Сегодня в своем блоге мы решили коснуться аспектов безопасности корпоративных сетей. И нам в этом поможет технический директор компании LWCOM Михаил Любимов.

Почему эта тема сетевой безопасности является крайне актуальной в современном мире?

Ввиду практически повсеместной доступности широкополосного интернета, большинство действий на устройствах производятся через сеть, поэтому для 99% современных угроз именно сеть является транспортом, на котором доставляется угроза от источника к цели. Конечно, распространение вредоносного кода возможно с помощью съемных носителей, но данный способ в настоящее время используется все реже и реже, да и большинство компаний давно научились бороться с подобными угрозами.

Что такое сеть передачи данных?

Давайте сначала нарисуем архитектуру классической корпоративной сети передачи данных в упрощенном и всем понятном виде.

Начинается сеть передачи данных с коммутатора уровня доступа. Непосредственно к данному коммутатору подключаются рабочие места: компьютеры, ноутбуки, принтеры, многофункциональные и различного рода другие устройства, например, беспроводные точки доступа. Соответственно оборудования у вас может быть много, подключаться к сети оно может в совершенно разных местах (этажах или даже отдельных зданиях).

Обычно, корпоративная сеть передачи данных строится по топологии «звезда», поэтому взаимодействие всех сегментов между собой будет обеспечивать оборудование уровня ядра сети. Например, может использоваться тот же коммутатор, только обычно в более производительном и функциональном варианте по сравнению с используемыми на уровне доступа.

Серверы и системы хранения данных обычно консолидированы в одном месте и, с точки зрения сетей передачи данных, могут подключаться как непосредственно к оборудованию ядра, так и могут иметь некий выделенный для этих целей сегмент оборудования доступа.

Далее у нас остается оборудование для стыка с внешними сетями передачи данных (например, Интернет). Обычно для этих целей в компаниях используются такие устройства, маршрутизаторы , межсетевые экраны , различного рода прокси-серверы. Они же используются для организации связи с распределенными офисами компании и для подключения удаленных сотрудников.

Вот такая получилась простая для понимания и обычная для современных реалий архитектура локально-вычислительной сети.

Какая классификация угроз существует на сегодняшний день?

Давайте определим основные цели и направления атак в рамках сетевого взаимодействия.

Самая распространенная и простая цель атаки – это пользовательское устройство. Вредоносное программное обеспечение легко распространить в данном направлении через контент на веб-ресурсах или через почту.

В дальнейшем злоумышленник, получив доступ к рабочей станции пользователя, либо может похитить конфиденциальные данные, либо развивать атаку на других пользователей или на иные устройства корпоративной сети.

Следующая возможная цель атаки – это, конечно же, серверы . Одини из самых известных типов атак на опубликованные ресурсы являются DoS и DDoS атаки, которые применяются с целью нарушения стабильной работы ресурсов или полного их отказа.

Также атаки могут быть направлены из внешних сетей на конкретные опубликованные приложения, например, веб-ресурсы, DNS-серверы, электронную почту. Также атаки могут быть направлены изнутри сети - с зараженного компьютера пользователя или от злоумышленника, подключившегося к сети, на такие приложения, как файловые шары или базы данных.

Так же есть категория избирательных атак, и одной из самых опасных является атака на саму сеть, то есть на доступ к ней. Злоумышленник, получивший доступ к сети, может организовать следующую атаку фактически на любое устройство, подключенное к ней, а также скрытно получать доступ к любой информации. Что самое главное - успешную атаку подобного рода достаточно сложно обнаружить, и она не лечится стандартными средствами. То есть фактически у вас появляется новый пользователь или, хуже того, администратор, про которого вы ничего не знаете.

Еще целью атакующего могут быть каналы связи. Следует понимать, что успешная атака на каналы связи не только позволяет считывать передаваемую по ним информацию, но и быть идентичной по последствиям атаке на сеть, когда злоумышленник может получить доступ ко всем ресурсам локально вычислительной сети.

Каким образом организовать грамотную и надежную защиту передачи данных?

Для начала мы можем представить общемировые практики и рекомендации по организации защиты корпоративной сети передачи данных, а именно тот набор средств, который позволит минимальными усилиями избежать большинства существующих угроз, так называемый безопасный минимум.

В данном контексте необходимо ввести термин «периметр безопасности сети», т.к. чем ближе к возможному источнику угрозы вы будете осуществлять контроль, тем сильнее вы снижаете количество доступных для злоумышленника способов атаки. При этом периметр должен существовать как для внешних, так и для внутренних подключений.

В первую очередь, мы рекомендуем обезопасить стык с публичными сетями, ведь наибольшее количество угроз проистекает от них. В настоящее время существует ряд специализированных средств сетевой безопасности, предназначенных как раз для безопасной организации подключения к сети Интернет.

Для их обозначения широко используются такие термины как NGFW (Next-generation firewall) и UTM (Unified Threat Management). Эти устройства не просто сочетают в себе функционал классического маршрутизатора, файрволла и прокси-сервера, но и предоставляют дополнительные сервисы безопасности, такие как: фильтрация по URL и контенту, антивирус и др. При этом устройства зачастую используют облачные системы проверки контента, что позволяет быстро и эффективно проверять все передаваемые данные на наличие угроз. Но главное – это возможность сообщать о выявленных угрозах в ретроспективе, то есть выявлять угрозы в таких случаях, когда зараженный контент был уже передан пользователю, но информация о вредоносности данного программного обеспечения появилась у производителя позже.

Такие вещи, как инспекция HTTPS трафика и автоматический анализ приложений, позволяют контролировать не только доступ к конкретным сайтам, но и разрешать/запрещать работу таких приложений как: Skype, Team Viewer и многих других, а как вы знаете, большинство из них давно работают по протоколам HTTP и HTTPS, и стандартными сетевыми средствами их работу просто так не проконтролировать.

В дополнение к этому, в рамках единого устройства вы можете получить еще и систему предотвращения вторжений, которая отвечает за пресечение атак, направленных на опубликованные ресурсы. Также вы дополнительно можете получить VPN-сервер для безопасной удаленной работы сотрудников и подключения филиалов, антиспам, систему контроля ботнетов, песочницу и др. Все это делает такое устройство действительно унифицированным средством сетевой безопасности.

Если ваша компания еще не использует такие решения, то мы очень рекомендуем начать ими пользоваться прямо сейчас, поскольку время их эффективности уже наступило, и мы можем с уверенностью сказать, что подобные устройства доказали свою реальную способность бороться с большим количеством угроз, чего не было еще 5 лет назад. Тогда подобные вещи только вышли на рынок, имели множество проблем и были довольно дорогими и низкопроизводительными.

А как же выбрать Next-generation firewall?

Сейчас на рынке огромное количество сетевых устройств с заявленным подобным функционалом, но действительно эффективную защиту способны обеспечить лишь единицы. Это объясняется тем, что лишь ограниченное число производителей имеют средства и действительно вкладывают их в nonstop проработку актуальных угроз, т.е. постоянно обновляют базы потенциально опасных ресурсов, обеспечивают бесперебойную поддержку решений и т.д.

Многие партнеры будут пытаться вам продать решения, которые выгодны им для продажи, поэтому цена решения отнюдь не всегда соответствует его реальной способности противостоять угрозам. Лично я рекомендую для выбора устройства обратиться к материалам независимых аналитических центров, например, отчетов NSS Labs. По моему мнению, они являются более точными и непредвзятыми.

Помимо угроз с внешней стороны, ваши ресурсы могут быть атакованы и изнутри. Так называемый «безопасный минимум», который следует использовать в вашей локально-вычислительной сети - это ее сегментация на VLANы, т.е. виртуальные частные сети. Помимо сегментации, требуется обязательное применение политик доступа между ними хотя бы стандартными средствами листов доступа (ACL), ведь просто наличие VLAN в рамках борьбы с современными угрозами практически ничего не дает.

Отдельной рекомендацией я обозначу желательность использования контроля доступа непосредственно от порта устройства. Однако при этом необходимо помнить о периметре сети, т.е. чем ближе к защищаемым сервисам вы примените политики - тем лучше. В идеале такие политики следует вводить на коммутаторах доступа. В таких случаях в качестве самых минимальных политик безопасности рекомендуется применять 4 простых правила:

• держать все незадействованные порты коммутаторов административно выключенными;
• не применять 1й VLAN;
• использовать листы фильтрации по MAC на коммутаторах доступа;
• использовать инспекцию ARP протокола.

Также злоумышленниками могут быть совершены атаки на каналы. Для защиты каналов следует использовать сильное шифрование. Многие пренебрегают этим, а потом расплачиваются за последствия. Незащищённые каналы – это не только доступная для похищений информация, но и возможность атаки практически всех корпоративных ресурсов. У наших заказчиков в практике было немалое количество прецедентов, когда совершались атаки на корпоративную телефонию путем организации связи через незащищенные каналы передачи данных между центральным и удаленным офисом (например, просто используя GRE туннели). Компаниям приходили просто сумасшедшие счета!

Что вы можете рассказать о беспроводных сетях и BYOD?

Тему удалённой работы, беспроводных сетей и использования собственных устройств я хотел бы выделить отдельно. По своему опыту могу сказать, что эти три вещи – одна из самых больших потенциальных дыр в безопасности вашей компании. Но при этом они являются и одним из самых больших конкурентных преимуществ.

Если подойти к вопросу кратко, то я рекомендую либо полностью запрещать использование беспроводных сетей, удаленную работу или работу через собственные мобильные устройства, мотивируя это корпоративными правилами, либо предоставлять эти сервисы максимально проработанными с точки зрения безопасности, тем более, что современные решения предоставляют возможность сделать это в лучшем виде.

В плане удаленной работы вам могут помочь те же самые Next Generation Firewalls или UTM устройства. Наша практика показывает, что есть ряд стабильных решений (туда входят Cisco, Checkpoint, Fortinet, Citrix), которые позволяют работать с множеством клиентских устройств, при этом обеспечивая самые высокие стандарты для идентификации удаленного сотрудника. Например, использование сертификатов, двухфакторной авторизации, одноразовых паролей, доставляемые по SMS или генерируемых на специальном ключе. Так же можно контролировать программное обеспечение, установленное на компьютере, с которого производится попытка доступа, допустим, на предмет установки соответствующих обновлений либо запущенных антивирусов.

Безопасность Wi-Fi – это заслуживающая отдельной статьи тема. В рамках данного поста я попытаюсь дать самые главные рекомендации. Если вы строите корпоративный Wi-Fi, то обязательно прорабатывайте все возможные аспекты безопасности, связанные с ним.

Между прочим, Wi-Fi – это целая отдельная статья доходов нашей компании. Мы занимаемся ими профессионально: проекты по оснащению беспроводным оборудованием ТРК и ТЦ, бизнес-центров, складов, в том числе с применением современных решений, таких как позиционирование, выполняются у нас в режиме nonstop. И по результатам проводимых нами радио-обследований мы в каждом втором офисе и складе находим как минимум по одному домашнему Wi-Fi роутеру, которые подключали к сети сами сотрудники. Обычно они это делают для собственного удобства работы, допустим, в курилку с ноутбуком выйти или свободно перемещаться в пределах комнаты. Понятно, что никаких корпоративных правил безопасности на таких маршрутизаторах не применялось и пароли раздавались хорошо знакомым коллегам, потом коллегам коллег, потом зашедшим на кофе гостям и в итоге доступ к корпоративной сети имели практически все, при этом он был абсолютно неконтролируемым.

Конечно, стоит обезопасить сеть от подключения подобного оборудования. Основными способами это сделать могут быть: использование авторизации на портах, фильтрация по MAC и пр. Опять же, с точки зрения Wi-Fi, для сети следует использовать сильные криптографические алгоритмы и enterprise методы аутентификации. Но следует понимать, что не все enterprise методы аутентификации являются одинаково полезными. Например, Android устройства в некоторых релизах программного обеспечения могут по умолчанию игнорировать публичный сертификат Wi-Fi сети, тем самым делая возможным атаки класса Evil twin. Если же используется метод аутентификации, такой как EAP GTC, то ключ в нем передается в открытом виде и его можно в указанной атаке вполне перехватить. Мы рекомендуем в корпоративных сетях использовать исключительно аутентификацию по сертификату, т.е. это TLS методы, но учитывайте, что она значительно увеличивает нагрузку на администраторов сети.

Есть еще способ: если в корпоративной сети внедрена удаленная работа, то можно подключенные через Wi-Fi сеть устройства заставлять использовать еще и VPN клиент. То есть выделить Wi-Fi сегмент сети в изначально недоверенную область, и в итоге получится хороший рабочий вариант с минимизацией затрат на управление сетью.

Производители enterprise решений по Wi-Fi, такие как Cisco, Ruckus, который теперь Brocade, Aruba, которая теперь HPE, помимо стандартных решений по организации Wi-Fi, предоставляют целый набор сервисов по автоматическому контролю безопасности беспроводной среды. То есть у них вполне себе работают такие вещи как WIPS (Wireless intrusion prevention system). У данных производителей реализованы беспроводные сенсоры, которые могут контролировать весь спектр частот, тем самым позволяя отслеживать в автоматическом режиме довольно-таки серьезные угрозы.

Теперь коснемся таких тем, как BYOD (Bring your own device – Принеси свое устройство) и MDM (Mobile device management – Управление мобильными устройствами). Конечно, любое мобильное устройство, на котором хранятся корпоративные данные, либо которое имеет доступ к корпоративной сети, является потенциальным источником проблем. Тема безопасности для таких устройств касается не только безопасного доступа к корпоративной сети, но и централизованного управления политиками мобильных устройств: смартфонов, планшетов, ноутбуков, используемых вне организации. Эта тема актуальна уже очень давно, но только сейчас на рынке появились реально работающие решения, позволяющие управлять разнообразным парком мобильной техники.

К сожалению, рассказать о них в рамках данного поста не получится, но знайте, что решения есть и в последний год мы испытываем бум внедрений решений MDM от Microsoft и MobileIron.

Вы рассказали про «безопасность в минимуме», что тогда из себя представляет «безопасность в максимуме»?

Одно время в интернете была популярна картинка: на ней рекомендовалось для защиты сети поставить один за одним межсетевые экраны известных производителей. Мы ни в коей мере не призываем делать вас так же, но, тем не менее, доля истины здесь есть. Будет крайне полезным иметь сетевое устройство с анализом вирусных сигнатур, например, от SOFOS, а на рабочих местах уже устанавливать антивирус от Лаборатории Касперского. Тем самым, мы получаем две не мешающих друг другу системы защиты от вредоносного кода.

Существует ряд специализированных средств ИБ:

DLP. На рынке представлены специализированные средства информационной безопасности, то есть разработанные и направленные на решение какой-то конкретной угрозы. В настоящее время популярными становятся системы DLP (Data Loss Prevention) или предотвращения утечки данных. Они работают как на сетевом уровне, интегрируясь в среду передачи данных, так и непосредственно на серверах приложений, рабочих станциях, мобильных устройствах.

Мы несколько уходим от сетевой тематики, но угроза утечки данных будет существовать всегда. В особенности, данные решения становятся актуальными для компаний, где потеря данных несет коммерческие и репутационных риски и последствия. Еще 5 лет назад внедрение DLP систем было несколько затруднено в виду их комплексности и необходимости проведения процесса разработки для каждого конкретного случая. Поэтому из-за их стоимости многие компании отказывались от данных решений, либо писали свои. В настоящее время рыночные системы достаточно наработаны, поэтому весь необходимый функционал безопасности можно получить прямо из «коробки».

На российском рынке коммерческие системы в основном представлены производителем Infowatch (ниже картинка от данного производителя о том, как они представляют свое решение в крупной компании) и довольно-таки известным MacAfee.

WAF. Ввиду развития услуг интернет коммерции, а это интернет-банкинг, электронные деньги, электронная торговля, страховые услуги и т.д., в последнее время стали востребованы специализированные средства для защиты веб-ресурсов. А именно WAF – Web Application Firewall.

Данное устройство позволяет отражать атаки, направленные на уязвимости самого сайта. Помимо избирательных DoS атак, когда сайт подавляется легитимными запросами, это могут быть атаки SQL injection, Cross site scripting и пр. Раньше таковые устройства приобретались в основном банками, а у других заказчиков они были не востребованы, да и стоили очень больших денег. Для примера - стоимость рабочего решения начиналась от 100 000$. Сейчас на рынке представлено большое количество решений от известных производителей (Fortinet, Citrix, Positive Technologies), от которых можно получить работающее решение по защите вашего сайта за вполне себе вменяемые деньги (в 3-5 раз меньше, чем указанная ранее сумма).

Audit. Организации, особенно ратующие за собственную безопасность, внедряют средства автоматизированного аудита. Данные решения дорогостоящи, но позволяют вынести ряд функций администратора в область автоматизации, что крайне востребовано для крупного бизнеса. Такие решения постоянно осуществляют сканирование сети и выполняют аудит всех установленных операционных систем и приложений на предмет наличия известных дыр в безопасности, своевременности обновлений, соответствию корпоративных политик. Наверное, самые известные решения в этой области не только в России, но и всем мире – это продукты от Positive Technologies.

SIEM. Аналогично SIEM решения. Это системы, заточенные на выявление внештатных ситуаций, касающихся именно событий, связанных с безопасностью. Даже стандартный набор из пары межсетевых экранов, десятка серверов приложений и тысячи рабочих мест может генерировать десятки тысяч оповещений в день. Если у вас большая компания и вы имеете десятки пограничных устройств, то разобраться в получаемых от них данных в ручном режиме становится просто невозможно. Автоматизация контроля собираемых логов одновременно со всех устройств позволяет администраторам и сотрудникам ИБ действовать незамедлительно. На рынке довольно-таки известны решения SIEM от Arсsight (входит в продукцию HPE) и Q-RADAR (входит в продукцию IBM).

И напоследок: что вы можете посоветовать тем, кто всерьез занялся организацией защиты своих ИТ-ресурсов?

Безусловно, при организации ИТ-безопасности предприятия не стоит забывать и об административном регламенте. Пользователи и администраторы должны быть в курсе, что найденные флешки использовать на компьютере нельзя, как нельзя переходить по сомнительным ссылкам в письмах или открывать сомнительные вложения. Очень важно при этот рассказать и пояснить, какие ссылки и вложения являются непроверенными. В действительности, не все понимают, что не надо хранить пароли на стикерах, приклеенных к монитору или телефону, что нужно научиться читать предупреждения, которые пишут пользователю приложения и т.д. Следует объяснить пользователям, что такое сертификат безопасности и что означают сообщения, связанные с ним. В целом, необходимо учитывать не только техническую сторону вопроса, но и прививать культуру использования корпоративных ИТ-ресурсов сотрудниками.
Надеюсь, этот большой пост был вам интересен и полезен.

Идентификация / аутентификация (ИА) операторов должна вы­полняться аппаратно до этапа загрузки ОС. Базы данных ИА долж­ны храниться в энергонезависимой памяти систем защиты инфор­мации (СЗИ), организованной так, чтобы доступ к ней средствами ПК был невозможен, т.е. энергонезависимая память должна быть размещена вне адресного пространства ПК.

Идентификация / аутентификация удаленных пользователей, как и в предыдущем случае, требует аппаратной реализации. Аутенти­фикация возможна различными способами, включая электронную цифровую подпись (ЭЦП). Обязательным становится требование «усиленной аутентификации», т.е. периодического повторения про­цедуры в процессе работы через интервалы времени, достаточно малые для того, чтобы при преодолении защиты злоумышленник не мог нанести ощутимого ущерба.

2. Защита технических средств от НСД

Средства защиты компьютеров от НСД можно разделить на электронные замки (ЭЗ) и аппаратные модули доверенной загрузки (АМДЗ). Основное их отличие - способ реализации контроля це­лостности. Электронные замки аппаратно выполняют процедуры И/А пользователя, используют внешнее ПО для выполнения про­цедур контроля целостности. АМДЗ аппаратно реализуют как функ­ции ЭЗ, так и функции контроля целостности и функции админи­стрирования.

Контроль целостности технического состава ПК и ЛВС. Кон­троль целостности технического состава ПЭВМ должен выполняться контроллером СЗИ до загрузки ОС. При этом должны контролиро­ваться все ресурсы, которые (потенциально) могут использоваться совместно, в том числе центральный процессор, системный BIOS, гибкие диски, жесткие диски и CD-ROM.

Целостность технического состава ЛВС должна обеспечиваться процедурой усиленной аутентификации сети. Процедура должна выполняться на этапе подключения проверенных ПК к сети и далее через заранее определенные администратором безопасности интер­валы времени.

Контроль целостности ОС, т.е. контроль целостности системных областей и файлов ОС должен выполняться контроллером до загруз­ки ОС для обеспечения чтения реальных данных. Так как в элек­тронном документообороте могут использоваться различные ОС, то встроенное в контроллер ПО должно обеспечивать обслуживание наиболее популярных файловых систем.

Контроль целостности прикладного программного обеспечения (ППО) и данных может выполняться как аппаратным, так и программным компонентом СЗИ.

3. Разграничение доступа к документам, ресурсам ПК и сети

Современные операционные системы все чаще содержат встро­енные средства разграничения доступа. Как правило, эти средства используют особенности конкретной файловой системы (ФС) и ос­нованы на атрибутах, связанных с одним из уровней API операци­онной системы. При этом неизбежно возникают следующие две проблемы.

Привязка к особенностям файловой системы. В современных опе­рационных сйстемах, как правило, используются не одна, а несколь­ко ФС - как новые, так и устаревшие. Обычно на новой ФС встро­енное в ОС разграничение доступа работает, а на старой - может и не работать, так как использует существенные отличия новой ФС.

Это обстоятельство обычно прямо не оговаривается в сертификате, что может ввести пользователя в заблуждение. Именно с целью обеспечения совместимости старые ФС в этом случае включаются в состав новых ОС.

Привязка к API операционной системы. Как правило, операцион­ные системы меняются сейчас очень быстро - раз в год-полтора. Не исключено, что будут меняться еще чаще. Если при этом атри­буты разграничения доступа отражают состав API, с переходом на современную версию ОС будет необходимо переделывать настройки системы безопасности, проводить переобучение персонала и т.д.

Таким образом, можно сформулировать общее требование - подсистема разграничения доступа должна быть наложенной на операционную систему и тем самым быть независимой от файловой системы. Разумеется, состав атрибутов должен быть достаточен для целей описания политики безопасности, причем описание должно осуществляться не в терминах API ОС, а в терминах, в которых привычно работать администраторам безопасности системы.

4. Защита электронных документов

Защита электронного обмена информацией включает два класса задач:

Обеспечение эквивалентности документа в течение его жиз­ненного цикла исходному ЭлД-эталону;

Обеспечение эквивалентности примененных электронных тех­нологий эталонным.

Назначение любой защиты - обеспечение стабильности задан­ных свойств защищаемого объекта во всех точках жизненного цик­ла. Защищенность объекта реализуется сопоставлением эталона (объекта в исходной точке пространства и времени) и результата (объекта в момент наблюдения). Например, в случае, если в точке наблюдения (получения ЭлД) имеется только весьма ограниченная контекстная информация об эталоне (содержании исходного ЭлД), но зато имеется полная информация о результате (наблюдаемом до­кументе), то это означает, что ЭлД должен включать в свой состав атрибуты, удостоверяющие соблюдение технических и технологиче­ских требований, а именно - неизменность сообщения на всех этапах изготовления и транспортировки документа. Одним из вари­антов атрибутов могут быть защитные коды аутентификации (ЗКА).

Защита документа при его создании. При создании документа должен аппаратно вырабатываться защитный код аутентификации. Запись копии электронного документа на внешние носители до вы­работки ЗКА должна быть исключена. Если ЭлД формируется опе­ратором, то ЗКА должен быть привязан к оператору. Если ЭлД по­рождается программным компонентом АС, то ЗКА должен выраба­тываться с привязкой к данному программному компоненту.

Защита документа при его передаче. Защита документа при его передаче по внешним (открытым) каналам связи должна выпол­няться на основе применения сертифицированных криптографиче­ских средств, в том числе с использованием электронно-цифровой подписи (ЭЦП) для каждого передаваемого документа. Возможен и другой вариант - с помощью ЭЦП подписывается пачка докумен­тов, а каждый отдельный документ заверяется другим аналогом собственноручной подписи (АСП), например ЗКА.

Защита документа при его обработке, хранении и исполнении. На этих этапах защита документа осуществляется применением двух ЗКА - входного и выходного для каждого этапа. При этом ЗКА должны вырабатываться аппаратно с привязкой ЗКА к процедуре обработки (этапу информационной технологии). Для поступившего документа (с ЗКА и ЭЦП) вырабатывается второй ЗКА и только за­тем снимается ЭЦП.

Защита документа при доступе к нему из внешней среды. Защита документа при доступе к нему из внешней среды включает два уже описанных механизма - идентификация/аутентификация удален­ных пользователей и разграничение доступа к документам, ресурсам ПК и сети.

5. Защита данных в каналах связи

Традиционно для защиты данных в канале связи применяют канальные шифраторы и передаются не только данные, но и управ­ляющие сигналы.

6. Защита информационных технологий

Несмотря на известное сходство, механизмы защиты собственно ЭлД как объекта (число, данные) и защита ЭлД как процесса (функция, вычислительная среда) радикально отличаются. При за­щите информационной технологии в отличие от защиты ЭлД досто­верно известны характеристики требуемой технологии-эталона, но имеются ограниченные сведения о выполнении этих требований фактически использованной технологией, т.е. результате. Единст­венным объектом, который может нести информацию о фактиче­ской технологии (как последовательности операций), является соб­ственно ЭлД, а точнее входящие в него атрибуты. Как и ранее, од­ним из видов этих атрибутов могут быть ЗКА. Эквивалентность технологий может быть установлена тем точнее, чем большее коли­чество функциональных операций привязывается к сообщению че­рез ЗКА. Механизмы при этом не отличаются от применяемых при защите ЭлД. Более того, можно считать, что наличие конкретного ЗКА характеризует наличие в технологическом процессе соответст­вующей операции, а значение ЗКА характеризует целостность со­общения на данном этапе технологического процесса.

7. Разграничение доступа к потокам данных

Для целей разграничения доступа к потокам данных применя­ются, как правило, маршрутизаторы, которые используют крипто­графические средства защиты. В таких случаях особое внимание уделяется ключевой системе и надежности хранения ключей. Требо­вания к доступу при разграничении потоков отличаются от таковых при разграничении доступа к файлам и каталогам. Здесь возможен только простейший механизм - доступ разрешен или запрещен.

Выполнение перечисленных требований обеспечивает достаточ­ный уровень защищенности электронных документов как важнейше­го вида сообщений, обрабатываемых в информационных системах.

В качестве технических средств защиты информации в настоя­щее время разработан аппаратный модуль доверенной загрузки (АМДЗ), обеспечивающий загрузку ОС вне зависимости от ее типа для пользователя, аутентифицированного защитным механизмом. Результаты разработки СЗИ НСД «Аккорд» (разработчик ОКБ САПР) серийно выпускаются и являются на сегодня самым извест­ным в России средством защиты компьютеров от несанкциониро­ванного доступа. При разработке была использована специфика прикладной области, отраженная в семействе аппаратных средств защиты информации в электронном документообороте, которые на различных уровнях используют коды аутентификации (КА). Рас­смотрим примеры использования аппаратных средств.

1. В контрольно-кассовых машинах (ККМ) КА используются как средства аутентификации чеков как одного из видов ЭлД. Каждая ККМ должна быть снабжена блоком интеллектуальной фискальной памяти (ФП), которая кроме функций накопления данных об ито­гах продаж выполняет еще ряд функций:

Обеспечивает защиту ПО ККМ и данных от НСД;

Вырабатывает коды аутентификации как ККМ, так и каждого чека;

Поддерживает типовой интерфейс взаимодействия с модулем налогового инспектора;

Обеспечивает съем фискальных данных для представления в налоговую инспекцию одновременно с балансом.

Разработанный блок ФП «Аккорд-ФП» выполнен на основе СЗИ «Аккорд». Он характеризуется следующими особенностями:

Функции СЗИ НСД интегрированы с функциями ФП;

В составе блока ФП выполнены также энергонезависимые ре­гистры ККМ;

Процедуры модуля налогового инспектора так же интегриро­ваны, как неотъемлемая часть в состав блока «Аккорд-ФП».

2. В системе контроля целостности и подтверждения достоверно­сти электронных документов (СКЦПД) в автоматизированной сис­теме федерального или регионального уровня принципиальным отли­чием является возможность защиты каждого отдельного документа. Эта система позволила обеспечить контроль, не увеличивая значи­тельно трафик. Основой для создания такой системы стал контрол­лер «Аккорд-С Б/КА» - высокопроизводительный сопроцессор безопасности, реализующий функции выработки/проверки кодов аутентификации.

Обеспечивает управление деятельностью СКЦПД в целом ре­гиональный информационно-вычислительный центр (РИВЦ), взаимодействуя при этом со всеми АРМ КА - АРМ операторов- участников, оснащенными программно-аппаратными комплексами «Аккорд-СБ/КА» (А-СБ/КА) и программными средствами СКЦПД. В состав РИВЦ должно входить два автоматизированных рабочих места - АРМ-К для изготовления ключей, АРМ-Р для подготовки рассыпки проверочных данных.

3. Применение кодов аутентификации в подсистемах технологиче­ской защиты информации ЭлД. Основой для реализации аппаратных средств защиты информации может служить «Аккорд СБ» и «Ак­корд АМДЗ» (в части средств защиты от несанкционированного доступа). Для защиты технологий используются коды аутентифика­ции. Коды аутентификации электронных документов в подсистеме технологической защиты информации формируются и проверяются на серверах кода аутентификации (СКА) с помощью ключевых таб­лиц (таблиц достоверности), хранящихся во внутренней памяти ус­тановленных в СКА сопроцессоров «Аккорд-СБ». Таблицы досто­верности, закрытые на ключах доставки, доставляются на СКА и загружаются во внутреннюю память сопроцессоров, где и происхо­дит их раскрытие. Ключи доставки формируются и регистрируются на специализированном автоматизированном рабочем месте АРМ-К и загружаются в сопроцессоры на начальном этапе в процессе их персонализации.

Опыт широкомасштабного практического применения более 100 ООО модулей аппаратных средств защиты типа «Аккорд» в ком­пьютерных системах различных организаций России и стран ближне­го зарубежья показывает, что ориентация на программно-аппаратное решение выбрано правильно, так как оно имеет большие возмож­ности для дальнейшего развития и совершенствования.

Выводы

Недооценка проблем, связанных с безопасностью информации, может приводить к огромному ущербу.

Рост компьютерной преступности вынуждает заботиться об ин­формационной безопасности.

Эксплуатация в российской практике однотипных массовых про­граммно-технических средств (например, IBM-совместимые пер­сональные компьютеры; операционные системы - Window, Unix, MS DOS, Netware и т.д.) создает в определенной мере условия для злоумышленников.

Стратегия построения системы защиты информации должна опираться на комплексные решения, на интеграцию информаци­онных технологий и систем защиты, на использование передовых методик и средств, на универсальные технологии защиты инфор­мации промышленного типа.

Вопросы для самоконтроля

1. Назовите виды угроз информации, дайте определение угрозы.

2. Какие существуют способы защиты информации?

3. Охарактеризуйте управление доступом как способ защиты ин­формации. Каковы его роль и значение?

4. В чем состоит назначение криптографических методов защиты информации? Перечислите их.

5. Дайте понятие аутентификации и цифровой подписи. В чем их сущность?

6. Обсудите проблемы защиты информации в сетях и возможности их разрешения.

7. Раскройте особенности стратегии защиты информации с исполь­зованием системного подхода, комплексных решений и принци­па интеграции в информационных технологиях.

8. Перечислите этапы создания систем защиты информации.

9. Какие мероприятия необходимы для реализации технической защиты технологий электронного документооборота?

10. В чем заключается суть мультипликативного подхода?

11. Какие процедуры необходимо выполнить, чтобы защитить сис­тему электронного документооборота?

12. Какие функции выполняет сетевой экран?

Тесты к гл. 5

Вставьте недостающие понятия и словосочетания.

1. События или действия, которые могут привести к несанкциони­рованному использованию, искажению или разрушению информации, называются...

2. Среди угроз безопасности информации следует выделить два вида: ...

3. Перечисленные виды противодействия угрозам безопасности ин­формации: препятствие, управление доступом, шифрование, регламента­ция, принуждение и побуждение относятся к... обеспечения безопас­ности информации.

4. Следующие способы противодействия угрозам безопасности: фи­зические, аппаратные, программные, организационные, законодатель­ные, морально-этические, физические относятся к... обеспечения без­опасности информации.

5. Криптографические методы защиты информации основаны на ее...

6. Присвоение пользователю уникального обозначения для подтвер­ждения его соответствия называется...

7. Установление подлинности пользователя для проверки его соот­ветствия называется...

8. Наибольшая угроза для корпоративных сетей связана:

а) с разнородностью информационных ресурсов и технологий;

б) с программно-техническим обеспечением;

в) со сбоями оборудования. Выберите правильные ответы.

9. Рациональный уровень информационной безопасности в корпо­ративных сетях в первую очередь выбирается исходя из соображений:

а) конкретизации методов защиты;

б) экономической целесообразности;

в) стратегии защиты.

10. Резидентная программа, постоянно находящаяся в памяти компью­тера и контролирующая операции, связанные с изменением информации на магнитных дисках, называется:

а) детектором;

в) сторожем;

г) ревизором.

11. Антивирусные средства предназначены:

а) для тестирования системы;

б) для защиты программы от вируса;

в) для проверки программ на наличие вируса и их лечение;

г) для мониторинга системы.

Баланс угроз и защиты

Решения класса UTM

Производители UTM и их продукты

Решение компании Check Point носит название UTM-1 Edge и представляет собой унифицированное устройство защиты, объединяющее межсетевой экран, систему предотвращения вторжений, антивирусный шлюз, а так же средства построения VPN и удаленного доступа. Входящий в решение firewall контролирует работу с большим числом приложений, протоколов и сервисов, а так же имеет механизм блокировки трафика, явно не вписывающегося в категорию бизнес-приложений. Например, трафика систем мгновенных сообщений (IM) и одноранговых сетей (P2P). Антивирусный шлюз позволяет отслеживать вредоносный код в сообщениях электронной почты, трафика FTP и HTTP. При этом нет ограничений на объем файлов и осуществляется декомпрессия архивных файлов "на лету".
Решение UTM-1 Edge обладает развитыми возможностями работы в VPN сетях. Поддерживается динамическая маршрутизация OSPF и подключение VPN клиентов. Модель UTM-1 Edge W выпускается со встроенной точкой WiFi доступа IEEE 802.11b/g.
При необходимости крупномасштабных внедрений, UTM-1 Edge легко интегрируется с системой Check Point SMART, благодаря чему управление средствами безопасности значительно упрощается.

Компания Cisco традиционно уделяет вопросам сетевой безопасности повышенное внимание и предлагает широкий набор необходимых устройств. Для обзора мы решили выбрать модель Cisco ASA 5510 , которая ориентирована на обеспечение безопасности периметра корпоративной сети. Это оборудование входит в серию ASA 5500, включающую модульные системы защиты класса UTM. Такой подход позволяет адаптировать систему обеспечения безопасности к особенностям функционирования сети конкретного предприятия.
Cisco ASA 5510 поставляется в четырех основных комплектах — межсетевого экрана, средств построения VPN, системы предотвращения вторжений, а так же средств защиты от вирусов и спама. В решение входят дополнительные компоненты, такие как система Security Manager для формирования инфраструктуры управления при разветвленной корпоративной сети, и система Cisco MARS, призванная осуществлять мониторинг сетевой среды и реагировать на нарушение безопасности в режиме реального времени.

Словацкая компания Eset поставляет программный комплекс Eset NOD32 Firewall класса UTM, включающий, помимо функций корпоративного файервола, систему антивирусной защиты Eset NOD32, средства фильтрации почтового (антиспам) и веб-трафика, системы обнаружения и предупреждения сетевых атак IDS и IPS. Решение поддерживает создание сетей VPN. Этот комплекс построен на основе серверной платформы, работающей под управлением Linux. Программная часть устройства разработана отечественной компанией Leta IT , подконтрольной российскому представительству Eset.
Данное решение позволяет контролировать сетевой трафик в режиме реального времени, поддерживается фильтрация контента по категориям веб-ресурсов. Обеспечивается защиту от атак типа DDoS и блокируются попытки сканирования портов. В решение Eset NOD32 Firewall включена поддержка серверов DNS, DHCP и управление изменением пропускной способности канала. Контролируются трафик почтовых протоколов SMTP, POP3.
Так же данное решение включает возможность создания распределенных корпоративных сетей с помощью VPN-соединений. При этом поддерживаются различные режимы объединения сетей, алгоритмы аутентификации и шифрования.

Компания Fortinet предлагает целое семейство устройств FortiGate класса UTM, позиционируя свои решения как способные обеспечить защиту сети при сохранении высокого уровня производительности, а так же надежной и прозрачной работы информационных систем предприятия в режиме реального времени. Для обзора мы выбрали модель FortiGate-224B , которая ориентирована для защиты периметра корпоративной сети с 150 - 200 пользователями.
Оборудование FortiGate-224B включает функциональность межсетевого экрана, сервера VPN, фильтрацию web-трафика, системы предотвращения вторжения, а так же антивирусную и антиспамовскую защиту. Эта модель имеет встроенные интерфейсы коммутатора локальной сети второго уровня и WAN-интерфейсы, что позволяет обойтись без внешних устройств маршрутизации и коммутации. Для этого поддерживается маршрутизация по протоколам RIP, OSPF и BGP, а так же протоколы аутентификации пользователей перед предоставлением сетевых сервисов.

Компания SonicWALL предлагает широкий выбор устройств UTM, из которого в данный обзор попало решение NSA 240 . Это оборудование является младшей моделью в линейке, ориентированной на использование в качестве системы защиты корпоративной сети среднего предприятия и филиалов крупных компаний.
В основе данной линейки лежит использование всех средств защиты от потенциальных угроз. Это межсетевой экран, система защиты от вторжения, шлюзы защиты от вирусов и шпионского программного обеспечения. Есть фильтрация web-трафика по 56 категориям сайтов.
В качестве одной из изюминок своего решения компания SonicWALL отмечает технологию глубокого сканирования и анализа поступающего трафика. Для исключения снижения производительности данная технология использует параллельную обработку данных на многопроцессорном ядре.
Это оборудование поддерживает работу с VPN, обладает развитыми возможностями маршрутизации и поддерживает различные сетевые протоколы. Так же решение от SonicWALL способно обеспечить высокий уровень безопасности при обслуживании трафика VoIP по протоколам SIP и Н.323.

Из линейки продукции компания WatchGuard для обзора было выбрано решение Firebox X550e , которое позиционируется как система, обладающая развитой функциональностью для обеспечения сетевой безопасности и ориентирована на использовании в сетях малых и средних предприятий.
В основе решений класса UTM этого производителя лежит использование принципа защиты от смешенных сетевых атак. Для этого оборудование поддерживает межсетевой экран, систему предотвращения атак, антивирусный и антиспамовский шлюзы, фильтрацию web-ресурсов, а так же систему противодействия шпионскому программному обеспечению.
В этом оборудовании используется принцип совместной защиты, согласно которому сетевой трафик, проверенный по определенному критерию на одном уровне защиты не проверятся по этому же критерию на другом уровне. Такой подход позволяет обеспечивать высокую производительность оборудования.
Другим достоинством своего решения производитель называет поддержку технологии Zero Day, которая обеспечивает независимость обеспечения безопасности от наличия сигнатур. Такая особенность важна при появлении новых видов угроз, на которые еще не найдено эффективное противодействие. Обычно "окно уязвимости" длится от нескольких часов до нескольких дней. При использовании технологии Zero Day вероятность негативных последствий окна уязвимости заметно снижается.

Компания ZyXEL предлагает свое решение сетевого экрана класса UTM, ориентированного на использование в корпоративных сетях, насчитывающих до 500 пользователей. Это решение ZyWALL 1050 предназначено для построения системы сетевой безопасности, включающую полноценную защиту от вирусов, предотвращение вторжений и поддержку виртуальных частных сетей. Устройство имеет пять портов Gigabit Ethernet, которые могут настраиваться для использования в качестве интерфейсов WAN, LAN, DMZ и WLAN в зависимости конфигурации сети.
Устройство поддерживает передачу трафика VoIP приложений по протоколам SIP и Н.323 на уровне firewall и NAT, а так же передачу трафика пакетной телефонии в туннелях сети VPN. При этом обеспечивается функционирование механизмов предотвращения атак и угроз для всех видов трафика, включая VoIP-трафик, работа антивирусной системы с полной базой сигнатур, контентная фильтрация по 60 категориям сайтов и защита от спама.
Решение ZyWALL 1050 поддерживает различных топологий частных сетей, рабоуа в режиме VPN-концентратора и объединение виртуальных сетей в зоны с едиными политиками безопасности.

Основные характеристики UTM

Мнение специалиста

Сфера применения решений UTM главным образом распространяется на компании, относящиеся к предприятиям малого и среднего бизнеса. Само понятие Unified Threat Management (UTM), как отдельный класс оборудования для защиты сетевых ресурсов, было введено международным агентством IDC, согласно которому UTM-решения - это многофункциональные программно-аппаратные комплексы, в которых совмещены функции разных устройств. Обычно это межсетевой экран, VPN, системы обнаружения и предотвращения вторжений в сеть, а также функции антивирусного и антиспамовского шлюзов и фильтрации URL.
Для того чтобы добиться действительно эффективной защиты устройство должно быть многоуровневым, активным и интегрированным. При этом многие производители средств защиты уже имеют достаточно широкую линейку продуктов, относящихся к UTM. Достаточная простота развертывания систем, а также получение системы "все в одном" делает рынок указанных устройств достаточно привлекательным. Совокупная стоимость владения и сроки возврата инвестиций при внедрении данных устройств кажутся очень привлекательными.
Но это решение UTM похоже на "швейцарский нож" - есть инструмент на каждый случай, но чтобы пробить в стене дырку нужна настоящая дрель. Есть также вероятность, что появление защиты от новых атак, обновление сигнатур и т.п. не будет столь быстрыми, в отличие от поддержки отдельных устройств, стоящих в "классической" схеме защиты корпоративных сетей. Также остается проблема единой точки отказа.

Если рассмотреть систему информационной безопасности любой крупной компании, то это не только антивирус, но и несколько других программ для защиты по всем направлениям. Время простых решений для ИТ-безопасности давно осталось позади.

Конечно, основой общей системы информационной безопасности для любой организации является защита стандартной рабочей станции от вирусов. И здесь необходимость использования антивируса остается неизменной.

Но требования к корпоративной защите в целом изменились. Компаниям необходимы полноценные комплексные решения, способные не только обеспечивать защиту от самых сложных современных угроз, но и играть на опережение.

"Все больше крупных компаний выстраивают систему безопасности по принципу эшелонированной защиты."

Причем раньше эшелоны выстраивались на различных элементах ИТ-инфраструктуры, а сейчас многоуровневая защита должна быть даже на отдельных элементах ИТ-среды, в первую очередь на рабочих станциях и серверах

С какими угрозами столкнулись компании в 2014

С точки зрения угроз, огромной проблемой информационной безопасности в последнее время стали целевые атаки на корпорации и правительственные структуры. Многие методики, которые хакеры раньше применяли в атаках на домашних пользователей, теперь стали использоваться и применительно к бизнесу.

Это и модифицированные банковские троянцы, которые нацелены на сотрудников финансовых отделов и бухгалтерий, и различные программы-шифровальщики, которые стали работать в рамках корпоративных информационных сетей, и использование методов социальной инженерии.

Кроме того, популярность получили сетевые черви, для удаления которых требуется остановка работы всей корпоративной сети. Если с подобной проблемой сталкиваются компании, имеющие большое количество филиальных офисов, расположенных в различных часовых поясах, то любая остановка работы сети неизбежно ведет к финансовым потерям.

Согласно результатам исследования, проведенного «Лабораторией Касперского» в 2014 году среди ИБ-специалистов, чаще всего российские компании сталкиваются с

• вредоносным ПО,
• нежелательной корреспонденцией (спамом),
• попытками несанкционированного проникновения в систему фишингом.
• уязвимостями в установленном ПО,
• рисками, связанными с поведением сотрудников компании.

Проблема усугубляется еще и тем, что киберугрозы далеко не статичны: они множатся с каждым днем, становятся разнообразнее и сложнее. Чтобы яснее понимать текущую ситуацию в области информационной безопасности и те последствия, к которым может привести даже единичный компьютерный инцидент, представим все в цифрах и фактах, полученных на основе данных «Лаборатории Касперского» по анализу событий 2014 года.

Статистика киберугроз

Кстати, именно мобильные устройства сегодня продолжают оставаться отдельной «головной болью» для специалистов по ИБ. Использование личных смартфонов и планшетов в рабочих целях допустимо уже в большинстве организаций, однако надлежащее управление этими устройствами и включение их в общую систему информационной безопасности компании практикуется далеко не везде.

"Cогласно данным «Лаборатории Касперского», на платформу Android сегодня нацелено 99% вредоносного ПО, специализирующегося на мобильных устройствах."

Чтобы понять, откуда берется такое количество угроз, и представить, с какой скоростью они увеличиваются в числе, достаточно сказать, что ежедневно специалисты «Лаборатории Касперского» обрабатывают 325 тысяч образцов нового вредоносного ПО.

На компьютеры пользователей зловреды чаще всего попадают двумя способами:

• через уязвимости в легальном ПО
• при помощи методов социальной инженерии.

Разумеется, очень часто встречается сочетание этих двух приемов между собой, но злоумышленники не пренебрегают и другими уловками.

Отдельной угрозой для бизнеса являются таргетированные атаки, которые становятся все более частым явлением.

"Использование нелегального ПО, конечно же, еще больше увеличивает риски стать успешной целью для кибератаки, в первую очередь из-за наличия в нем большего количества уязвимостей."

Уязвимости рано или поздно появляются в любом программном обеспечении. Это могут быть ошибки при разработке программы, устаревание версий или отдельных элементов кода. Как бы то ни было, основной проблемой является не наличие уязвимости, а ее своевременное обнаружение и закрытие.

К слову, в последнее время, и 2014 год является ярким тому свидетельством, производители ПО начинают все активнее закрывать имеющиеся в их программах уязвимости. Однако брешей в приложениях все равно хватает, и киберпреступники активно их используют для проникновения в корпоративные сети.

В 2014 году 45% всех инцидентов, связанных с уязвимостями, были спровоцированы «дырами» в популярном ПО Oracle Java.

Кроме того, в прошедшем году случился своего рода переломный момент – была обнаружена уязвимость в распространенном протоколе шифрования OpenSSL, получившая название Heartbleed. Эта ошибка позволяла злоумышленнику читать содержимое памяти и перехватывать личные данные в системах, использующих уязвимые версии протокола.

OpenSSL широко используется для защиты данных, передаваемых через Интернет (в том числе информации, которой пользователь обменивается с веб-страницами, электронных писем, сообщений в интернет-мессенджерах), и данных, передаваемых по каналам VPN (Virtual Private Networks), поэтому потенциальный ущерб от этой уязвимости был огромным.Не исключено, что эту уязвимость злоумышленники могли использовать как старт для новых кампаний кибершпионажа.

Жертвы атак

Вообще в 2014 году число организаций, ставших жертвами целенаправленных кибератак и кампаний кибершпионажа, увеличилось почти в 2,5 раза. За прошедший год почти 4,5 тысячи организаций по меньшей мере в 55 странах, в том числе и в России, стали целью киберпреступников.

Кража данных произошла как минимум в 20 различных секторах экономики:

• государственные,
• телекоммуникационные,
• энергетические,
• исследовательские,
• индустриальные,
• здравоохранительные,
• строительные и другие компании.

Киберпреступники получили доступ к такой информации:

• пароли,
• файлы,
• геолокационная информация,
• аудиоданные,
• снимки экранов
• снимки веб-камеры.

Скорее всего, в некоторых случаях эти атаки имели поддержку государственных структур, другие же с большей вероятностью осуществлялись профессиональными группировками кибернаемников.

В последние годы Глобальный центр исследований и анализа угроз «Лаборатории Касперского» отслеживал деятельность более 60 преступных групп, ответственных за кибератаки, проводимые по всему миру. Их участники говорят на разных языках: русском, китайском, немецком, испанском, арабском, персидском и других.

Последствия таргетированных операций и кампаний кибершпионажа всегда крайне серьезны. Они неминуемо заканчиваются взломом и заражением корпоративной сети, нарушением бизнес-процессов, утечкой конфиденциальной информации, в частности интеллектуальной собственности. В 2014 году 98% российских компаний столкнулись с теми или иными киберинцидентами, источники которых находились, как правило, вне самих предприятий.Кроме того, еще в 87% организаций были зафиксированы инциденты, обусловленные внутренними угрозами.

"Общая сумма ущерба для крупных компаний в среднем составила 20 миллионов рублей за каждый успешный пример кибератаки."

Чего опасаются компании и как все обстоит на самом деле

«Лаборатория Касперского» ежегодно проводит исследования с целью выяснить отношение ИТ-специалистов к вопросам информационной безопасности. Исследование 2014 года показало, что абсолютное большинство российских компаний, а точнее 91%, недооценивают количество существующего на сегодняшний день вредоносного ПО. Более того, они даже не предполагают, что число зловредов еще и постоянно увеличивается.

Любопытно, что 13% ИТ-специалистов заявили, что не переживают из-за внутренних угроз.

Возможно, это объясняется тем, что в ряде компаний не принято разделять киберугрозы на внешние и внутренние. Кроме того, среди российских руководителей служб ИТ и ИБ есть такие, которые все же предпочитают решать все проблемы с внутренними угрозами мерами запретов.

Однако если человеку что-то запрещено, это вовсе не означает, что он этого не делает. Поэтому любые политики безопасности, в том числе запрещение, требуют соответствующих инструментов контроля, которые позволят гарантировать соблюдение всех требований.

Что касается типов информации, которая интересует злоумышленников прежде всего, то, как показало исследование, представления компаний и реальное положение дел довольно сильно различаются.

Так, сами компании больше всего боятся потерять

• информацию о клиентах,
• финансовые и операционные данные,
• интеллектуальную собственность.

• информацию по анализу деятельности конкурентов,
• платежную информацию,
• персональные данные сотрудников
• данные о корпоративных счетах в банках.

"На деле же выходит, что киберпреступники чаще всего крадут внутреннюю операционную информацию компаний (в 58% случаев), однако защищать эти данные в первую очередь считают необходимым лишь 15% компаний."

Для безопасности не менее важно продумать не только технологии и системы, но и учесть человеческий фактор: понимание целей специалистами, которые систему выстраивают, и понимание ответственности сотрудниками, которые пользуются устройствами.

В последнее время злоумышленники все чаще опираются не только на технические средства, но и на слабости людей: используют методы социальной инженерии, которые помогают выудить практически любую информацию.

Сотрудники, унося данные на своем устройстве, должны понимать, что несут ровно ту же ответственность, как если бы они уносили бумажные копии документов с собой.

Персонал компании также должен хорошо знать, что любое современное технически сложное устройство содержит дефекты, которыми может воспользоваться злоумышленник. Но чтобы этими дефектами воспользоваться, злоумышленник должен получить доступ к устройству. Поэтому при скачивании почты, приложений, музыки и картинок, необходимо проверять репутацию источника.

Важно с осторожностью относиться к провокационным СМС и электронным письмам и проверять надежность источника, прежде чем открыть письмо и перейти по ссылке.

Для того, чтобы компания все-таки имела защиту от подобных случайных или намеренных действий сотрудников, ей стоит использовать модули для защиты данных от утечек.

"Компаниям необходимо регулярно вспоминать про работу с персоналом: начиная с повышения квалификации ИТ-сотрудников и заканчивая разъяснениями основных правил безопасной работы в Интернете, не важно, с каких устройств туда они выходят."

Так, «Лаборатория Касперского» в этом году выпустила новый модуль, в котором реализованы функции защиты от утечки данных -

Защита в облаке

Многие крупные компании так или иначе использую облако, в России чаще всего в варианте частного облака. Тут важно помнить, что, как и любая другая информационная система, созданная человеком, облачные сервисы содержат в себе потенциальные уязвимости, которые могут быть использованы вирусописателями.

Поэтому при организации доступа даже к своему облаку необходимо помнить о безопасности канала связи и о конечных устройствах, которые используются на стороне сотрудников. Не менее важны внутренние политики, регламентирующие, кто из сотрудников имеет доступ к данным в облаке, или информацию какого уровня секретности можно хранить в облаке и т.д. В компании должны быть сформированы прозрачные правила:

• какие службы и сервисы будут работать из облака,
• какие – на локальных ресурсах,
• какую именно информацию стоит размещать в облаках,
• какую необходимо хранить «у себя».

На основе статьи: Время «тяжелых» решений: безопасность в Enterprise сегменте.

В попытках обеспечить жизнеспособность компании службы безопасности фокусируют свое внимание на защите сетевого периметра – сервисов, доступных из интернета. Образ мрачного злоумышленника, который готов нападать из любой точки мира на публикуемые сервисы компании, не на шутку пугает владельцев бизнеса. Но насколько это справедливо, учитывая, что наиболее ценная информация находится отнюдь не на периметре организации, а в недрах ее корпоративных сетей? Как оценить соразмерность защищенности инфраструктуры от атак внешних и внутренних?

«Корабль в порту - это безопасно, но не с этой целью корабли строятся»

Ощущение безопасности обманчиво

В условиях тотальной информатизации и глобализации бизнес предъявляет новые требования к корпоративным сетям, на первый план выходят гибкость и независимость корпоративных ресурсов по отношению к его конечным пользователям: сотрудникам и партнерам. По этой причине сегодняшние корпоративные сети весьма далеки от традиционного понятия изолированности (несмотря на то, что изначально они охарактеризовались именно так).

Представьте себе офис: стены защищают от внешнего мира, перегородки и стены делят общую площадь на более мелкие специализированные зоны: кухня, библиотека, служебные комнаты, рабочие места и т. д. Переход из зоны в зону происходит в определенных местах - в дверных проемах, и при необходимости там же контролируется дополнительными средствами: видеокамерами, системами контроля доступа, улыбчивыми охранниками… Заходя в такое помещение, мы чувствуем себя в безопасности, возникает ощущение доверия, доброжелательности. Однако стоит признать, что это ощущение - лишь психологический эффект, основанный на «театре безопасности», когда целью проводимых мероприятий заявляется повышение безопасности, но по факту лишь формируется мнение о ее наличии. Ведь если злоумышленник действительно захочет что-либо предпринять, то нахождение в офисе не станет непреодолимой трудностью, а возможно даже наоборот, найдутся дополнительные возможности.

То же самое происходит и в корпоративных сетях. В условиях, когда существует возможность нахождения внутри корпоративной сети, классические подходы к обеспечению безопасности оказываются недостаточными. Дело в том, что методы защиты строятся исходя из внутренней модели угроз и нацелены на противодействие сотрудникам, которые могут случайно или умышленно, но без должной квалификации, нарушить политику безопасности. Но что если внутри окажется квалифицированный хакер? Стоимость преодоления сетевого периметра организации на подпольном рынке имеет практически фиксированную цену для каждой организации и в среднем не превышает 500$. Так, например, в по черному рынку хакерских услуг компании Dell на апрель 2016 года показан следующий прейскурант:

В итоге, можно купить взлом корпоративного почтового ящика, аккаунт от которого скорее всего подойдет ко всем другим корпоративным сервисам компании из-за распространенного принципа Single Sign-on авторизации. Или приобрести не отслеживаемые для антивирусов полиморфные вирусы и с помощью фишинговой рассылки заразить неосторожных пользователей, тем самым завладев управлением компьютера внутри корпоративной сети. Для хорошо защищенных сетевых периметров используются недостатки человеческого сознания, так, например, купив новые идентификационные документы и получив данные о рабочей и личной жизни сотрудника организации через заказ кибершпионажа, можно использовать социальную инженерию и получить конфиденциальную информацию.

Наш опыт проведения тестов на проникновение показывает, что внешний периметр преодолевается в 83% случаев, и в 54% это не требует высококвалифицированной подготовки. При этом по статистике примерно каждый пятый сотрудник компании готов сознательно продать свои учетные данные, в том числе и от удаленного доступа, тем самым колоссально упрощая преодоление сетевого периметра. При таких условиях внутренний и внешний злоумышленники становятся неотличимыми, что создает новый вызов безопасности корпоративных сетей.

Взять критические данные и не защитить

Внутри корпоративной сети вход во все системы контролируется и доступен только для уже прошедших проверку пользователей. Но эта самая проверка оказывается упомянутым ранее обычным «театром безопасности», так как реальное положение дел выглядит очень мрачно, и это подтверждается статистикой уязвимостей корпоративных информационных систем . Вот некоторые основные недостатки корпоративных сетей.

• Словарные пароли

Как ни странно, использование слабых паролей свойственно не только для рядового персонала компаний, но и для самих IT-администраторов. Так, например, зачастую в сервисах и оборудовании остаются пароли, установленные производителем по умолчанию, или для всех устройств используется одно и то же элементарное сочетание. Например, одно из самых популярных сочетаний - учетная запись admin с паролем admin или password. Также популярны короткие пароли, состоящие из строчных букв латинского алфавита, и простые численные пароли, такие как 123456. Таким образом, достаточно быстро можно выполнить перебор пароля, найти правильную комбинацию и получить доступ к корпоративным ресурсам.

• Хранение критичной информации внутри сети в открытом виде

Представим ситуацию: злоумышленник получил доступ к внутренней сети, здесь может быть два варианта развития событий. В первом случае информация хранится в открытом виде, и компания сразу же несет серьезные риски. В другом случае данные в сети зашифрованы, ключ хранится в другом месте - и компания имеет шансы и время противостоять злоумышленнику и спасти важные документы от кражи.

• Использование устаревших версий операционных систем и их компонентов

Каждый раз, когда появляется обновление, одновременно с этим выпускается технический документ, в котором подробно описывается, какие недочеты и ошибки были исправлены в новой версии. Если была обнаружена проблема, связанная с безопасностью, то злоумышленники начинают активно исследовать эту тему, находить связанные ошибки и на этой основе разрабатывать инструменты взлома.

До 50% компаний либо не обновляют используемые программы, либо делают это слишком поздно. В начале 2016 года Королевский госпиталь Мельбурна пострадал от того, что его компьютеры работали под управлением Windows XP. Первоначально попав на компьютер отделения патологии, вирус стремительно распространился по сети, заблокировав на некоторое время автоматизированную работу всего госпиталя.

• Использование бизнес-приложений самостоятельной разработки без контроля защищенности

Основная задача собственной разработки - функциональная работоспособность. Подобные приложения имеют низкий порог защищенности, зачастую выпускаются в условиях дефицита ресурсов и должной поддержки от производителя. Продукт по факту работает, выполняет задачи, но при этом его очень просто взломать и получить доступ к необходимым данным.

• Отсутствие эффективной антивирусной защиты и других средств защиты

Считается, что спрятанное от внешнего взора - защищенно, т. е. внутренняя сеть как бы находится в безопасности. Безопасники внимательно следят за внешним периметром, а если он так хорошо охраняется, то и во внутренний хакер не попадет. А по факту в 88% случаев в компаниях не реализованы процессы обнаружения уязвимостей, нет систем предотвращения вторжений и централизованного хранения событий безопасности. В совокупности это не позволяет эффективно обеспечивать безопасность корпоративной сети.

При этом информация, которая хранится внутри корпоративной сети, имеет высокую степень значимости для работы предприятия: клиентские базы в CRM-системах и биллинге, критичные показатели бизнеса в ERP, деловая коммуникация в почте, документооборот, содержащийся на порталах и файловых ресурсах, и т. п.

Граница между корпоративной и публичной сетью стала настолько размытой, что полностью контролировать ее безопасность стало очень сложно и дорого. Ведь практически никогда не используют контрмеры против воровства или торговли учетными записями, небрежности сетевого администратора, угроз, реализуемых через социальную инженерию, и пр. Что заставляет злоумышленников пользоваться именно этими приемами преодоления внешней защиты и приблизиться к уязвимой инфраструктуре с более ценными сведениями.

Выходом может стать концепция информационной безопасности, в которой безопасность внутренней и внешней сети обеспечивается исходя из единой модели угроз, и с вероятностью трансформации одного вида злоумышленника в другой.

Злоумышленники против защитников - чья возьмет?

Информационная безопасность как состояние возможна только в случае с неуловимым Джо - из-за его ненужности. Противоборство между злоумышленниками и защитниками происходит в принципиально разных плоскостях. Злоумышленники извлекают выгоду вследствие нарушения конфиденциальности, доступности или целостности информации, и чем эффективнее и результативнее их работа, тем большую выгоду они смогут получить. Защитники же не извлекают выгоды из процесса обеспечения безопасности вовсе, любой шаг - это невозвращаемая инвестиция. Именно поэтому получило распространение риск-ориентированное управление безопасностью, при котором внимание защитников фокусируется на наиболее дорогих (с точки зрения оценки ущерба) рисках с наименьшей ценой их перекрытия. Риски с ценой перекрытия выше, чем у охраняемого ресурса, осознанно принимаются или страхуются. Задача такого подхода в том, чтобы как можно больше повысить цену преодоления наименее слабой точки безопасности организации, поэтому критичные сервисы должны быть хорошо защищены вне зависимости от того, где располагается данный ресурс - внутри сети или на сетевом периметре.

Риск-ориентированный подход - лишь вынужденная мера, позволяющая существовать концепции информационной безопасности в реальном мире. По факту, она ставит защитников в затруднительную позицию: свою партию они играют черными, лишь отвечая на возникающие актуальные угрозы.