Według statystyk CERT, tylko w 2004 r. pojawiło się blisko 3800 nowych zagrożeń i "słabości" w systemach sieciowych, aplikacjach i systemach komputerowych. Statystycznie daje to ponad 10 nowych zagrożeń każdego dnia. Jak przygotować organizację do ochrony przed nowymi typami ataków i zagrożeń bezpieczeństwa?

Ciągła ewolucja systemów komputerowych daje coraz to nowsze zastosowania funkcjonalne i usprawnienia komunikacji. Równocześnie jednak zmusza do większego wysiłku w zapewnianiu odpowiedniego poziomu bezpieczeństwa informacji, jak i odporności systemów na stale rosnące zagrożenia. Posiadanie niezabezpieczonych systemów to wzrost ryzyka utraty informacji, ciągłości prowadzonej działalności biznesowej, a co za tym idzie utrata środków finansowych, wizerunku wiarygodnego partnera czy też wręcz narażenie ludzi czy całej firmy na odpowiedzialność prawną.

Według informacji podanych przez Deloitte & Touche LLP, na podstawie wyników globalnej ankiety przeprowadzonej wśród firm i instytucji finansowych, liczba zewnętrznych ataków na systemy informatyczne wzrosła od ubiegłego roku prawie dwukrotnie. Blisko 83% ankietowanych stwierdziło, że ich systemy padły ofiarą ataków w ciągu ostatniego roku (w porównaniu do 39% rok wcześniej). Co więcej, 40% firm, których systemy uległy atakom, odnotowało znaczące straty finansowe.

Dlaczego tak się dzieje?

Można wymienić wiele powodów. Pierwszym z nich jest wysoki poziom skomplikowania systemów. Różnorodność systemów i aplikacji, urządzeń sieciowych oraz interakcji między nimi na różnych poziomach powoduje, że znacznie trudniej zachować ich szczelność.

Wprowadzanie kolejnych aplikacji to konieczność dogłębnego zrozumienia ich działania i współpracy z innymi systemami w sieci, jak też zagrożeń, jakie mogą się z nią wiązać.

Duża ilość aplikacji to większa liczba potencjalnych zagrożeń, a co za tym idzie wydłużenie czasu, jaki każdy administrator odpowiedzialny za bezpieczeństwo musi poświęcić na zaznajomienie się z nimi. Jeżeli w roku 2004 pojawiło się 3800 nowych zagrożeń, biorąc pod uwagę, że poznanie tylko jednego z nich zajmuje 20 min, to zakładając ośmiogodzinny dzień pracy, administrator potrzebowałby 158 dni, aby zaznajomić się ze wszystkimi. Jeżeli tylko 5% ataków wymagałoby dodatkowej operacji związanej z uaktualnieniem systemu lub aplikacji (1 godzina = 1 aktualizacja), należy doliczyć dodatkowe 24 dni. To praktycznie daje cały rok pracy.

Ewolucja systemów komputerowych w naturalny sposób związana jest z ewolucją zagrożeń oraz sposobów ich rozprzestrzeniania. Wraz ze wzrostem liczby zagrożeń rośnie też dostępność narzędzi, które mogą być pobrane z sieci i wykorzystane przez osoby nawet z minimalną wiedzą o działaniu komputera.

Nowe typy zagrożeń, takie jak robaki, charakteryzują się bardzo krótkim czasem propagacji w sieci. Przykład robaka Red Code, który w ciągu 24 godzin zainfekował ponad 340 tys. komputerów, a robak Slammer pierwszych 75 tys. zainfekował w 11 min, osiągając w szczycie swojej działalności 55 mln stacji skanowanych na sekundę.

Jak bronić się przed nowymi zagrożeniami? Oczywiście można stosować narzędzia reaktywne, jednakże ich skuteczność jest tak duża, jak szybkość reakcji ich producenta, który powinien jak najszybciej dostarczyć sygnaturę robaka lub wirusa.

Sieć, która obroni się sama

Kupując dziś nowy samochód nie zastanawiamy się nad tym, że kupujemy tak naprawdę urządzenie zaprojektowane nie tylko po to, by przewozić ludzi, ale również po to, by chronić nasze życie. System bezpieczeństwa jest wbudowanym, integralnym elementem samochodu.

Wizja sieci, która broni się sama, propagowana przez Cisco Systems, jest z założenia oparta na zintegrowanej w sieci inteligencji oraz mechanizmach pozwalających na jej interakcję z aplikacjami wykorzystującymi tą sieć, jak również innymi systemami bezpieczeństwa dostępnymi na poziomie aplikacyjnym. Aby zapewnić kompleksowość rozwiązań, Cisco Systems współpracuje z takimi firmami, jak: Trend Micro, Symantec, NA, IBM, Microsoft itp.

Idea Self Defending Network zakłada, że bezpieczeństwo nie jest aplikacją w sieci, lecz jest funkcją wbudowaną w sieć. Następnie sieć potrafi adaptować się do zmian wymagań bezpieczeństwa, przez co umożliwia uzyskanie wysokiej dostępności usług. Reaguje szybko, poprawnie i odpowiednio do zagrożenia. Zapewnia niski całkowity koszt posiadania rozwiązania i nie wprowadza dodatkowych czynności administracyjnych. Wreszcie wykorzystuje istniejącą infrastrukturę sieci.

Reakcja na atak nie jest już wystarczającą obroną, a dotychczasowe podejście reaktywne musi zostać zastąpione proaktywnym podejściem do ochrony zasobów w sieci. Konieczne jest zautomatyzowanie tych procesów i zastosowanie mechanizmów pozwalających proaktywnie śledzić poziom bezpieczeństwa. Przykładem takiego mechanizmu, który został już zaimplementowany w urządzeniach sieciowych, jest Network Admission Control, czyli kontrola dostępu do sieci urządzeń, którego kryterium jest "dobra kondycja" hosta i niska podatność na zarażenie wirusem czy zainfekowanie robakiem internetowym.

Mechanizmy ochrony proaktywnej

Rozwiązanie Network Admission Control zakłada, iż nawet w przypadku prawidłowej, optymalnej konfiguracji możliwe jest, że w sieci będzie pojawiał się ruch niepożądany, w szczególności ruch generowany przez wirusy/robaki, który służy ich rozprzestrzenianiu się. Takie założenie wskazuje jednoznacznie, iż kontrola dostępu do sieci w oparciu o adresy MAC, adresy IP czy też port usługi nie jest wystarczająca dla zahamowania ataku wirusa czy robaka. Konieczne jest wprowadzenie dodatkowego elementu kontroli. Tym dodatkowym kryterium może być sprawdzenie, czy dany host, żądający dostępu do sieci, posiada zainstalowane i uruchomione odpowiednie aplikacje chroniące jego samego przed atakiem, a także czy wersje tych aplikacji zostały zaktualizowane do obecnie obowiązujących.

Na stacji końcowej znajduje się oprogramowanie agenta, który zbiera informacje o zainstalowanych aplikacjach i przekazuje te dane do urządzenia sieciowego. Urządzenie to z kolei wysyła te informacje do serwera polityki bezpieczeństwa, na którym zdefiniowane zostały statyczne i dynamiczne warunki określające możliwość dołączenia stacji do sieci. Jeżeli informacje o stacji podane przez urządzenie sieciowe spełniają warunki zdefiniowane na serwerze, wówczas serwer wysyła komunikat do urządzenia sieciowego, aby to zezwoliło na dostęp do sieci.

Z jednej strony urządzenie sieciowe broni sieć przed stacją, z drugiej strony agent pracujący na stacji jest jednocześnie systemem HIPS, którego celem jest również ochrona stacji przed wszelkimi zagrożeniami przychodzącymi z sieci.

Ochrona w przyszłości

Odseparowane, punktowe rozwiązania bezpieczeństwa nie mogą zaoferować tego samego rodzaju ochrony co mechanizmy bezpieczeństwa zintegrowane w infrastrukturze sieci oraz aplikacji. Integracja aplikacji i urządzeń sieciowych już dziś pozwala na ograniczenie szybkości i zasięgu propagacji zagrożeń. W przyszłości tego typu integracja pozwoli na adaptacyjną ochronę, gdzie poziom bezpieczeństwa sieci będzie zmieniał się dynamicznie wraz z warunkami, jakie wystąpią w sieci.

Grzegorz Dobrowolski jest Business Development Manager w Cisco Systems Poland.