свой компьютер в офис – и при входе в сеть этот компьютер оказывается с внутренней стороны межсетевого экрана.
И что дальше?
Будь это обычный вирус, он мог бы быть «перехвачен» антивирусным программным обеспечением, но выявление такой комбинированной угрозы, как Nimda, по необходимости требует также наличия межсетевого экрана и средств обнаружения вторжений. После заражения единственной компьютерной системы комбинированная атака может угрожать всей корпоративной сети, поскольку на клиентском уровне предусмотрены лишь ограниченные меры защиты.


Но если на клиентском уровне существует комплексная система безопасности, картина будет иной.

Данные, получаемые клиентом, поступают к нему через клиентский межсетевой экран; при этом с помощью методов обнаружения вторжений и антивирусных средств проверяется, не ведется ли против клиента атака из Интернета и не заражены ли данные вирусами. При обнаружении попытки вторжения клиентский межсетевой экран получает команду заблокировать доступ с IP адреса того компьютера, с которого ведется атака. Если же выявлено заражение вирусного характера, поврежденный файл лечится или помещается в безопасное место – так называемый изолятор. В результате становится возможным уже на уровне клиента выявить саму угрозу и принять против нее необходимые меры, что позволяет предотвратить распространение заражения в сети предприятия.

Общая картина
Последствия сложных комбинированных нападений, таких как заражение Nimda или CodeRed, являются крайне тяжелыми, причем в течение нескольких следующих лет ожидается резкий рост частоты этих нападений. Комбинированные угрозы, обладая свойствами вирусов, червей, «троянских» программ и вредоносного кода, используют слабые места серверов и интернет-приложений, чтобы предпринимать атаки и распространять инфекцию. Единственной защитой от этих угроз является комплексное обеспечение безопасности на всех уровнях, включая интернет-шлюзы, сетевые серверы и рабочие станции.

ИТ-безопасность: тенденции и реальность
По мере того как проявляются перечисленные далее тенденции:
  • растет значимость электронной коммерции,
  • исчезает четко выраженный периметр корпоративной сети,
  • все важнее становится непрерывность бизнес-процессов,
  • растет частота и изощренность нападений на информационные ресурсы предприятий и увеличивается ущерб от таких нападений, –
реальностью становятся следующие сценарии:
  • преобладающая часть ИТ-специалистов обязана добиваться большего при меньших ресурсах и средствах,
  • нередко предприятиям и организациям трудно подобрать персонал с соответствующими навыками и квалификацией.
Последствия современного положения дел в сфере корпоративной безопасности
Для организации защиты используются многочисленные разрозненные продукты, приобретаемые у разных поставщиков, что порой приводит к следующим проблемам:
  • Неэффективное использование ИТ-персонала. Покупка разнообразных продуктов означает, что ИТ-специалистам приходится затрачивать избыточные усилия на развертывание, контроль и мониторинг схожих массивов данных. Разрозненные продукты обладают ограниченным запасом прочности с точки зрения обеспечения безопасности; при возникновении «эпидемии» необходимо проверять работу обновлений, предоставляемых каждым поставщиком, для целого спектра разнородных технологий.
  • Степень защиты ниже ожидаемой. Если продукты приобретены у различных поставщиков, нельзя предполагать, что все эти продукты хорошо интегрируются или хотя бы корректно обмениваются данными. В действительности продукты разных поставщиков едва-едва сочетаются друг с другом, не обмениваясь при этом практически никакой информацией. Для хакеров такое положение дел оставляет огромные возможности при применении атак комбинированного типа.
  • Рост затрат. Прямые и косвенные расходы ИТ-подразделений на внедрение, администрирование и обновление многочисленных разрозненных продуктов выше, чем при использовании единого интегрированного решения. В результате приходится платить больше – при меньшей защищенности.
    В конечном итоге оказывается, что многочисленные разрозненные продукты, которые не интегрированы между собой, не могут эффективно управляться; вследствие этого растут расходы на их администрирование и техническую поддержку, а также совокупные затраты. Комплексная система безопасности – это не только всеобъемлющая защита и быстрый отклик на угрозы. Сюда входит и наиболее эффективное распределение ресурсов администратора, поскольку для установки, мониторинга и обновления многочисленных средств обеспечения безопасности можно использовать одну консоль управления. В результате экономятся время и деньги предприятия, а вероятность отсутствия защиты на уровне клиента снижается. Ведь полагаться для защиты клиентского уровня только на антивирусные программы уже недостаточно. С другой стороны, нельзя ограничиться и одним межсетевым экраном по периметру корпоративной сети, чтобы клиенты чувствовали себя в безопасности. Клиенты могут находиться по обе стороны межсетевого экрана, поэтому они так же уязвимы, как и другие компоненты сети предприятия, – и нуждаются при этом в специальных мерах защиты.
Три веские причины обзавестись клиентским межсетевым экраном
1. Рост числа пользователей, работающих дома, и удаленных пользователей. Это означает следующее:
  • удаленные подключения, в т. ч. подключения через сеть VPN и другие постоянные подключения, могут использоваться в качестве «потайной дверцы» для проникновения в сеть предприятия;
  • пользователи без соответствующих полномочий в состоянии без труда получить доступ к конфиденциальной информации, хранящейся на переносном компьютере.
2. Комбинированные угрозы, размывание различий между вирусами, червями и «троянскими» компонентами. Инфекция, которая не обнаруживается с помощью антивирусных средств, будет задержана клиентским межсетевым экраном и не попадет в сеть предприятия.

3. Распределенные атаки на отказ (Distributed Denial of Service, DDoS). Персональные и переносные компьютеры могут без ведома их владельцев стать участниками атак DDoS.

Всеобъемлющая система безопасности на клиентском уровне
Решение, обеспечивающее полную безопасность клиентов, должно выходить за рамки возможностей межсетевого экрана и контроля конфиденциальности. В него обязательно следует включить средства обнаружения вторжений, что позволит защитить клиентский уровень сети. Такое решение должно включать функцию анализа входящих пакетов данных, чтобы выявлять и блокировать нападения до того, как компьютер выведен из строя.

При обнаружении исходящего трафика клиентский межсетевой экран обязан вызвать антивирусную программу для осмотра файлов и приложений. Если выявлен вирус, то эта программа должна, в свою очередь, обратиться к межсетевому экрану, чтобы предупредить о возросшей угрозе, а зараженный файл необходимо изолировать на клиенте.

Symantec Client Security
– это уникальное комплексное решение, предназначенное для обеспечения безопасности сетевых и удаленных клиентов. В нем объединены технологии защиты от вирусов, межсетевого экрана и обнаружения вторжений, что обеспечивает соблюдение политики безопасности на клиентском уровне, а также – благодаря централизованному обновлению и распределению описаний – гарантирует быстрый отклик на возникающие угрозы. В продукте Symantec Client Security средства защиты от вирусов дополнены механизмами обеспечения безопасности при работе в сети, и это позволяет повысить защищенность клиентов.

Другие преимущества Symantec Client Security
  • Централизация управления и отклика позволяет быстрее реагировать на многочисленные угрозы безопасности.
  • Использование целого спектра технологий одного и того же поставщика ведет к лучшей защите при меньшей стоимости.
  • Упрощается управление средствами безопасности в гетерогенных распределенных сетях.
  • Благодаря использованию единой консоли управления упрощается администрирование системы.
    *В приведенном примере вложение открывать не обязательно. Дело в том, что в ряде случаев (например, при использовании веб-обозревателя Internet Explorer 5.5 и 5.01 без пакета обновления SP2) инфицированная программа может выполняться автоматически – всего лишь при отображении полученного сообщения в окне предварительного просмотра.

Pool+ InTEAM+