НИП «Информзащита»

Мониторинг вторжений

В любой компании, занимающейся электронным ведением бизнеса или подключенной к Интернету, понимают необходимость защиты своей корпоративной сети от внешних и внутренних злоумышленников. Более того, почти каждая компания имеет средства защиты информации. Причем это могут быть как свободно-распространяемые средства, так и широко известные коммерческие решения. Несмотря на применение таких средств, число инцидентов, связанных с взломом компьютерных сетей, не только не сокращается, но и, как свидетельствует неумолимая статистика, наоборот, каждый год удваивается. И это притом, что технологии защиты не стоят на месте и год от года улучшаются! Однако и хакеры — не «сторонники застывших поз». По оценкам специалистов Пентагона, средства для реализации атак качественно совершенствуются 1–2 раза в год.

Несмотря на «интеллектуальные» возможности современных средств защиты, позволяющих автоматически обнаруживать нарушения политики безопасности и реагировать на них, полная автоматизация процесса обнаружения таких нарушений пока является недостижимой мечтой. Почти во всех известных случаях, в которых злоумышленник был пойман, это происходило благодаря применению «ручных» методов, основанных на внимательности операторов защитных систем или на дополнительных, самостоятельно разработанных программах, расширяющих функциональность используемых средств информационной безопасности.

Еще одна проблема связана с тем, что в организациях, как правило, используются разнородные защитные средства, у каждого из которых свои способы управления, свои методы представления информации и тревожной сигнализации, свои форматы хранения данных и т.п. И проблема не только в том, что средства защиты поставляются различными производителями. Приобретая все указанные категории средств от одного производителя, вы не застрахованы от того, что они НЕ будут работать вместе. В обычной жизни администратору приходится сталкиваться с несколькими средствами защиты, у каждого из которых своя собственная консоль управления. Как вы думаете, сможете ли вы в таком случае эффективно управлять инфраструктурой информационной безопасностью вашей сети? Перед глазами сразу встает картина — администратор (хорошо, если он не один) сидит перед двадцатью мониторами и пытается одновременно следить за ними. Впечатляет, не правда ли?

Опыт показывает: для того, чтобы избежать этих проблем, необходима (помимо собственно средств защиты) эффективная система мониторинга уровня защищенности корпоративной сети. Наибольший эффект от применения защитных средств достигается тогда, когда все они объединены в одну управляемую систему информационной безопасности. Примером такой системы является RealSecure SiteProtector компании Internet Security Systems, который решает следующие задачи:

  • Управление средствами обнаружения атак, сканерами безопасности и персональными межсетевыми экранами компании Internet Security Systems.
  • Управление средствами защиты информации третьих фирм, включая межсетевые экраны, средства построения VPN и т.д.
  • Сбор и отображение в реальном режиме времени информации о событиях, которые фиксируются всеми управляемыми средствами защиты.
  • Анализ и корреляция данных, получаемых от всех управляемых средств защиты.

Текущая версия системы RealSecure SiteProtector позволяет управлять с единой консоли следующими средствами:

Архитектура системы позволяет установить неограниченное число консолей управления, каждая из которых выполняет свои задачи (отображение событий, настройка сенсоров, анализ данных и т.д.). При этом они могут отображать не все события, что позволяет администратору безопасности сконцентрироваться только на том, что важно для него в настоящий момент. Центральная консоль позволяет управлять подчиненными консолями, установленными в удаленных филиалах, и получать от них только нужную в центральном офисе информацию (например, данные об атаках и уязвимостях только высокой степени риска).

К выгодам, получаемым потребителями этой системы, можно отнести:

  • Эффективное обнаружение «дыр» и атак в корпоративной сети.
  • Снижение издержек на поддержку управляемых средств защиты.
  • Снижение затрат на обучение администраторов безопасности, вынужденных в обычных условиях изучать несколько различных продуктов, каждый из которых имеет свою консоль управления.
  • Существенное повышение эффективности работы персонала, отвечающего за информационную безопасность.
  • Обеспечение масштабируемости инфраструктуры информационной безопасности.
  • Эффективное использование времени и сил специалистов, отвечающих за контроль состояния защищенности ресурсов корпоративной сети.
  • Обеспечение единого, унифицированного интерфейса управления для разнородных средств защиты.
  • Управление с одной консоли средствами защиты, находящимися на различных участках корпоративной сети (в т.ч. и в удаленных филиалах).

Более подробная информация о системе RealSecure SiteProtector доступна здесь.


Вернуться на главную страницу обзора

Версия для печати

Опубликовано в 2003 г.

Техноблог | Форумы | ТВ | Архив
Toolbar | КПК-версия | Подписка на новости  | RSS