Sakaru Pasaule - Žurnāls par
modernām komunikācijām

  
  


Atpakaļ Jaunais numurs Arhīvs Par mums Meklēšana

Ko nespēj aizsargāt ugunsmūris, to spēj StealthWatch un Proventia Desktop

   

StealthWatchTM

 

Šobrīd lielākā daļa korporatīvo tīklu ir vairāk vai mazāk efektīvi aizsargāti pret tīkla uzbrukumiem no ārpuses. Ugunsmūri, uzbrukumu agrīnās novēršanas sistēmas (IPS), antivīrusu programmas un citi līdzekļi ļauj izveidot efektīvas, bet galvenais – vadāmas sistēmas, kas mazina iespējamos riskus, sākot ar ielaušanos un informācijas noplūdi līdz sistēmas funkciju zudumam vīrusu uzbrukuma laikā. Aizsardzības efektivitāte atkarīga no tās organizācijas. Tomēr izvēlēties vispiemērotāko no daudzajām sistēmām pēc cenas, lietderības un efektivitātes, veiktspējas un vadāmības –  tas ir grūts uzdevums. Pēdējos gados pierādījies, ka vairākums Latvijas lielo organizāciju ar šo uzdevumu tikušas galā vai arī atrodas ārējās aizsardzības izveides procesa nobeiguma fāzē. Raugoties no citas puses, korporatīvo tīklu iekšējā drošība ir gandrīz vai alu laikmeta līmenī vai arī nav tālu no tā aizgājusi. Tai pašā laikā saskaņā ar pēdēju divu gadu statistiku 70 procenti veiksmīgo uzbrukumu tiek uzsākti no tīkla iekšpuses.

 

Kas spēj aizsargāt tīklu no iekšpuses?

Tirgus ilgāku laiku nespēja piedāvāt pat plašu aizsardzības sistēmu izvēli ārējās plūsmas kontrolei, un zinātnieku radošā doma vēl nebija tam gatava radikālam pavērsienam uz nopietnu tīkla iekšējo aizsardzību. Kādu produkciju iekšējo tīklu aizsardzībai ražotāji parasti piedāvā šobrīd? Tradicionālos antivīrusu kompleksus darba stacijām un serveriem, piekļuves autorizācijas metodikas - un viss. Problēma ir acīmredzama: ja kompānijas aizsardzībai pret ārējiem uzbrukumiem pietiek ar kanāla analīzi, kas nav plašāks par 1Gbit/s, tad iekšējo komutācijas bāzes (switching-based) tīklu kopējais apjoms būtu  līdzvērtīgs desmitiem  vai pat  simtiem tādu ārējo kanālu.

Rezultātā vienkārši nezinām, kas notiek mūsu uzņēmuma iekšējā tīklā, un varam spriest par to tikai netieši – pēc serveru un darba staciju uzvedības. Diemžēl tas var būt  par vēlu. Daudziem administratoriem ir labi pazīstama situācija, kad noticis vīrusu uzbrukums. Tā seku novēršanai nereti vajadzīgas daudzas stundas, un bieži vien darba rezultāts nebūt nav ideāls. Tāpēc ar katru gadu iekšējā tīkla aizsardzība kļūst aizvien aktuālāka.

 

Izeja?

Protams, izeja ir. Vadošie tīkla aizsardzības līdzekļu ražotāji tirgū sākuši piedāvāt sistēmas, kas specializējas iekšējā tīkla drošībā. To galvenā atšķirība no tradicionālajām sistēmām – liels informācijas apstrādes ātrums (informācijas plūsmas gigabiti sekundē) un orientācija uz tīkla elementu uzvedības analīzi. Šī tipa produkti dalās divās pamatkategorijās: tie, kurus uzstāda aizsargātā darba stacijā (desktop protection) un tie, kas aizsargā tīklu centralizēti.

2005. gada 28. aprīlī kompānija iPro rīkoja kārtējo semināru, kas bija veltīts datoru drošības problēmām un IT risku pārvaldei (IT Risk Management). Semināra laikā tika izskatīti organizācijas iekšējo tīklu aizsardzības jautājumi. Bez teorētiskās daļas tika analizēti divi produkti, kas paredzēti šīs problemātikas risināšanai: aizdomīgas tīkla aktivitātes noteikšanas sistēma (Behaviour-based Network Anomaly Detection System) StealthWatch (kompānija Lancope) un programmatūra darba staciju aizsardzībai  Proventia Desktop Protection (Internet Security Systems - ISS). Abi ir amerikāņu ražotāji un ir neapšaubāmi tirgus līderi savā drošības virzienā.

 

StealthWatchTM galvenās atšķirības zīmes

StealthWatch ideja ir ļoti vienkārša. Tas ir specializēts dators (appliance), kuru pieslēdz  tīkla iekšpusē pie centrālā datu komutatora (switch). Ar monitoringa portu palīdzību sistēma klausās iekšējā tīkla datu plūsmu. Pirmās divas trīs nedēļas pēc pieslēgšanas  StealthWatch mācās - pierod pie serveru un darba staciju uzvedības tīklā, izpēta tīkla ierīču tradicionālo uzvedību un savāc informāciju. Tai palīdz arī tīkla administrators, laiku pa laikam paskaidrojot dažādas detaļas: – Piemēram, te mums ir serveri, tās – darba stacijas, bet šis aparāts ir tīkla printeris.

Pēc apmācības perioda sistēma sāk aktīvi darboties pati. Tiklīdz tīkla uzvedība kļūst aizdomīga,  StealthWatch uzsāk noteiktas aktivitātes – no paziņojuma administratoram līdz aizdomīgas sesijas pārtraukšanai (ja tas nepieciešams). Kas ir aizdomīgas  aktivitātes? Ar šo terminu jāsaprot jebkura uzvedība, kas nav raksturīga veselam  tīklam. Piemēram, darba stacija pēkšņi kļūst par SMTP-serveri – var teikt  gandrīz ar garantiju, ka tā ir vīrusu inficēta.  Vienlaikus tiek analizēti simti iespējamu uzvedību modeļu.

Ko rezultātā saņem administrators? Zināšanu par to, kas notiek tīklā, un arī iespēju adekvāti reaģēt uz to. Centralizētas pārvaldes sistēma ļauj noregulēt vairākas  StealthWatch ierīces vienlaikus, kā arī apstrādāt to darbības rezultātus, kas ir ļoti ērti lieliem tīkliem ar plašu infrastruktūru (piemēram, filiāļu tīkls).

 

 

StealthWatch priekšrocības:

·         nekavējoties atklāj un likvidē X-stundas uzbrukumu;

·         sašķiro draudus pēc prioritātēm;

·         ātra drošības incidentu izmeklēšana;

·         izslēdz nepareizas tīkla lietošanas iespējas;

·         uzrauga tīkla darbību;

·         atklāj nepareizi konfigurētus tīkla elementus/iekārtas un signalizē par tiem.

 

StealthWatch™  atšķirības.

 

StealthWatch priekšrocības

Tradicionālās sistēmas

 

StealthWatch nekavējoties, bez pārkonfigurācijas aizsargā pret jauniem draudiem, jo tam nav vajadzīgi uzbrukuma parametri (signature) vai tīkla uzvedības anomāliju atšifrējumi. 

 

Tradicionālajām ugunsmūru, antivīrusu un uzbrukuma atklāšanas sistēmām (IDS) vispirms jāuzraksta un jāaktivizē  jaunā vīrusa programmatūras kods, un tikai tad tās spēj aizsargāt pret ļaunā koda uzbrukumiem.

 

StealthWatch darbojas vienlīdz efektīvi gan tīkla ārējā perimetrā, gan arī sarežģītas komutācijas iekšējos tīklos.

Tradicionālās uzbrukuma novēršanas sistēmas (IPS) nespēj aizsargāt datus tīkla iekšpusē, jo tās nedarbojas komutētā vidē ar lielu tīkla portu blīvumu.

 

StealthWatch nepārtraukti skenē klienta tīklu, acumirklī atpazīstot  gan drošības traucētājus, gan jaunu/ pārkonfigurētu iekārtu instalāciju un jaunu programmlietojumu.

Lielākā daļa iekārtu, kuras spēj novērtēt/skenēt tīkla ievainojamību, tikai periodiski sūta ziņojumus par tīkla stāvokli. Tās nesūta ziņojumus un atbildes reālā laikā, jo arī tīkls visu laiku netiek uzraudzīts.  

 

StealthWatch aizsargā lietotāju datorus un tīklu, netērējot sistēmas resursus.

Individuālo (host-based) risinājumu izvēršana, konfigurācija un uzturēšana ir dārga, turklāt patērē lielus lietotāja sistēmas resursus.

 

 

 

ISS Desktop Protection

Darba stacijas aizsardzība. Proventia Desktop Protection programmatūra ir kompleksa aizsardzības sistēma, kas tiek uzstādīta darba stacijās. Tā sastāv no vairākām komponentēm. Pirmkārt, tā ir VPS (Virus Prevention System) – vīrusu novēršanas sistēma. Šī moduļa unikalitāte – tas reaģē ne tikai uz pazīstamiem, bet arī uz jauniem vīrusiem, kas vēl nav iekļauti antivīrusu programmatūras izstrādātāju datu bāzēs. Tā arī ir  behaviour-based sistēma. Tā darbojas apmēram tā: ja programmatūras kods, kas ir izpildāms šajā laikā, ir zināms sistēmai, tam atļauj izpildi. Ja tā ir jauna vai modificēta programma, tad ISS  Desktop Protection izveido virtuālu mašīnu (virtual machine), uz kuras mēģina izpildīt jauno programmu, vienlaikus analizējot tās darbību. Sistēma zina pāris simtus vīrusu uzvedības modeļu un pēc to kombinācijas aprēķina, vai atļaut programmai izpildīties vai nē. Piemēram, ja programma veic ierakstus sistēmas konfigurācijas bāzē, modificē sistēmas failus un analizē adrešu grāmatiņu – tas pilnīgi noteikti ir vīruss.

Papildus VPS modulim, sistēmai ir IPS (Intrusion Prevention System) – ielaušanās novēršanas sistēma, kas pārtrauc urķu (hackers) uzbrukumus, aizsardzības apakšsistēmu pret spiegošanas programmatūru (Spyware Protection) un aizsardzības sistēmu pret bufera pārpildīšanas (Buffer Overflow)  uzbrukumiem, kuri šobrīd ir izplatītākie un bīstamākie. Tādas sistēmas uzstādīšana paaugstina darbu staciju aizsardzību daudz vairāk nekā klasiskās antivīrusu programmas.

Protams, tas viss tiek centralizēti pārvaldīts ar Site Protector bezmaksas programmatūras palīdzību. Lietotāju iesaistīšana nav vajadzīga, turklāt administratoram ir iespēja padarīt sistēmu neredzamu lietotājam, kas ir ļoti svarīgi korporatīvos tīklos. Jo lieks lodziņš bieži vien noved lietotāju pie pilnīga apstulbuma. Kurš no administratoriem nezina, cik daudz zvanu tehniskā atbalsta dienestam sākas no vārdiem: - Man te tāds lodziņš parādījies!

 

 

Informācijas drošības nākotne ir aiz kompleksiem integrētiem risinājumiem, kas ir ērti ekspluatācijā un nodrošina ne tikai tīkla infrastruktūras elementu, bet arī darba staciju aizsardzības augstu pakāpi. Behaviour-based  sistēmas – tas ir jauns un ļoti efektīvs ierocis bezgalīgajā karā starp Pasaules Tīmekļa augošo entropiju un organizācijām, kas izmanto tā resursus. Tas ir karš, kurā mums, hi-tech lietotājiem, - administratoriem, uzņēmējiem,  politiķiem, žurnālistiem un zinātniekiem, - noteikti jāuzvar.

 

Daina DAMBERGA

SIA iPro

Vīlandes ielā 1

Rīgā, LV-1010

Tālr. 750 9149

Fakss 750 9159

info@ipro.lv

www.ipro.lv

 

 

Resursi internetā:

http://www.lancope.com/products/stealthwatch

http://www.iss.net/products_services/enterprise_protection/proventia_desktop/index.php

 

 

 
Design and programming by Anton Alexandrov - 2001