Выбрать главу

• сетевого уровня – 6-7-й уровни.

...

Рис. 1.9. Классификация сканеров по уровням модели OSI

Первая группа производителей (Application Security, Pentest, ISS Database Scanner, NGS Squirrel и пр.) предлагает сканеры прикладного уровня (приложения, распределенные БД, системы электронного документооборота, ERP и пр.). Среди них выделяется компания Application Security (www.appsecinc.com). которая предлагает решения для Oracle, MS SQL, Sybase, DB2 IBM, MySQL, Lotus Notes, то есть практически всех основных лидеров и поставщиков решений электронного оборота, ERP, CRM.

Вторая группа (KAVADO, Sanctum, SPI Dynamics) предлагает услуги и продукты для сканирования представительного уровня.

Третья группа (Foundstone, ISS, XSpider, eEye Retina, Nessus, NetlQ и пр.) предлагает решения для 3-5-го уровня модели OSI. Популярны в России сканеры семейства ISS, а также сканеры Nessus, XSpider, eEye Retina.

Четвертая группа (Network Associates, Symantec) предлагает решения преимущественно для 6-7-го уровня модели OSI.

Основной особенностью наиболее продаваемых и используемых коммерческих сканеров является возможность как минимум еженедельно обновлять базы данных уязвимостей путем взаимодействия с крупнейшими центрами по сбору новых уязвимостей и с ведущими производителями сетевого оборудования и программного обеспечения.

1.1.13. Средства защиты от спама

Согласно статистическим данным за 2004 год, в Российской Федерации объем спама в сообщениях электронной почты достиг 60 %. Сотрудникам приходится тратить свое рабочее время, а это деньги предприятия, на просмотр таких сообщений, их удаление, настройку правил по нейтрализации. Спам также содержит программы типа «Троянский конь», программы-шпионы (spyware) и вирусы. Таким образом, предприятию наносится значительный ущерб. Для предотвращения получения сотрудниками сообщений, содержащих спам, можно воспользоваться одним из продуктов следующих фирм: Symantec (использует технологию фирмы Brightmail), Trend Micro (использует технологию фирмы Postini) или «Лаборатории Касперского» (см. рис. 1.10).

...

Рис. 1.10. Магический квадрант для средств защиты от спама

Источник: Gartner Group, 2004

1.1.14. Средства защиты от атак класса «отказ в обслуживании»

В связи с тем что атаки класса «отказ в обслуживании» приносят значительные убытки отечественным и западным компаниям (см. рис. 1.11), можно воспользоваться специальными средствами защиты, например продуктами компании Riverhead, приобретенной компанией Cisco Systems. Сейчас продукты Riverhead продаются под торговой маркой Cisco Guard XT 5650 и Cisco Traffic Anomaly Detector XT 5600.

...

Рис. 1.11. Наиболее опасные атаки в 2004 году

Источник: Отчет CS/FBI, 2004

1.1.15. Средства контроля целостности

Внесение некорректного изменения в конфигурацию сервера или маршрутизатора может привести к выходу из строя необходимого сервиса или целой сети. Очень важно предупредить и отследить несанкционированные изменения. Для быстрого реагирования на такую ситуацию нужно иметь средство отслеживания всех производимых изменений. Данную возможность предоставляет, например, серия продуктов компании Tripwire.

1.1.16. Средства инфраструктуры открытых ключей

Внедрение инфраструктуры открытых ключей очень трудоемкая задача, требующая тщательной проработки и анализа. При решении этой задачи можно воспользоваться продуктами компании RSA Security (Keon) и отечественной компании «КриптоПро» («Криптопровайдер»), При этом хранение сертификатов осуществлять на аппаратных устройствах Aladdin USB eToken.

1.1.17. Средства усиленной аутентификации

На критичных элементах сетевой инфраструктуры следует реализовать систему усиленной аутентификации, например на базе продукта Cisco Secure Access Control Server с использованием системы однократных паролей RSA Security SecurlD.

1.2. Характеристика зрелости технологий защиты информации

Практика обеспечения защиты информации в отечественных компаниях насыщена инцидентами. Анализ этих инцидентов свидетельствует о том, что одних только технических средств защиты недостаточно. В чем причины такого положения дел?

Во-первых, появление новых сетевых «червей», пусть даже в день опубликования сообщения об очередной уязвимости приложений и/или операционных систем, практически сводит на нет все усилия поставщиков антивирусного программного обеспечения. Они просто не успевают выпустить обновления для своих антивирусов, так как необходимо время на исследование нового вируса, разработку и публикацию соответствующей сигнатуры, а потребителям антивирусов необходимо время на тестирование и установку обновлений в корпоративной сети. За этот период корпоративная информационная система уже может быть выведена из строя. Кроме того, большинство конфигураций операционных систем установлено по умолчанию, что способствует быстрому распространению сетевых «червей». Например, в 2003–2004 годах примерно 90 % инцидентов было вызвано атаками сетевых «червей». Более того, теоретически доказано, что множество всех вирусов не поддается перечислению и что нельзя создать универсальный детектор, способный отличить «чистую» программу от зараженной (Л. Адлеман и Ф. Коэн).