В этой статье я расскажу вам о всеобъемлющем комплекте для безопасности Microsoft Forefront security suite.
Если вы хотите прочитать вторую часть этой статьи, то, пожалуйста, прочитайте Введение в Microsoft Forefront (Часть 2).
Microsoft решила принять проактивный подход к безопасности с некоторых пор, и после большого количества критики и требований со стороны специалистов по информационной безопасности (IT security), организация вновь выпустила набор продуктов, которые станут новыми стандартами в большинстве корпораций, которые уже используют другие продукты Microsoft. Некоторые из продуктов для безопасности, которые Microsoft включила в комплект для безопасности (security suite), типа Microsoft ISA 2006, мы уже знаем, однако, новая волна клиентского и серверного программного обеспечения для безопасности ожидается в конце 2006 и начале 2007 года.
Новый бранд для безопасности от Microsoft получил название Forefront, который включает в себя ISA 2006, Antigen Antivirus, анти-спам решения, а также предложения по улучшению безопасности клиента. Forefront в основном сфокусирован на пограничной безопасности (Edge security), безопасности серверов (server security), безопасности клиентских машин (client security) и контроле доступа (access control). В него также включен продукт для управления подлинностью (identity management product), который объединен с сервером Active directory MIIS (Microsoft Identity Integration Server). Этот продукт не только контролирует доступ пользователей, но и также приложения, разработанные другими организациями могут контролироваться также, как пользователи.
Forefront был спроектирован для того, чтобы упростить установку безопасности и объединить управление и создание отчетов для всех продуктов для безопасности из единой консоли с помощью одного backend сервера MS SQL.
Из-за того, что угрозы становятся причиной получения выгоды, пришло время для организаций более серьезного отношения к безопасности. Многие люди думают в первую очередь о банках и различных финансовых институтах, а в действительности все организации, которые имеют дело с покупателями, должны более серьезно относится к безопасности, т.к. данные заказчика и информация, касающаяся заказчика может быть использована против заказчика или против организации.
Например, если заказчик покупает машину у дилера Dealer X, то вся информация о клиенте заносится в клиентскую базу данных дилера Dealer X. Dealer X решает получить беспроводную точку доступа для выхода интернет, некий хакер обнаруживает эту точку доступа и видит, что для нее не реализована никакая безопасность. Хакер хочет получить информацию, которая хранится в базе данных. С помощью бесплатной программы для анализа сетевого трафика (sniffer), загруженной из интернет, хакер узнает, что информация передается по сети в виде чистого текста, объединенная с именем пользователя и паролем. Хакер соединяется с базой данных, копирует ее для получения к ней дальнейшего доступа, и теперь вся клиентская информации содержится на компьютере злоумышленника. Маловероятно, вы можете подумать, но я знаю достаточно таких компаний на локальном рынке. Все они могут быть излечены с помощью технологии Forefront.
(Источник Microsoft)
Рисунок 1: Так Forefront, отмеченный голубым цветом, встраивается в портфолио продуктов Microsoft
После долгого анализа мы пришли к выводу, что Microsoft вводит в работу комплект продуктов, который удовлетворяет требованиям большинства организаций, которым требуется защита их сред Microsoft. От единого центра компьютерной безопасности сети (security view) до общих средств для поиска уязвимостей в продуктах Microsoft.
Конфиденциальность, целостность и доступность (КЦД) – это три опоры безопасности. Как Forefront приспосабливается к КЦД (CIA)? В терминах конфиденциальности (confidentiality), шифрование будет тем решением, которое используется для сохранения конфиденциальности файлов. Это возможно с EFS (Encryption file system – зашифрованная файловая система) с помощь сертификатов, для которых вы должны создать резервные копии, на случай утери сертификата изначально используемого вами.
В терминах целостности (integrity), специалисты по компьютерной безопасности должны гарантировать, что доступ к информации контролируется и регулируется. Периодический мониторинг доступа к файлам и данным очень важен, т.к. это гарантирует, что данные не были подделаны или испорчены. С помощью технологий для аутентификации (authentication technologies) Microsoft можно достичь мощного и централизованного механизма аутентификации. Специалист по безопасности, использующий такой подход, может использовать службы для управления правами (windows rights management services) для гарантий того, что пользователь может манипулировать только с теми файлами, к которым у него есть разрешение.
Доступность (Availability) обеспечивается за счет мощных механизмов мониторинга, наподобие MOM, которые уведомляют специалистов по безопасности о простоях таких факторах, которые могут привести к простою – загруженность дискового пространства и работоспособность служб брандмауэра. Если ваша система находится в неработоспособном состоянии в результате неконтролируемых факторов типа незапланированный простой из-за взлома, проблем с электропитанием и т.д., то она не безопасна. Простои могут влиять на отношение покупателей и негативно влиять на производительность.
Ответ на этот вопрос – бета-тестирование, опросы и HoneyMonkeys. HoneyMonkeys спросите вы? HoneyMonkeys – это виртуальные машины, которые были установлены для исследований в лабораториях, на которых стоят различные пакеты обновлений (patch levels), и которые автоматически взаимодействуют с web сайтами, на которых размещается опасный код, эмулируя пользовательскую активность. Это очень напоминает honeypot, но более интрактивно, поэтому и называется HoneyMonkey.
В своем отчете на Tech-Ed 2006 Microsoft сообщила о том, что было зафиксировано 2.7 биллионов запусков недавно выпущенного продукта по определению уязвимостей (malware detection product). Кажется, что этот anti-malware продукт (продукт для определения уязвимостей в программном обеспечении) очень популярен. Включенное в него EULA (End User License Agreement – лицензионное соглашение), с которым пользователь соглашается при установке, и по которому никакая информация, идентифицирующая пользователя не посылается назад Microsoft, за исключением информации об обнаруженном опасном программном обеспечении и места, где это случилось. Эта информационная транзакция должна соответствовать строгим политикам конфиденциальности. Эта информация анализируется, и на ее основе создается для формирования статического пособия, которое помогает в борьбе против будущих инфекций такого типа.
Теперь, я уверен, что вы хотите спросить о преимуществах Forefront. Forefront предлагает централизованное управление безопасностью Microsoft с помощью панели инструментов. Она будет включать информацию об уровне обновлений на клиентских машинах, а также информацию о конфигурации или недостатках в конфигурации на каждой клиентской машине. Объединенные средства для создания отчетов и консоль управления видимо будут также очень популярны в Forefront.
Конечно существуют определенные ключевые элементы, которые специалисты по безопасности должны контролировать для того, чтобы гарантировать, что сеть находится вне опасности. Целью злоумышленников часто становятся файлы журналов (log file) и файлы аудита (audit log), потому что они знают, что если опытный специалист по безопасности прочитает журналы, то они могут заподозрить что-то неладное, или даже отследить их. Большая часть времени чтение журналов очень нудный процесс, т.к. они не находятся в одном централизованном месте, а распределены по различным компьютерам. Поэтому это может занять значительную часть времени, особенно при отлавливании каких-нибудь следов хакеров. К тому же, если нет записи об определенном действии, то практически невозможно доказать, что это действие имело место. Очень важно определить основные тенденции безопасности.
Поиск приложений для мониторинга, которые имеют возможности по настройке объединения различных журналов является очень важной задачей, т.к. это помогает специалистам по безопасности объединить журналы на ежедневной основе для получения точной информации, которую вы ищите. Мир автоматизации программного обеспечения сохранил администраторам по безопасности миллионы часов. Регулярное получение отчетов, позволяет подсвечивать события, которые относятся к конкретному сегменту вашей сети. Ошибки при входе, неправильные имена пользователей и пароли, блокирование учетных записей, вход в систему в определенные периоды времени (например, в полночь), и отказы в доступе к ресурсам – все это указывает на потенциальный риск безопасности, который необходимо исследовать и проверить уполномоченным пользователям. Такие продукты, как MOM из комплекта безопасности Microsoft Forefront помогает в этом плане.
Пакеты для управления (Management packs) для ISA 2006, antigen и Forefront используются для мониторинга с помощью MOM. По мере того, как MOM становится все более масштабируемым, Microsoft выпускает пакеты для управления (management packs) для другого программного обеспечения. Это относится и к случаю с программным обеспечением, которое составляет часть пакета безопасности Forefront Security Suite. Эти пакеты помогают при мониторинге сетевых переменных, но знайте, что особое внимание необходимо уделить правильной конфигурации MOM, если вы хотите получить хорошие результаты от мониторинга вашей организации. Не существует серебряных пуль или святого грааля – это больше комбинация стратегий и систем безопасности, которая помогает защите в глубине.
Благодаря обновлениям сигнатур и новой функциональности по предупреждению у Microsoft появилась новая система, которая может информировать специалистов по безопасности (security professional) о потенциальных проблемах. В это комплект был включено долгожданное программное обеспечение для удаления шпионов и другого вредоносного кода (malware, spyware remover). Т.к. Microsoft создал операционную систему OS, новое программное обеспечение для удаления шпионов (removal tool) знает, какие программы должны быть установлены.
По мере того, как безопасность встраивается в технологические решения, предлагаемые специалистами по безопасности, становится важным найти пути для консолидации и внедрения опций, позволяющих сэкономить время на администрирование. Это то, что Microsoft обещает сделать с помощью Forefront в течение нескольких следующих лет, начиная с продуктов, в которые они уже интегрировали безопасность. В этой, первой части статьи о Microsoft Forefront, мы рассмотрели некоторые продукты, типа MOM, которые формируют первую часть нового, консолидированного, простого в установке комплекта безопасности от Microsoft. Во второй части этой статьи мы рассмотрим другие продукты, которые завершают этот комплект.
Источник www.windowsecurity.com