Виртуальный патчинг – надежный метод?

25 июня 2013
18

Все, кто читает бюллетени безопасности Microsoft, а также новостные сводки об обнаружении очередных уязвимостей в Java и других продуктах Oracle, знают, что каждый месяц, как правило, обнаруживается несколько уязвимостей различного уровня рисков — от незначительных до критических. В большинстве случаев уязвимости ПО позволяют нарушить работу только отдельной системы, но иногда и запустить вредоносный код на атакуемой машине, скачать конфиденциальные данные или даже получить полный контроль над сервером. И именно эта «системность и регулярность» обнаружения уязвимостей заставляет специалистов в области информационной безопасности задумываться о максимально быстром и своевременном устранении «лазеек» в защите корпоративных систем.

Один из методов ускорения данного процесса — виртуальный патчинг на базе решений IPS и других систем фильтрации трафика, однако применяется он далеко не всегда, и тому есть сразу несколько причин.

Во-первых, «заплатка» может быть еще не выпущена производителем ПО на тот момент, когда данные об уязвимости будут уже опубликованы в открытом доступе, а значит — хакеры уже могут использовать их. Во-вторых, установка обновлений может потребовать прерывания в работе системы, а в случае с критически важными для непрерывности бизнеса элементами инфраструктуры, например, системами ERP или логистическими системами, такое положение дел является крайне нежелательным.

Виртуальный патчинг

Чтобы сохранить доступность систем для бизнес-пользователей, одновременно минимизируя риски, некоторые специалисты применяют стратегию виртуального патчинга, когда внешний и внутренний трафик, способный эксплуатировать определенную уязвимость, автоматически блокируется на устройствах защиты от вторжений IPS и на сетевых экранах.

Преимущества данного подхода очевидны: можно снизить риск злонамеренного доступа к системе, в которой будет обнаружена уязвимость, а реальный патч установить по мере выпуска обновления производителем ПО, причем выбрав для этого ночное время суток или выходные, когда требования к доступности информационной системы не столь высоки.

Однако применение виртуального патчинга предусматривает формирование целой превентивной стратегии обеспечения безопасности от эксплойтов уязвимостей. И не удивительно, что у руководителей департаментов ИТ возникает целый ряд вопросов: насколько подобный подход улучшает реальную картину рисков в компании? Сколько дополнительного времени ИТ-специалистов нужно выделить на настройку систем и поиск сообщений об уязвимостях? Какие системы нужно защищать подобным способом, а какие — нет? И наконец, оценит ли руководство применение виртуального патчинга, и что будет, если, несмотря на виртуальную защиту, система все же будет скомпрометирована?

4625
Поделиться
Коментарии: 18

Комментировать могут только авторизованные пользователи.
Предлагаем Вам в систему или зарегистрироваться.

  • Сергей Цветаев
    Рейтинг: 10
    1. Закрытое акционерное общество Лаборатория новых информационных технологий «ЛАНИТ»
    Руководитель проектов
    25.06.2013 18:33

    Звучит как то очень круто ! На деле какая то лажа честно говоря.

  • Михаил Петров
    Рейтинг: 213
    Счетная палата Российской Федерации
    Директор департамента цифровой трансформации
    25.06.2013 18:40

    Прежде всего, спасибо автору дискуссии за стимул подробнее погрузиться в такую область ИТ-знаний :) Что касается темы - наверное, ответить на эти вопросы можно, если иметь модель угроз. И ответ будет разным в зависимости от того какова эта модель...

  • Виктор Федько
    Рейтинг: 217
    АО МПО им.И.Румянцева
    Зам. начальника управления информационных технологий
    25.06.2013 19:22

    А не преувеличена ли угроза в принципе? Любая система уязвима. Это вообще некий "сбалансированный " ИТ-рынок. Кто-то живет с защиты, кто-то живет с нападения. И невозможно нарушить равновесие. Это ведь как допинг в спорте - попробуйте его разрешить и сразу миллионы людей, занятых в "науке его обнаруживать" лишатся работы. И перейдут на сторону допинг изобретающих. Так и здесь, все друг друга кормят.

    • Михаил Петров Виктор
      Рейтинг: 213
      Счетная палата Российской Федерации
      Директор департамента цифровой трансформации
      25.06.2013 19:25

      Ну вот я примерно про то же. Вопрос в модели угроз, их вероятности. Если речь идет о ERP-системе какой-нибудь не особо крупной компании - да кто ее атаковать будет и зачем огород городить? А если о системе управления атомной электростанцией (хотя, как я понимаю, эти системы вообще изолированы от внешнего мира) - другой вопрос.

  • Виктор Федько
    Рейтинг: 217
    АО МПО им.И.Румянцева
    Зам. начальника управления информационных технологий
    25.06.2013 19:42

    Сети Пентагона и ФБР, по идее, тоже должны быть изолированы. Но часто приходится читать, что, то тут, то там кто-то влез и что-то расковырял.)))) А модели угроз , на мой взгляд, сводятся к следующему : 1. Злонамеренный запуск трояна с целью что-то скачать и , соответственно, что-то узнать конкретное 2. Запихнуть в систему "что-нибудь" ради "запихнуть" - для самоудовлетворения , повышения квалификации , напомнить о себе и т.п. 3. Запихнуть в систему нечто на всякий случай, "чиб було", мало ли, когда пригодится. Случай разный бывает. 4. Службу ИБ стали забывать и незаслуженно "обходить". Значит, надо о себе напомнить. А как о себе может напомнить военный? Только с помощью маленькой победоносной войны (или большой). Вот тут страшилки и пригодятся. Собственно, все, пожалуй. Нет?

    • Михаил Петров Виктор
      Рейтинг: 213
      Счетная палата Российской Федерации
      Директор департамента цифровой трансформации
      25.06.2013 23:31

      насчет Пентагона - ну да, дырка то наверняка найдется... насчет модели угроз - могут быть еще внешние атаки - как на проникновение (не только троянами), так и на уничтожение. плюс надо оценивать вероятность, потенциальный ущерб и т.п.

      • Виктор Федько Михаил
        Рейтинг: 217
        АО МПО им.И.Румянцева
        Зам. начальника управления информационных технологий
        26.06.2013 07:44

        Вот верно - оценивать вероятность и возможный ущерб. Две очень зависимые вещи. Вот как быть , например, если вероятность, предположим, 1 -2 %, а возможный ущерб остановит бизнес и надолго. Безумные убытки. Как найти золотую середину вкладывания средств в защиту, чтобы и помогало, и чтобы бизнес при этом не работал только на собственную защиту.

        • Михаил Петров Виктор
          Рейтинг: 213
          Счетная палата Российской Федерации
          Директор департамента цифровой трансформации
          26.06.2013 09:15

          с такой вероятностью и с таким потенциальным ущербом - "свистать всех наверх", бросить все и только этим и заниматься :) А найти золотую середину - собственно, надо садиться и считать возможные потери и затраты, которые необходимы чтобы предотвратить эти потери (не только денежные, но и всех ресурсов, в том числе времени персонала, которое требуется на выполнение всех регламентов по защите - как ты говоришь, чтобы бизнес при этом не работал только на собственную защиту). Как только затраты начинают сопоставляться с потерями - тут явный повод задуматься а туда ли мы идем? Жаль только что безопасников в массе своей (именно в массе) не особо учат такому подходу, утрируют они все зачастую...

          • Виктор Федько Михаил
            Рейтинг: 217
            АО МПО им.И.Румянцева
            Зам. начальника управления информационных технологий
            26.06.2013 09:24

            Я не уверен, что такие вещи вообще-то считают на серьезном уровне. Есть ведь классическая схема сопоставления угроз и затрат на их устранение (предотвращение). Координатная сетка. Слева направо от нуля идет вверх кривая степени защиты (в виде полупараболы) . А справа налево идет вверх такая же кривая затрат на ИБ. Вот точка их пересечения - и есть тот оптимум угроз и затрат на защиту. Главное тут - правильно оценить эту точку и взять на себя ответственность :)

            • Михаил Петров Виктор
              Рейтинг: 213
              Счетная палата Российской Федерации
              Директор департамента цифровой трансформации
              26.06.2013 09:32

              Считают :) посмотри старую дискуссию. Как кривые построить - для этого же и надо считать (первая производная там, кривизна :) ). И вообще, теоретически, такие кривые надо строить по каждому сервису наверное... Интересно было бы посмотреть на материалы Игоря Мялковского если они опубликованы.

              • Виктор Федько Михаил
                Рейтинг: 217
                АО МПО им.И.Румянцева
                Зам. начальника управления информационных технологий
                26.06.2013 09:37

                Посмотрел, довольно интересно и поучительно. Действительно, материалы должно быть серьезные.

                • Михаил Петров Виктор
                  Рейтинг: 213
                  Счетная палата Российской Федерации
                  Директор департамента цифровой трансформации
                  26.06.2013 09:40

                  Напишу-ка я там Игорю напоминалку :)

  • Марк Шварцблат
    Рейтинг: 10
    КТ "Акведук"
    ИТ-директор
    27.06.2013 11:59

    ИМХО. Подбавляющая часть проблем в сфере ИБ - человеческий фактор. Это касается и пользователей и персонала ИТ. Но для них виртуальных матчей пока нет. :) С точки зрения внешнего воздействия для некрупных компаний подбавляющую часть рисков снимают следующие вещи - изоляция систем с критичными данными/приложениями, политика "запрети все/разреши нужное", порядок в сфере авторизации доступа с регулярном анализом журналов, регулярная установка патчей. Таким образом тема "виртуальных патчей" для некрупных компаний, скорее, избыточна. Админы должны читать бюллетени безопасности и, до выхода патчей, усиливать мониторинг. Дополнительная же система - дополнительные дыры и затраты.

  • Андрей Семёнов
    Рейтинг: 10
    Клуб ИТ директоров Тюменской области
    Председатель правления клуба
    27.06.2013 12:16

    Хочу внести свои 5 копеек: Если LAN структура будет содержать DMZ для всех критичных сервисов, то я Вас уверяю, будет очень сложно атаковать снаружи, но если пустить козла в огород, принимайте последствия. Описанный выше метод хорош изначально при условии организации DMZ, тогда у Вас есть все инструменты для объявления пользователям только сервисных портов или IP адресов, а остальное попросту не предоставлять и какие там уязвимости есть это дело уже третье...

  • Михаил Петров
    Рейтинг: 213
    Счетная палата Российской Федерации
    Директор департамента цифровой трансформации
    27.06.2013 14:10

    Согласен с Марком и Андреем. Добавил бы к мнению Марка - "виртуальный патчинг" нужен далеко даже не всем крупным компаниям при условии того про что пишет Андрей.

  • Марк Шварцблат
    Рейтинг: 10
    КТ "Акведук"
    ИТ-директор
    28.06.2013 13:58

    Что значит DMZ для корпоративного портала, который торчит наружу для клиентов и партнеров??? И отвечать он вынужден на стандартной порту. И стоит там, чаще всего Ява, Апач, Мюскль. И критичность его высока. Вот у кого в процессах ежедневный мониторинг всех логов прописан? У кого на критичными алерты уходят смс и почта???

  • Татьяна Орлова
    Рейтинг: 86
    ЗАО "ЕС-лизинг"
    Замдиректора по инновационной и экспериментальной деятельности, консультант по управленческим дисциплинам
    05.07.2013 16:47

    Этот доблестный инструмент прорекламирован и все. Согласна про модель, тогда и про инструментарий можно подумать. И будет их больше чем один. А уж человеческий фактор - вещь в себе, от нее можно и нужно защищаться постоянно и по-разному. Тут все средства хороши, одним инструментарием не обойдешься. Нужны кнут и пряник в соусе системного подхода. Мы вот пошли отчасти по другому пути: действительно, разработали модель (вернее, набор моделей, связанных между собой ядром), которая отражает действительность и обновляется. Следующий шаг - разработка алгоритмов по защите всего, что есть (всех сред) на основе ролей и полномочий. Ну и внедрение и сопровождение этих алгоритмов. Сложно, муторно, но зато свое, до самых печенок доходит и максимально актуально.

  • Марк Шварцблат
    Рейтинг: 10
    КТ "Акведук"
    ИТ-директор
    05.07.2013 18:43

    Для Орловой Т.Г. А на сколько все это применимо в других местах и отличающихся средах?

Предметная область
Отрасль
Управление