Защита информации в компьютерных системах и сетях. Обеспечение безопасности корпоративной сети Как обеспечить безопасность корпоративной сети

22.11.2020

Способы защиты информации на предприятии, также как и способы ее добычи, постоянно меняются. Регулярно появляются новые предложения от компаний, предоставляющих услуги по защите информации. Панацеи конечно нет, но есть несколько базовых шагов построения защиты информационной системы предприятия, на которые вам обязательно нужно обратить внимание.

Многим наверняка знакома концепция глубокой защиты от взлома информационной сети. Основная ее идея состоит в том, чтобы использовать несколько уровней обороны. Это позволит, как минимум, минимизировать ущерб, связанный с возможным нарушением периметра безопасности вашей информационной системы.
Далее рассмотрим общие аспекты компьютерной безопасности, а также создадим некий чеклист, служащий в качестве основы для построения базовой защиты информационной системы предприятия.

1. Межсетевой экран (файрвол, брэндмауэр)

Брандмауэр или файрвол - это первая линия обороны, которая встречает непрошенных гостей.
По уровню контроля доступа выделяют следующие типы брэндмауэра:

В простейшем случае фильтрация сетевых пакетов происходит согласно установленных правил, т.е. на основе адресов источника и назначения сетевых пакетов, номеров сетевых портов;
Брэндмауэр, работающий на сеансовом уровне (stateful). Он отслеживает активные соединения и отбрасывает поддельные пакеты, нарушающие спецификации TCP/IP;
Файрвол, работающий на прикладном уровне. Производит фильтрацию на основе анализа данных приложения, передаваемых внутри пакета.

Повышенное внимание к сетевой безопасности и развитие электронной коммерции привело к тому, что все большее число пользователей используют для своей защиты шифрование соединений (SSL, VPN). Это достаточно сильно затрудняет анализ трафика проходящего через межсетевые экраны. Как можно догадаться, теми же технологиями пользуются разработчики вредоносного программного обеспечения. Вирусы, использующие шифрование трафика, стали практически не отличимы от легального трафика пользователей.

2. Виртуальные частные сети (VPN)

Ситуации, когда сотруднику необходим доступ к ресурсам компании из общественных мест (Wi-Fi в аэропорту или гостинице) или из дома (домашнюю сеть сотрудников не контролируют ваши администраторы), особенно опасны для корпоративной информации. Для их защиты просто необходимо использовать шифрованные туннели VPN. Ни о каком доступе к удаленному рабочему столу (RDP) напрямую без шифрования не может быть и речи. Это же касается использования стороннего ПО: Teamviewer, Aammy Admin и т.д. для доступа к рабочей сети. Трафик через эти программы шифруется, но проходит через неподконтрольные вам сервера разработчиков этого ПО.

К недостаткам VPN можно отнести относительную сложность развертывания, дополнительные расходы на ключи аутентификации и увеличение пропускной способности интернет канала. Ключи аутентификации также могут быть скомпрометированы. Украденные мобильные устройства компании или сотрудников (ноутбуки, планшеты, смартфоны) с предварительно настроенными параметрами подключения VPN могут стать потенциальной дырой для несанкционированного доступа к ресурсам компании.

3. Системы обнаружения и предотвращения вторжений (IDS, IPS)

Система обнаружения вторжений (IDS - англ.: Intrusion Detection System) - программное или аппаратное средство, предназначенное для выявления фактов неавторизованного доступа в компьютерную систему (сеть), либо несанкционированного управления такой системой. В простейшем случае такая система помогает обнаружить сканирование сетевых портов вашей системы или попытки войти на сервер. В первом случае это указывает на первоначальную разведку злоумышленником, а во втором попытки взлома вашего сервера. Также можно обнаружить атаки, направленные на повышение привилегий в системе, неавторизованный доступ к важным файлам, а также действия вредоносного программного обеспечения. Продвинутые сетевые коммутаторы позволяют подключить систему обнаружения вторжений, используя зеркалирование портов, или через ответвители трафика.

Система предотвращения вторжений (IPS - англ.: Intrusion Prevention System) -программная или аппаратная система обеспечения безопасности, активно блокирующая вторжения по мере их обнаружения. В случае обнаружения вторжения, подозрительный сетевой трафик может быть автоматически перекрыт, а уведомление об этом немедленно отправлено администратору.

4. Антивирусная защита

Антивирусное программное обеспечение является основным рубежом защиты для большинства современных предприятий. По данным исследовательской компании Gartner, объем рынка антивирусного ПО по итогам 2012 года составил $19,14 млрд. Основные потребители - сегмент среднего и малого бизнеса.

Прежде всего антивирусная защита нацелена на клиентские устройства и рабочие станции. Бизнес-версии антивирусов включают функции централизованного управления для передачи обновлений антивирусных баз клиентские устройства, а также возможность централизованной настройки политики безопасности. В ассортименте антивирусных компаний присутствуют специализированные решения для серверов.
Учитывая то, что большинство заражений вредоносным ПО происходит в результате действий пользователя, антивирусные пакеты предлагают комплексные варианты защиты. Например, защиту программ электронной почты, чатов, проверку посещаемых пользователями сайтов. Кроме того, антивирусные пакеты все чаще включают в себя программный брандмауэр, механизмы проактивной защиты, а также механизмы фильтрации спама.

5. Белые списки

Что из себя представляют "белые списки"? Существуют два основных подхода к информационной безопасности. Первый подход предполагает, что в операционной системе по умолчанию разрешен запуск любых приложений, если они ранее не внесены в "черный список". Второй подход, напротив, предполагает, что разрешен запуск только тех программ, которые заранее были внесены в "белый список", а все остальные программы по умолчанию блокируются. Второй подход к безопасности конечно более предпочтителен в корпоративном мире. Белые списки можно создать, как с помощью встроенных средств операционной системы , так и с помощью стороннего ПО. Антивирусное ПО часто предлагает данную функцию в своем составе. Большинство антивирусных приложений, предлагающих фильтрацию по белому списку, позволяют провести первоначальную настройку очень быстро, с минимальным вниманием со стороны пользователя.

Тем не менее, могут возникнуть ситуации, в которых зависимости файлов программы из белого списка не были правильно определены вами или антивирусным ПО. Это приведет к сбоям приложения или к неправильной его установке. Кроме того, белые списки бессильны против атак, использующих уязвимости обработки документов программами из белого списка. Также следует обратить внимание на самое слабое звено в любой защите: сами сотрудники в спешке могут проигнорировать предупреждение антивирусного ПО и добавить в белый список вредоносное программное обеспечение.

6. Фильтрация спама

Спам рассылки часто применяются для проведения фишинг атак, использующихся для внедрения троянца или другого вредоноса в корпоративную сеть. Пользователи, которые ежедневно обрабатывают большое количество электронной почты, более восприимчивы к фишинг-сообщениям. Поэтому задача ИТ-отдела компании - отфильтровать максимальное количество спама из общего потока электронной почты.

Основные способы фильтрации спама:

Специализированные поставщики сервисов фильтрации спама;
ПО для фильтрации спама на собственных почтовых серверах;
Специализированные хардварные решения, развернутые в корпоративном дата-центре.

7. Поддержка ПО в актуальном состоянии

Своевременное обновление программного обеспечения и применение актуальных заплаток безопасности - важный элемент защиты корпоративной сети от несанкционированного доступа. Производители ПО, как правило, не предоставляют полную информацию о новой найденной дыре в безопасности. Однако злоумышленникам хватает и общего описания уязвимости, чтобы буквально за пару часов после публикации описания новой дыры и заплатки к ней, написать программное обеспечение для эксплуатации этой уязвимости.
На самом деле это достаточно большая проблема для предприятий малого и среднего бизнеса, поскольку обычно используется широкий спектр программных продуктов разных производителей. Часто обновлениям всего парка ПО не уделяется должного внимания, а это практически открытое окно в системе безопасности предприятия. В настоящее время большое количество ПО самостоятельно обновляется с серверов производителя и это снимает часть проблемы. Почему часть? Потому что сервера производителя могут быть взломаны и, под видом легальных обновлений, вы получите свежее вредоносное ПО. А также и сами производители порой выпускают обновления, нарушающие нормальную работу своего ПО. На критически важных участках бизнеса это недопустимо. Для предотвращения подобных инцидентов все получаемые обновления, во-первых, должны быть применены сразу после их выпуска, во-вторых, перед применением они обязательно должны быть тщательно протестированы.

8. Физическая безопасность

Физическая безопасность корпоративной сети является одним из важнейших факторов, который сложно переоценить. Имея физический доступ к сетевому устройству злоумышленник, в большинстве случаев, легко получит доступ к вашей сети. Например, если есть физический доступ к коммутатору и в сети не производится фильтрация МАС-адресов. Хотя и фильтрация MAC в этом случае вас не спасет. Еще одной проблемой является кража или небрежное отношение к жестким дискам после замены в сервере или другом устройстве. Учитывая то, что найденные там пароли могут быть расшифрованы, серверные шкафы и комнаты или ящики с оборудованием должны быть всегда надежно ограждены от проникновения посторонних.

Мы затронули лишь некоторые из наиболее распространенных аспектов безопасности. Важно также обратить внимание на обучение пользователей, периодический независимый аудит информационной безопасности, создание и соблюдение надежной политики информационной безопасности.
Обратите внимание на то, что защита корпоративной сети является достаточно сложной темой, которая постоянно меняется. Вы должны быть уверены, что компания не зависит всего лишь от одного-двух рубежей защиты. Всегда старайтесь следить за актуальной информацией и свежими решениями на рынке информационной безопасности.

Воспользуйтесь надежной защитой корпоративной сети в рамкам услуги «обслуживание компьютеров организаций» в Новосибирске.

Угрозы и уязвимости проводных корпоративных сетей

На начальном этапе развития сетевых технологий ущерб от вирусных и других типов компьютерных атак был невелик, так как зависимость мировой экономики от информационных технологий была мала. В настоящее время в условиях значительной зависимости бизнеса от электронных средств доступа и обмена информацией и постоянно растущего числа атак ущерб от самых незначительных атак, приводящих к потерям машинного времени, исчисляется миллионами долларов, а совокупный годовой ущерб мировой экономике составляет десятки миллиардов долларов.

Информация, обрабатываемая в корпоративных сетях, является особенно уязвимой, чему способствуют:
увеличение объемов обрабатываемой, передаваемой и хранимой в компьютерах информации;
сосредоточение в базах данных информации различного уровня важности и конфиденциальности;
расширение доступа круга пользователей к информации, хранящейся в базах данных, и к ресурсам вычислительной сети;
увеличение числа удаленных рабочих мест;
широкое использование глобальной сети Internet и различных каналов связи;
автоматизация обмена информацией между компьютерами пользователей.

Анализ наиболее распространенных угроз, которым подвержены современные проводные корпоративные сети, показывает, что источники угроз могут изменяться от неавторизованных вторжений злоумышленников до компьютерных вирусов, при этом весьма существенной угрозой безопасности являются человеческие ошибки. Необходимо учитывать, что источники угроз безопасности могут находиться как внутри КИС - внутренние источники, так и вне ее - внешние источники. Такое деление вполне оправдано потому, что для одной и той же угрозы (например кражи) методы противодействия для внешних и внутренних источников различны. Знание возможных угроз, а также уязвимых мест КИС необходимо для выбора наиболее эффективных средств обеспечения безопасности.

Самыми частыми и опасными (с точки зрения размера ущерба) являются непреднамеренные ошибки пользователей, операторов и системных администраторов, обслуживающих КИС. Иногда такие ошибки приводят к прямому ущербу (неправильно введенные данные, ошибка в программе, вызвавшая остановку или разрушение системы), а иногда создают слабые места, которыми могут воспользоваться злоумышленники (таковы обычно ошибки администрирования).

Согласно данным Национального института стандартов и технологий США (NIST), 55 % случаев нарушения безопасности ИС - следствие непреднамеренных ошибок. Работа в глобальной ИС делает этот фактор достаточно актуальным, причем источником ущерба могут быть как действия пользователей организации, так и пользователей глобальной сети, что особенно опасно. На рис. 2.4 приведена круговая диаграмма, иллюстрирующая статистические данные по источникам нарушений безопасности в КИС.

На втором месте по размерам ущерба располагаются кражи и подлоги. В большинстве расследованных случаев виновниками оказывались штатные сотрудники организаций, отлично знакомые с режимом работы и защитными мерами. Наличие мощного информационного канала связи с глобальными сетями при отсутствии должного контроля за его работой может дополнительно способствовать такой деятельности.

Рис. 2.4. Источники нарушений безопасности

Обиженные сотрудники, даже бывшие, знакомы с порядками в организации и способны вредить весьма эффективно. Поэтому при увольнении сотрудника его права доступа к информационным ресурсам должны аннулироваться.

Преднамеренные попытки получения НСД через внешние коммуникации занимают около 10 % всех возможных нарушений. Хотя эта величина кажется не столь значительной, опыт работы в Internet показывает, что почти каждыйInternet-сервер по нескольку раз в день подвергается попыткам проникновения. Тесты Агентства защиты информационных систем (США) показали, что 88 % компьютеров имеют слабые места с точки зрения информационной безопасности, которые могут активно использоваться для получения НСД. Отдельно следует рассматривать случаи удаленного доступа к информационным структурам организаций.

До построения политики безопасности необходимо оценить риски, которым подвергается компьютерная среда организации и предпринять соответствующие действия. Очевидно, что затраты организации на контроль и предотвращение угроз безопасности не должны превышать ожидаемых потерь.

Приведенные статистические данные могут подсказать администрации и персоналу организации, куда следует направить усилия для эффективного снижения угроз безопасности корпоративной сети и системы. Конечно, нужно заниматься проблемами физической безопасности и мерами по снижению негативного воздействия на безопасность ошибок человека, но в то же время необходимо уделять самое серьезное внимание решению задач сетевой безопасности по предотвращению атак на корпоративную сеть и систему как извне, так и изнутри системы.

Сегодня в своем блоге мы решили коснуться аспектов безопасности корпоративных сетей. И нам в этом поможет технический директор компании LWCOM Михаил Любимов.

Почему эта тема сетевой безопасности является крайне актуальной в современном мире?

Ввиду практически повсеместной доступности широкополосного интернета, большинство действий на устройствах производятся через сеть, поэтому для 99% современных угроз именно сеть является транспортом, на котором доставляется угроза от источника к цели. Конечно, распространение вредоносного кода возможно с помощью съемных носителей, но данный способ в настоящее время используется все реже и реже, да и большинство компаний давно научились бороться с подобными угрозами.

Что такое сеть передачи данных?

Давайте сначала нарисуем архитектуру классической корпоративной сети передачи данных в упрощенном и всем понятном виде.

Начинается сеть передачи данных с коммутатора уровня доступа. Непосредственно к данному коммутатору подключаются рабочие места: компьютеры, ноутбуки, принтеры, многофункциональные и различного рода другие устройства, например, беспроводные точки доступа. Соответственно оборудования у вас может быть много, подключаться к сети оно может в совершенно разных местах (этажах или даже отдельных зданиях).

Обычно, корпоративная сеть передачи данных строится по топологии «звезда», поэтому взаимодействие всех сегментов между собой будет обеспечивать оборудование уровня ядра сети. Например, может использоваться тот же коммутатор, только обычно в более производительном и функциональном варианте по сравнению с используемыми на уровне доступа.

Серверы и системы хранения данных обычно консолидированы в одном месте и, с точки зрения сетей передачи данных, могут подключаться как непосредственно к оборудованию ядра, так и могут иметь некий выделенный для этих целей сегмент оборудования доступа.

Далее у нас остается оборудование для стыка с внешними сетями передачи данных (например, Интернет). Обычно для этих целей в компаниях используются такие устройства, маршрутизаторы , межсетевые экраны , различного рода прокси-серверы. Они же используются для организации связи с распределенными офисами компании и для подключения удаленных сотрудников.

Вот такая получилась простая для понимания и обычная для современных реалий архитектура локально-вычислительной сети.

Какая классификация угроз существует на сегодняшний день?

Давайте определим основные цели и направления атак в рамках сетевого взаимодействия.

Самая распространенная и простая цель атаки – это пользовательское устройство. Вредоносное программное обеспечение легко распространить в данном направлении через контент на веб-ресурсах или через почту.

В дальнейшем злоумышленник, получив доступ к рабочей станции пользователя, либо может похитить конфиденциальные данные, либо развивать атаку на других пользователей или на иные устройства корпоративной сети.

Следующая возможная цель атаки – это, конечно же, серверы . Одини из самых известных типов атак на опубликованные ресурсы являются DoS и DDoS атаки, которые применяются с целью нарушения стабильной работы ресурсов или полного их отказа.

Также атаки могут быть направлены из внешних сетей на конкретные опубликованные приложения, например, веб-ресурсы, DNS-серверы, электронную почту. Также атаки могут быть направлены изнутри сети - с зараженного компьютера пользователя или от злоумышленника, подключившегося к сети, на такие приложения, как файловые шары или базы данных.

Так же есть категория избирательных атак, и одной из самых опасных является атака на саму сеть, то есть на доступ к ней. Злоумышленник, получивший доступ к сети, может организовать следующую атаку фактически на любое устройство, подключенное к ней, а также скрытно получать доступ к любой информации. Что самое главное - успешную атаку подобного рода достаточно сложно обнаружить, и она не лечится стандартными средствами. То есть фактически у вас появляется новый пользователь или, хуже того, администратор, про которого вы ничего не знаете.

Еще целью атакующего могут быть каналы связи. Следует понимать, что успешная атака на каналы связи не только позволяет считывать передаваемую по ним информацию, но и быть идентичной по последствиям атаке на сеть, когда злоумышленник может получить доступ ко всем ресурсам локально вычислительной сети.

Каким образом организовать грамотную и надежную защиту передачи данных?

Для начала мы можем представить общемировые практики и рекомендации по организации защиты корпоративной сети передачи данных, а именно тот набор средств, который позволит минимальными усилиями избежать большинства существующих угроз, так называемый безопасный минимум.

В данном контексте необходимо ввести термин «периметр безопасности сети», т.к. чем ближе к возможному источнику угрозы вы будете осуществлять контроль, тем сильнее вы снижаете количество доступных для злоумышленника способов атаки. При этом периметр должен существовать как для внешних, так и для внутренних подключений.

В первую очередь, мы рекомендуем обезопасить стык с публичными сетями, ведь наибольшее количество угроз проистекает от них. В настоящее время существует ряд специализированных средств сетевой безопасности, предназначенных как раз для безопасной организации подключения к сети Интернет.

Для их обозначения широко используются такие термины как NGFW (Next-generation firewall) и UTM (Unified Threat Management). Эти устройства не просто сочетают в себе функционал классического маршрутизатора, файрволла и прокси-сервера, но и предоставляют дополнительные сервисы безопасности, такие как: фильтрация по URL и контенту, антивирус и др. При этом устройства зачастую используют облачные системы проверки контента, что позволяет быстро и эффективно проверять все передаваемые данные на наличие угроз. Но главное – это возможность сообщать о выявленных угрозах в ретроспективе, то есть выявлять угрозы в таких случаях, когда зараженный контент был уже передан пользователю, но информация о вредоносности данного программного обеспечения появилась у производителя позже.

Такие вещи, как инспекция HTTPS трафика и автоматический анализ приложений, позволяют контролировать не только доступ к конкретным сайтам, но и разрешать/запрещать работу таких приложений как: Skype, Team Viewer и многих других, а как вы знаете, большинство из них давно работают по протоколам HTTP и HTTPS, и стандартными сетевыми средствами их работу просто так не проконтролировать.

В дополнение к этому, в рамках единого устройства вы можете получить еще и систему предотвращения вторжений, которая отвечает за пресечение атак, направленных на опубликованные ресурсы. Также вы дополнительно можете получить VPN-сервер для безопасной удаленной работы сотрудников и подключения филиалов, антиспам, систему контроля ботнетов, песочницу и др. Все это делает такое устройство действительно унифицированным средством сетевой безопасности.

Если ваша компания еще не использует такие решения, то мы очень рекомендуем начать ими пользоваться прямо сейчас, поскольку время их эффективности уже наступило, и мы можем с уверенностью сказать, что подобные устройства доказали свою реальную способность бороться с большим количеством угроз, чего не было еще 5 лет назад. Тогда подобные вещи только вышли на рынок, имели множество проблем и были довольно дорогими и низкопроизводительными.

А как же выбрать Next-generation firewall?

Сейчас на рынке огромное количество сетевых устройств с заявленным подобным функционалом, но действительно эффективную защиту способны обеспечить лишь единицы. Это объясняется тем, что лишь ограниченное число производителей имеют средства и действительно вкладывают их в nonstop проработку актуальных угроз, т.е. постоянно обновляют базы потенциально опасных ресурсов, обеспечивают бесперебойную поддержку решений и т.д.

Многие партнеры будут пытаться вам продать решения, которые выгодны им для продажи, поэтому цена решения отнюдь не всегда соответствует его реальной способности противостоять угрозам. Лично я рекомендую для выбора устройства обратиться к материалам независимых аналитических центров, например, отчетов NSS Labs. По моему мнению, они являются более точными и непредвзятыми.

Помимо угроз с внешней стороны, ваши ресурсы могут быть атакованы и изнутри. Так называемый «безопасный минимум», который следует использовать в вашей локально-вычислительной сети - это ее сегментация на VLANы, т.е. виртуальные частные сети. Помимо сегментации, требуется обязательное применение политик доступа между ними хотя бы стандартными средствами листов доступа (ACL), ведь просто наличие VLAN в рамках борьбы с современными угрозами практически ничего не дает.

Отдельной рекомендацией я обозначу желательность использования контроля доступа непосредственно от порта устройства. Однако при этом необходимо помнить о периметре сети, т.е. чем ближе к защищаемым сервисам вы примените политики - тем лучше. В идеале такие политики следует вводить на коммутаторах доступа. В таких случаях в качестве самых минимальных политик безопасности рекомендуется применять 4 простых правила:

держать все незадействованные порты коммутаторов административно выключенными;
не применять 1й VLAN;
использовать листы фильтрации по MAC на коммутаторах доступа;
использовать инспекцию ARP протокола.

Отличным решением будет применять на пути следования передачи данных те же самые межсетевые экраны с системами предотвращения вторжений, а также архитектурно использовать демилитаризованные зоны. Лучше всего внедрить аутентификацию подключаемого устройства по 802. 1x протоколу, используя для централизованного управления доступом к сети различные AAA системы (системы аутентификации, авторизации и аккаунтинга). Обычно эти решения обозначаются общим среди производителей термином NAC (Network Access Control). Пример одной из подобных коммерческих систем – Cisco ISE.

Также злоумышленниками могут быть совершены атаки на каналы. Для защиты каналов следует использовать сильное шифрование. Многие пренебрегают этим, а потом расплачиваются за последствия. Незащищённые каналы – это не только доступная для похищений информация, но и возможность атаки практически всех корпоративных ресурсов. У наших заказчиков в практике было немалое количество прецедентов, когда совершались атаки на корпоративную телефонию путем организации связи через незащищенные каналы передачи данных между центральным и удаленным офисом (например, просто используя GRE туннели). Компаниям приходили просто сумасшедшие счета!

Что вы можете рассказать о беспроводных сетях и BYOD?

Тему удалённой работы, беспроводных сетей и использования собственных устройств я хотел бы выделить отдельно. По своему опыту могу сказать, что эти три вещи – одна из самых больших потенциальных дыр в безопасности вашей компании. Но при этом они являются и одним из самых больших конкурентных преимуществ.

Если подойти к вопросу кратко, то я рекомендую либо полностью запрещать использование беспроводных сетей, удаленную работу или работу через собственные мобильные устройства, мотивируя это корпоративными правилами, либо предоставлять эти сервисы максимально проработанными с точки зрения безопасности, тем более, что современные решения предоставляют возможность сделать это в лучшем виде.

В плане удаленной работы вам могут помочь те же самые Next Generation Firewalls или UTM устройства. Наша практика показывает, что есть ряд стабильных решений (туда входят Cisco, Checkpoint, Fortinet, Citrix), которые позволяют работать с множеством клиентских устройств, при этом обеспечивая самые высокие стандарты для идентификации удаленного сотрудника. Например, использование сертификатов, двухфакторной авторизации, одноразовых паролей, доставляемые по SMS или генерируемых на специальном ключе. Так же можно контролировать программное обеспечение, установленное на компьютере, с которого производится попытка доступа, допустим, на предмет установки соответствующих обновлений либо запущенных антивирусов.

Безопасность Wi-Fi – это заслуживающая отдельной статьи тема. В рамках данного поста я попытаюсь дать самые главные рекомендации. Если вы строите корпоративный Wi-Fi, то обязательно прорабатывайте все возможные аспекты безопасности, связанные с ним.

Между прочим, Wi-Fi – это целая отдельная статья доходов нашей компании. Мы занимаемся ими профессионально: проекты по оснащению беспроводным оборудованием ТРК и ТЦ, бизнес-центров, складов, в том числе с применением современных решений, таких как позиционирование, выполняются у нас в режиме nonstop. И по результатам проводимых нами радио-обследований мы в каждом втором офисе и складе находим как минимум по одному домашнему Wi-Fi роутеру, которые подключали к сети сами сотрудники. Обычно они это делают для собственного удобства работы, допустим, в курилку с ноутбуком выйти или свободно перемещаться в пределах комнаты. Понятно, что никаких корпоративных правил безопасности на таких маршрутизаторах не применялось и пароли раздавались хорошо знакомым коллегам, потом коллегам коллег, потом зашедшим на кофе гостям и в итоге доступ к корпоративной сети имели практически все, при этом он был абсолютно неконтролируемым.

Конечно, стоит обезопасить сеть от подключения подобного оборудования. Основными способами это сделать могут быть: использование авторизации на портах, фильтрация по MAC и пр. Опять же, с точки зрения Wi-Fi, для сети следует использовать сильные криптографические алгоритмы и enterprise методы аутентификации. Но следует понимать, что не все enterprise методы аутентификации являются одинаково полезными. Например, Android устройства в некоторых релизах программного обеспечения могут по умолчанию игнорировать публичный сертификат Wi-Fi сети, тем самым делая возможным атаки класса Evil twin. Если же используется метод аутентификации, такой как EAP GTC, то ключ в нем передается в открытом виде и его можно в указанной атаке вполне перехватить. Мы рекомендуем в корпоративных сетях использовать исключительно аутентификацию по сертификату, т.е. это TLS методы, но учитывайте, что она значительно увеличивает нагрузку на администраторов сети.

Есть еще способ: если в корпоративной сети внедрена удаленная работа, то можно подключенные через Wi-Fi сеть устройства заставлять использовать еще и VPN клиент. То есть выделить Wi-Fi сегмент сети в изначально недоверенную область, и в итоге получится хороший рабочий вариант с минимизацией затрат на управление сетью.

Производители enterprise решений по Wi-Fi, такие как Cisco, Ruckus, который теперь Brocade, Aruba, которая теперь HPE, помимо стандартных решений по организации Wi-Fi, предоставляют целый набор сервисов по автоматическому контролю безопасности беспроводной среды. То есть у них вполне себе работают такие вещи как WIPS (Wireless intrusion prevention system). У данных производителей реализованы беспроводные сенсоры, которые могут контролировать весь спектр частот, тем самым позволяя отслеживать в автоматическом режиме довольно-таки серьезные угрозы.

Теперь коснемся таких тем, как BYOD (Bring your own device – Принеси свое устройство) и MDM (Mobile device management – Управление мобильными устройствами). Конечно, любое мобильное устройство, на котором хранятся корпоративные данные, либо которое имеет доступ к корпоративной сети, является потенциальным источником проблем. Тема безопасности для таких устройств касается не только безопасного доступа к корпоративной сети, но и централизованного управления политиками мобильных устройств: смартфонов, планшетов, ноутбуков, используемых вне организации. Эта тема актуальна уже очень давно, но только сейчас на рынке появились реально работающие решения, позволяющие управлять разнообразным парком мобильной техники.

К сожалению, рассказать о них в рамках данного поста не получится, но знайте, что решения есть и в последний год мы испытываем бум внедрений решений MDM от Microsoft и MobileIron.

Вы рассказали про «безопасность в минимуме», что тогда из себя представляет «безопасность в максимуме»?

Одно время в интернете была популярна картинка: на ней рекомендовалось для защиты сети поставить один за одним межсетевые экраны известных производителей. Мы ни в коей мере не призываем делать вас так же, но, тем не менее, доля истины здесь есть. Будет крайне полезным иметь сетевое устройство с анализом вирусных сигнатур, например, от SOFOS, а на рабочих местах уже устанавливать антивирус от Лаборатории Касперского. Тем самым, мы получаем две не мешающих друг другу системы защиты от вредоносного кода.

Существует ряд специализированных средств ИБ:

DLP. На рынке представлены специализированные средства информационной безопасности, то есть разработанные и направленные на решение какой-то конкретной угрозы. В настоящее время популярными становятся системы DLP (Data Loss Prevention) или предотвращения утечки данных. Они работают как на сетевом уровне, интегрируясь в среду передачи данных, так и непосредственно на серверах приложений, рабочих станциях, мобильных устройствах.

Мы несколько уходим от сетевой тематики, но угроза утечки данных будет существовать всегда. В особенности, данные решения становятся актуальными для компаний, где потеря данных несет коммерческие и репутационных риски и последствия. Еще 5 лет назад внедрение DLP систем было несколько затруднено в виду их комплексности и необходимости проведения процесса разработки для каждого конкретного случая. Поэтому из-за их стоимости многие компании отказывались от данных решений, либо писали свои. В настоящее время рыночные системы достаточно наработаны, поэтому весь необходимый функционал безопасности можно получить прямо из «коробки».

На российском рынке коммерческие системы в основном представлены производителем Infowatch (ниже картинка от данного производителя о том, как они представляют свое решение в крупной компании) и довольно-таки известным MacAfee.

WAF. Ввиду развития услуг интернет коммерции, а это интернет-банкинг, электронные деньги, электронная торговля, страховые услуги и т.д., в последнее время стали востребованы специализированные средства для защиты веб-ресурсов. А именно WAF – Web Application Firewall.

Данное устройство позволяет отражать атаки, направленные на уязвимости самого сайта. Помимо избирательных DoS атак, когда сайт подавляется легитимными запросами, это могут быть атаки SQL injection, Cross site scripting и пр. Раньше таковые устройства приобретались в основном банками, а у других заказчиков они были не востребованы, да и стоили очень больших денег. Для примера - стоимость рабочего решения начиналась от 100 000$. Сейчас на рынке представлено большое количество решений от известных производителей (Fortinet, Citrix, Positive Technologies), от которых можно получить работающее решение по защите вашего сайта за вполне себе вменяемые деньги (в 3-5 раз меньше, чем указанная ранее сумма).

Audit. Организации, особенно ратующие за собственную безопасность, внедряют средства автоматизированного аудита. Данные решения дорогостоящи, но позволяют вынести ряд функций администратора в область автоматизации, что крайне востребовано для крупного бизнеса. Такие решения постоянно осуществляют сканирование сети и выполняют аудит всех установленных операционных систем и приложений на предмет наличия известных дыр в безопасности, своевременности обновлений, соответствию корпоративных политик. Наверное, самые известные решения в этой области не только в России, но и всем мире – это продукты от Positive Technologies.

SIEM. Аналогично SIEM решения. Это системы, заточенные на выявление внештатных ситуаций, касающихся именно событий, связанных с безопасностью. Даже стандартный набор из пары межсетевых экранов, десятка серверов приложений и тысячи рабочих мест может генерировать десятки тысяч оповещений в день. Если у вас большая компания и вы имеете десятки пограничных устройств, то разобраться в получаемых от них данных в ручном режиме становится просто невозможно. Автоматизация контроля собираемых логов одновременно со всех устройств позволяет администраторам и сотрудникам ИБ действовать незамедлительно. На рынке довольно-таки известны решения SIEM от Arсsight (входит в продукцию HPE) и Q-RADAR (входит в продукцию IBM).

И напоследок: что вы можете посоветовать тем, кто всерьез занялся организацией защиты своих ИТ-ресурсов?

Безусловно, при организации ИТ-безопасности предприятия не стоит забывать и об административном регламенте. Пользователи и администраторы должны быть в курсе, что найденные флешки использовать на компьютере нельзя, как нельзя переходить по сомнительным ссылкам в письмах или открывать сомнительные вложения. Очень важно при этот рассказать и пояснить, какие ссылки и вложения являются непроверенными. В действительности, не все понимают, что не надо хранить пароли на стикерах, приклеенных к монитору или телефону, что нужно научиться читать предупреждения, которые пишут пользователю приложения и т.д. Следует объяснить пользователям, что такое сертификат безопасности и что означают сообщения, связанные с ним. В целом, необходимо учитывать не только техническую сторону вопроса, но и прививать культуру использования корпоративных ИТ-ресурсов сотрудниками.
Надеюсь, этот большой пост был вам интересен и полезен.

Если рассмотреть систему информационной безопасности любой крупной компании, то это не только антивирус, но и несколько других программ для защиты по всем направлениям. Время простых решений для ИТ-безопасности давно осталось позади.

Конечно, основой общей системы информационной безопасности для любой организации является защита стандартной рабочей станции от вирусов. И здесь необходимость использования антивируса остается неизменной.

Но требования к корпоративной защите в целом изменились. Компаниям необходимы полноценные комплексные решения, способные не только обеспечивать защиту от самых сложных современных угроз, но и играть на опережение.

"Все больше крупных компаний выстраивают систему безопасности по принципу эшелонированной защиты."

Причем раньше эшелоны выстраивались на различных элементах ИТ-инфраструктуры, а сейчас многоуровневая защита должна быть даже на отдельных элементах ИТ-среды, в первую очередь на рабочих станциях и серверах

С какими угрозами столкнулись компании в 2014

С точки зрения угроз, огромной проблемой информационной безопасности в последнее время стали целевые атаки на корпорации и правительственные структуры. Многие методики, которые хакеры раньше применяли в атаках на домашних пользователей, теперь стали использоваться и применительно к бизнесу.

Это и модифицированные банковские троянцы, которые нацелены на сотрудников финансовых отделов и бухгалтерий, и различные программы-шифровальщики, которые стали работать в рамках корпоративных информационных сетей, и использование методов социальной инженерии.

Кроме того, популярность получили сетевые черви, для удаления которых требуется остановка работы всей корпоративной сети. Если с подобной проблемой сталкиваются компании, имеющие большое количество филиальных офисов, расположенных в различных часовых поясах, то любая остановка работы сети неизбежно ведет к финансовым потерям.

Согласно результатам исследования, проведенного «Лабораторией Касперского» в 2014 году среди ИБ-специалистов, чаще всего российские компании сталкиваются с

вредоносным ПО,
нежелательной корреспонденцией (спамом),
попытками несанкционированного проникновения в систему фишингом.
уязвимостями в установленном ПО,
рисками, связанными с поведением сотрудников компании.

Проблема усугубляется еще и тем, что киберугрозы далеко не статичны: они множатся с каждым днем, становятся разнообразнее и сложнее. Чтобы яснее понимать текущую ситуацию в области информационной безопасности и те последствия, к которым может привести даже единичный компьютерный инцидент, представим все в цифрах и фактах, полученных на основе данных «Лаборатории Касперского» по анализу событий 2014 года.

Статистика киберугроз

Кстати, именно мобильные устройства сегодня продолжают оставаться отдельной «головной болью» для специалистов по ИБ. Использование личных смартфонов и планшетов в рабочих целях допустимо уже в большинстве организаций, однако надлежащее управление этими устройствами и включение их в общую систему информационной безопасности компании практикуется далеко не везде.

"Cогласно данным «Лаборатории Касперского», на платформу Android сегодня нацелено 99% вредоносного ПО, специализирующегося на мобильных устройствах."

Чтобы понять, откуда берется такое количество угроз, и представить, с какой скоростью они увеличиваются в числе, достаточно сказать, что ежедневно специалисты «Лаборатории Касперского» обрабатывают 325 тысяч образцов нового вредоносного ПО.

На компьютеры пользователей зловреды чаще всего попадают двумя способами:

через уязвимости в легальном ПО
при помощи методов социальной инженерии.

Разумеется, очень часто встречается сочетание этих двух приемов между собой, но злоумышленники не пренебрегают и другими уловками.

Отдельной угрозой для бизнеса являются таргетированные атаки, которые становятся все более частым явлением.

"Использование нелегального ПО, конечно же, еще больше увеличивает риски стать успешной целью для кибератаки, в первую очередь из-за наличия в нем большего количества уязвимостей."

Уязвимости рано или поздно появляются в любом программном обеспечении. Это могут быть ошибки при разработке программы, устаревание версий или отдельных элементов кода. Как бы то ни было, основной проблемой является не наличие уязвимости, а ее своевременное обнаружение и закрытие.

К слову, в последнее время, и 2014 год является ярким тому свидетельством, производители ПО начинают все активнее закрывать имеющиеся в их программах уязвимости. Однако брешей в приложениях все равно хватает, и киберпреступники активно их используют для проникновения в корпоративные сети.

В 2014 году 45% всех инцидентов, связанных с уязвимостями, были спровоцированы «дырами» в популярном ПО Oracle Java.

Кроме того, в прошедшем году случился своего рода переломный момент – была обнаружена уязвимость в распространенном протоколе шифрования OpenSSL, получившая название Heartbleed. Эта ошибка позволяла злоумышленнику читать содержимое памяти и перехватывать личные данные в системах, использующих уязвимые версии протокола.

OpenSSL широко используется для защиты данных, передаваемых через Интернет (в том числе информации, которой пользователь обменивается с веб-страницами, электронных писем, сообщений в интернет-мессенджерах), и данных, передаваемых по каналам VPN (Virtual Private Networks), поэтому потенциальный ущерб от этой уязвимости был огромным.Не исключено, что эту уязвимость злоумышленники могли использовать как старт для новых кампаний кибершпионажа.

Жертвы атак

Вообще в 2014 году число организаций, ставших жертвами целенаправленных кибератак и кампаний кибершпионажа, увеличилось почти в 2,5 раза. За прошедший год почти 4,5 тысячи организаций по меньшей мере в 55 странах, в том числе и в России, стали целью киберпреступников.

Кража данных произошла как минимум в 20 различных секторах экономики:

государственные,
телекоммуникационные,
энергетические,
исследовательские,
индустриальные,
здравоохранительные,
строительные и другие компании.

Киберпреступники получили доступ к такой информации:

пароли,
файлы,
геолокационная информация,
аудиоданные,
снимки экранов
снимки веб-камеры.

Скорее всего, в некоторых случаях эти атаки имели поддержку государственных структур, другие же с большей вероятностью осуществлялись профессиональными группировками кибернаемников.

В последние годы Глобальный центр исследований и анализа угроз «Лаборатории Касперского» отслеживал деятельность более 60 преступных групп, ответственных за кибератаки, проводимые по всему миру. Их участники говорят на разных языках: русском, китайском, немецком, испанском, арабском, персидском и других.

Последствия таргетированных операций и кампаний кибершпионажа всегда крайне серьезны. Они неминуемо заканчиваются взломом и заражением корпоративной сети, нарушением бизнес-процессов, утечкой конфиденциальной информации, в частности интеллектуальной собственности. В 2014 году 98% российских компаний столкнулись с теми или иными киберинцидентами, источники которых находились, как правило, вне самих предприятий.Кроме того, еще в 87% организаций были зафиксированы инциденты, обусловленные внутренними угрозами.

"Общая сумма ущерба для крупных компаний в среднем составила 20 миллионов рублей за каждый успешный пример кибератаки."

Чего опасаются компании и как все обстоит на самом деле

«Лаборатория Касперского» ежегодно проводит исследования с целью выяснить отношение ИТ-специалистов к вопросам информационной безопасности. Исследование 2014 года показало, что абсолютное большинство российских компаний, а точнее 91%, недооценивают количество существующего на сегодняшний день вредоносного ПО. Более того, они даже не предполагают, что число зловредов еще и постоянно увеличивается.

Любопытно, что 13% ИТ-специалистов заявили, что не переживают из-за внутренних угроз.

Возможно, это объясняется тем, что в ряде компаний не принято разделять киберугрозы на внешние и внутренние. Кроме того, среди российских руководителей служб ИТ и ИБ есть такие, которые все же предпочитают решать все проблемы с внутренними угрозами мерами запретов.

Однако если человеку что-то запрещено, это вовсе не означает, что он этого не делает. Поэтому любые политики безопасности, в том числе запрещение, требуют соответствующих инструментов контроля, которые позволят гарантировать соблюдение всех требований.

Что касается типов информации, которая интересует злоумышленников прежде всего, то, как показало исследование, представления компаний и реальное положение дел довольно сильно различаются.

Так, сами компании больше всего боятся потерять

информацию о клиентах,
финансовые и операционные данные,
интеллектуальную собственность.

Немного меньше бизнес переживает за

информацию по анализу деятельности конкурентов,
платежную информацию,
персональные данные сотрудников
данные о корпоративных счетах в банках.

"На деле же выходит, что киберпреступники чаще всего крадут внутреннюю операционную информацию компаний (в 58% случаев), однако защищать эти данные в первую очередь считают необходимым лишь 15% компаний."

Для безопасности не менее важно продумать не только технологии и системы, но и учесть человеческий фактор: понимание целей специалистами, которые систему выстраивают, и понимание ответственности сотрудниками, которые пользуются устройствами.

В последнее время злоумышленники все чаще опираются не только на технические средства, но и на слабости людей: используют методы социальной инженерии, которые помогают выудить практически любую информацию.

Сотрудники, унося данные на своем устройстве, должны понимать, что несут ровно ту же ответственность, как если бы они уносили бумажные копии документов с собой.

Персонал компании также должен хорошо знать, что любое современное технически сложное устройство содержит дефекты, которыми может воспользоваться злоумышленник. Но чтобы этими дефектами воспользоваться, злоумышленник должен получить доступ к устройству. Поэтому при скачивании почты, приложений, музыки и картинок, необходимо проверять репутацию источника.

Важно с осторожностью относиться к провокационным СМС и электронным письмам и проверять надежность источника, прежде чем открыть письмо и перейти по ссылке.

Для того, чтобы компания все-таки имела защиту от подобных случайных или намеренных действий сотрудников, ей стоит использовать модули для защиты данных от утечек.

"Компаниям необходимо регулярно вспоминать про работу с персоналом: начиная с повышения квалификации ИТ-сотрудников и заканчивая разъяснениями основных правил безопасной работы в Интернете, не важно, с каких устройств туда они выходят."

Так, «Лаборатория Касперского» в этом году выпустила новый модуль, в котором реализованы функции защиты от утечки данных -

Защита в облаке

Многие крупные компании так или иначе использую облако, в России чаще всего в варианте частного облака. Тут важно помнить, что, как и любая другая информационная система, созданная человеком, облачные сервисы содержат в себе потенциальные уязвимости, которые могут быть использованы вирусописателями.

Поэтому при организации доступа даже к своему облаку необходимо помнить о безопасности канала связи и о конечных устройствах, которые используются на стороне сотрудников. Не менее важны внутренние политики, регламентирующие, кто из сотрудников имеет доступ к данным в облаке, или информацию какого уровня секретности можно хранить в облаке и т.д. В компании должны быть сформированы прозрачные правила:

какие службы и сервисы будут работать из облака,
какие – на локальных ресурсах,
какую именно информацию стоит размещать в облаках,
какую необходимо хранить «у себя».

На основе статьи: Время «тяжелых» решений: безопасность в Enterprise сегменте.

Информация, обрабатываемая в корпоративных сетях, является особенно уязвимой, чему способствуют:

увеличение объемов обрабатываемой, передаваемой и хранимой в компьютерах информации;
сосредоточение в базах данных информации различного уровня важности и конфиденциальности;
расширение доступа круга пользователей к информации, хранящейся в базах данных, и к ресурсам вычислительной сети;
увеличение числа удаленных рабочих мест;
широкое использование глобальной сети Internet и различных каналов связи;
автоматизация обмена информацией между компьютерами пользователей.

Согласно данным Национального института стандартов и технологий США (NIST), 55 % случаев нарушения безопасности ИС - следствие непреднамеренных ошибок. Работа в глобальной И С делает этот фактор достаточно актуальным, причем источником ущерба могут быть как действия пользователей организации, так и пользователей глобальной сети, что особенно опасно. На рис. 2.4 приведена круговая диаграмма, иллюстрирующая статистические данные по источникам нарушений безопасности в КИС.

Нечестные

Атаки извне

Обиженные

Ошибки пользователей и персонала

4 % Вирусы

Рис. 2.4. Источники нарушений безопасности

сотрудники

Проблемы

физической

безопасности

Преднамеренные попытки получения НСД через внешние коммуникации занимают около 10 % всех возможных нарушений. Хотя эта величина кажется не столь значительной, опыт работы в 1п1егпе1 показывает, что почти каждый 1п1егпе1-сервер по нескольку раз в день подвергается попыткам проникновения. Тесты Агентства защиты информационных систем (США) показали, что 88 % компьютеров имеют слабые места с точки зрения информационной безопасности, которые могут активно использоваться для получения НСД. Отдельно следует рассматривать случаи удаленного доступа к информационным структурам организации.