Ko nespēj aizsargāt ugunsmūris, to spēj StealthWatch un Proventia Desktop
StealthWatchTM
Šobrīd
lielākā daļa korporatīvo tīklu ir vairāk vai
mazāk efektīvi aizsargāti pret tīkla uzbrukumiem no
ārpuses. Ugunsmūri, uzbrukumu agrīnās novēršanas
sistēmas (IPS), antivīrusu programmas un citi līdzekļi
ļauj izveidot efektīvas, bet galvenais vadāmas sistēmas,
kas mazina iespējamos riskus, sākot ar ielaušanos un
informācijas noplūdi līdz sistēmas funkciju zudumam
vīrusu uzbrukuma laikā. Aizsardzības efektivitāte
atkarīga no tās organizācijas. Tomēr izvēlēties
vispiemērotāko no daudzajām sistēmām pēc cenas,
lietderības un efektivitātes, veiktspējas un vadāmības
tas ir grūts uzdevums. Pēdējos gados pierādījies,
ka vairākums Latvijas lielo organizāciju ar šo uzdevumu
tikušas galā vai arī atrodas ārējās
aizsardzības izveides procesa nobeiguma fāzē. Raugoties no citas
puses, korporatīvo tīklu iekšējā drošība ir
gandrīz vai alu laikmeta līmenī vai arī nav tālu no
tā aizgājusi. Tai pašā laikā saskaņā ar
pēdēju divu gadu statistiku 70 procenti veiksmīgo
uzbrukumu tiek uzsākti no tīkla iekšpuses.
Kas spēj
aizsargāt tīklu no iekšpuses?
Tirgus ilgāku
laiku nespēja piedāvāt pat plašu aizsardzības
sistēmu izvēli ārējās plūsmas kontrolei, un
zinātnieku radošā doma vēl nebija tam gatava radikālam
pavērsienam uz nopietnu tīkla iekšējo aizsardzību.
Kādu produkciju iekšējo tīklu aizsardzībai
ražotāji parasti piedāvā šobrīd?
Tradicionālos antivīrusu kompleksus darba stacijām un serveriem,
piekļuves autorizācijas metodikas - un viss. Problēma ir
acīmredzama: ja kompānijas aizsardzībai pret ārējiem
uzbrukumiem pietiek ar kanāla analīzi, kas nav plašāks par
1Gbit/s, tad iekšējo komutācijas bāzes (switching-based)
tīklu kopējais apjoms būtu līdzvērtīgs
desmitiem vai pat simtiem tādu ārējo kanālu.
Rezultātā
vienkārši nezinām, kas notiek mūsu uzņēmuma
iekšējā tīklā, un varam spriest par to tikai
netieši pēc serveru un darba staciju uzvedības.
Diemžēl tas var būt par vēlu. Daudziem administratoriem ir
labi pazīstama situācija, kad noticis vīrusu uzbrukums. Tā
seku novēršanai nereti vajadzīgas daudzas stundas, un bieži
vien darba rezultāts nebūt nav ideāls. Tāpēc ar katru
gadu iekšējā tīkla aizsardzība kļūst aizvien
aktuālāka.
Izeja?
Protams, izeja
ir. Vadošie tīkla aizsardzības līdzekļu
ražotāji tirgū sākuši piedāvāt
sistēmas, kas specializējas iekšējā tīkla
drošībā. To galvenā atšķirība no
tradicionālajām sistēmām liels informācijas
apstrādes ātrums (informācijas plūsmas gigabiti
sekundē) un orientācija uz tīkla elementu uzvedības
analīzi. Šī tipa produkti dalās divās
pamatkategorijās: tie, kurus uzstāda aizsargātā darba
stacijā (desktop protection) un tie, kas aizsargā tīklu
centralizēti.
2005. gada 28.
aprīlī kompānija iPro rīkoja kārtējo
semināru, kas bija veltīts datoru drošības
problēmām un IT risku pārvaldei (IT Risk Management).
Semināra laikā tika izskatīti organizācijas
iekšējo tīklu aizsardzības jautājumi. Bez
teorētiskās daļas tika analizēti divi produkti, kas
paredzēti šīs problemātikas risināšanai:
aizdomīgas tīkla aktivitātes noteikšanas sistēma (Behaviour-based
Network Anomaly Detection System) StealthWatch (kompānija Lancope)
un programmatūra darba staciju aizsardzībai Proventia Desktop
Protection (Internet Security Systems - ISS). Abi ir
amerikāņu ražotāji un ir neapšaubāmi tirgus
līderi savā drošības virzienā.
StealthWatchTM galvenās
atšķirības zīmes
StealthWatch ideja ir
ļoti vienkārša. Tas ir specializēts dators (appliance),
kuru pieslēdz tīkla iekšpusē pie centrālā datu
komutatora (switch). Ar monitoringa portu palīdzību sistēma
klausās iekšējā tīkla datu plūsmu.
Pirmās divas trīs nedēļas pēc pieslēgšanas StealthWatch
mācās - pierod pie serveru un darba staciju uzvedības
tīklā, izpēta tīkla ierīču tradicionālo
uzvedību un savāc informāciju. Tai palīdz arī
tīkla administrators, laiku pa laikam paskaidrojot
dažādas detaļas: Piemēram, te mums ir serveri, tās
darba stacijas, bet šis aparāts ir tīkla printeris.
Pēc
apmācības perioda sistēma sāk aktīvi darboties pati.
Tiklīdz tīkla uzvedība kļūst aizdomīga, StealthWatch
uzsāk noteiktas aktivitātes no paziņojuma administratoram
līdz aizdomīgas sesijas pārtraukšanai (ja tas
nepieciešams). Kas ir aizdomīgas aktivitātes? Ar
šo terminu jāsaprot jebkura uzvedība, kas nav raksturīga veselam
tīklam. Piemēram, darba stacija pēkšņi kļūst
par SMTP-serveri var teikt gandrīz ar garantiju, ka tā ir
vīrusu inficēta. Vienlaikus tiek analizēti simti iespējamu
uzvedību modeļu.
Ko
rezultātā saņem administrators? Zināšanu par to, kas
notiek tīklā, un arī iespēju adekvāti reaģēt
uz to. Centralizētas pārvaldes sistēma ļauj noregulēt
vairākas StealthWatch ierīces vienlaikus, kā arī
apstrādāt to darbības rezultātus, kas ir ļoti
ērti lieliem tīkliem ar plašu infrastruktūru
(piemēram, filiāļu tīkls).
StealthWatch
priekšrocības:
·
nekavējoties atklāj un likvidē X-stundas uzbrukumu;
·
sašķiro draudus pēc prioritātēm;
·
ātra drošības incidentu izmeklēšana;
·
izslēdz nepareizas tīkla lietošanas iespējas;
·
uzrauga tīkla darbību;
·
atklāj nepareizi konfigurētus tīkla
elementus/iekārtas un signalizē par tiem.
StealthWatch
atšķirības.
StealthWatch
priekšrocības
Tradicionālās
sistēmas
StealthWatch nekavējoties, bez
pārkonfigurācijas aizsargā pret jauniem draudiem, jo tam nav
vajadzīgi uzbrukuma parametri (signature) vai tīkla
uzvedības anomāliju atšifrējumi.
Tradicionālajām
ugunsmūru, antivīrusu un uzbrukuma atklāšanas
sistēmām (IDS) vispirms jāuzraksta un jāaktivizē
jaunā vīrusa programmatūras kods, un tikai tad tās
spēj aizsargāt pret ļaunā koda uzbrukumiem.
StealthWatch darbojas vienlīdz
efektīvi gan tīkla ārējā perimetrā, gan
arī sarežģītas komutācijas iekšējos
tīklos.
Tradicionālās
uzbrukuma novēršanas sistēmas (IPS) nespēj aizsargāt
datus tīkla iekšpusē, jo tās nedarbojas
komutētā vidē ar lielu tīkla portu blīvumu.
StealthWatch nepārtraukti
skenē klienta tīklu, acumirklī atpazīstot gan
drošības traucētājus, gan jaunu/ pārkonfigurētu
iekārtu instalāciju un jaunu programmlietojumu.
Lielākā
daļa iekārtu, kuras spēj novērtēt/skenēt
tīkla ievainojamību, tikai periodiski sūta ziņojumus par
tīkla stāvokli. Tās nesūta ziņojumus un atbildes
reālā laikā, jo arī tīkls visu laiku netiek
uzraudzīts.
StealthWatch aizsargā
lietotāju datorus un tīklu, netērējot sistēmas
resursus.
Individuālo
(host-based) risinājumu izvēršana, konfigurācija un uzturēšana
ir dārga, turklāt patērē lielus lietotāja
sistēmas resursus.
ISS Desktop
Protection
Darba stacijas
aizsardzība. Proventia Desktop Protection programmatūra ir
kompleksa aizsardzības sistēma, kas tiek uzstādīta darba
stacijās. Tā sastāv no vairākām komponentēm.
Pirmkārt, tā ir VPS (Virus Prevention System) vīrusu
novēršanas sistēma. Šī moduļa unikalitāte
tas reaģē ne tikai uz pazīstamiem, bet arī uz jauniem
vīrusiem, kas vēl nav iekļauti antivīrusu
programmatūras izstrādātāju datu bāzēs. Tā
arī ir behaviour-based sistēma. Tā darbojas apmēram
tā: ja programmatūras kods, kas ir izpildāms šajā
laikā, ir zināms sistēmai, tam atļauj izpildi. Ja tā
ir jauna vai modificēta programma, tad ISS Desktop Protection
izveido virtuālu mašīnu (virtual machine), uz kuras
mēģina izpildīt jauno programmu, vienlaikus analizējot
tās darbību. Sistēma zina pāris simtus vīrusu
uzvedības modeļu un pēc to kombinācijas aprēķina,
vai atļaut programmai izpildīties vai nē. Piemēram, ja
programma veic ierakstus sistēmas konfigurācijas bāzē,
modificē sistēmas failus un analizē adrešu
grāmatiņu tas pilnīgi noteikti ir vīruss.
Papildus VPS
modulim, sistēmai ir IPS (Intrusion Prevention System)
ielaušanās novēršanas sistēma, kas pārtrauc
urķu (hackers) uzbrukumus, aizsardzības apakšsistēmu
pret spiegošanas programmatūru (Spyware Protection) un
aizsardzības sistēmu pret bufera pārpildīšanas (Buffer
Overflow) uzbrukumiem, kuri šobrīd ir izplatītākie un
bīstamākie. Tādas sistēmas uzstādīšana
paaugstina darbu staciju aizsardzību daudz vairāk nekā
klasiskās antivīrusu programmas.
Protams, tas
viss tiek centralizēti pārvaldīts ar Site Protector
bezmaksas programmatūras palīdzību. Lietotāju
iesaistīšana nav vajadzīga, turklāt administratoram ir
iespēja padarīt sistēmu neredzamu lietotājam, kas ir
ļoti svarīgi korporatīvos tīklos. Jo lieks
lodziņš bieži vien noved lietotāju pie pilnīga
apstulbuma. Kurš no administratoriem nezina, cik daudz zvanu tehniskā
atbalsta dienestam sākas no vārdiem: - Man te tāds
lodziņš parādījies!
Informācijas
drošības nākotne ir aiz kompleksiem integrētiem
risinājumiem, kas ir ērti ekspluatācijā un nodrošina
ne tikai tīkla infrastruktūras elementu, bet arī darba staciju
aizsardzības augstu pakāpi. Behaviour-based sistēmas
tas ir jauns un ļoti efektīvs ierocis bezgalīgajā karā
starp Pasaules Tīmekļa augošo entropiju un
organizācijām, kas izmanto tā resursus. Tas ir karš,
kurā mums, hi-tech lietotājiem, - administratoriem,
uzņēmējiem, politiķiem, žurnālistiem un
zinātniekiem, - noteikti jāuzvar.
Daina DAMBERGA
SIA iPro
Vīlandes ielā 1
Rīgā, LV-1010
Tālr. 750 9149
Fakss 750 9159
www.ipro.lv
Resursi
internetā:
http://www.lancope.com/products/stealthwatch
http://www.iss.net/products_services/enterprise_protection/proventia_desktop/index.php
Šobrīd lielākā daļa korporatīvo tīklu ir vairāk vai mazāk efektīvi aizsargāti pret tīkla uzbrukumiem no ārpuses. Ugunsmūri, uzbrukumu agrīnās novēršanas sistēmas (IPS), antivīrusu programmas un citi līdzekļi ļauj izveidot efektīvas, bet galvenais vadāmas sistēmas, kas mazina iespējamos riskus, sākot ar ielaušanos un informācijas noplūdi līdz sistēmas funkciju zudumam vīrusu uzbrukuma laikā. Aizsardzības efektivitāte atkarīga no tās organizācijas. Tomēr izvēlēties vispiemērotāko no daudzajām sistēmām pēc cenas, lietderības un efektivitātes, veiktspējas un vadāmības tas ir grūts uzdevums. Pēdējos gados pierādījies, ka vairākums Latvijas lielo organizāciju ar šo uzdevumu tikušas galā vai arī atrodas ārējās aizsardzības izveides procesa nobeiguma fāzē. Raugoties no citas puses, korporatīvo tīklu iekšējā drošība ir gandrīz vai alu laikmeta līmenī vai arī nav tālu no tā aizgājusi. Tai pašā laikā saskaņā ar pēdēju divu gadu statistiku 70 procenti veiksmīgo uzbrukumu tiek uzsākti no tīkla iekšpuses.
Kas spēj aizsargāt tīklu no iekšpuses?
Tirgus ilgāku laiku nespēja piedāvāt pat plašu aizsardzības sistēmu izvēli ārējās plūsmas kontrolei, un zinātnieku radošā doma vēl nebija tam gatava radikālam pavērsienam uz nopietnu tīkla iekšējo aizsardzību. Kādu produkciju iekšējo tīklu aizsardzībai ražotāji parasti piedāvā šobrīd? Tradicionālos antivīrusu kompleksus darba stacijām un serveriem, piekļuves autorizācijas metodikas - un viss. Problēma ir acīmredzama: ja kompānijas aizsardzībai pret ārējiem uzbrukumiem pietiek ar kanāla analīzi, kas nav plašāks par 1Gbit/s, tad iekšējo komutācijas bāzes (switching-based) tīklu kopējais apjoms būtu līdzvērtīgs desmitiem vai pat simtiem tādu ārējo kanālu.
Rezultātā vienkārši nezinām, kas notiek mūsu uzņēmuma iekšējā tīklā, un varam spriest par to tikai netieši pēc serveru un darba staciju uzvedības. Diemžēl tas var būt par vēlu. Daudziem administratoriem ir labi pazīstama situācija, kad noticis vīrusu uzbrukums. Tā seku novēršanai nereti vajadzīgas daudzas stundas, un bieži vien darba rezultāts nebūt nav ideāls. Tāpēc ar katru gadu iekšējā tīkla aizsardzība kļūst aizvien aktuālāka.
Izeja?
Protams, izeja ir. Vadošie tīkla aizsardzības līdzekļu ražotāji tirgū sākuši piedāvāt sistēmas, kas specializējas iekšējā tīkla drošībā. To galvenā atšķirība no tradicionālajām sistēmām liels informācijas apstrādes ātrums (informācijas plūsmas gigabiti sekundē) un orientācija uz tīkla elementu uzvedības analīzi. Šī tipa produkti dalās divās pamatkategorijās: tie, kurus uzstāda aizsargātā darba stacijā (desktop protection) un tie, kas aizsargā tīklu centralizēti.
2005. gada 28. aprīlī kompānija iPro rīkoja kārtējo semināru, kas bija veltīts datoru drošības problēmām un IT risku pārvaldei (IT Risk Management). Semināra laikā tika izskatīti organizācijas iekšējo tīklu aizsardzības jautājumi. Bez teorētiskās daļas tika analizēti divi produkti, kas paredzēti šīs problemātikas risināšanai: aizdomīgas tīkla aktivitātes noteikšanas sistēma (Behaviour-based Network Anomaly Detection System) StealthWatch (kompānija Lancope) un programmatūra darba staciju aizsardzībai Proventia Desktop Protection (Internet Security Systems - ISS). Abi ir amerikāņu ražotāji un ir neapšaubāmi tirgus līderi savā drošības virzienā.
StealthWatchTM galvenās atšķirības zīmes
StealthWatch ideja ir ļoti vienkārša. Tas ir specializēts dators (appliance), kuru pieslēdz tīkla iekšpusē pie centrālā datu komutatora (switch). Ar monitoringa portu palīdzību sistēma klausās iekšējā tīkla datu plūsmu. Pirmās divas trīs nedēļas pēc pieslēgšanas StealthWatch mācās - pierod pie serveru un darba staciju uzvedības tīklā, izpēta tīkla ierīču tradicionālo uzvedību un savāc informāciju. Tai palīdz arī tīkla administrators, laiku pa laikam paskaidrojot dažādas detaļas: Piemēram, te mums ir serveri, tās darba stacijas, bet šis aparāts ir tīkla printeris.
Pēc apmācības perioda sistēma sāk aktīvi darboties pati. Tiklīdz tīkla uzvedība kļūst aizdomīga, StealthWatch uzsāk noteiktas aktivitātes no paziņojuma administratoram līdz aizdomīgas sesijas pārtraukšanai (ja tas nepieciešams). Kas ir aizdomīgas aktivitātes? Ar šo terminu jāsaprot jebkura uzvedība, kas nav raksturīga veselam tīklam. Piemēram, darba stacija pēkšņi kļūst par SMTP-serveri var teikt gandrīz ar garantiju, ka tā ir vīrusu inficēta. Vienlaikus tiek analizēti simti iespējamu uzvedību modeļu.
Ko rezultātā saņem administrators? Zināšanu par to, kas notiek tīklā, un arī iespēju adekvāti reaģēt uz to. Centralizētas pārvaldes sistēma ļauj noregulēt vairākas StealthWatch ierīces vienlaikus, kā arī apstrādāt to darbības rezultātus, kas ir ļoti ērti lieliem tīkliem ar plašu infrastruktūru (piemēram, filiāļu tīkls).
StealthWatch priekšrocības:
· nekavējoties atklāj un likvidē X-stundas uzbrukumu;
· sašķiro draudus pēc prioritātēm;
· ātra drošības incidentu izmeklēšana;
· izslēdz nepareizas tīkla lietošanas iespējas;
· uzrauga tīkla darbību;
· atklāj nepareizi konfigurētus tīkla elementus/iekārtas un signalizē par tiem.
StealthWatch atšķirības.
StealthWatch priekšrocības |
Tradicionālās sistēmas |
|
StealthWatch nekavējoties, bez pārkonfigurācijas aizsargā pret jauniem draudiem, jo tam nav vajadzīgi uzbrukuma parametri (signature) vai tīkla uzvedības anomāliju atšifrējumi.
|
Tradicionālajām ugunsmūru, antivīrusu un uzbrukuma atklāšanas sistēmām (IDS) vispirms jāuzraksta un jāaktivizē jaunā vīrusa programmatūras kods, un tikai tad tās spēj aizsargāt pret ļaunā koda uzbrukumiem. |
|
StealthWatch darbojas vienlīdz efektīvi gan tīkla ārējā perimetrā, gan arī sarežģītas komutācijas iekšējos tīklos. |
Tradicionālās uzbrukuma novēršanas sistēmas (IPS) nespēj aizsargāt datus tīkla iekšpusē, jo tās nedarbojas komutētā vidē ar lielu tīkla portu blīvumu. |
|
StealthWatch nepārtraukti skenē klienta tīklu, acumirklī atpazīstot gan drošības traucētājus, gan jaunu/ pārkonfigurētu iekārtu instalāciju un jaunu programmlietojumu. |
Lielākā daļa iekārtu, kuras spēj novērtēt/skenēt tīkla ievainojamību, tikai periodiski sūta ziņojumus par tīkla stāvokli. Tās nesūta ziņojumus un atbildes reālā laikā, jo arī tīkls visu laiku netiek uzraudzīts. |
|
StealthWatch aizsargā lietotāju datorus un tīklu, netērējot sistēmas resursus. |
Individuālo (host-based) risinājumu izvēršana, konfigurācija un uzturēšana ir dārga, turklāt patērē lielus lietotāja sistēmas resursus. |
|
ISS Desktop Protection
Darba stacijas aizsardzība. Proventia Desktop Protection programmatūra ir kompleksa aizsardzības sistēma, kas tiek uzstādīta darba stacijās. Tā sastāv no vairākām komponentēm. Pirmkārt, tā ir VPS (Virus Prevention System) vīrusu novēršanas sistēma. Šī moduļa unikalitāte tas reaģē ne tikai uz pazīstamiem, bet arī uz jauniem vīrusiem, kas vēl nav iekļauti antivīrusu programmatūras izstrādātāju datu bāzēs. Tā arī ir behaviour-based sistēma. Tā darbojas apmēram tā: ja programmatūras kods, kas ir izpildāms šajā laikā, ir zināms sistēmai, tam atļauj izpildi. Ja tā ir jauna vai modificēta programma, tad ISS Desktop Protection izveido virtuālu mašīnu (virtual machine), uz kuras mēģina izpildīt jauno programmu, vienlaikus analizējot tās darbību. Sistēma zina pāris simtus vīrusu uzvedības modeļu un pēc to kombinācijas aprēķina, vai atļaut programmai izpildīties vai nē. Piemēram, ja programma veic ierakstus sistēmas konfigurācijas bāzē, modificē sistēmas failus un analizē adrešu grāmatiņu tas pilnīgi noteikti ir vīruss.
Papildus VPS modulim, sistēmai ir IPS (Intrusion Prevention System) ielaušanās novēršanas sistēma, kas pārtrauc urķu (hackers) uzbrukumus, aizsardzības apakšsistēmu pret spiegošanas programmatūru (Spyware Protection) un aizsardzības sistēmu pret bufera pārpildīšanas (Buffer Overflow) uzbrukumiem, kuri šobrīd ir izplatītākie un bīstamākie. Tādas sistēmas uzstādīšana paaugstina darbu staciju aizsardzību daudz vairāk nekā klasiskās antivīrusu programmas.
Protams, tas viss tiek centralizēti pārvaldīts ar Site Protector bezmaksas programmatūras palīdzību. Lietotāju iesaistīšana nav vajadzīga, turklāt administratoram ir iespēja padarīt sistēmu neredzamu lietotājam, kas ir ļoti svarīgi korporatīvos tīklos. Jo lieks lodziņš bieži vien noved lietotāju pie pilnīga apstulbuma. Kurš no administratoriem nezina, cik daudz zvanu tehniskā atbalsta dienestam sākas no vārdiem: - Man te tāds lodziņš parādījies!
Informācijas drošības nākotne ir aiz kompleksiem integrētiem risinājumiem, kas ir ērti ekspluatācijā un nodrošina ne tikai tīkla infrastruktūras elementu, bet arī darba staciju aizsardzības augstu pakāpi. Behaviour-based sistēmas tas ir jauns un ļoti efektīvs ierocis bezgalīgajā karā starp Pasaules Tīmekļa augošo entropiju un organizācijām, kas izmanto tā resursus. Tas ir karš, kurā mums, hi-tech lietotājiem, - administratoriem, uzņēmējiem, politiķiem, žurnālistiem un zinātniekiem, - noteikti jāuzvar.
Daina DAMBERGA
SIA iPro
Vīlandes ielā 1
Rīgā, LV-1010
Tālr. 750 9149
Fakss 750 9159
www.ipro.lv
Resursi internetā:
http://www.lancope.com/products/stealthwatch
http://www.iss.net/products_services/enterprise_protection/proventia_desktop/index.php