Что можно считать наиболее прорывными технологиями ИБ в прошедшем 2010 году? На известной московской выставке проводится ежегодный конкурс “Львы и гладиаторы”, но это мероприятие проходит в формате шоу и не предполагает какого-либо серьезного отбора и объективной оценки продуктов. Пожалуй единственное, в чем реально соревнуются между собой российские разработчики СЗИ, это кто больше сертификатов на свою продукцию получил.
Благодаря действующей в нашей стране мутной системе запретов и ограничений на использование и импорт криптосредств, лицензионных ограничений, не соответствующей своему назначению и международной практике системе сертификации, российская отрасль информационной безопасности все больше отстает от уровня цивилизированных стран.
В качестве основного риска ИБ руководителями российских организаций безоговорочно рассматриваются проверки и санкции со стороны государственных регуляторов и правоохранительных органов. Т.е. речь идет о рисках несоответствия нормативным требованиям в области ИБ. Российские бизнесмены по-прежнему больше всего боятся собственного государства. Реальная модель нарушителя ИБ для них – это ни хакеры, ни стихийные бедствия и даже ни действия собственных сотрудников. Именно в этом контексте и рассматривается проблема ИБ.
В то же время уровень реальных кибер-угроз стремительно возрастает и решать кибер-проблемы все-равно придется, независимо от ситуации в отдельно взятой стране. Для этого очень нужны прорывные продукты и технологии, предопределяющие дальнейшие направления развития отрасли ИБ.
Наиболее инновационные продукты и технологии 2010 года в области информационной безопасности по версии SC Magazine выглядят следующим образом.
Глубокий анализ исходящего сетевого трафика, управление политиками фильтрации контента, развитые средства визуализации, реагирование на нарушения, фильтрация на уровне приложений, контроль зашифрованного трафика, предотвращение утечки информации – ничего особенного, не считая того, что все эти прелести реализованы в форме одного эплайенса, работающего на пиковых скоростях до 10 Гб/с. Такая производительность достигается за счет того, что большинство основных функций устройства по анализу контента и сетевого трафика реализовано на уровне аппаратного и микропрограммного обеспечения. “DLP на стероидах” – так называют эту систему эксперты. Цены на данные устройства начинаются с $150 000. Используемые технологии защищены многочисленными патентами.
Hatha Systems Knowledge Refinery
Данный продукт – это не просто еще один анализатор исходных кодов. Основная идея продукта – анализ воздействия и возможных последствий ошибок в исходном коде на различные аспекты работы приложения, включая, прежде всего, безопасность. Для этого анализируется информация об окружении, в котором выполняется приложение, анализируются входные и выходные данные и оценивается степень воздействия.
Одной из техник анализа сложных взаимосвязей внутри программных модулей является визуализация этих взаимосвязей (graphical mapping). По результатам анализа исходных кодов строится так называемая “карта вызовов” (call map), на которой пользователь цветом выделяет уязвимые участки кода. Продукт также проверяет метаданные и контролирует версионность приложения, выявляя ситуации, когда устаревшие программные модули, используются в новых версиях и могут негативно повлиять на их функционирование.
Продукт анализирует коды на языках COBOL, C и Java. Данные больших проектов хранятся в БД Oracle. Для маленьких проектов используется формат XMI.
Цена начинается с $100 000 за миллион строк анализируемого кода в год.
Первоисточник:
http://www.scmagazineus.com/security-innovators-throwdown/grouptest/243/
В продолжении темы рассмотрим еще пару продуктов, представляющих интерес, с точки зрения своей инновационности и креативности их создателей.
В данном продукте реализована уже далеко не новая идея использования технологий виртуализации для создания относительно безопасной изолированной среды выполнения приложений, в данном случае, это наиболее уязвимое к воздействию вредоносного ПО приложение – интернет-браузер. Для запуска браузера в среде основной ОС создается полностью независимая от нее виртуальная машина со своей собственной гостевой ОС. Взаимодействие между этой виртуальной машиной и хостовой ОС ограничивается по-максимуму, а целостность создаваемой виртуальной среды и любые возможные воздействия на нее жестко контролируется.
Разрабатываемая фирмой Invincea виртуальная машина использует хостовую ОС только для самовоспроизведения. Для распознавания вредоносных кодов там не используются сигнатуры. Вместо этого, в случае попытки какого-либо несанкционированного воздействия на виртуальную машину, она саморазрушается, а затем воспроизводится из защищенной резервной копии.
Поддерживаются Internet Explorer и Firefox. Хостовые ОС: Windows и Linux.
Kormox
Разработчики данного инновационного продукта (бывшие сотрудники Microsoft) выступают под лозунгом: “Наш продукт мог бы предотвратить скандал с утечкой информации, разразившийся вокруг WikiLeaks”. Их устройство способно за несколько минут классифицировать всю используемую в организации критичную информацию, а также заодно и риски, связанные с ее использованием. Более того, классифицируются также и способы обработки информации, виды доступа к ней и способы обмена информацией (совместного использования). После этого реализуется сбалансированная система контролей (имеется ввиду баланс между безопасностью и удобством использования информации).
Основной вопрос: чем же эта система отличается от уже ставших традиционными DLP-систем?” Отличия должны быть весьма существенными. Вспомним, что мешает широкому распространению и эффективному использованию современных DLP-систем. Прежде всего, их сложность и дороговизна, благодаря которой стоимость защищаемой информации зачастую оказывается ниже, чем стоимость системы защиты. В стоимость системы предотвращения утечек информации, помимо дороговизны самого ПО (это со временем поправиться за счет естественной рыночной конкуренции), большой вклад вносит высокая стоимость внедрения и последующей эксплуатации подобных систем, организационные и технические сложности с классификацией информации, которую невозможно произвести без участия владельцев активов.
Рассматриваемый продукт призван, прежде всего, поднять на новый уровень существующие технологии инвентаризации и классификации информационных активов в условиях неструктурированной и недокументированной операционной среды. Как это реализовано уже можно посмотреть. Бета-версия продукта открыта для тестирования.
В заключении нашего обзора самых инновационных продуктов в области информационной безопасности мы рассмотрим специализированный МЭ и NAC-сервер для защиты корпоративных смартфонов и суперинтеллектуальный программно-аппаратный комплекс (honeypot), автоматизирующий задачи предотвращения и расследования сетевых атак.
Предыдущая часть данного обзора:
Mobile Enterprise Compliance and Security (MECS) Server v1.1 by Mobile Active Defense
Mobile Enterprise Compliance and Security (MECS) Server v1.1 представляет собой устройство, вирутальную машину или SaaS сервис, осуществляющий контроль доступа к приложениями для смартфонов. По мнению основателей компании M.A.D. электронные магазины приложений являются крупнейшими в мире распорстанителями вредоносных кодов.
Существует два подхода к решению проблемы неконтролируемого использования “стремных” приложений на смартфонах: подход используемый в устройствах BlackBerry (когда телефон представляет собой неинтеллектуальный терминал, не способный выполнять каких-либо приложений) и подход, использующий концепцию “песочницы”. Недостатком последнего, является возможность отключения “песочницы” пользователем, также как и любого другого приложения. Также распространенной практикой является использование различных способов повышения привилегий с целью выхода приложения за пределы песочницы.
Поэтому для решения “проблемы приложений” требуется уже хорошо известная технология контроля сетевого доступа (NAC), только для смартфонов. MECS-сервер как-раз этим и занимается. Поддерживаются устройства Apple, устройства на Андроиде, на Windows Mobile 6.1 и 6.5 и на Symbian. BlackBerry изначально наиболее защищен от пролемы использования опасных неавторизованных приложений. MECS-сервер настраивается и функционирует аналогично корпоративному МЭ. Пользователи корпоративных смартфонов получают доступ к Интернет только через этот сервер, с которым устанавливается VPN-соединение. MECS-сервер может физически размещаться на территории организации или использоваться как SaaS-сервис в облаке. Политика безопасности определяет какие приложения и с каких сайтов могут загружать пользователи смартфонов.
Поддерживается также защищенный доступ к личным почтовым ящикам на Google и Yahoo, путем разграничения доступа и фильтрации почтового контента. Фактически это полноценный МЭ и NAC-сервер для смартфонов.
Mykonos Software Mykonos Security Appliance
Если вы занимаетесь предотвращением и расследованием кибер-преступлений, боретесь с преступниками, взламывающими компьютерные сети, то, прежде всего, вам необходима система обнаружения вторжений, затем вам потребуются средства для идентификации атакующих, предотвращения вторжений и реагирования на них. Также вам потребуется определять уровень квалификации атакующих для того, чтобы предпринимать адекватные меры. Mykonos Security Appliance выполняет все эти задачи в автоматическом режиме. Этот программно-аппаратный комплекс аккумулировал все достижения в области расследования сетевых атак и противодействия им.
Разработчика данного продукта используют методологию, которая шаг за шагом воспроизводит действия опытного аналитика. Сначала анализируются активности, которые обычно предшествуют атакам. Попытки сканирования со стороны потенциальных злоумышленников предоставляют важную информацию об их местонахождении, уровне компетенции и другую идентифицирующую информацию. На этом этапе атакующий перенаправляется на ханипот (honeypot), где ему предствоит решать задачи, сложность которых постепенно повышается.
Например, если атакующий делает SQL-иньекцию и получает парольный файл, ему отправляется ложный парольный файл. Затем атакующий будет пытаться дешифровать пароли. В случае успеха, ему предоставляется доступ к подставному хосту с определенными полномочиями. По ходу дела формируется профиль злоумышленника и подходящие ответы на его запросы в соответствии с настройками политики. Для отслеживания атакущих используются разнообразные методы, включая скрытые и зашифрованные куки-файлы.
Для того, чтобы не дать злоумышленнику возможности, в свою очередь, сформировать профиль ханипота, используются специальные методы. Поведение каждого устройства Mykonos несколько отличается от всех остальных с целью противодействия распознаванию и профилированию со стороны атакующих.
Для начала работы эплайенса не требуется настройка движка, т.к. поставка включает обработчики для детектирования и реагирования на многие распространенные виды сетевых атак. Однако, у пользователей есть возможность создавать собственные обработчики.
Comments (1)
Dimitr 04-08-2011 02:50
McAfee etc.
Жаль, что большинство зарубежных разработок в ИБ-области у нас неприменимо: https://bezmaly.wordpress.com/2011/08/01/nad/#comment-16474 В посте речь идет только о Макафи, но уверен, что большинство перечисленных проблем характерны и для других иностранных ДЛП.