Способы защиты информации на предприятии, также как и способы ее добычи, постоянно меняются. Регулярно появляются новые предложения от компаний, предоставляющих услуги по защите информации. Панацеи конечно нет, но есть несколько базовых шагов построения защиты информационной системы предприятия, на которые вам обязательно нужно обратить внимание.
Многим наверняка знакома концепция глубокой защиты от взлома информационной сети. Основная ее идея состоит в том, чтобы использовать несколько уровней обороны. Это позволит, как минимум, минимизировать ущерб, связанный с возможным нарушением периметра безопасности вашей информационной системы.
Далее рассмотрим общие аспекты компьютерной безопасности, а также создадим некий чеклист, служащий в качестве основы для построения базовой защиты информационной системы предприятия.
Брандмауэр или файрвол - это первая линия обороны, которая встречает непрошенных гостей.
По уровню контроля доступа выделяют следующие типы брэндмауэра:
Повышенное внимание к сетевой безопасности и развитие электронной коммерции привело к тому, что все большее число пользователей используют для своей защиты шифрование соединений (SSL, VPN). Это достаточно сильно затрудняет анализ трафика проходящего через межсетевые экраны. Как можно догадаться, теми же технологиями пользуются разработчики вредоносного программного обеспечения. Вирусы, использующие шифрование трафика, стали практически не отличимы от легального трафика пользователей.
Ситуации, когда сотруднику необходим доступ к ресурсам компании из общественных мест (Wi-Fi в аэропорту или гостинице) или из дома (домашнюю сеть сотрудников не контролируют ваши администраторы), особенно опасны для корпоративной информации. Для их защиты просто необходимо использовать шифрованные туннели VPN. Ни о каком доступе к удаленному рабочему столу (RDP) напрямую без шифрования не может быть и речи. Это же касается использования стороннего ПО: Teamviewer, Aammy Admin и т.д. для доступа к рабочей сети. Трафик через эти программы шифруется, но проходит через неподконтрольные вам сервера разработчиков этого ПО.
К недостаткам VPN можно отнести относительную сложность развертывания, дополнительные расходы на ключи аутентификации и увеличение пропускной способности интернет канала. Ключи аутентификации также могут быть скомпрометированы. Украденные мобильные устройства компании или сотрудников (ноутбуки, планшеты, смартфоны) с предварительно настроенными параметрами подключения VPN могут стать потенциальной дырой для несанкционированного доступа к ресурсам компании.
Система обнаружения вторжений (IDS - англ.: Intrusion Detection System) - программное или аппаратное средство, предназначенное для выявления фактов неавторизованного доступа в компьютерную систему (сеть), либо несанкционированного управления такой системой. В простейшем случае такая система помогает обнаружить сканирование сетевых портов вашей системы или попытки войти на сервер. В первом случае это указывает на первоначальную разведку злоумышленником, а во втором попытки взлома вашего сервера. Также можно обнаружить атаки, направленные на повышение привилегий в системе, неавторизованный доступ к важным файлам, а также действия вредоносного программного обеспечения. Продвинутые сетевые коммутаторы позволяют подключить систему обнаружения вторжений, используя зеркалирование портов, или через ответвители трафика.
Система предотвращения вторжений (IPS - англ.: Intrusion Prevention System) -программная или аппаратная система обеспечения безопасности, активно блокирующая вторжения по мере их обнаружения. В случае обнаружения вторжения, подозрительный сетевой трафик может быть автоматически перекрыт, а уведомление об этом немедленно отправлено администратору.
Антивирусное программное обеспечение является основным рубежом защиты для большинства современных предприятий. По данным исследовательской компании Gartner, объем рынка антивирусного ПО по итогам 2012 года составил $19,14 млрд. Основные потребители - сегмент среднего и малого бизнеса.
Прежде всего антивирусная защита нацелена на клиентские устройства и рабочие станции. Бизнес-версии антивирусов включают функции централизованного управления для передачи обновлений антивирусных баз клиентские устройства, а также возможность централизованной настройки политики безопасности. В ассортименте антивирусных компаний присутствуют специализированные решения для серверов.
Учитывая то, что большинство заражений вредоносным ПО происходит в результате действий пользователя, антивирусные пакеты предлагают комплексные варианты защиты. Например, защиту программ электронной почты, чатов, проверку посещаемых пользователями сайтов. Кроме того, антивирусные пакеты все чаще включают в себя программный брандмауэр, механизмы проактивной защиты, а также механизмы фильтрации спама.
Что из себя представляют "белые списки"? Существуют два основных подхода к информационной безопасности. Первый подход предполагает, что в операционной системе по умолчанию разрешен запуск любых приложений, если они ранее не внесены в "черный список". Второй подход, напротив, предполагает, что разрешен запуск только тех программ, которые заранее были внесены в "белый список", а все остальные программы по умолчанию блокируются. Второй подход к безопасности конечно более предпочтителен в корпоративном мире. Белые списки можно создать, как с помощью встроенных средств операционной системы , так и с помощью стороннего ПО. Антивирусное ПО часто предлагает данную функцию в своем составе. Большинство антивирусных приложений, предлагающих фильтрацию по белому списку, позволяют провести первоначальную настройку очень быстро, с минимальным вниманием со стороны пользователя.
Тем не менее, могут возникнуть ситуации, в которых зависимости файлов программы из белого списка не были правильно определены вами или антивирусным ПО. Это приведет к сбоям приложения или к неправильной его установке. Кроме того, белые списки бессильны против атак, использующих уязвимости обработки документов программами из белого списка. Также следует обратить внимание на самое слабое звено в любой защите: сами сотрудники в спешке могут проигнорировать предупреждение антивирусного ПО и добавить в белый список вредоносное программное обеспечение.
Спам рассылки часто применяются для проведения фишинг атак, использующихся для внедрения троянца или другого вредоноса в корпоративную сеть. Пользователи, которые ежедневно обрабатывают большое количество электронной почты, более восприимчивы к фишинг-сообщениям. Поэтому задача ИТ-отдела компании - отфильтровать максимальное количество спама из общего потока электронной почты.
Основные способы фильтрации спама:
Своевременное обновление программного обеспечения и применение актуальных заплаток безопасности - важный элемент защиты корпоративной сети от несанкционированного доступа. Производители ПО, как правило, не предоставляют полную информацию о новой найденной дыре в безопасности. Однако злоумышленникам хватает и общего описания уязвимости, чтобы буквально за пару часов после публикации описания новой дыры и заплатки к ней, написать программное обеспечение для эксплуатации этой уязвимости.
На самом деле это достаточно большая проблема для предприятий малого и среднего бизнеса, поскольку обычно используется широкий спектр программных продуктов разных производителей. Часто обновлениям всего парка ПО не уделяется должного внимания, а это практически открытое окно в системе безопасности предприятия. В настоящее время большое количество ПО самостоятельно обновляется с серверов производителя и это снимает часть проблемы. Почему часть? Потому что сервера производителя могут быть взломаны и, под видом легальных обновлений, вы получите свежее вредоносное ПО. А также и сами производители порой выпускают обновления, нарушающие нормальную работу своего ПО. На критически важных участках бизнеса это недопустимо. Для предотвращения подобных инцидентов все получаемые обновления, во-первых, должны быть применены сразу после их выпуска, во-вторых, перед применением они обязательно должны быть тщательно протестированы.
Физическая безопасность корпоративной сети является одним из важнейших факторов, который сложно переоценить. Имея физический доступ к сетевому устройству злоумышленник, в большинстве случаев, легко получит доступ к вашей сети. Например, если есть физический доступ к коммутатору и в сети не производится фильтрация МАС-адресов. Хотя и фильтрация MAC в этом случае вас не спасет. Еще одной проблемой является кража или небрежное отношение к жестким дискам после замены в сервере или другом устройстве. Учитывая то, что найденные там пароли могут быть расшифрованы, серверные шкафы и комнаты или ящики с оборудованием должны быть всегда надежно ограждены от проникновения посторонних.
Мы затронули лишь некоторые из наиболее распространенных аспектов безопасности. Важно также обратить внимание на обучение пользователей, периодический независимый аудит информационной безопасности, создание и соблюдение надежной политики информационной безопасности.
Обратите внимание на то, что защита корпоративной сети является достаточно сложной темой, которая постоянно меняется. Вы должны быть уверены, что компания не зависит всего лишь от одного-двух рубежей защиты. Всегда старайтесь следить за актуальной информацией и свежими решениями на рынке информационной безопасности.
Воспользуйтесь надежной защитой корпоративной сети в рамкам услуги «обслуживание компьютеров организаций» в Новосибирске.
Сегодня в своем блоге мы решили коснуться аспектов безопасности корпоративных сетей. И нам в этом поможет технический директор компании LWCOM Михаил Любимов.
Почему эта тема сетевой безопасности является крайне актуальной в современном мире?
Ввиду практически повсеместной доступности широкополосного интернета, большинство действий на устройствах производятся через сеть, поэтому для 99% современных угроз именно сеть является транспортом, на котором доставляется угроза от источника к цели. Конечно, распространение вредоносного кода возможно с помощью съемных носителей, но данный способ в настоящее время используется все реже и реже, да и большинство компаний давно научились бороться с подобными угрозами.
Что такое сеть передачи данных?
Давайте сначала нарисуем архитектуру классической корпоративной сети передачи данных в упрощенном и всем понятном виде.
Начинается сеть передачи данных с коммутатора уровня доступа. Непосредственно к данному коммутатору подключаются рабочие места: компьютеры, ноутбуки, принтеры, многофункциональные и различного рода другие устройства, например, беспроводные точки доступа. Соответственно оборудования у вас может быть много, подключаться к сети оно может в совершенно разных местах (этажах или даже отдельных зданиях).
Обычно, корпоративная сеть передачи данных строится по топологии «звезда», поэтому взаимодействие всех сегментов между собой будет обеспечивать оборудование уровня ядра сети. Например, может использоваться тот же коммутатор, только обычно в более производительном и функциональном варианте по сравнению с используемыми на уровне доступа.
Серверы и системы хранения данных обычно консолидированы в одном месте и, с точки зрения сетей передачи данных, могут подключаться как непосредственно к оборудованию ядра, так и могут иметь некий выделенный для этих целей сегмент оборудования доступа.
Далее у нас остается оборудование для стыка с внешними сетями передачи данных (например, Интернет). Обычно для этих целей в компаниях используются такие устройства, маршрутизаторы , межсетевые экраны , различного рода прокси-серверы. Они же используются для организации связи с распределенными офисами компании и для подключения удаленных сотрудников.
Вот такая получилась простая для понимания и обычная для современных реалий архитектура локально-вычислительной сети.
Какая классификация угроз существует на сегодняшний день?
Давайте определим основные цели и направления атак в рамках сетевого взаимодействия.
Самая распространенная и простая цель атаки – это пользовательское устройство. Вредоносное программное обеспечение легко распространить в данном направлении через контент на веб-ресурсах или через почту.
В дальнейшем злоумышленник, получив доступ к рабочей станции пользователя, либо может похитить конфиденциальные данные, либо развивать атаку на других пользователей или на иные устройства корпоративной сети.
Следующая возможная цель атаки – это, конечно же, серверы . Одини из самых известных типов атак на опубликованные ресурсы являются DoS и DDoS атаки, которые применяются с целью нарушения стабильной работы ресурсов или полного их отказа.
Также атаки могут быть направлены из внешних сетей на конкретные опубликованные приложения, например, веб-ресурсы, DNS-серверы, электронную почту. Также атаки могут быть направлены изнутри сети - с зараженного компьютера пользователя или от злоумышленника, подключившегося к сети, на такие приложения, как файловые шары или базы данных.
Так же есть категория избирательных атак, и одной из самых опасных является атака на саму сеть, то есть на доступ к ней. Злоумышленник, получивший доступ к сети, может организовать следующую атаку фактически на любое устройство, подключенное к ней, а также скрытно получать доступ к любой информации. Что самое главное - успешную атаку подобного рода достаточно сложно обнаружить, и она не лечится стандартными средствами. То есть фактически у вас появляется новый пользователь или, хуже того, администратор, про которого вы ничего не знаете.
Еще целью атакующего могут быть каналы связи. Следует понимать, что успешная атака на каналы связи не только позволяет считывать передаваемую по ним информацию, но и быть идентичной по последствиям атаке на сеть, когда злоумышленник может получить доступ ко всем ресурсам локально вычислительной сети.
Каким образом организовать грамотную и надежную защиту передачи данных?
Для начала мы можем представить общемировые практики и рекомендации по организации защиты корпоративной сети передачи данных, а именно тот набор средств, который позволит минимальными усилиями избежать большинства существующих угроз, так называемый безопасный минимум.
В данном контексте необходимо ввести термин «периметр безопасности сети», т.к. чем ближе к возможному источнику угрозы вы будете осуществлять контроль, тем сильнее вы снижаете количество доступных для злоумышленника способов атаки. При этом периметр должен существовать как для внешних, так и для внутренних подключений.
В первую очередь, мы рекомендуем обезопасить стык с публичными сетями, ведь наибольшее количество угроз проистекает от них. В настоящее время существует ряд специализированных средств сетевой безопасности, предназначенных как раз для безопасной организации подключения к сети Интернет.
Для их обозначения широко используются такие термины как NGFW (Next-generation firewall) и UTM (Unified Threat Management). Эти устройства не просто сочетают в себе функционал классического маршрутизатора, файрволла и прокси-сервера, но и предоставляют дополнительные сервисы безопасности, такие как: фильтрация по URL и контенту, антивирус и др. При этом устройства зачастую используют облачные системы проверки контента, что позволяет быстро и эффективно проверять все передаваемые данные на наличие угроз. Но главное – это возможность сообщать о выявленных угрозах в ретроспективе, то есть выявлять угрозы в таких случаях, когда зараженный контент был уже передан пользователю, но информация о вредоносности данного программного обеспечения появилась у производителя позже.
Такие вещи, как инспекция HTTPS трафика и автоматический анализ приложений, позволяют контролировать не только доступ к конкретным сайтам, но и разрешать/запрещать работу таких приложений как: Skype, Team Viewer и многих других, а как вы знаете, большинство из них давно работают по протоколам HTTP и HTTPS, и стандартными сетевыми средствами их работу просто так не проконтролировать.
В дополнение к этому, в рамках единого устройства вы можете получить еще и систему предотвращения вторжений, которая отвечает за пресечение атак, направленных на опубликованные ресурсы. Также вы дополнительно можете получить VPN-сервер для безопасной удаленной работы сотрудников и подключения филиалов, антиспам, систему контроля ботнетов, песочницу и др. Все это делает такое устройство действительно унифицированным средством сетевой безопасности.
Если ваша компания еще не использует такие решения, то мы очень рекомендуем начать ими пользоваться прямо сейчас, поскольку время их эффективности уже наступило, и мы можем с уверенностью сказать, что подобные устройства доказали свою реальную способность бороться с большим количеством угроз, чего не было еще 5 лет назад. Тогда подобные вещи только вышли на рынок, имели множество проблем и были довольно дорогими и низкопроизводительными.
А как же выбрать Next-generation firewall?
Сейчас на рынке огромное количество сетевых устройств с заявленным подобным функционалом, но действительно эффективную защиту способны обеспечить лишь единицы. Это объясняется тем, что лишь ограниченное число производителей имеют средства и действительно вкладывают их в nonstop проработку актуальных угроз, т.е. постоянно обновляют базы потенциально опасных ресурсов, обеспечивают бесперебойную поддержку решений и т.д.
Многие партнеры будут пытаться вам продать решения, которые выгодны им для продажи, поэтому цена решения отнюдь не всегда соответствует его реальной способности противостоять угрозам. Лично я рекомендую для выбора устройства обратиться к материалам независимых аналитических центров, например, отчетов NSS Labs. По моему мнению, они являются более точными и непредвзятыми.
Помимо угроз с внешней стороны, ваши ресурсы могут быть атакованы и изнутри. Так называемый «безопасный минимум», который следует использовать в вашей локально-вычислительной сети - это ее сегментация на VLANы, т.е. виртуальные частные сети. Помимо сегментации, требуется обязательное применение политик доступа между ними хотя бы стандартными средствами листов доступа (ACL), ведь просто наличие VLAN в рамках борьбы с современными угрозами практически ничего не дает.
Отдельной рекомендацией я обозначу желательность использования контроля доступа непосредственно от порта устройства. Однако при этом необходимо помнить о периметре сети, т.е. чем ближе к защищаемым сервисам вы примените политики - тем лучше. В идеале такие политики следует вводить на коммутаторах доступа. В таких случаях в качестве самых минимальных политик безопасности рекомендуется применять 4 простых правила:
Также злоумышленниками могут быть совершены атаки на каналы. Для защиты каналов следует использовать сильное шифрование. Многие пренебрегают этим, а потом расплачиваются за последствия. Незащищённые каналы – это не только доступная для похищений информация, но и возможность атаки практически всех корпоративных ресурсов. У наших заказчиков в практике было немалое количество прецедентов, когда совершались атаки на корпоративную телефонию путем организации связи через незащищенные каналы передачи данных между центральным и удаленным офисом (например, просто используя GRE туннели). Компаниям приходили просто сумасшедшие счета!
Что вы можете рассказать о беспроводных сетях и BYOD?
Тему удалённой работы, беспроводных сетей и использования собственных устройств я хотел бы выделить отдельно. По своему опыту могу сказать, что эти три вещи – одна из самых больших потенциальных дыр в безопасности вашей компании. Но при этом они являются и одним из самых больших конкурентных преимуществ.
Если подойти к вопросу кратко, то я рекомендую либо полностью запрещать использование беспроводных сетей, удаленную работу или работу через собственные мобильные устройства, мотивируя это корпоративными правилами, либо предоставлять эти сервисы максимально проработанными с точки зрения безопасности, тем более, что современные решения предоставляют возможность сделать это в лучшем виде.
В плане удаленной работы вам могут помочь те же самые Next Generation Firewalls или UTM устройства. Наша практика показывает, что есть ряд стабильных решений (туда входят Cisco, Checkpoint, Fortinet, Citrix), которые позволяют работать с множеством клиентских устройств, при этом обеспечивая самые высокие стандарты для идентификации удаленного сотрудника. Например, использование сертификатов, двухфакторной авторизации, одноразовых паролей, доставляемые по SMS или генерируемых на специальном ключе. Так же можно контролировать программное обеспечение, установленное на компьютере, с которого производится попытка доступа, допустим, на предмет установки соответствующих обновлений либо запущенных антивирусов.
Безопасность Wi-Fi – это заслуживающая отдельной статьи тема. В рамках данного поста я попытаюсь дать самые главные рекомендации. Если вы строите корпоративный Wi-Fi, то обязательно прорабатывайте все возможные аспекты безопасности, связанные с ним.
Между прочим, Wi-Fi – это целая отдельная статья доходов нашей компании. Мы занимаемся ими профессионально: проекты по оснащению беспроводным оборудованием ТРК и ТЦ, бизнес-центров, складов, в том числе с применением современных решений, таких как позиционирование, выполняются у нас в режиме nonstop. И по результатам проводимых нами радио-обследований мы в каждом втором офисе и складе находим как минимум по одному домашнему Wi-Fi роутеру, которые подключали к сети сами сотрудники. Обычно они это делают для собственного удобства работы, допустим, в курилку с ноутбуком выйти или свободно перемещаться в пределах комнаты. Понятно, что никаких корпоративных правил безопасности на таких маршрутизаторах не применялось и пароли раздавались хорошо знакомым коллегам, потом коллегам коллег, потом зашедшим на кофе гостям и в итоге доступ к корпоративной сети имели практически все, при этом он был абсолютно неконтролируемым.
Конечно, стоит обезопасить сеть от подключения подобного оборудования. Основными способами это сделать могут быть: использование авторизации на портах, фильтрация по MAC и пр. Опять же, с точки зрения Wi-Fi, для сети следует использовать сильные криптографические алгоритмы и enterprise методы аутентификации. Но следует понимать, что не все enterprise методы аутентификации являются одинаково полезными. Например, Android устройства в некоторых релизах программного обеспечения могут по умолчанию игнорировать публичный сертификат Wi-Fi сети, тем самым делая возможным атаки класса Evil twin. Если же используется метод аутентификации, такой как EAP GTC, то ключ в нем передается в открытом виде и его можно в указанной атаке вполне перехватить. Мы рекомендуем в корпоративных сетях использовать исключительно аутентификацию по сертификату, т.е. это TLS методы, но учитывайте, что она значительно увеличивает нагрузку на администраторов сети.
Есть еще способ: если в корпоративной сети внедрена удаленная работа, то можно подключенные через Wi-Fi сеть устройства заставлять использовать еще и VPN клиент. То есть выделить Wi-Fi сегмент сети в изначально недоверенную область, и в итоге получится хороший рабочий вариант с минимизацией затрат на управление сетью.
Производители enterprise решений по Wi-Fi, такие как Cisco, Ruckus, который теперь Brocade, Aruba, которая теперь HPE, помимо стандартных решений по организации Wi-Fi, предоставляют целый набор сервисов по автоматическому контролю безопасности беспроводной среды. То есть у них вполне себе работают такие вещи как WIPS (Wireless intrusion prevention system). У данных производителей реализованы беспроводные сенсоры, которые могут контролировать весь спектр частот, тем самым позволяя отслеживать в автоматическом режиме довольно-таки серьезные угрозы.
Теперь коснемся таких тем, как BYOD (Bring your own device – Принеси свое устройство) и MDM (Mobile device management – Управление мобильными устройствами). Конечно, любое мобильное устройство, на котором хранятся корпоративные данные, либо которое имеет доступ к корпоративной сети, является потенциальным источником проблем. Тема безопасности для таких устройств касается не только безопасного доступа к корпоративной сети, но и централизованного управления политиками мобильных устройств: смартфонов, планшетов, ноутбуков, используемых вне организации. Эта тема актуальна уже очень давно, но только сейчас на рынке появились реально работающие решения, позволяющие управлять разнообразным парком мобильной техники.
К сожалению, рассказать о них в рамках данного поста не получится, но знайте, что решения есть и в последний год мы испытываем бум внедрений решений MDM от Microsoft и MobileIron.
Вы рассказали про «безопасность в минимуме», что тогда из себя представляет «безопасность в максимуме»?
Одно время в интернете была популярна картинка: на ней рекомендовалось для защиты сети поставить один за одним межсетевые экраны известных производителей. Мы ни в коей мере не призываем делать вас так же, но, тем не менее, доля истины здесь есть. Будет крайне полезным иметь сетевое устройство с анализом вирусных сигнатур, например, от SOFOS, а на рабочих местах уже устанавливать антивирус от Лаборатории Касперского. Тем самым, мы получаем две не мешающих друг другу системы защиты от вредоносного кода.
Существует ряд специализированных средств ИБ:
DLP. На рынке представлены специализированные средства информационной безопасности, то есть разработанные и направленные на решение какой-то конкретной угрозы. В настоящее время популярными становятся системы DLP (Data Loss Prevention) или предотвращения утечки данных. Они работают как на сетевом уровне, интегрируясь в среду передачи данных, так и непосредственно на серверах приложений, рабочих станциях, мобильных устройствах.
Мы несколько уходим от сетевой тематики, но угроза утечки данных будет существовать всегда. В особенности, данные решения становятся актуальными для компаний, где потеря данных несет коммерческие и репутационных риски и последствия. Еще 5 лет назад внедрение DLP систем было несколько затруднено в виду их комплексности и необходимости проведения процесса разработки для каждого конкретного случая. Поэтому из-за их стоимости многие компании отказывались от данных решений, либо писали свои. В настоящее время рыночные системы достаточно наработаны, поэтому весь необходимый функционал безопасности можно получить прямо из «коробки».
На российском рынке коммерческие системы в основном представлены производителем Infowatch (ниже картинка от данного производителя о том, как они представляют свое решение в крупной компании) и довольно-таки известным MacAfee.
WAF. Ввиду развития услуг интернет коммерции, а это интернет-банкинг, электронные деньги, электронная торговля, страховые услуги и т.д., в последнее время стали востребованы специализированные средства для защиты веб-ресурсов. А именно WAF – Web Application Firewall.
Данное устройство позволяет отражать атаки, направленные на уязвимости самого сайта. Помимо избирательных DoS атак, когда сайт подавляется легитимными запросами, это могут быть атаки SQL injection, Cross site scripting и пр. Раньше таковые устройства приобретались в основном банками, а у других заказчиков они были не востребованы, да и стоили очень больших денег. Для примера - стоимость рабочего решения начиналась от 100 000$. Сейчас на рынке представлено большое количество решений от известных производителей (Fortinet, Citrix, Positive Technologies), от которых можно получить работающее решение по защите вашего сайта за вполне себе вменяемые деньги (в 3-5 раз меньше, чем указанная ранее сумма).
Audit. Организации, особенно ратующие за собственную безопасность, внедряют средства автоматизированного аудита. Данные решения дорогостоящи, но позволяют вынести ряд функций администратора в область автоматизации, что крайне востребовано для крупного бизнеса. Такие решения постоянно осуществляют сканирование сети и выполняют аудит всех установленных операционных систем и приложений на предмет наличия известных дыр в безопасности, своевременности обновлений, соответствию корпоративных политик. Наверное, самые известные решения в этой области не только в России, но и всем мире – это продукты от Positive Technologies.
SIEM. Аналогично SIEM решения. Это системы, заточенные на выявление внештатных ситуаций, касающихся именно событий, связанных с безопасностью. Даже стандартный набор из пары межсетевых экранов, десятка серверов приложений и тысячи рабочих мест может генерировать десятки тысяч оповещений в день. Если у вас большая компания и вы имеете десятки пограничных устройств, то разобраться в получаемых от них данных в ручном режиме становится просто невозможно. Автоматизация контроля собираемых логов одновременно со всех устройств позволяет администраторам и сотрудникам ИБ действовать незамедлительно. На рынке довольно-таки известны решения SIEM от Arсsight (входит в продукцию HPE) и Q-RADAR (входит в продукцию IBM).
И напоследок: что вы можете посоветовать тем, кто всерьез занялся организацией защиты своих ИТ-ресурсов?
Безусловно, при организации ИТ-безопасности предприятия не стоит забывать и об административном регламенте. Пользователи и администраторы должны быть в курсе, что найденные флешки использовать на компьютере нельзя, как нельзя переходить по сомнительным ссылкам в письмах или открывать сомнительные вложения. Очень важно при этот рассказать и пояснить, какие ссылки и вложения являются непроверенными. В действительности, не все понимают, что не надо хранить пароли на стикерах, приклеенных к монитору или телефону, что нужно научиться читать предупреждения, которые пишут пользователю приложения и т.д. Следует объяснить пользователям, что такое сертификат безопасности и что означают сообщения, связанные с ним. В целом, необходимо учитывать не только техническую сторону вопроса, но и прививать культуру использования корпоративных ИТ-ресурсов сотрудниками.
Надеюсь, этот большой пост был вам интересен и полезен.
Сразу отметим, что системы защиты, которая 100% даст результат на всех предприятиях, к сожалению, не существует. Ведь с каждым днём появляются всё новые способы обхода и взлома сети (будь она или домашняя). Однако тот факт, что многоуровневая защита - все же лучший вариант для обеспечения безопасности корпоративной сети, остается по-прежнему неизменным.
И в данной статье мы разберем пять наиболее надежных методов защиты информации в компьютерных системах и сетях, а также рассмотрим уровни защиты компьютера в корпоративной сети.
Однако сразу оговоримся, что наилучшим способом защиты данных в сети является бдительность ее пользователей. Все сотрудники компании, вне зависимости от рабочих обязанностей, должны понимать, и главное - следовать всем правилам информационной безопасности. Любое постороннее устройство (будь то телефон, флешка или же диск) не должно подключаться к корпоративной сети.
Кроме того, руководству компании следует регулярно проводить беседы и проверки по технике безопасности, ведь если сотрудники халатно относятся к безопасности корпоративной сети, то никакая защита ей не поможет.
В число основных схем межсетевого экрана можно отнести:
На сегодняшний день одной из ведущих компаний по антивирусной защите в сети является «Лаборатория Касперского», которая предлагает такой комплекс защиты, как:
Это только несколько примеров из целого комплекса защиты от «Лаборатории Касперского».
Одним из минусов привлечения «удалённых работников» является возможность потери (или кражи) устройства, с которого ведется работы и последующего получения доступа в корпоративную сеть третьим лицам.
Компании, которые обрабатывают большое количество электронной почты, в первую очередь подвержены фишинг–атакам.
Основными способами фильтрация спама, являются:
Это основные аспекты защиты информации в корпоративной сети, которые работают, практически в каждой компании. Но выбор защиты зависит также от самой структуры корпоративной сети.
Под защищенностью автоматизированной системы будем понимать степень адекватности реализованных в ней механизмов защиты информации существующим в данной среде функционирования рискам, связанным с осуществлением угроз безопасности информации.
Под угрозами безопасности информации традиционно понимается возможность нарушения таких свойств информации, как конфиденциальность, целостность и доступность.
К основным способам обеспечения информационной безопасности относят:
Законодательные (законы (закон от 21 июля 1993 г. N 5485-1 "О государственной тайне"), ГОСТы («ГОСТ Р 50922-96 «Защита информации»), кодексы (ст. 272 УК РФ об НСД), доктрина ИБ и Конституция РФ)
Морально-этические
Организационные (административные)
Технические
Программные
Организационные (административные) средства защиты представляют собой организационно-технические и организационно-правовые мероприятия, осуществляемые в процессе создания и эксплуатации аппаратуры телекоммуникаций для обеспечения защиты информации. Организационные мероприятия охватывают все структурные элементы аппаратуры на всех этапах их жизненного цикла
(строительство помещений, проектирование системы, монтаж и наладка оборудования, испытания и эксплуатация).
Современные технологии защиты корпоративных сетей.
1) Межсетевые экраны
МЭ называют локальное или функционально распределенное программное (программно-аппаратное) средство (комплекс), реализующее контроль за информацией, поступающей в автоматизированную систему и/или выходящей из автоматизированной системы. МЭ основное название, определенное в РД Гостехкомиссии РФ, для данного устройства. Также встречаются общепринятые названия брандмауэр и firewall (англ. огненная стена). По определению МЭ служит контрольным пунктом на границе двух
сетей. В самом распространенном случае эта граница лежит между внутренней сетью организации и внешней сетью, обычно сетью Интернет. Однако в общем случае, МЭ могут применяться для разграничения внутренних подсетей корпоративной сети организации.
Задачами МЭ являются:
Контроль всего трафика, ВХОДЯЩЕГО во внутреннюю корпоративную сеть
Контроль всего трафика, ИСХОДЯЩЕГО из внутренней корпоративной сети
Контроль информационных потоков состоит в их фильтрации и преобразовании в соответствие с заданным набором правил. Поскольку в современных МЭ фильтрация может осуществляться на разных
уровнях эталонной модели взаимодействия открытых систем (ЭМВОС, OSI), МЭ удобно представить в виде системы фильтров. Каждый фильтр на основе анализа проходящих через него данных, принимает
Неотъемлемой функцией МЭ является протоколирование информационного обмена. Ведение журналов регистрации позволяетадминистратору выявить подозрительные действия, ошибки вконфигурации МЭ и принять решение об изменении правил МЭ.
2) Системы обнаружения атак
Типовая архитектура системы выявления атак включает в себя следующие компоненты:
1. Сенсор (средство сбора информации);
2. Анализатор (средство анализа информации);
3. Средства реагирования;
4. Средства управления.
Сетевые сенсоры осуществляют перехват сетевого трафика, хостовые сенсоры используют в качестве источников информации журналы регистрации событий ОС, СУБД и приложений. Информация о событиях также может быть получена хостовым сенсором непосредственно от ядра ОС, МЭ или приложения. Анализатор, размещаемый на сервере безопасности, осуществляет централизованный сбор и анализ информации, полученной от сенсоров.
Средства реагирования могут размещаться на станциях мониторинга сети, МЭ, серверах и рабочих станциях ЛВС. Типичный набор действий по реагированию на атаки включает в себя оповещение
администратора безопасности (средствами электронной почты, вывода сообщения на консоль или отправки на пэйджер), блокирование сетевых сессий и пользовательских регистрационных записей с целью немедленного прекращения атак, а также протоколирование действий атакующей стороны.
Защищенной виртуальной сетью VPN называют объединение локальных сетей и отдельных компьютеров через открытую внешнюю среду передачи информации в единую виртуальную корпоративную сеть, обеспечивающую безопасность циркулирующих данных.
При подключении корпоративной локальной сети к открытой сети возникают угрозы безопасности двух основных типов:
Несанкционированный доступ к корпоративным данным в процессе их передачи по открытой сети;
Несанкционированный доступ к внутренним ресурсам корпоративной локальной сети, получаемый злоумышленником в результате несанкционированного входа в эту сеть.
Защита информации в процессе передачи по открытым каналам связи основана на выполнении следующих основных функций:
Аутентификации взаимодействующих сторон;
Криптографическом закрытии (шифровании) передаваемых данных;
Проверке подлинности и целостности доставленной информации.
На начальном этапе развития сетевых технологий ущерб от вирусных и других типов компьютерных атак был невелик, так как зависимость мировой экономики от информационных технологий была мала. В настоящее время в условиях значительной зависимости бизнеса от электронных средств доступа и обмена информацией и постоянно растущего числа атак ущерб от самых незначительных атак, приводящих к потерям машинного времени, исчисляется миллионами долларов, а совокупный годовой ущерб мировой экономике составляет десятки миллиардов долларов .
Информация, обрабатываемая в корпоративных сетях, является особенно уязвимой, чему способствуют:
Анализ наиболее распространенных угроз, которым подвержены современные проводные корпоративные сети, показывает, что источники угроз могут изменяться от неавторизованных вторжений злоумышленников до компьютерных вирусов, при этом весьма существенной угрозой безопасности являются человеческие ошибки. Необходимо учитывать, что источники угроз безопасности могут находиться как внутри КИС - внутренние источники, так и вне ее - внешние источники. Такое деление вполне оправдано потому, что для одной и той же угрозы (например кражи) методы противодействия для внешних и внутренних источников различны. Знание возможных угроз, а также уязвимых мест КИС необходимо для выбора наиболее эффективных средств обеспечения безопасности.
Самыми частыми и опасными (с точки зрения размера ущерба) являются непреднамеренные ошибки пользователей, операторов и системных администраторов, обслуживающих КИС. Иногда такие ошибки приводят к прямому ущербу (неправильно введенные данные, ошибка в программе, вызвавшая остановку или разрушение системы), а иногда создают слабые места, которыми могут воспользоваться злоумышленники (таковы обычно ошибки администрирования) .
Согласно данным Национального института стандартов и технологий США (NIST), 55 % случаев нарушения безопасности ИС - следствие непреднамеренных ошибок. Работа в глобальной И С делает этот фактор достаточно актуальным, причем источником ущерба могут быть как действия пользователей организации, так и пользователей глобальной сети, что особенно опасно. На рис. 2.4 приведена круговая диаграмма, иллюстрирующая статистические данные по источникам нарушений безопасности в КИС.
На втором месте по размерам ущерба располагаются кражи и подлоги. В большинстве расследованных случаев виновниками оказывались штатные сотрудники организаций, отлично знакомые с режимом работы и защитными мерами. Наличие мощного информационного канала связи с глобальными сетями при отсутствии должного контроля за его работой может дополнительно способствовать такой деятельности.
Нечестные
Атаки извне
Обиженные
Ошибки пользователей и персонала
4 % Вирусы
Рис. 2.4. Источники нарушений безопасности
сотрудники
Проблемы
физической
безопасности
Обиженные сотрудники, даже бывшие, знакомы с порядками в организации и способны вредить весьма эффективно. Поэтому при увольнении сотрудника его права доступа к информационным ресурсам должны аннулироваться.
Преднамеренные попытки получения НСД через внешние коммуникации занимают около 10 % всех возможных нарушений. Хотя эта величина кажется не столь значительной, опыт работы в 1п1егпе1 показывает, что почти каждый 1п1егпе1-сервер по нескольку раз в день подвергается попыткам проникновения. Тесты Агентства защиты информационных систем (США) показали, что 88 % компьютеров имеют слабые места с точки зрения информационной безопасности, которые могут активно использоваться для получения НСД. Отдельно следует рассматривать случаи удаленного доступа к информационным структурам организации.
До построения политики безопасности необходимо оценить риски, которым подвергается компьютерная среда организации и предпринять соответствующие действия. Очевидно, что затраты организации на контроль и предотвращение угроз безопасности не должны превышать ожидаемых потерь.
Приведенные статистические данные могут подсказать администрации и персоналу организации, куда следует направить усилия для эффективного снижения угроз безопасности корпоративной сети и системы. Конечно, нужно заниматься проблемами физической безопасности и мерами по снижению негативного воздействия на безопасность ошибок человека, но в то же время необходимо уделять самое серьезное внимание решению задач сетевой безопасности по предотвращению атак на корпоративную сеть и систему как извне, так и изнутри системы.
