Влияние специализации на защиту корпоративной сети

Сейчас сложно найти корпоративную сеть, основанную только на решениях Microsoft, так как зачастую в качестве корпоративных шлюзов, внешних почтовых и DNS-серверов, баз данных Oracle и систем виртуализации используются Linux/FreeBSD. Да и на десктопах наметилось некое «биоразнообразие» — хотя бы за счет появления ноутбуков и планшетов от Apple.

Это изменило и квалификационные требования к соискателям от крупных компаний — стало недостаточным специализироваться в чем-то одном, например, в технологиях Microsoft или Cisco. Все больше вакансий как системных инженеров так и специалистов по безопасности содержит в качестве обязательных требований дополнительное знание либо Linux, либо FreeBSD.

Почему даже при большом штате работодатели не ограничиваются разделением специализаций? Не секрет, что у каждой из платформ есть свои достоинства и недостатки. Системные администраторы, имеющие узкую компетенцию, имеют тенденцию «тянуть одеяло» в сторону известных им технологий. Нужно обладать широкой компетенцией, чтобы использовать каждую из платформ в том, в чем она наиболее эффективна.

Поэтому, когда речь заходит о поддержке и защите гетерогенной корпоративной среды, даже знатоки нескольких операционных систем начинают сдавать позиции специалистам по безопасности, которые понимают слабости каждой из платформ и умеют применять открытые UNIX-системы для защиты домена Active Directory. Помимо учета технических способов защиты, они соотносят их с административными мерами, внося большую скоординированность в мероприятия по обеспечению информационной безопасности и оптимизируя бюджет на эти цели.

Популярность нетбуков и планшетов (на которых активно используются платформа Android и Ubuntu Linux) заставила обратить внимание на Linux-системы как на пользовательскую ОС, выведя в свет не только их серверные редакции. Со статистикой по популярности Linux-дистрибутивов можно ознакомиться на www.distrowatch.com. В то же время системы на базе FreeBSD устойчивей к взлому даже с настройками по умолчанию, что делает их популярными в роли внешних интернет-шлюзов. Совместное применение FreeBSD и Linux предъявляет как высокие требования к квалификации системных инженеров, так и к квалификации злоумышленника, что удорожает стоимость взлома и снижает его вероятность.

Что должен знать эксперт по безопасности:

  • В первую очередь, он должен уметь видеть сильные и слабые стороны бизнес-процессов компании и ее инфраструктуры, поскольку ввиду невозможности или дороговизны перекрытия всех слабых мест техническими мерами, оргмероприятия начинают выходить на первый план

  • Понимать какое влияние оказывает человеческий фактор и каковы возможности повлиять на него с помощью регламентов, обучения и физических ограничений

  • Иметь компетенцию в технологиях обеспечения безопасности для каждой из операционных систем, используемых в компании, не забывая и об их слабостях

Например, доменная организация внутренней сети представляет собой так называемый «круг доверия», в рамках которого сервера и рабочие станции безоговорочно доверяют контроллеру домена и ни о чем беспокоятся (пока он не скомпрометирован).

Да, обеспечить приемлемую защиту контроллеров домена нетрудно, но так как ряд сервисов требуют доступ к расширенным атрибутам LDAP, то их приходится запускать с правами администратора домена. Таким образом, задача злоумышленника сводится к нахождению уязвимости в одном из таких сервисов или к использованию методов социальной инженерии с целью получения учетной записи привелегированного пользователя одного из них с целью дальнейшей эскалации привилегий. В некоторых случаях проблема решается тщательной настройкой групповых политик, но к сожалению далеко не всегда, что ставит под угрозу безопасность всего домена. В таких случаях и становятся очень заметны недостатки узкой квалификации инженеров. Специалист, обладающий широким кругозором, не станет закрывать на это глаза и постарается минимизировать возможные риски, в том числе, внедрив превентивные меры.

Эффективным решением по защите внутренней сети от вторжения извне является использование операционной системы FreeBSD на внешнем шлюзе, Linux на шлюзе между DMZ и локальной сетью, а также любой из этих двух систем в качестве почтового шлюза в DMZ.

 

Для того, чтобы применение UNIX-систем было эффективно, следует уделить должное внимание их собственной безопасности, что обеспечивается следующими средствами:

  • Изоляцией приложений FreeBSD с помощью Mandatory Access Control, а Linux — AppArmor/SeLinux

  • Изоляцией приложений в рамках файловой системы, используя механизм Chroot ()

  • Применением виртуализации программного окружения средствами Jail во FreeBSD, и OpenVZ/LXC в Linux

  • Применением сетевого суперсервера для защиты сервисов

  • Использованием непривилегированных учетных записей

  • Настройкой межсетевого экрана

  • Включением ACL на прокси-сервере

  • Применением антивирусных и антиспам фильтров

К сожалению сейчас наблюдается острая нехватка безопасников, владеющих несколькими операционными системами и умеющих использовать их сильные и слабые стороны.

В учебном центре Специалист при МГТУ им. Баумана выбор курсов по безопасности весьма велик. Но хотелось бы выделить среди них те два, которые ближе всего к рассматриваемой теме защиты гетерогенных сетей: «Обеспечение безопасности UNIX (Linux/FreeBSD)» и «Этичный хакинг и тестирование на проникновение».

Курс «Обеспечение безопасности UNIX (Linux/FreeBSD)» рассматривает совместное применение Linux и FreeBSD для обеспечения полноценной периметровой эшелонированной защиты. Он готовит профессионалов, понимающих образ мыслей хакеров и умеющих использовать средства обеспечения безопасности UNIX-систем таким образом, что даже попытки эксплуатации наиболее критичных уязвимостей будут малоэффективны. Обширная практика занимает большую часть времени занятий, ею предусмотрено создание каждым слушателем защищенной сети на специальном стенде. Такая практика помогает быстро прорваться через проблемы применения на практике изученных в теории принципов, что зачастую по книгам дается с трудом. Кроме того, данный курс покрывает требования по безопасности в рамках сертификации LPIC-3.

Курс «Этичный хакинг и тестирование на проникновение» созданный EC-Concil имеет целью обучить специалистов по безопасности производить тестирование на проникновения с целью выявления узких мест в защите корпоративных ресурсов. Желающие смогут подтвердить полученную квалификацию, сдав экзамен на Certified Ethical Hacker. Престиж сертификации подчеркивается тем фактом, что сейчас в мире ею обладают менее 400 экспертов.

Оба эти курса позволят подготовить высокооплачиваемых экспертов по информационной безопасности так необходимых крупным холдингам и корпорациям. Не менее важно то, что выпускники этих курсов будут иметь достаточный авторитет в своих компаниях, что обеспечит им устойчивый карьерный рост.

Запись опубликована в рубрике Без рубрики, Публикации. Добавьте в закладки постоянную ссылку.

Добавить комментарий