Защита информации на уровне конечного пользователя

Поскольку такие технологии, как сети с высокой скоростью передачи, коммутация и сквозное шифрование распространены наиболее широко, то главнейшей задачей становится обеспечение требуемой защиты на сетевом уровне. Одним из важнейших мест для усиления защиты является уровень конечного пользователя, где находятся данные и где потенциальный ущерб наиболее велик.В настоящее время предприятия столкнулись с наличием представляющих лишь некоторые аспекты продуктов, каждый из которых решает часть вопросов защиты конечного уровня. Они включают в себя распределенные персональные межсетевые экраны для защиты от исходящих из сети угроз, антивирусные сканеры для обнаружения угроз на основе файлов, а также продукты, осуществляющие аудит и контроль целостности для обнаружения злонамеренных действий по изменению конфигурации.Эти технологии не способны противостоять атакам нового типа, которые осуществляются через существующие протоколы для нападения на приложения, а также атакам, основанным на содержании, которые служат для нападения на системы до того, как поставщики успеют разработать и распространить сигнатуры и другие ответные действия.

Оптимальные методыЛюбая организация, которая намерена защитить себя путем использования технологии обеспечения защиты конечного уровня, должна принять во внимание ряд факторов при оценке продуктов, чтобы требования этой организации в плане защиты были удовлетворены.Выбранные технические решения должны удовлетворять требованиям обеспечения защиты, управляемости и гибкости, в противном случае решение будет неполным или приведет к значительным издержкам на администрирование, которые аннулируют преимущества от обеспечения защиты.Оптимальные методы должны включать в себя следующее:1. Решения по защите в реальном времени.Для обеспечения наивысших уровней защиты и минимизации возможности обхода политики безопасности на хосте вызовы приложений должны перехватываться на уровне ядра, где определяется их соответствие политике. Решения, которые реализованы путем замены библиотек общего доступа или анализа файлов регистрации аудита системы, можно обойти достаточно легко.Эффективная стратегия защиты конечного уровня включает в себя предотвращение нарушений в реальном времени, а не констатацию атак или изменений системы после того, как они произошли.2. Глубоко эшелонированная защита от атак.Для полного обеспечения политики безопасности компании система защиты конечного уровня должна перехватывать все основные точки коммуникации между приложениями и базовой системой. Контроль сетевого доступа ограничивает взаимодействие для разрешенного обмена данными клиент/сервер на уровне портов и протоколов, а также на уровне хостов; средства управления файловой системой должны разрешать или запрещать доступ по чтению или записи к папкам и файлам для отдельных пользователей и групп; средства управления реестром должны предотвращать изменение важных ключей реестра, которые определяют режим работы системы и других приложений; средства управления COM должны ограничивать связь между процессами до разрешенного уровня доступа.Атаки имеют несколько фаз: разведка сети и уязвимых мест на уровне приложений, тиражирование и распространение самих себя, а также осуществление несанкционированных изменений в системе. Полная стратегия защиты конечного уровня должна защищать систему на каждой из этих фаз, чтобы при появлении нового класса атак последние пресекались на одной или нескольких из этих стадий.3. Корреляция в реальном времени на уровнях агента и предприятия.Корреляция имеет первостепенную важность для технологии защиты уровня конечного пользователя. Развертывание средств поддержки корреляции в агенте обеспечивает такой уровень точности защитных решений, который не может существовать при подходе на основе сигнатур.Корреляция последовательности событий в контексте характерного поведения приложения исключают потенциальную возможность ложных срабатываний, а корреляция на уровне предприятия делает возможной адаптацию системы защиты.Путем корреляции событий на распределенных агентах политики безопасности конечного уровня могут динамически обновляться для предотвращения распространения вредоносного программного кода, что исключает невосполнимый ущерб для многочисленных ресурсов.4. Подход на основе поведения.Подход в обеспечении защиты конечного уровня должен быть основан на соответствующем поведении системы и приложений, чтобы обеспечить упреждающую, а не ответную реализацию защиты. Решения, которые основаны на сигнатурах, обеспечивают защиту только в рамках последнего обновления базы сигнатур.5. Гибкость для удовлетворения уникальных корпоративных требований.Каждая корпорация является уникальной в плане конкретных деталей конфигурирования и администрирования своих систем и корпоративных приложений. Технические решения для обеспечения защиты конечного уровня должны быть гибкими, чтобы адаптироваться к этой уникальности, допуская настройку существующих политик и создание новых политик, которые должны быть приведены в соответствие как с уникальными приложениями, так и с уникальными реализациями. Такое решение должно поддерживать автоматизированное создание политик для уменьшения издержек на администрирование при ручном создании политик.6. Легкость развертывания.Стратегия защиты конечного уровня должна минимизировать накладные затраты на персонал, связанные с развертыванием агента.Технические решения должны предусматривать готовые к применению функции, позволяющие быстрый ввод в действие политик безопасности, а также должны допускать развертывание при необходимости новых и специальных политик без дополнительного вмешательства со стороны хоста.Эти решения должны поддерживать развертывание на базе глобальной сети и допускать легкую интеграцию со стандартными механизмами распространения корпоративного программного обеспечения.7. Централизованное управление событиями.Все события, которые генерируются агентами, должны собираться в централизованном хранилище данных, из которого могут генерироваться сигналы тревоги и отчеты. Рассматриваемые решения должны поддерживать стандартные интерфейсы передачи сигналов тревоги, например, упрощенный протокол управления сетью (SNMP), передачу коротких сообщений, электронной почты и простых файлов, а также должны допускать настраиваемые интерфейсы системы оповещения для удобной интеграции с корпоративными системами.8. Охват аппаратных платформ, с поддержкой настольных компьютеров и серверовРассматриваемые решения должны обеспечивать охват ответственных операционных систем, которые корпорация желает защитить. В свете последних атак, которые имеют целью множество хостов, одна и та же концептуальная схема управления и обеспечения соблюдения политик должна применяться и к настольным компьютерам, и к системам на базе серверов.9. АдминистрированиеДля удобства управления ими политики должны определяться централизованно и автоматически распространяться по агентам через конфигурируемые интервалы времени. Также политики должны быть экспортируемыми для целей тиражирования и архивирования.Для компаний, имеющих более одного администратора, необходимо предусмотреть возможность «администрирования с любого места» для удобства управления их операционными средами.Технические решения для обеспечения защиты конечного уровня должны быть управляемыми с любого места через стандартный Web-браузер, чтобы избежать установки заказного программного обеспечения на компьютере каждого администратора, исключить установку незащищенного и сложного в сопровождении программного обеспечения, которое позволяет производить удаленное администрирование, а также оптимизировать затраты на обучения ИТ-персонала.Большие корпорации, имеющие тысячи нуждающихся в защите вычислительных систем, могут рассмотреть решения, которые позволяют единственному администратору поддерживать тысячи агентов и допускают копирование политик через организационные или региональные границы.Компании должны обеспечить, чтобы их технические решения реализации защиты конечного уровня удовлетворяли требованиям надежной защиты, управляемости и гибкости, избегая ограниченных или неуправляемых решений. "http://www.cnews.ru/security2004/world/index3.shtml">CNews