Защита и управление - объединение систем управления вычислительными ресурсами и информационной безопасностью в единый комплекс продуктов улучшит работу каждого из них.
Базовый принцип информационной безопасности сформулирован в лозунге "система защищена настолько, насколько защищено ее самое слабое звено". То есть в информационной защите предприятия не должно быть слабых мест, иначе их могут использовать нападающие для проникновения в систему. Сейчас для этого уже недостаточно управлять только инструментами информационной защиты, но приходится контролировать всю конфигурацию информационной системы предприятия в целом. Именно поэтому наметилась тенденция сращивания системы управления информационной защитой и вычислительными ресурсами – рабочими станциями, серверами и мобильными компьютерами.
Защита и управление
Дело в том, что именно ошибки в конфигурировании приложений и компонент информационной системы часто приводят к тому, что у злоумышленников появляется шанс проникнуть в систему. Слабые пароли, использование паролей и конфигураций по умолчанию, отсутствие шифрования, наличие на серверах неиспользуемых сервисов и приложений – все это относится к компетенции системы управления, но в то же время упрощает задачу взломщика. При этом и защитные механизмы также должны знать о том, что же они, собственно, защищают, чтобы не реагировать на атаки, которые не могут сработать просто потому, что в системе нет атакуемого сервиса. В результате, информация из системы управления увеличивает эффективность работы средств информационной безопасности.
Но с другой стороны и саму информационную безопасность нужно рассматривать в контексте жизненного цикла информационной системы, поскольку атаки приводят к непроизводительному расходованию ресурсов системы и, как следствие, к необходимости наращивать вычислительные мощности компьютеров, емкости каналов и количество серверов. В этом контексте безопасность выступает как необходимый компонент системы управления компьютерным парком: рабочими станциями, серверами и мобильными компьютерами. Обеспечение комплексной безопасности для всех этих устройств позволяет увеличить эффективность их работы. Таким образом, объединение системы управления вычислительными ресурсами и информационной безопасностью в единый комплекс продуктов улучшит работу каждого из них.
Приведем несколько примеров. До недавнего времени предполагалось, что система установки обновлений относится только к ведению систем управления клиентскими компьютерами (Client System Management – CSM). Однако в последнее время новые вирусы появляются через несколько недель или даже дней после выпуска обновлений, которые исправляют критически важный дефект безопасности. В результате, те пользователи, которые не успели обновить свое программное обеспечение к моменту появления вируса или червя, который использует для своего размножения найденный дефект, рисковали тем, что вирус проникнет в их информационную систему. То есть система установки исправлений неожиданно стала важным компонентом для обеспечения информационной безопасности и средством защиты от вирусов.
В то же время сейчас, чтобы обмануть средства защиты, хакеры стали прибегать к интересному приему – установке легальных сервисов на атакуемый компьютер. Например, если с помощью какого-нибудь ухищрения установить на компьютер стандартный FTP-сервер, то ни один антивирус не посчитает его как вредоносное ПО. В то же время появление на компьютере открытого FTP-сервиса создает серьезную брешь в защите информационной системы. Таким приемом пользуются такие типы программ как шпионское (spyware) или рекламное (adware) ПО, которое паразитирует на вполне легальном приложении – браузере. Чтобы бороться с такими методами нападений уже недостаточно классических методов защиты, поскольку защитные системы должны знать сведения о допустимости той или иной конфигурации информационной системы, а ведь именно это определяется системой CSM.
Какие же задачи должна выполнять система, которая совместно с CSM занимается управлением информационной безопасностью? Она должна сканировать управляемые системы в поисках вредоносного кода или определять его присутствие по некоторым внешним признакам, автоматически удалять или блокировать вредоносные программы, а также предотвращать его повторное проникновение в систему, восстанавливать систему после сбоя, который может быть вызван атакой или неудачной защитой от нее, а также собирать и публиковать статистику. То есть в такой комплексной системе должны присутствовать такие компоненты как сканер вредоносного ПО, мониторинг и блокировка нелегальных программ, систему контроля доступа к информационной системе, программу установки обновлений, модуль восстановления работоспособности программ и систему отчетности.
Этим требованиям отвечает, в частности, один из выпущенных компанией LANDesk продуктов, а именно LANDesk Security Suite.
В целом пакет LANDesk Security Suite обеспечивает практически полный набор функций, которыми должна обладать система централизованного управления информационной безопасностью на уровне клиентских ПК и серверов.
Поскольку LANDesk Security Suite может работать совместно с LANDesk Management Suite, то с помощью этих двух продуктов можно обеспечить как контроль над корпоративной системой и ее безопасностью, так и управление всеми клиентскими ПК в комплексе. |
 |
Модули LANDesk Security Suite
 Модуль управления обновлениями (Patch Management)
Модуль защиты от шпионского и рекламного ПО (Anti-Spyware)
Анализатор угроз безопасности (Security Threat Analyzer)
Систему обнаружения и блокирования несанкционированных приложений (Application Blocker)
Модуль для поиска новых уязвимостей (User-defined Vulnerabilities)
Систему управления доступом (Connection Control Manager)
Модуль собственного обновления LANDesk Update
Этот пакет программ может быть установлен как самостоятельно, так и интегрирован в систему управления LANDesk Management Suite 8.6
Компонент управления обновлениями позволяет администраторам просмотреть, какие пакеты обновлений необходимы для каждого ПК, но не установлены на подотчетных ему компьютерах. Причем Patch Manager определяет не только те обновления, которые могут быть установлены с его помощью, но и остальные, которые пользователь мог настроить самостоятельно. Это позволяет, в частности, не устанавливать или удалять те обновления, которые признаны ненужными или даже опасными. При этом поддерживается работа не только с Windows, но и с другими операционными системыми: Linux (Red Hat, Novell SUSE), серверные версии UNIX и Mac OS. При этом Patch Manager предоставляет широкие возможности по управлению автоматической установкой обновлений, например определяя конфигурацию по умолчанию, необязательность перезагрузки после установки обновлений и другое поведение системы в процессе установки.
Модуль защиты от вредоносного ПО (Spyware Detection and Removal) выполняет все задачи связанные с распознаванием, блокировкой, лечением и удалением таких хакерских программ как троянские кони, контролеры поведения пользователя и сканеры нажатий клавиш на клавиатуре и других, которые мешают работе пользователей и непроизводительно расходуют ресурсы компьютера. Кроме того, этот модуль восстанавливает файлы, поврежденные в процессе устранения вредоносного ПО и предотвращает повторное заражение вирусами.
Еще один компонент LANDesk Security Suite занимается поиском угроз – это Threat Analyzer. Он проверяет членство в группах, определяет какие каталоги доступны для доступа из-вне. Он же следит за тем, какие сетевые сервисы доступны внешнему пользователю. Threat Analyzer проверяет доступность гостевого входа, версии операционных систем, и многого другого, что может являться признаком уязвимости или успешно завершенной атаки.
Если же вирус все-таки проник в систему и начал активно размножаться, то его деятельность можно пресечь с помощью возможности Application Blocker. Он блокирует запуск приложений, которые не разрешены политикой безопасности, не являются корпоративным стандартом или просто уменьшают защищенность или производительность вычислительной системы.
Следующий компонент LANDesk Security Suite, который называется Connection Control Manager, обеспечивает контроль доступа к коммуникационным портам компьютера. В частности, этот компонент ограничивает доступ к таким устройствам как, шина USB, с возможностью разрешения клавиатуры и мыши, к модемам, различным съемным накопителям, параллельным и последовательным портам и беспроводным устройствам WiFi, Bluetooth и др. Этот же компонент контролирует сетевые подключения по IP адресам и в случае нарушения политики безопасности блокирует соединение и оповещает ответственных лиц.
Модуль LANDesk Updates занимается обновлениями различной информации, связанной с работой Security Suite, в частности этот модуль устанавливает обновления всех компонент, входящих в пакет, изменяет правила работы компонент, а также определяет правила обновления приложений. При этом различаются четыре типа обновлений: ядро (Core), консоль (Console), web-консоль (WebConsole) и клиент (Client), каждый из которых относится к соответствующим элементам самого пакета Security Suite. С помощью этого компонента система может без непосредственного участия администратора непрерывно развиваться и настраиваться на отражение новых угроз.
|
