Виртуальный патчинг – надежный метод?

Просмотров: 4464
Автор:
Редакция Global CIO

Все, кто читает бюллетени безопасности Microsoft, а также новостные сводки об обнаружении очередных уязвимостей в Java и других продуктах Oracle, знают, что каждый месяц, как правило, обнаруживается несколько уязвимостей различного уровня рисков — от незначительных до критических. В большинстве случаев уязвимости ПО позволяют нарушить работу только отдельной системы, но иногда и запустить вредоносный код на атакуемой машине, скачать конфиденциальные данные или даже получить полный контроль над сервером. И именно эта «системность и регулярность» обнаружения уязвимостей заставляет специалистов в области информационной безопасности задумываться о максимально быстром и своевременном устранении «лазеек» в защите корпоративных систем.

Один из методов ускорения данного процесса — виртуальный патчинг на базе решений IPS и других систем фильтрации трафика, однако применяется он далеко не всегда, и тому есть сразу несколько причин.

Во-первых, «заплатка» может быть еще не выпущена производителем ПО на тот момент, когда данные об уязвимости будут уже опубликованы в открытом доступе, а значит — хакеры уже могут использовать их. Во-вторых, установка обновлений может потребовать прерывания в работе системы, а в случае с критически важными для непрерывности бизнеса элементами инфраструктуры, например, системами ERP или логистическими системами, такое положение дел является крайне нежелательным.

Виртуальный патчинг

Чтобы сохранить доступность систем для бизнес-пользователей, одновременно минимизируя риски, некоторые специалисты применяют стратегию виртуального патчинга, когда внешний и внутренний трафик, способный эксплуатировать определенную уязвимость, автоматически блокируется на устройствах защиты от вторжений IPS и на сетевых экранах.

Преимущества данного подхода очевидны: можно снизить риск злонамеренного доступа к системе, в которой будет обнаружена уязвимость, а реальный патч установить по мере выпуска обновления производителем ПО, причем выбрав для этого ночное время суток или выходные, когда требования к доступности информационной системы не столь высоки.

Однако применение виртуального патчинга предусматривает формирование целой превентивной стратегии обеспечения безопасности от эксплойтов уязвимостей. И не удивительно, что у руководителей департаментов ИТ возникает целый ряд вопросов: насколько подобный подход улучшает реальную картину рисков в компании? Сколько дополнительного времени ИТ-специалистов нужно выделить на настройку систем и поиск сообщений об уязвимостях? Какие системы нужно защищать подобным способом, а какие — нет? И наконец, оценит ли руководство применение виртуального патчинга, и что будет, если, несмотря на виртуальную защиту, система все же будет скомпрометирована?

Комментарии (18)

Комментировать могут только авторизованные пользователи.
Предлагаем Вам в систему или зарегистрироваться.

  • Скрыть ветвь

    Руководитель проектов

    1. Закрытое акционерное общество Лаборатория новых информационных технологий «ЛАНИТ»

    25.06.2013 18:33
    Звучит как то очень круто ! На деле какая то лажа честно говоря.
    0
  • Скрыть ветвь
    Рейтинг49150

    Директор программ и проектов по технологиям

    ПО НТИ (РВК)

    25.06.2013 18:40
    Прежде всего, спасибо автору дискуссии за стимул подробнее погрузиться в такую область ИТ-знаний :)
    Что касается темы - наверное, ответить на эти вопросы можно, если иметь модель угроз. И ответ будет разным в зависимости от того какова эта модель...
    0
  • Скрыть ветвь
    Рейтинг76150

    Начальник управления информационных технологий

    АО МПО им.И .Румянцева

    25.06.2013 19:22
    А не преувеличена ли угроза в принципе? Любая система уязвима. Это вообще некий "сбалансированный " ИТ-рынок. Кто-то живет с защиты, кто-то живет с нападения. И невозможно нарушить равновесие. Это ведь как допинг в спорте - попробуйте его разрешить и сразу миллионы людей, занятых в "науке его обнаруживать" лишатся работы. И перейдут на сторону допинг изобретающих. Так и здесь, все друг друга кормят.
    0
  • Скрыть ветвь
    Рейтинг49150

    Директор программ и проектов по технологиям

    ПО НТИ (РВК)

    25.06.2013 19:25

    Ответ на « А не преувеличена ли угроза в... »

    Ну вот я примерно про то же. Вопрос в модели угроз, их вероятности. Если речь идет о ERP-системе какой-нибудь не особо крупной компании - да кто ее атаковать будет и зачем огород городить? А если о системе управления атомной электростанцией (хотя, как я понимаю, эти системы вообще изолированы от внешнего мира) - другой вопрос.
    0
  • Скрыть ветвь
    Рейтинг76150

    Начальник управления информационных технологий

    АО МПО им.И .Румянцева

    25.06.2013 19:42
    Сети Пентагона и ФБР, по идее, тоже должны быть изолированы. Но часто приходится читать, что, то тут, то там кто-то влез и что-то расковырял.))))
    А модели угроз , на мой взгляд, сводятся к следующему :
    1. Злонамеренный запуск трояна с целью что-то скачать и , соответственно, что-то узнать конкретное
    2. Запихнуть в систему "что-нибудь" ради "запихнуть" - для самоудовлетворения , повышения
    квалификации , напомнить о себе и т.п.
    3. Запихнуть в систему нечто на всякий случай, "чиб було", мало ли, когда пригодится. Случай разный бывает.
    4. Службу ИБ стали забывать и незаслуженно "обходить". Значит, надо о себе напомнить. А как о себе может напомнить военный? Только с помощью маленькой победоносной войны (или большой). Вот тут страшилки и пригодятся.
    Собственно, все, пожалуй.
    Нет?
    0
  • Скрыть ветвь
    Рейтинг49150

    Директор программ и проектов по технологиям

    ПО НТИ (РВК)

    25.06.2013 23:31

    Ответ на « Сети Пентагона и ФБР, по идее,... »

    насчет Пентагона - ну да, дырка то наверняка найдется...
    насчет модели угроз - могут быть еще внешние атаки - как на проникновение (не только троянами), так и на уничтожение. плюс надо оценивать вероятность, потенциальный ущерб и т.п.
    0
  • Скрыть ветвь
    Рейтинг76150

    Начальник управления информационных технологий

    АО МПО им.И .Румянцева

    26.06.2013 07:44

    Ответ на « насчет Пентагона - ну да, дырка... »

    Вот верно - оценивать вероятность и возможный ущерб. Две очень зависимые вещи. Вот как быть , например, если вероятность, предположим, 1 -2 %, а возможный ущерб остановит бизнес и надолго. Безумные убытки. Как найти золотую середину вкладывания средств в защиту, чтобы и помогало, и чтобы бизнес при этом не работал только на собственную защиту.
    0
  • Скрыть ветвь
    Рейтинг49150

    Директор программ и проектов по технологиям

    ПО НТИ (РВК)

    26.06.2013 09:15

    Ответ на « Вот верно - оценивать вероятность и... »

    с такой вероятностью и с таким потенциальным ущербом - "свистать всех наверх", бросить все и только этим и заниматься :)
    А найти золотую середину - собственно, надо садиться и считать возможные потери и затраты, которые необходимы чтобы предотвратить эти потери (не только денежные, но и всех ресурсов, в том числе времени персонала, которое требуется на выполнение всех регламентов по защите - как ты говоришь, чтобы бизнес при этом не работал только на собственную защиту). Как только затраты начинают сопоставляться с потерями - тут явный повод задуматься а туда ли мы идем? Жаль только что безопасников в массе своей (именно в массе) не особо учат такому подходу, утрируют они все зачастую...

    (Исправлено 26.06.2013 09:17, Петров Михаил Викторович)

    0
  • Скрыть ветвь
    Рейтинг76150

    Начальник управления информационных технологий

    АО МПО им.И .Румянцева

    26.06.2013 09:24

    Ответ на « с такой вероятностью и с таким... »

    Я не уверен, что такие вещи вообще-то считают на серьезном уровне. Есть ведь классическая схема сопоставления угроз и затрат на их устранение (предотвращение). Координатная сетка. Слева направо от нуля идет вверх кривая степени защиты (в виде полупараболы) . А справа налево идет вверх такая же кривая затрат на ИБ. Вот точка их пересечения - и есть тот оптимум угроз и затрат на защиту. Главное тут - правильно оценить эту точку и взять на себя ответственность :)
    0
  • Скрыть ветвь
    Рейтинг49150

    Директор программ и проектов по технологиям

    ПО НТИ (РВК)

    26.06.2013 09:32

    Ответ на « Я не уверен, что такие вещи... »

    Считают :) посмотри старую дискуссию.
    Как кривые построить - для этого же и надо считать (первая производная там, кривизна :) ).
    И вообще, теоретически, такие кривые надо строить по каждому сервису наверное... Интересно было бы посмотреть на материалы Игоря Мялковского если они опубликованы.
    0
  • Скрыть ветвь
    Рейтинг76150

    Начальник управления информационных технологий

    АО МПО им.И .Румянцева

    26.06.2013 09:37

    Ответ на « Считают :) посмотри старую дискуссию. Как кривые... »

    Посмотрел, довольно интересно и поучительно. Действительно, материалы должно быть серьезные.
    0
  • Скрыть ветвь
    Рейтинг49150

    Директор программ и проектов по технологиям

    ПО НТИ (РВК)

    26.06.2013 09:40

    Ответ на « Посмотрел, довольно интересно и поучительно. Действительно,... »

    Напишу-ка я там Игорю напоминалку :)
    0
  • Скрыть ветвь
    Рейтинг75750

    ИТ-директор

    КТ "Акведук"

    27.06.2013 11:59
    ИМХО. Подбавляющая часть проблем в сфере ИБ - человеческий фактор. Это касается и пользователей и персонала ИТ. Но для них виртуальных матчей пока нет. :) С точки зрения внешнего воздействия для некрупных компаний подбавляющую часть рисков снимают следующие вещи - изоляция систем с критичными данными/приложениями, политика "запрети все/разреши нужное", порядок в сфере авторизации доступа с регулярном анализом журналов, регулярная установка патчей.

    Таким образом тема "виртуальных патчей" для некрупных компаний, скорее, избыточна. Админы должны читать бюллетени безопасности и, до выхода патчей, усиливать мониторинг. Дополнительная же система - дополнительные дыры и затраты.
    1
  • Скрыть ветвь
    Рейтинг210

    Председатель правления клуба

    Клуб ИТ директоров Тюменской области

    27.06.2013 12:16
    Хочу внести свои 5 копеек:
    Если LAN структура будет содержать DMZ для всех критичных сервисов, то я Вас уверяю, будет очень сложно атаковать снаружи, но если пустить козла в огород, принимайте последствия. Описанный выше метод хорош изначально при условии организации DMZ, тогда у Вас есть все инструменты для объявления пользователям только сервисных портов или IP адресов, а остальное попросту не предоставлять и какие там уязвимости есть это дело уже третье...
    1
  • Скрыть ветвь
    Рейтинг49150

    Директор программ и проектов по технологиям

    ПО НТИ (РВК)

    27.06.2013 14:10
    Согласен с Марком и Андреем. Добавил бы к мнению Марка - "виртуальный патчинг" нужен далеко даже не всем крупным компаниям при условии того про что пишет Андрей.
    0
  • Скрыть ветвь
    Рейтинг75750

    ИТ-директор

    КТ "Акведук"

    28.06.2013 13:58
    Что значит DMZ для корпоративного портала, который торчит наружу для клиентов и партнеров??? И отвечать он вынужден на стандартной порту. И стоит там, чаще всего Ява, Апач, Мюскль. И критичность его высока. Вот у кого в процессах ежедневный мониторинг всех логов прописан? У кого на критичными алерты уходят смс и почта???
    0
  • Скрыть ветвь
    Рейтинг8730

    Замдиректора по инновационной и экспериментальной деятельности, консультант по управленческим дисциплинам

    ЗАО "ЕС-лизинг"

    05.07.2013 16:47
    Этот доблестный инструмент прорекламирован и все. Согласна про модель, тогда и про инструментарий можно подумать. И будет их больше чем один. А уж человеческий фактор - вещь в себе, от нее можно и нужно защищаться постоянно и по-разному. Тут все средства хороши, одним инструментарием не обойдешься. Нужны кнут и пряник в соусе системного подхода. Мы вот пошли отчасти по другому пути: действительно, разработали модель (вернее, набор моделей, связанных между собой ядром), которая отражает действительность и обновляется. Следующий шаг - разработка алгоритмов по защите всего, что есть (всех сред) на основе ролей и полномочий. Ну и внедрение и сопровождение этих алгоритмов. Сложно, муторно, но зато свое, до самых печенок доходит и максимально актуально.
    0
  • Скрыть ветвь
    Рейтинг75750

    ИТ-директор

    КТ "Акведук"

    05.07.2013 18:43
    Для Орловой Т.Г.

    А на сколько все это применимо в других местах и отличающихся средах?
    0

Комментировать могут только авторизованные пользователи.
Предлагаем Вам в систему или зарегистрироваться.