Корпоративная ИБ: никакого доверия сетевому трафику

Под ударами инсайдеров и вредоносного кода погибла идея “доверяй, но проверяй” как основа обеспечения безопасности, утверждается в новом докладе компании Forrester Research.

Вместо нее, считает аналитик Forrester Джон Киндерваг, предприятия должны внедрять концепцию полного недоверия. В этой модели не доверяют в равной мере и инсайдерам, и аутсайдерам, а сетевые администраторы перестают доверять сетевым пакетам, словно это люди. Необходимость подобных изменений, сказал Киндерваг, отчасти вызвана “бесчисленным количеством” пользующихся доверием сотрудников и клиентов, которые не соблюдают правила работы в корпоративных сетях.

В качестве примера в докладе приводится случай с Филипом Каммингсом, который в 1999—2000 гг. работал в службе технической поддержки компании Teledata Communications (TCI) и продавал кредитные истории организованной преступной группе из Нигерии.

“Специалисты по безопасности неверно поняли шутливый смысл, заключенный в словах “доверяй, но проверяй”, — сказал Киндерваг. — Это требование не соблюдается, потому что доверять легко, а проверять трудно. Если вы кому-то доверяете, то зачем его проверять? Но в сетях мы имеем дело с пакетами, а не с людьми. Если компьютер заражен каким-то вредоносным кодом и рассылает спам или включен в сеть ботов, такие пакеты поступают с машины пользователя без его ведома. Должны ли мы доверять подобным пакетам лишь потому, что они приходят с машины пользователя?”.

Для компаний полное недоверие означает, что весь трафик представляет собой угрозу, пока вы не удостоверились, что он является авторизованным, проверенным и защищенным, говорится в докладе. Это требует применения зашифрованных туннелей для доступа к данным во внутренних и внешних сетях, акцента на проверке и журналировании данных, установления строгого контроля за доступом в сети с особым вниманием к обладателям полномочий самого низкого уровня.

В некотором отношении полное недоверие является не такой уж новой моделью, считает Дин Тёрнер, директор Symantec Global Intelligence Network: “Многие Unix-системы давно используют подход “отказать, если нет четкого разрешения” при предоставлении доступа к портам, сервисам и т. д. Специалисты по безопасности также всегда рекомендовали предоставлять доступ в сети только известным, пользующимся доверием приложениям и сервисам. Раньше существовал в целом более высокий уровень доверия к трафику, исходящему из собственной внутренней сети. Но с взрывообразным ростом вредоносного кода за последние семь лет специалисты по сетям и безопасности стали подходить к своим внутренним сетям точно так же, как к внешним, поскольку угрозы могут исходить даже от самых надежных сетей”.

Однако Марк Мэйффрет, главный технолог компании eEye Digital Security, возражает, что любая сеть подразумевает определенный уровень доверия. Ведь если “в ИТ-подразделении будет царить такая же паранойя, как среди политиков во время “холодной войны”, оно станет неуправляемым и недееспособным”.

“Модели доверия быстро сводятся к составлению “белых” и “черных” списков. Первые неявно запрещают доступ, но делают исключения из правила. Вторые разрешают доступ при четких правилах его блокировки, — сказал он. — Меня заботит не столько понимание доверия внутри организации, поскольку оба подхода имеют свои достоинства и недостатки. Меня больше интересует, какая технология используется для реализации каждой модели доверия. Если она сводится к простому наращиванию систем предотвращения вторжений и борьбы с вирусами, которые работают на основе различных моделей доверия, то в действительности ничего не меняется”.

Концепция полного недоверия подкрепляется глубоким изучением сетевого трафика, отмечает директор компании NetWitness по безопасности Эдди Шварц. Иными словами, организациям необходимо сконцентрировать усилия на получении адекватного представления обо всей сети.

“Особенно важен уровень 7, поскольку большинство новых, изощренных угроз возникает на уровне приложений. А это тот уровень, который наименее доступен вниманию организаций… Зная, что происходит в сети, специалисты по безопасности могут с уверенностью проверить любое устройство, любой запрос и любого пользователя”, — сказал он.

Имеются способы перехвата пакетов и других важнейших сетевых данных, но они должны быть реализованы в самой сети, считает Кандерваг: “Мы работаем над определением нового понятия — анализ и наглядность сети (network analysis and visibility, NAV). Оно подразумевает более эффективное изучение пакетов. Это может представлять определенные трудности. Но приступать к этому совершенно необходимо, поскольку отсутствие наглядности и проверки пользующегося доверием трафика создает значительный риск и приводит к появлению многочисленных брешей в корпоративных сетях”.

Полное недоверие во многих отношениях является антиподом глубоко эшелонированной обороны (Defense-in-Depth, DiD), добавил он.

“DiD играет важнейшую роль для успеха производителя, поскольку в основанной на DiD модели безопасности вам требуется постоянно покупать что-то новое и добавлять все новые средства управления, — сказал Киндерваг. — Полное недоверие представляет собой такой подход к безопасности, в центре которого находятся данные. У него иные цели и способы реализации”.