Рождение систем динамической защиты от атак

Рождение систем динамической защиты от атак

Крупнейшие российские потребители приступают к созданию систем динамической защиты от атак. Об этом заявили 72% представителей российских корпораций в ходе опроса, проведенного экспертами журнала "Information Security/Информационная безопасность".

Динамическая защита включает в себя интегрированную защиту, автоматическое обнаружение уязвимостей и автоматическое блокирование атак. По мнению руководителя проектного отдела Департамента систем информационной безопасности ООО "Газинформсервис" С.А. Ясько, развитие методов защиты информации можно условно разбить на три этапа, из которых этап динамической защиты – третий. Ему предшествовали этап защиты "вручную" (встроенные средства защиты, ручное обнаружение и устранение уязвимостей, ручная установка заплаток) и этап автоматизированного обнаружения (множество самостоятельных средств защиты, автоматизированное обнаружение уязвимостей, ручная установка заплаток).

В настоящее время в число основных задач, решаемых с помощью систем контроля защищенности (сканеров безопасности, систем обнаружения вторжений и т.п.) входит выявление уязвимостей и потенциальных угроз безопасности ресурсов АС, оценка рисков и выдача рекомендаций по устранению обнаруженных уязвимостей

По данным исследования компании Forrester Research, которая проанализировала средние "дни риска" (время от публичного сообщения об уязвимости до выпуска заплатки поставщиком), время неизбежного риска до того, как администратор сможет установить заплатку для разных ОС, составляет от 10 дней до 1-2 месяцев. А если учесть среднее время установки заплатки на один сервер (от 30 минут до 3 часов) и на рабочую станцию (25-30 минут), то время риска, особенно для большой сети, может увеличиться еще в несколько раз.

Чтобы решить эту проблему, в настоящее время многие компании прибегают к помощи технологии "виртуальных заплаток". В интервью редакции журнала "Information Security/Информационная безопасность" г-н Ясько отметил: "Эксперты компании-разработчика системы обнаружения вторжений постоянно занимаются поиском новых уязвимостей и методов защиты от них. Еще до официального опубликования информации об обнаруженных уязвимостях они готовят специальные модули обновления, которые распределяются по пользователям их систем обнаружения и предотвращения вторжений. После получения таких обновлений сканеры безопасности проводят сканирование всех защищаемых ресурсов и в случае обнаружения уязвимости на каком-либо из узлов сети дают указание системам обнаружения и предотвращения атак блокировать всю соответствующую несанкционированную активность".

Таким образом предотвращается использование уязвимости даже в случае отсутствия соответствующей заплатки. А уже после выпуска производителем заплатки администратор может в спокойной обстановке реализовать процесс ее распространения.