В чем заключается принцип эшелонирования обороны. Противовоздушный «Панцирь» для российской армии. Эшелонированная система ПВО. Уровни: много и разные

Эшелонированная оборона — это многоступенчатая защита от попыток внешнего проникновения и воздействия на защищаемую информацию.

Обычно под стратегией обороны подразумевается нагромождение многочисленных проверок и технологий защиты. Но это не всегда повышает информационную безопасность.

Представьте себе ситуацию, где компании нанимают дополнительных специалистов по кибербезопасности без особых требований. Да, расходы на безопасность увеличиваются, но не факт, что уровень кибербезопасности повысится. Не стоит забывать про утечку информации за счет не контролируемых физических полей

Глубоко эшелонированная защита

В идеале, эти спецы должны не дублировать свои обязанности, а расширять возможности друг друга. То есть каждый из них должен быть экспертом в какой-то определенной области. Сообща они смогут настроить глубоко эшелонированную защиту, которая обеспечит более надежную защиту, чем нагромождение многочисленных проверок и технологий защиты.

Почему это так важно?

Например, системный администратор настроил для организации хорошо защищенную локальную сеть от внешнего проникновения, но ее сотрудники не обладают необходимым уровнем знаний, которые смогут уберечь их от фишинговых атак и прочих методов социальной инженерии.

Получается сотрудник может сам запустить вредоносный скрипт, тем самым поможет хакеру обойти многие уровни защиты. В этом и заключается суть использования глубоко эшелонированной защиты.

Отчеты компаний по информационной безопасности говорят, что с каждым годом хакерские атаки становятся более сложными. Если Вы хотите защитить свой бизнес, то нужно идти в ногу со временем.

Компания Майкрософт одна из первых стала развивать машинное обучение. Сейчас в windows 10 они используют искусственный интеллект, который анализирует поведение пользователя и может определять не свойственные для него действия и передавать информацию в центр безопасности. Недавно им удалось остановить крупную атаку. За 12 часов около 500 000 компьютеров было заражено вредоносным скриптом, который устанавливал программы для майнинга.

Модель глубоко эшелонированной защиты информации

Скажу сразу, что не стоит брать уже готовую модель эшелонированной защиты, так как высока вероятность, что она может не подойти. Например, окажется слишком сложной и не будет учитывать специфику работы организации для которой необходима индивидуальная модель глубоко эшелонированной защиты. Кстати, разработка с нуля может оказаться более эффективной, чем переработка модели взятой у другой организации.

1. ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ

1.1 Актуальность

1.2 Цель

1.3 Задачи

2. ОСНОВНОЕ СОДЕРЖАНИЕ РАБОТЫ

2.1 Эшелонированная защита

2.2 Составляющие эшелонированной системы защиты информации

2.2.1 Антивирусные программы

2.2.2 Протоколирование и аудит

2.2.3 Физическая защита

2.2.4 Аутентификация и парольная защита

2.2.5 Межсетевые экраны

2.2.6 Демилитаризованная зона

2.2.7 VPN

2.2.8 Система обнаружения вторжений

3. ОСНОВНЫЕ РЕЗУЛЬТАТЫ РАБОТЫ

СПИСОК ИСПОЛЬЗОВАННЫХ ИНФОРМАЦИОННЫХ ИСТОЧНИКОВ

эшелонированный защита информация антивирусный

ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ.

Изучение эшелонированной системы защиты информации в компьютерных системах «офисного» типа актуально в связи с постоянным ростом количества атак на сети крупных организаций с целью, например, копирования баз данных, содержащих конфиденциальную информацию. Такая система защиты является очень мощным средством против злоумышленников и может эффективно сдерживать их попытки несанкционированного доступа (НСД) к защищаемой системе.

1.2 Цель

Целью данной работы является изучение эшелонированной системы защиты компьютерных систем «офисного» типа.

1.3 Задачи

Для достижения поставленной цели необходимо решить следующие задачи:

Изучить принципы построения и работы эшелонированной системы безопасности;

Изучить независимые системы защиты, включаемые в эшелонированную систему защиты информации;

Определить требования, предъявляемые к системам защиты;

2. ОСНОВНОЕ СОДЕРЖАНИЕ РАБОТЫ

2.1 Эшелонированная защита

Эшелонированная защита (англ. Defense in Depth) - концепция страхования информации, в которой несколько различных слоёв систем защиты установлены по всей компьютерной системе. Его предназначение - предоставлять избыточную защищенность компьютерной системы в случае неисправности системы контроля безопасности или при использовании злоумышленником некой уязвимости.

Идея эшелонированной защиты состоит в защите системы от любой атаки, используя, как правило, последовательно, ряд независимых методов.

Изначально эшелонированная защита являлась сугубо военной стратегией, позволяющей скорее не упредить и предотвратить, а отложить атаку противника, купить немного времени для того, чтобы правильно расположить различные меры защиты. Для более полного понимания можно привести пример: колючая проволока эффективно сдерживает пехоту, но танки легко переезжают её. Однако по противотанковым ежам танк проехать не может, в отличие от пехоты, которая их просто обходит. Но если их использовать вместе, то ни танки, ни пехота быстро пройти не смогут, и у защищающейся стороны будет время на подготовку.

На разработку которых тратятся миллионы долларов, смогут преодолеть российскую систему ПВО и ПРО, утверждает американский журнал The National Interest. Согласно выводам издания, американская армия не имеет опыта столкновения с высокотехнологичным противником, поэтому результат потенциального военного конфликта с РФ предсказать невозможно. В случае операции под угрозой перехвата окажутся прежде всего современные самолёты-невидимки и крылатые ракеты, например «Томагавки», подчёркивает автор статьи. О возможностях американского оружия и потенциале противовоздушной обороны России - в материале RT.

Инвестиции Пентагона в создание самолётов с широким использованием стелс-технологий не дадут гарантированного результата против российской системы «ограничения и воспрещения доступа и манёвра» (A2/AD - anti-access and area denial). Об этом пишет американское издание The National Interest.

A2/AD - распространённый на Западе термин, который подразумевает наличие у государства комплексов дальнего поражения, способных перехватывать средства воздушного нападения за сотни и десятки километров от границ и наносить превентивные удары по наземным и морским объектам противника.

Заокеанское издание отмечает, что Россия обладает «воздушным минным полем», которое «НАТО придётся каким-либо образом нейтрализовать или огибать в случае конфликта». Главным преимуществом Москвы называется эшелонированная система ПВО, основными «достоинствами которой являются дальность, точность и мобильность».

Как пишет The National Interest, при вторжении в воздушное пространство России уязвимыми окажутся не только новейшие американские самолёты, но и крылатые ракеты морского базирования (речь идёт о «Томагавках»). По этой причине «лучший способ противостоять комплексам ПВО - это избегать их», делает вывод журнал.

Контроль над небом

В западной прессе широко распространена точка зрения об уязвимости самолётов и ракет НАТО перед средствами ПВО/ПРО, которыми вооружены российские войска. По мнению военного эксперта Юрия Кнутова, она основана на привычке Соединённых Штатов начинать боевые действия только при достижении полного превосходства в воздухе.

«Американцы никогда не вторгаются в страну без предварительного уничтожения командных пунктов и средств ПВО. В случае России это абсолютно невозможная ситуация. Поэтому их так раздражает текущее положение дел. В то же время процесс подготовки к вероятной войне с нами в США никогда не заканчивался и американцы продолжают совершенствовать авиацию и средства поражения», - констатировал в беседе с RT Кнутов.

По словам эксперта, Соединённые Штаты традиционно опережали нашу страну в сфере развития авиационных технологий. Однако на протяжении полувека отечественные учёные создают высокоэффективные образцы вооружений, которые способны перехватывать новейшие самолёты и ракеты НАТО и создавать серьёзные помехи их электронной аппаратуре.

Созданию эшелонированной системы ПВО/ПРО в Советском Союзе уделялось колоссальное внимание. До начала 1960-х годов американские самолёты-разведчики почти беспрепятственно летали над СССР. Однако с появлением первых зенитных ракетных комплексов (ЗРК) и уничтожением U-2 под Свердловском (1 мая 1960 года) интенсивность полётов американских ВВС над территорией нашей страны заметно снизилась.

В формирование и развитие противовоздушной обороны, а также системы предупреждения о ракетном нападении (СПРН) были вложены колоссальные средства. В результате СССР удалось обеспечить надёжную защиту важнейших административных центров, ключевых объектов военной инфраструктуры, командных пунктов и промышленных зон.

На вооружение были приняты разнообразные радиолокационные станции (мониторинг воздушного пространства, обнаружение целей, разведка), автоматизированные системы управления (обработка радиолокационной информации и её передача командованию), средства постановки помех и комплексы огневого поражения (зенитные ракетные комплексы, истребители, системы радиоэлектронной борьбы).

По состоянию на конец 1980-х годов штатная численность войск ПВО СССР превышала 500 тыс. человек. Советский Союз защищали Московский округ ПВО, 3-я отдельная армия предупреждения о ракетном нападении, 9-й отдельный корпус ПВО, 18-й отдельный корпус контроля космического пространства, а также восемь армий ПВО со штабами в Минске, Киеве, Свердловске, Ленинграде, Архангельске, Ташкенте, Новосибирске, Хабаровске и Тбилиси.

В общей сложности на боевом дежурстве находились свыше 1260 дивизионов ЗРК, 211 зенитных ракетных полков, 28 радиотехнических полков, 36 радиотехнических бригад, 70 истребительных полков ПВО, насчитывавших свыше 2,5 тыс. боевых самолётов.

После распада СССР в связи с изменением геополитической обстановки и смены военной доктрины численность войск ПВО была сокращена. Сейчас в состав ВКС входят подразделения Космических войск (отвечают за СПРН), 1-я армия ПВО-ПРО (защищает Московскую область) и пять армий ВВС и ПВО, прикрывающих юг РФ, западные регионы Центральной России, Дальний Восток, Сибирь, Поволжье, Урал и Арктику.

По информации Минобороны РФ, в последние годы Россия восстановила непрерывное радиолокационное поле «на основных ракетоопасных направлениях» и укрепила систему ПВО за счёт поступления в войска новейших ЗРК С-400 «Триумф», «Панцирь-С», модернизированных версий «Тора» и «Бука».

В ближайшие годы военные планируют завершить модернизацию системы ПРО А-135 «Амур» и развернуть серийное производство комплекса С-500, способного перехватывать почти все известные цели, включая орбитальные самолёты, спутники, межконтинентальные баллистические ракеты и их боевые блоки.

«Не приносит прорывных результатов»

В беседе с RT профессор Академии военных наук Вадим Козюлин отметил, что в США не прекращаются споры относительно обоснованности ставки на малую радиолокационную заметность самолётов и ракет. По его словам, в Соединённых Штатах растут опасения по поводу того, что современным РЛС (прежде всего российским) не составляет труда обнаружить в воздухе так называемые «невидимки».

«Отсюда возникает вопрос, имеет ли смысл так напряжённо работать на этом направлении, если оно не приносит прорывных результатов. Американцы были пионерами в развитии технологий малозаметности. На проекты «невидимок» были потрачены сотни миллиардов долларов, но даже не все серийные образцы оправдали ожидания», - сказал Козюлин.

Малая радиолокационная заметность достигается снижением эффективной площади рассеивания (ЭПР). Этот показатель зависит от наличия плоских геометрических форм в конструкции самолёта и специальных радиопоглощающих материалов. «Невидимкой» принято называть самолёт с ЭПР менее 0,4 кв. м.

Первым серийным малозаметным самолётом США стал тактический бомбардировщик Lockheed F-117 Nighthawk, поднявшийся в небо в 1981 году. Он участвовал в операциях против Панамы, Ирака и Югославии. Несмотря на невероятный для своего времени показатель ЭПР (от 0,025 кв. м до 0,1 кв. м), F-117 имел множество существенных недостатков.

Помимо чрезвычайно высокой цены и сложности в эксплуатации, Nighthawk безнадёжно проигрывал более ранним машинам ВВС США по показателям боевой нагрузки (чуть более двух тонн) и радиусу действия (около 900 км). К тому же эффект малозаметности достигался лишь в режиме радиомолчания (отключение средств связи и системы опознавания «свой-чужой»).

27 марта 1999 года американская высокотехнологичная машина была сбита советским ЗРК С-125 югославских войск ПВО, который уже тогда считался устаревшим. Это была единственная боевая потеря F-117. С тех пор среди военных и экспертов не утихают дискуссии о том, как подобный инцидент стал возможен. В 2008 году Nighthawk был выведен из состава ВВС США.

Наиболее современные образцы американской авиации также представлены «невидимками». ЭПР первого самолёта пятого поколения F-22 составляет 0,005-0,3 кв. м, новейшего истребителя F-35 - 0,001-0,1 кв. м, дальнего бомбардировщика B-2 Spirit - 0,0014-0,1 кв. м. При этом ЗРК С-300 и С-400 способны фиксировать воздушные цели с ЭПР в районе 0,01 кв. м (точных данных нет).

Козюлин отметил, что западные и отечественные СМИ нередко пытаются выяснить, могут ли российские зенитные комплексы перехватить американские самолёты. По его словам, на противовоздушный бой одновременно влияет множество факторов, предсказать его результат заранее невозможно.

«ЭПР меняется в зависимости от высоты и дальности полёта самолёта. В одной точке он может быть виден хорошо, в другой - нет. Однако большая популярность российских средств ПВО на мировом рынке и опасения американцев относительно возможностей С-400 говорят о том, что противовоздушная оборона России справляется с поставленными задачами, то есть защитой от любых средств воздушного нападения», - резюмировал Козюлин.

Принцип эшелонированной обороны получает все более широкое распространение среди специалистов по безопасности. Однако, его практическая реализация часто неверна. Стратегия обороны не должна ограничиваться лишь нагромождением многочисленных контрольных проверок и технологий защиты. Сущность эшелонированной обороны - в продуманном расположении средств защиты. Для успешной организации эшелонированной обороны необходимо провести хороший анализ угрозы, в ходе которого необходимо определить:

• ресурсы и значение этих ресурсов;
• опасности, которым подвергаются ресурсы, и вероятность каждой угрозы;
• векторы угрозы, которые могут быть использованы для атаки на предприятие.

Концепция эшелонированной обороны существует тысячи лет, поэтому я приведу часто используемый пример средневекового замка, чтобы показать, что свойственно, и что несвойственно эшелонированной обороне. Для ясности изложения, упростим задачу и рассмотрим только один из векторов угрозы, против которого необходимо защитить замок: прямая атака через главные ворота. Замок располагает многочисленными средствами защиты против этого вектора угрозы. Если оборона правильно организована, взломщикам придется преодолеть каждый рубеж, прежде чем им удастся по-настоящему угрожать людским, военным, политическим или материальным ресурсам замка.

Во-первых, нападающие должны уклониться от града стрел на подходе к замку. Затем, если подвесной мост поднят, нападающие должны преодолеть ров и проникнуть в ворота, закрытые поднятым мостом. После этого нападающие должны пройти по узкому проходу, образованному стенами и попытаться пройти сквозь внутренние ворота под ударами защитников замка.

Этот сценарий - хороший пример многоуровневой обороны, организованной против одного вектора угрозы. Однако, простое наличие средств защиты не означает, что предприятие располагает действительно эшелонированной обороной против конкретных угроз. Например, еще один вектор угрозы против замка - подрыв стен. От этой опасности защищает ров, но как быть, если осаждающим удастся осушить его? Оборону замка вряд ли можно назвать эшелонированной, если нет дополнительных средств, например, глубоко уходящего в землю фундамента или готового запаса кипящей смолы, которую можно в любой момень вылить на противника со стен.

В мире ИТ не существует единого непреодолимого средства защиты, и ни одна стратегия информационной безопасности не будет полной без эшелонированной стратегии. Непросто реализовать эту стратегию в корпорации, которой необходимо защитить свои информационные ресурсы. Преимущество замков заключалось в наличии единственной точки входа, а в производственных сетях компаний существует множество входов (в частности, соединения с поставщиками, провайдерами услуг и потребителями), что делает оборону более пористой. Кроме того, в настоящее время число векторов угроз гораздо больше, чем несколько лет назад. В начале 1990-х безопасность сети сводилась, в сущности, к защите от атак на уровне пакетов, а брандмауэры были маршрутизаторами с дополнительными возможностями. Сегодня угрозы для внутренних ресурсов исходят от переполнений буфера, SQL-подмен, вредных Web-страниц, почтовых сообщений с активным контентом, беспроводных соединений, поддельных URL и многих других типов атаки.

В столь динамичной, сложной среде взломщик может обойти любое препятствие при наличии благоприятных обстоятельств. Рассмотрим, например, антивирусные программы. Новый вектор атаки может обойти классические проверки, также как программы IM обходят проверки со стороны антивирусных утилит. К сети предприятия может быть подключен единственный компьютер без обязательной антивирусной программы. Важное обновление вирусных сигнатур может выйти с опозданием или не будет применено в филиале. Антивирусный механизм может пропустить вирус, или произойдет сбой антивирусной программы из-за некорректного исправления. Все эти события случаются в действительности.

Стратегия исчерпывающей эшелонированной обороны

В современных условиях важнее, чем когда-либо в прошлом, применить несколько средств против каждой угрозы. На примере антивирусной программы можно рассмотреть, как использовать комбинированные приемы для формирования исчерпывающей эшелонированной обороны против вирусов и других вредных программ.

Начальный уровень представлен антивирусной программой, направленной против самых распространенных векторов (или входов) угрозы, к которым относятся электронная почта, Web и IM. Антивирусную технологию следует установить на шлюзовых серверах SMTP, которые обрабатывают входящий почтовый поток, и развернуть антивирусное программное обеспечение на брандмауэрах и входных устройствах, которые перехватывают данные, пересылаемые при перемещениях по Web и загрузке файлов. Средства безопасности IM менее зрелые, чем решения для электронной почты и Web. Кроме того, проблема усложняется из-за широкого распространения IM-служб и способности IM-клиентов обходить защитные меры шлюзов. Тем не менее, существуют решения, с помощью которых можно направить внутренние и внешние IM-сообщения через единый канал с антивирусным фильтром и другими функциями безопасности.

Но электронная почта, Web и IM - не единственные векторы распространения вредных программ. Например, ими могут быть сменные носители, в частности, гибкие диски, компакт диски, устройства USB и флэш-памяти. Пользователь может принести ноутбук в Internet-кафе, подключиться к Wi-Fi-сети, подвергнуться нападению, а затем вернуться с компьютером в офис и установить соединение с сетью предприятия, обойдя периметрическую защиту. Это лишь немногие из возможных путей распространения опасных программ. Невозможно блокировать все маршруты проникновения с помощью специализированных средств. В конечном итоге, в каждой организации появляются защищенные векторы и открытые векторы без превентивных мер.

Что происходит, если вредная программа обходит периметрическую защиту через незащищенный вектор, или специализированное средство безопасности оказывается неэффективным? Дальнейшее развитие событий зависит от наличия эшелонированной обороны. В средние века главной заботой защитников замка была круговая оборона от атаки по окружающей местности. Оборонительные укрепления начинались на дальних подходах к замку, и становились все более мощными по мере приближения к центру замка. Наиболее защищенной была главная башня, которая представляла собой замок в замке. Если изобразить оборонительные рубежи в виде концентрических кругов вокруг защищаемого объекта, то становится очевидной причина выбора данного подхода. Чем дальше от объекта, тем больше длина окружности и тем больше ресурсов требуется для организации круговой обороны.

Различные методы защиты от вирусов, рассмотренные выше, обеспечивают широту, но не глубину обороны. Например, зараженный файл проходит проверку не более, чем одним из антивирусных инструментом, в зависимости от вектора, из которого появился файл. Несмотря на важность ширины, нельзя надеяться блокировать любую опасность на физическом или логическом периметре сети. Поэтому блокируются самые простые или часто используемые векторы заражения, а затем формируется более глубокое кольцо обороны.

Второй уровень обороны может представлять собой комбинацию средств обнаружения, лечения и дополнительной профилактики. Пример средств обнаружения - сканирование файлов в процессе приема. Во многих антивирусных продуктах файлы проверяются прежде, чем их смогут открыть приложения. Антивирусное решение, которое отправляет в карантин или восстанавливает файлы, одновременно выполняет и функцию лечения. Если сканирование файлов в процессе приема приводит к заметному падению быстродействия пользовательских систем или процессоров, то можно регулярно сканировать тома серверов и рабочих станций, и другие хранилища файлов в периоды малой рабочей нагрузки.

Разнообразные другие средства обнаружения могут быть как сложными, так и простыми, но эффективными. К сложным относятся системы обнаружения и предотвращения несанкционированного доступа, которые контролируют трафик в сетях, отыскивая вирусы и "червей". Однако, в этих дорогостоящих системах используется база данных известных атак, которая нуждается в постоянном обновлении. Кроме того, при анализе пакетов существует проблема потерянных пакетов и некорректного восстановления потоков данных. Среди простых решений - организация папок-приманок, в которых содержатся легко доступные для модификации файлы. Затем специальные процессы обнаруживают изменения в файлах. Файлы представляют собой лишь наживку, и любая попытка изменить их может рассматриваться как свидетельство деятельности вредной программы.

Можно реализовать другой уровень превентивного контроля, разместив брандмауэры на хост-машинах, максимально ужесточив порядок изменения файлов и исключив или ограничив доступ к разделяемым папкам. В результате всех этих мер вирусам и "червям" труднее обнаруживать еще незараженные файлы и системы.

Оценка надежности защиты

Эшелонированная оборона - эффективный способ борьбы с многовекторными постоянно меняющимися опасностями в современной информационной среде. Защита должна быть не только широкой, но и глубокой. Не следует ограничиваться лишь физической зоной обороны, рассматривая только физическую сеть и границы систем. В отличие от архитектора замка, которому требовалось защитить единственную точку входа, администратору ИТ приходится иметь дело со множеством точек в виде отдельных компьютеров, приложений, хранилищ данных и процессов. Оборона будет действительно эшелонированной, если для каждого ресурса существует более одного средства защиты от конкретной угрозы.