Intrusion Prevention System

Skoro jesteśmy przy klasycznych mechanizmach ochrony, to warto wspomnieć również o funkcjonalności IPS. Prosty firewall nie wystarczy. Konieczne są dodatkowe mechanizmy kontroli pakietów, zgodności protokołów z RFC, anomalii w ruchu sieciowym. Niektóre z tych funkcji - w zależności od producenta - są włączane do firewalla, niektóre do IPS-a. Często mówi się o technologii NBAD (Network Behavior Anomaly Detection). Jest ona obecnie najczęściej wykorzystywana w rozwiązaniach spod znaku SIEM (Security and Information Events Management), ale że nazwa chwytliwa, to często stosuje się ją w odniesieniu do wykrywania wszelkich anomalii w ruchu. Patrząc na rynek, część IPS-owa jest chyba najbardziej zróżnicowana. Niektóre z nich potrafią kontrolować jedynie ruch sieciowy, niektóre tylko działanie aplikacji. Inne wreszcie łączą te dwie umiejętności. Część operuje tylko na sygnaturach, część ma również funkcje badania zachowań. Niektóre potrafią śledzić wywołania systemowe (np. ISS), kontrolować procesy potomne (m.in. zablokować IE możliwość wywoływania procesów powłoki systemowej - wdrożone np. w produktach CA), czy badać działanie wgrywanych bibliotek. Niektóre także dają administratorowi możliwość tworzenia własnych wzorców niepożądanych zachowań i budowania sygnatur.

Kontrola urządzeń, szyfrowanie i uwierzytelnianie

Stacja robocza to jednak nie tylko oprogramowanie - to także urządzenia do niej podłączane. Polityka bezpieczeństwa powinna regulować możliwość korzystania z urządzeń zewnętrznych, np. nagrywarek, kluczyków USB, portów FireWire czy Bluetooth. Zapis polityki powinien być wsparty obecnością odpowiedniego modułu wymuszania zgodności na stacji. Producenci najczęściej skupiają się na ochronie związanej z interfejsem USB, zapominając często o innych złączach. Możemy kontrolować zarówno używanie konkretnego urządzenia (np. danego modelu pendrive'a) lub w ogóle wyłączyć określony port. Możemy również dopuścić lub ograniczyć pewne operacje, np. zabronić nagrywania płyt, zapisu na nośnikach zewnętrznych dokumentów Word czy Excel. Jeżeli blokujemy zapisywanie określonego rodzaju plików, wskazane jest, aby ich identyfikacja nie opierała się na rozszerzeniach, ale na nagłówkach.

Ponadto możemy zezwolić na korzystanie z nośników zewnętrznych, ale tylko wtedy, jeżeli będą zaszyfrowane określonym kluczem. Dzięki temu odczytanie tak zaszyfrowanego nośnika nie będzie możliwe poza infrastrukturą firmową. Niektóre rozwiązania szyfrowania pamięci zewnętrznych pozwalają na umieszczenie na nośniku odpowiedniej miniaplikacji, która zabezpiecza hasłem dostęp do treści nośnika. To podejście daje większą elastyczność - użytkownik może odczytać nośnik wszędzie po uwierzytelnieniu się - coś jak funkcja Traveler Mode w oprogramowaniu TrueCrypt. Kontrola urządzeń jest często wiązana z rozwiązaniami DLP (Data Leakage Prevention), które mają uchronić przed wyciekiem danych z firmy.

Przy szyfrowaniu należy wspomnieć, że koniecznym (zwłaszcza w przypadku laptopów) elementem bezpiecznej stacji roboczej jest oprogramowanie szyfrujące dyski z serii FDE (Full Disk Encryption). Pozwala ono na zaszyfrowanie całego dysku twardego, bit po bicie, przy wykorzystaniu różnych algorytmów szyfrujących z AES na czele. Najnowsza wersja TrueCrypt ma taką funkcjonalność, mamy też do dyspozycji darmowy (także do użytku korporacyjnego!) produkt niemieckiej firmy CEInfosys - Free Compusec.

Wyzwań związanych z tą grupą rozwiązań jest kilka. Po pierwsze, sposób przechowywania kluczy umożliwiający deszyfrację dysków. Problem ten został ostatnio uwidoczniony w postaci ataku Cold Boot (możliwość wyciągnięcia z pamięci RAM kluczy przez szybkie schłodzenie kości pamięci i skopiowanie ich zawartości). TrueCrypt okazał się podatny na ten rodzaj ataku. Część produktów potrafi integrować się z wbudowanymi w coraz większą liczbę laptopów procesorami kryptograficznymi TPM (Trusted Platform Module), które mogą bezpiecznie przechować klucze. Drugim problemem jest obciążenie systemu - niektóre produkty spowalniają system nawet o 10%. Po trzecie, uwierzytelnianie. Jeżeli w korporacji użytkownicy mobilni muszą uwierzytelnić się tokenem kryptograficznym, koniecznie trzeba się upewnić, że rozwiązanie szyfrujące wspiera takie mechanizmy w środowisku pre-boot.

Pre-boot jest minisystemem operacyjnym, uruchamianym przy starcie komputera, umożliwiającym po zalogowaniu dostęp do zaszyfrowanego dysku (taki boot loader). Część rozwiązań FDE ma funkcję SSO (Single Sign-On), dzięki której po zalogowaniu w pre-boocie nie musimy ponownie logować się do systemu operacyjnego. Tutaj zahaczyliśmy o kolejny element bezpiecznej stacji roboczej - uwierzytelnianie. Definiując dokument opisujący bezpieczną stację, należy w nim uwzględnić egzekwowanie polityki haseł, stosowanie odpowiedniego mechanizmu uwierzytelniania, np. tokenów czy kart inteligentnych.

I to wszystko na jednym komputerze?

Jak widać elementów jest sporo, a ciągle pojawiają się nowe. Jednym z poważniejszych wyzwań od strony technologicznej jest więc takie wyważenie potrzeb, żeby nie zabić stacji roboczej. Oprócz ochrony samej siebie powinna mieć wystarczająco dużo wolnych zasobów do wykonywania normalnych zadań. Jak to zwykle bywa, musimy pójść na kompromis.

Nie ma na rynku jednego rozwiązania, które byłoby w stanie zapewnić pełną ochronę w każdym ze wskazanych obszarów. Dlatego też musimy wybierać - albo kilka produktów, z których każdy w swojej klasie jest mistrzem, albo kombajn, który nie spełni wszystkich wymagań.

Pierwsze podejście z punktu widzenia bezpieczeństwa jest niezłe, ale wiele produktów to wiele systemów zarządzania, konieczność kontaktu z wieloma dostawcami w przypadku problemów (w tym zrzucanie odpowiedzialności za niedziałanie jednego z modułów na innego producenta), najprawdopodobniej większe obciążenie systemu (pakiety zintegrowane z reguły lepiej optymalizują działanie wchodzących w ich skład elementów), brak centralnego zarządzania zdarzeniami (chyba, że kupimy drogi system SIEM).

Drugie podejście w korporacjach sprawdzi się lepiej. Otrzymamy spójne zarządzanie (choć życie pokazuje, że nie zawsze), lepsze wykorzystanie zasobów, centralny monitoring zdarzeń bezpieczeństwa.

Wszyscy czołowi producenci rozwiązań bezpieczeństwa gonią na złamanie karku, żeby jak najszybciej dostarczyć jednego agenta i jeden system zarządzania, realizujący wszystkie kluczowe funkcje. Z obserwacji wynika jednak, że nikomu w 100% to się do tej pory nie udało. Check Point ma jednego agenta, ale nie wszystkie jego komponenty są zarządzane z jednej konsoli. Symantec co prawda ma rozwiązanie szyfrujące, ale nie jest ono jeszcze zintegrowane z flagowym produktem SEP ani z jego systemem zarządzania. McAfee również nie ma jednolitego rozwiązania, a Sophos dopiero planuje pełną integrację z komponentami szyfrującymi (dzięki porozumieniu z Utimaco). Często więc stosuje się podejście mieszane, np. w zakresie funkcji takich jak firewall, antywirus, kontrola aplikacji czy urządzeń oraz IPS wykorzystuje się jeden pakiet, a dla uzyskania szyfrowania dysków inny.

Jak zatem widać, problemów jest wiele i nie ma prostej recepty na ich rozwiązanie. Jedno jest pewne - w przyszłym roku na pewno pojawią się rozwiązania All-in-one, które ułatwią życie zarówno administratorom, jak i specjalistom od bezpieczeństwa. Może warto więc jeszcze chwilę poczekać i skupić się na przygotowaniu solidnych podstaw - koncepcji bezpiecznej stacji roboczej?