Securitate IT – Self-defending Networks: retelele secolului XXI

Termenul de „self-defending network” este la prima vedere o simpla denumire aruncata pe piata IT de o serie de producatori de echipamente menite sa securizeze retelele de date, cu simplul scop de a obtine un impact de marketing cat mai puternic. Adevarul este bineinteles undeva la mijloc, intre produs si imaginea acestuia.

O retea capabila sa se apere singura, asa cum sugereaza denumirea, presupune o infrastrucutra inteligenta, capabila sa ia decizii corecte in momente critice, fara a avea nevoie de interventia umana. Acest lucru se poate obtine prin implementarea mai multor solutii de securitate menite sa lucreze impreuna, ca o platforma unitara in cazul unui atac informatic. Dar de ce este nevoie de o astfel de investitie, mai ales cand fiecare calculator se poate proteja folosind solutii de tip antivirus sau firewall?

O serie de studii recente au aratat ca nivelul pierderilor financiare suferite de companii ce au fost tinta unor atacuri informatice a crescut ingrijorator in ultima perioada. Daca in anul 2000 pagubele erau cauzate de atacuri intamplatoare, precum virusul „ILOVEYOU” care a infectat 45 de milioane de sisteme in prima zi, situatia sta cu totul altfel in zilele noastre. Astfel se constata o crestere semnificativa a atacurilor directate spre o anumita tinta, cu scopuri precise si bine organizate. Un grup de atacatori al anului 2008 nu mai programeaza pentru a exploata o vulnerabilitate in cautare de afirmare in domeniu, ci pentru a obtine intr-un final venituri din aceasta activitate. O sursa posibila de bani, sub orice forma este o posibila tinta, deci orice companie poate fi vizata.

Tot in aceasta idee atacurile informatice au devenit tot mai complexe si devin cu atat mai periculoase cu cat o buna parte dintre ele au avantajul de a porni din interiorul companiei prin diverse mijloace.

O structura informatica sigura a zilelor noastre nu se mai poate baza pe solutii de tip antivirus sau firewall personal, si are nevoie de o combinatie de mijloace de prevenire si tratare al unui posibil incident de securitate. Aceasta are nevoie de mijloace de securitate adaptive in fiecare punct, deoarece oprirea unui atac complex nu se poate baza pe un singur echipament.

O explicatie a faptului ca un firewall ce studiaza pachetele la nivelele 3-4 ale modelului OSI, plasat la intrarea in retea nu este sufficient, este cresterea exponentiala a atacurilor directate spre diferite aplicatii cu continut web. Astfel, s-a constatat ca cel mai atacat serviciu la nivel mondial este HTTP, acesta transportand date pentru diferite platforme. Mai departe, 70% din atacurile orientate catre servere web si in speta protocolul HTTP exploateaza vulnerabilitati ale serviciilor, folosind diferite pachete de date ce pentru un dispozitiv de inspectie de nivel 3-4 pot parea trafic legitim.

Urmand aceasta linie, se poate observa ca virusii ce afecteaza sistemele sunt din ce in ce mai bine construiti. Este dificil sa mentinem o retea mare de calculatoare complet protejata pornind de la solutii de antivirus instalate pe statiile de lucru. Astfel, accentul trebuie sa se puna atat pe preventie cat si pe oprirea propagarii in contextul in care conexiunile de tip VPN, spre exemplu nu permit analizarea traficului ce leaga nodurile principale dintr-o retea de date privata.

Cea mai mare problema o pun tipurile de amenintari ce nu sunt inca documentate. Astfel, o retea cu adevarat inteligenta trebuie sa recunoasca si sa reactioneze la diferite comportamente ce ar putea pericilita siguranta proprie, desi nu se pot identifica semnaturile necesare pentru a cataloga atacul
Pornind de la astfel de amenintari s-au conturat o serie de inovatii in domeniul securitatii informatice, care au devenit astazi standardul unei retele sigure. Prin implementarea unor tehnologii intr-o retea existenta, aceasta poate fi adusa cu putin efort la cerintele standardelor actuale.

Primul pas este renuntarea la securitatea bazata pe un singur punct de control, si replicarea acestuia in noduri-cheie din intreaga infrastructura. Acest complex sistem de control poarta numele de prezenta – reteaua va deveni constienta de tot ceea ce se intampla in toate segmentele ei. Aceste puncte de control nu trebuie sa fie echipamente dedicate, ci mai degraba platforme cu servicii integrate de securitate: routere, switchuri, servere. Din punct de vedere al solutiilor de securizare, acestea trebuie sa ofere servicii de baza de control al accesului, inspectie de date, monitorizare si raportare.

Al doilea pas este implementarea unui context de securitate pentru orice actiune ce se petrece in interiorul retelei. Spre exemplu, cand un utilizator se va conecta la retea, infrastructura va obtine doua seturi de credentiale: unul care identifica persoana ce se conecteaza si unul care identifica sistemul care se conecteaza. Aceste doua informatii luate impreuna pot forma un context dupa care o retea moderna permite sau blocheaza traficul pe masura ce acesta se genereaza. Contextul format dintr-o pereche utilizator-sistem este necesar pentru a preveni diferite cazuri de incidente. Spre exemplu, daca statia este infectata cu un virus, traficul este izolat, iar utilizatorul este indemnat printr-un mesaj sa foloseasca un alt sistem si sa contacteze administratia retelei.

Al treilea pas este adaugarea unor relatii intre elemente, bazate pe incredere administrativa. Acest lucru permite unui sistem sa accepte trafic sau nu de la un alt sistem in functie de contextul de securitate in care acesta ruleaza. Aceste relatii de incredere trebuie sa aiba mai multe proprietati, printre care denumirea sistemului, utilizatorul, locatiei in retea sau nivelul de securitate al corespondentului. O relatie de incredere nu este in general permanenta si este intr-o continua evaluare, monitorizare si raportare.
Toate acestea se pot obtine implementand diverse tehnologii, oferite de o gama variata de producatori.

Una din tehnologiile importante este cea a securizarii statiilor si serverelor, in combinatie cu folosirea unui sistem de tip Network Admission Control. Astfel, un administrator poate implementa cu usurinta o politica de securitate in intreaga retea.

Pe echipamentul ce serveste rolul de NAC se pot determina o serie de reguli dupa care traficul de la un punct din retea este permis sau nu, in functie de o serie intreaga de criterii. Fiecare statie va avea instalate clasicele servicii de antivirus si firewall, dar si un agent de securitate< care monitorizeaza in permanenta tot ceea ce se intampla local. Acesta poate verifica evenimentele de pe sistem, actualitatea bazei de date a antivirusului, integritatea regulilor de firewall sau instalarea actualizarilor de sistem de operare. Un sumar al acestor verificari vor desemna o parte din contextul de securitate al locatiei respective. Un exemplu practic este impunerea unor reguli ce pot forta un utilizator sa-si pastreze sistemul de operare si antivirusul actualizate la zi, astfel scazand simtitor sansa propagarii unui virus in retea. O alta tehnologie importanta este cea a limitarii propagarii unui atac. Desi o politica de securitate bine implementata poate rezolva multe probleme, trebuie sa existe mecanisme intr-o infrastructura care sa reactioneze activ in cazul unui atac informational reusit. De la raspandirea unui virus pana la atacuri de tip Distributed Denial of Service, incidentele trebuie oprite intr-un mod organizat si automatizat. Acest lucru nu este posibil folosind doar diferiti agenti de securitate ce raporteaza statusul unui sistem. In cazul unei retele moderne se vor plasa in diferite noduri strategice senzori de tip Intrusion Detection System care vor analiza in timp real traficul ce parcurge segmentul respectiv. Odata ce se observa un comportament anormal fata de linia normala de lucru se pot transmite alerte, iar contextul de securitate pentru diferite locatii se va schimba in mod dinamic, permitand astfel izolarea unui incident si diminuarea impactului, pe care il are asupra infratructurii de date. Acest comportament este o imbunatatire evidenta fata de protocoalele de autentificare clasice, care dupa transferul initial de credentiale si aprobarea sau respingerea acestora, nu isi mai schimba contextul de securitate. Pentru ca izolarea unui incident sa poata avea loc, toate echipamentele cu rol major in retea trebuie sa poata sa lucreze cu contexte de securitate si sa analizeze in permanenta, in timp real corelatia dintre acestea si evenimente. Odata ce o astfel de corelatie este identificata ca un posibil incident, echipamentul trebuie sa decida gravitatea situatiei, impactul asupra retelei, si primul nod unde traficul ar putea fi oprit pentru a nu fi afectata intreaga retea. Pe langa atacurile ce pot intrerupe activitatea unei retele, exista o serie intreaga de probleme ce nu intra in categoria unui incident grav de securitate. O retea inteligenta, capabila sa se apare singura trebuie sa poata filtra si continuturi cu caracter de spyware, spam sau phishing. Aceste filtre presupun inspectie la nivelul 7 pe modelul OSI si pot preveni diferite posibile incidente, de la descarcarea unui virus de pe Internet, abuzul asupra anumitor seturi de aplicatii, pana la descoperirea traficului mascat in cereri HTTP false. Constructia si implementarea solutiilor de securitate care sa indeplineasca aceste sarcini s-a facut in anii trecuti prin prisma construirii unei retele care sa raspunda activ la atacuri. Studiile arata ca aceasta metoda nu mai este eficienta complet, fiind nevoie de o alta perspectiva. Astfel, s-a migrat catre solutii ce ofera un raspuns la incidente, atat in mod activ, cat si adaptiv ceea ce aduce un plus de securitate in cazul atacurilor cu radacina inca necunoscuta. Astfel de solutii ajuta la ridicarea standardelor focalizate pe cei patru vectori care conduc o retea cu un inalt grad de securitate: integritate, confidentialitate, uptime si disponibilitate. Desi atacurile informationale devin din ce in ce mai complexe si au devenit un mijloc de a aduce profituri pentru multe grupuri, o companie se poate feri de majoritatea problemelor derivate din aceste actiuni adoptand o pozitie ferma din punctul de vedere al securitatii infrastructurii informatice. Pe langa o politica de securitate puternica, cunoscuta si adoptata de toti angajatii este nevoie si de implementarea unei retele inteligente, capabila sa se adapteze oricaror amentintari pot fi aduse de prezent si de viitorul apropiat.

Pentru mai multe informatii si o oferta personalizata de solutii si de servicii IT, va rugam sa ne contactati.

Sursa: www.computerworld.ro