Хотя понятие периметра корпоративной сети за последние годы претерпело значительные изменения, его защита остается обязательным элементом информационной безопасности организации и важной составляющей многоуровневой системы, помогающей свести к минимуму внешние угрозы. Однако ее уже недостаточно: современные «сети без границ», облачная модель вычислений и мобильность пользователей требуют новых подходов.

Традиционно решения для защиты периметра - внешней границы сети - применяются в организациях при подключении корпоративных сетей к сетям общего пользования. Они позволяют предотвратить атаки на ИТ-ресурсы и реализовать безопасный доступ сотрудников компаний во внешние сети, а авторизованных удаленных пользователей - к корпоративным ресурсам.

КЛАССИКА ЗАЩИТЫ

Защита периметра считается обязательным элементом системы обеспечения информационной безопасности корпоративной сети и включает в себя шлюзы безопасности, средства межсетевого экранирования (FW), организацию виртуальных частных сетей (VPN), системы обнаружения и предотвращения вторжений (IDS/IPS). Ее реализация остается одной из основных задач ИБ и основой надежного функционирования критичных для компании информационных систем.

Межсетевые экраны и граничные маршрутизаторы с правильно настроенной конфигурацией - первая линия обороны, предотвращающая несанкционированный доступ в корпоративную сеть. На смену межсетевым экранам прежнего поколения (с фильтрацией пакетов), блокирующим лишь сетевые порты и IP- и MAC-адреса, пришли новые системы с функциями обеспечения безопасности на уровне приложений, на котором сейчас осуществляется большинство атак.

Средства межсетевого экранирования обеспечивают не только защиту от атак, но и защищенное соединение между офисами, а также безопасный удаленный доступ сотрудников к корпоративным ИТ-ресурсам. Их дополняют шлюзы безопасности, способные поддерживать большое число защищенных каналов связи.

Еще один класс продуктов - системы обнаружения/предотвращения вторжений (IDS/IPS). Они позволяют проводить глубокий анализ активности в сети на всех уровнях модели OSI, обновлять в реальном времени базы сигнатур атак и признаков вторжений, обеспечивать защиту от уязвимостей нулевого дня с помощью адаптивных технологий проверки.

Для организации защищенных каналов связи между территориально распределенными офисами компании обычно применяется технология VPN. Такие доверенные каналы с шифрованием трафика также включаются в защищенный периметр сети. Но где теперь проходит ее граница?

ПЕРИМЕТРА БОЛЬШЕ НЕТ?

Учитывая стремительное распространение мобильных устройств, концепции BYOD, облачных вычислений и различных технологий для удаленной работы, все чаще приходится слышать об исчезновении периметра корпоративной сети, однако концепция его защиты не устарела, она лишь нуждается в адаптации к современным условиям. Немногие решатся отказаться от межсетевых экранов и шлюзов безопасности.

Тем не менее использование облачных вычислений, мобильных устройств и виртуализации приводит к размыванию традиционной защиты периметра - ее приходится распространять как за границы, так и внутрь сети. Это явление получило название «депериметризация»: с расширением способов доступа к корпоративным ресурсам и приложениям у сети больше нет единой точки входа. К тому же новые технологии и тенденции требуют иных подходов к организации защиты корпоративной сети.

«Концепция традиционного периметра как четко очерченной и неизменяемой границы сети все еще применяется теми организациями, где с подозрением относятся к новомодным ИТ-течениям - облакам, BYOD, «Интернету вещей» и т. п. Прежде всего это военные структуры, некоторые государственные органы, а также учреждения, обрабатывающие засекреченные сведения. В более современных организациях понятие традиционного периметра действительно исчезает, ему на смену приходит «нечеткий», или «размытый», периметр: граница сети динамически меняется и проходит по мобильным устройствам и облачной инфраструктуре, где хранятся защищаемые информационные активы», - поясняет Алексей Лукацкий, бизнес-консультант Cisco по информационной безопасности.

«Концепция защиты периметра пока не устарела, но все к этому идет, - добавляет Андрей Прозоров, ведущий эксперт по информационной безопасности компании InfoWatch. - Ландшафт ИТ-инфраструктуры стремительно меняется, и специалистам по ИТ и ИБ необходимо адаптироваться к этим изменениям. Надо четко понимать, у кого есть права удаленного доступа к ресурсам сети, кому и что можно обрабатывать на мобильных устройствах, какие данные хранятся в облаках, и, исходя из этого, оценивать возможные риски и принимать решения по управлению ими. Одни пойдут по пути запрета, а другие организуют мониторинг или предложат пользователям удобные и защищенные сервисы. В целом использование внешних сервисов и персональных устройств для обработки корпоративной информации все еще не очень распространено в России».

Однако, по данным зарубежной статистики, более половины деловых коммуникаций и транзакций сегодня уже осуществляется вне корпоративной сети. Малые компании могут обойтись и без традиционной ИТ-инфраструктуры, используя облачные сервисы (IaaS) и клиентские устройства, а средние и крупные организации выбирают для себя аутсорсинг ИТ, BYOD, облачные приложения и различные способы доставки приложений и данных. Обеспечить защиту корпоративных данных становится все сложнее. Изменения, происходящие сейчас в данной области, наверно, самые значительные за всю историю информационной безопасности.

«С развитием технологий мобильных устройств ситуация кардинально изменилась, - поясняет Никита Дуров, ведущий инженер Stonesoft (McAfee Group Company). - Сотрудники применяют смартфоны, планшеты, торговые терминалы и другие устройства, которые используют различные способы подключения к корпоративной сети. Поэтому необходимо совершенствовать системы безопасности с учетом новых потребностей бизнеса - предусмотреть возникновение новых рисков и внедрить дополнительные технические средства обороны. Для защиты мобильных устройств и управления ими нужно применять новый класс решений, которые позволяют обеспечить безопасное хранение данных на этих устройствах и контроль доступа к ним».

Традиционная модель хорошо работает, когда 90% пользователей находятся в офисе и в 90% случаев доступ осуществляется к приложениям, установленным на серверах, которые расположены на собственной площадке компании. Облака и мобильность совершенно меняют картину. Мобильные пользователи выходят в Интернет, минуя корпоративные шлюзы и межсетевые экраны, а применение внешних систем электронной почты, мобильных приложений и социальных сетей увеличивает риск утечки важных данных. Очевидно, нужен новый подход, обеспечивающий безопасную работу, где бы пользователь ни находился и какое бы устройство ни применял.

«Для обеспечения высокого уровня корпоративной безопасности одной только защиты периметра недостаточно, но она не потеряла смысла, - подчеркивает Виктория Носова, консультант по безопасности Check Point Software Technologies. - Да, границы сети компании заметно расширились, пользователи стали более мобильными. Использование ноутбуков и смартфонов позволяет сотрудникам работать, находясь вне офиса. Им необходимо обеспечить защищенный удаленный доступ к корпоративным приложениям, не снижая при этом уровня безопасности. Чаще всего выбор падает на так называемые межсетевые экраны следующего поколения (NGFW) - системы корпоративного класса, обеспечивающие многоуровневую защиту на базе одного устройства. Помимо всего прочего, выбранное решение должно иметь удобный и понятный всем интерфейс. Таким образом, система защиты периметра расширяется и дополняется другими решениями, но ни в коем случае не упраздняется».

«Развитие информационных технологий, безусловно, требует применения новых подходов к обеспечению безопасности. Понятие периметра сети в настоящее время существенно отличается от реалий четырех-пятилетней давности. Мобильность сотрудников стала стандартом де-факто, что уже признано регуляторами и отражено, например, в соответствующих нормативно-методических документах ФСТЭК России в виде требований к защите мобильных устройств», - поясняет Юрий Черкас, руководитель направления инфраструктурных ИБ-решений центра информационной безопасности компании «Инфосистемы Джет».

«Традиционные решения в области сетевой безопасности остаются актуальными - это базовый набор сервисов для защиты инфраструктуры. Кроме того, в некоторых случаях обязательность их наличия закреплена законодательно. В частности, это касается вопросов защиты персональных данных. Но в связи с увеличением числа мобильных пользователей концепция защиты периметра претерпевает некоторые изменения. Все чаще современным организациям в дополнение к системам межсетевого экранирования, системам предотвращения вторжений и другим средствам ИБ требуются решения класса BYOD», - отмечает Михаил Башлыков, руководитель направления информационной безопасности компании «Крок».

«На смену физическому сетевому периметру в классическом понимании этого термина пришло понятие «виртуальный периметр», которое охватывает всю информационную экосистему компании: ЦОД, мобильные устройства, ноутбуки, каналы передачи данных и т. д. Поэтому нельзя утверждать, что периметра больше нет, скорее произошло его значительное расширение, - считает Джабраил Матиев, руководитель отдела информационной безопасности компании IBS Platformix. - Вместе с тем размывание физических границ существенно повысило риски, связанные с защитой конфиденциальных данных, и вывело вопросы безопасности на новую ступень. Возросшие требования к возможностям централизованного управления компонентами системы способствуют появлению на рынке новых решений».

ЭВОЛЮЦИЯ ЗАЩИТЫ

«Концепция защиты периметра видоизменяется в соответствии с новыми технологиями. Новая модель доступа к корпоративной информации порождает новые угрозы, а значит, предъявляет дополнительные требования к средствам защиты, которая становится более сложной и гранулированной. Один из примеров - технологии защищенных контейнеров в мобильных устройствах, - рассказывает Джабраил Матиев. - Как должна строиться система сетевой безопасности? Во-первых, нужно обеспечить защиту все еще актуального «классического» периметра сети. Во-вторых, защитить каналы передачи информации с помощью технологий VPN для мобильных устройств. В виртуальных средах необходимо применение виртуальных шлюзов безопасности с функционалом UTM».

По словам Алексея Лукацкого, в новых условиях акценты меняются: нельзя фокусироваться исключительно на периметре, ведь угроза может появиться откуда угодно - проникнуть в сеть из Интернета, через флэшку, ноутбук гостевого пользователя или аудитора, через несанкционированно подключенный LTE-модем или точку беспроводного доступа. Таким образом, надо контролировать все, что происходит в сети - снаружи (в облаке или на мобильных устройствах), на ее границе, в ЦОД (см. Рисунок 1), во внутренней локальной сети. Только при таком условии можно рассчитывать на эффективную защиту от целенаправленных и скрытых атак, превалирующих в последние два-три года.

В Cisco долгие годы защита периметра строилась на базе обычных маршрутизаторов, выполняющих функции межсетевого экрана, в то время как многие производители заявляли об обязательности установки отдельного специализированного устройства. Сегодня угрозы и защищаемая среда меняются так динамично, что невозможно сформировать фиксированный список обязательных защитных технологий и средств. Все зависит от рисков, которые принимает на себя заказчик.

Для построения эффективной системы безопасности необходимо определить, какая информация представляет ценность для организации, какие сервисы и системы должны быть доступны конечным пользователям, какие методы доступа они предпочитают. Следующим шагом должны стать оценка существующего состояния ИБ и выявление возможных рисков. И уже исходя из этого необходимо разработать концепцию и планы развития ИТ и системы ИБ, считает Андрей Прозоров. «Хорошим тоном» для средних и крупных организаций является использование систем мониторинга и контроля входящего/исходящего трафика на самых высоких уровнях модели OSI (понимание содержания информационных сообщений) и систем корреляции событий безопасности.

ЦЕЛОСТНОЕ РЕШЕНИЕ

Как должно выглядеть целостное решение для защиты данных и приложений и обеспечения безопасной работы сотрудников, где бы они ни находились? «Прежде всего оно должно предоставлять защищенную среду для работы с корпоративными данными и приложениями и быть максимально удобным для пользователя. Для этого, как правило на конечных устройствах, устанавливаются специализированные агентские приложения, взаимодействующие с корпоративными системами защиты, - рассказывает Джабраил Матиев. - К обязательным средствам относятся в первую очередь SSL VPN, решения для защиты виртуальных сред, системы управления мобильными устройствами, а также инструменты для сбора, анализа и корреляции событий безопасности, защиты от направленных атак (APT) и т. д. Безусловно, основными блоками будут системы управления мобильными устройствами (Mobile Device Management, MDM), приложениями (Mobile Application Management, MAM) и данными (Mobile Information Management, MIM). Современные решения консолидируют в себе весь этот функционал».

«Расширяющееся проникновение в корпоративную среду мобильных устройств и облачных технологий не может не влиять на принципы обеспечения безопасности информации, которая все чаще выходит за пределы защищаемого периметра. Это повышает значимость решений класса MDM для обеспечения защиты информации при работе с мобильных устройств, - подчеркивает Алексей Александров, руководитель направления по работе с технологическими партнерами компании «Аладдин Р.Д.». - При этом актуальность «классических» механизмов защиты периметра (FW, VPN и др.) не снижается. Более того, развитие сетевых технологий вынуждает динамично развивать их. Решать вопрос обеспечения безопасности информации необходимо системно и комплексно. Важную роль в этом играют надежные механизмы защищенного доступа, в том числе аутентификация и защита передаваемых данных. Не меньшее значение имеет наличие единого центра управления доступом и разграничением прав пользователей. Например, смарт-карты и токены JaCarta, выпускаемые «Аладдин Р.Д.»,

могут служить персональным средством аутентификации и электронной подписи для организации защищенного и юридически значимого документооборота. Использование смарт-карт в качестве средства аутентификации при работе с информационными системами, Web-порталами и облачными сервисами возможно при доступе к ним не только с персональных рабочих станций, но и с мобильных устройств. Такой подход позволяет унифицировать средства аутентификации в организации, начиная с аутентификации в операционных системах и заканчивая системами контроля доступа в помещения».

«При построении системы сетевой безопасности важно учитывать современные угрозы и особенно направленные и DDoS-атаки, - убежден Михаил Башлыков. - Для этого используется целый комплекс различных устройств. Компании уровня SMB проявляют интерес к унифицированным системам UTM (см. Рисунок 2). Крупные заказчики могут позволить себе специализированные, многофункциональные и сложные решения мировых лидеров. Вне зависимости от масштаба компаний все большее значение приобретают системы контентной фильтрации (URL-запросов и входящего трафика), по-прежнему важна защита от спама. Для защиты Web-приложений становятся обязательными межсетевые экраны прикладного уровня (Web Application Firewall)».

Рисунок 2. Многофункциональные шлюзы безопасности (UTM) объединяют наиболее востребованные функции: межсетевое экранирование, предотвращение вторжений, криптографическую защиту каналов связи, защищенный удаленный доступ (VPN), антивирусную защиту сетевого трафика, защиту электронной почты, DLP, фильтрацию Web, мониторинг и оптимизацию трафика.

Основная тенденция - смещение акцента с обычной фильтрации на механизмы проверки содержимого (см. Рисунок 3). В результате получают распространение межсетевые экраны с функцией контроля приложений (Application Control). Почему это происходит? В корпоративной среде появляется все больше различных устройств, сервисов и приложений - периметр «разбухает», и на первый план выходит управление едиными правилами. В результате начинают применяться шлюзы, которые в автоматическом режиме позволяют назначать и контролировать правила в зависимости от критичности рисков ИБ, поясняет Михаил Башлыков. В состав целостного решения, защищающего сеть, данные, приложения, конечные рабочие места и другую инфраструктуру, входят более 20 систем, работающих в связке и учитывающих тенденции в области ИБ.

«В идеале комплексное решение для защиты данных, приложений и пользователей должно быть решением от одного вендора, уже зарекомендовавшего себя на рынке средств защиты, - считает Виктория Носова. - Такой вендор постарается быстро реагировать на изменения в сфере защиты информации, чтобы предоставлять новый функционал в кратчайшие сроки. Компоненты системы должны максимально корректно и удобно интегрироваться между собой и управляться централизованно. Особенно полезна единая консоль управления, поскольку она позволяет описывать правила при помощи единых объектов сетей, хостов и пользователей. При наличии целостного решения администраторам будет намного проще собирать данные о событиях в корпоративной сети и быстрее реагировать на аномалии или атаки. А вот разнородные продукты могут конфликтовать между собой».

Межсетевые экраны NGFW позволяют задавать правила доступа пользователей и отслеживать их операции. Кроме того, корпоративную сеть можно разделить на сегменты с разным уровнем безопасности и разрешенным доступом для мобильных или удаленных пользователей. Мобильные устройства тоже должны быть защищенными. Для этого применяется шифрование (например, шифруются отдельные разделы диска ноутбука), средства удаленного стирания данных (на случай потери или кражи устройства) и т. д. Двухфакторная аутентификация и шифрование трафика в VPN помогут создать безопасный туннель для внешнего доступа и обеспечить защиту мобильных и удаленных пользователей, находящихся вне офиса.

Мобильные устройства более уязвимы, чем серверы и настольные ПК. Кроме того, что устройство может быть украдено или потеряно, на него легко установить недоверенные приложения. Эта область в последние годы активно развивается: разработчики предлагают разнообразные решения - от систем управления мобильными устройствами (Mobile Device Management, MDM), виртуальных машин и «контейнеров» для безопасного выполнения приложений до подписи приложений и SIM-карт со встроенной электронной подписью. MDM повышают безопасность доступа мобильных пользователей к сети - в частности, позволяют удаленно проверять смартфоны, планшеты и ноутбуки на соответствие корпоративной политике безопасности, например на наличие обновленной версии антивируса (см. Рисунок 4).

Рисунок 4. Решение для управления мобильными устройствами может оснащаться функциями инвентаризации, управления приложениями из корпоративного каталога, защиты данных шифрованием, аудита на соответствие корпоративным политикам, мониторинга доступа к системе и активности пользователей, обновления ПО, удаленного стирания данных, удаленной диагностики и др.

Подходить к задаче следует системно, уверен Андрей Прозоров. Данные должны быть защищены при перемещении, хранении и использовании, для чего необходимо реализовать строгое разграничение прав доступа, защиту от вредоносного ПО, регулярное обновление ПО, резервное копирование и многое другое.

По словам Алексея Лукацкого, целостное решение должно реализовать четыре основных компонента: защиту рабочего места сотрудника (MDM для мобильных устройств, VPN-клиент, антивирус или решение класса Endpoint Protection); защиту «серверной» части, включающую в себя средства защиты периметра (МСЭ сетевого и прикладного уровней, шлюз VPN, системы предотвращения вторжения, контроля доступа, контентной фильтрации, защиты баз данных, мониторинга аномальной/подозрительной активности, отражения DDoS-атак, защиты от вредоносного кода и т. п.); защиту каналов передачи данных, включая различные технологии VPN, в том числе на базе сертифицированных средств шифрования; средства мониторинга и управления системой защиты, предлагающие, помимо настройки и конфигурирования вышеперечисленных систем, функции управления инцидентами, анализа защищенности, управления обновлениями ПО и многое другое.

«Опыт показывает, что одинаковые ИТ-инфраструктуры встречаются очень редко, да и отношение к уровню критичности защищаемых данных разное. В таких условиях будут различаться как наборы подсистем сетевой безопасности, так и функциональность их компонентов. Например, если говорить об удаленном (в том числе мобильном) доступе, то принципы защиты остаются прежними - каналы связи защищаются с помощью VPN. А при наличии технологий виртуализации можно использовать средства сетевой защиты, предназначенные для работы в среде гипервизоров», - поясняет Юрий Черкас.

«В любом случае выбор необходимого функционала системы защиты зависит от профиля компании, - подчеркивает Виктория Носова. - Типовое решение придумать сложно. Для начала нужно изучить актуальные технологии, решения, угрозы, состояние текущей инфраструктуры и ее системы защиты - и только после этого определять необходимые изменения в сети, какие устройства выбрать для шлюзов безопасности и какой функционал на них активировать». Компания не будет защищена должным образом, если использовать только межсетевой экран, установленный на периметре. Необходимо позаботиться и о правильном сегментировании сети, о распределении по этим сегментам имеющихся ресурсов и о функционале системы защиты для каждого из них. Шлюз для удаленного доступа пользователей должен предусматривать различные режимы аутентификации и возможность гибкого разграничения доступа, а кроме того, обеспечивать защиту публикуемых ресурсов от внешних угроз и атак.

На мобильных устройствах пользователей должно быть установлено ПО, обеспечивающее защищенное взаимодействие с офисом и возможность безопасного хранения корпоративных данных. В случае использования смартфонов в рабочих целях необходимо, чтобы применяемые решения позволяли реализовать концепцию BYOD максимально гибко и надежно (см. Рисунок 5). Многие организации останавливают свой выбор на защищенном контейнере для корпоративной почты и конфиденциальных файлов. Для компаний из банковского, телекоммуникационного и государственного секторов острым вопросом остается противодействие атакам DDoS. А для виртуализированных серверов по сути действуют те же правила защиты, что и для физических.

БЕЗОПАСНОСТЬ И SDN

Новые возможности для реализации сетевой безопасности открывают программно конфигурируемые сети (Software-Defined Networking, SDN). SDN - это не только виртуализация сети и ее гибкость. SDN упрощает выявление аномалий в сети и соблюдение политик безопасности, как и внедрение различных сервисов безопасности, применяемых к пользователям, потокам данных и приложениям. Обеспечение безопасности становится более гибким и динамичным, соответствующим подходу Security as a Service. Например, если логику правил безопасности встроить в систему управления соответствующей политикой, то это позволит задавать правила доступа для отдельных пользователей, приложений, устройств, методов и мест доступа, характеристик сети и пр. SDN можно применять для управления трафиком, направляя потоки данных на соответствующие сервисы или устройства безопасности (FW, IDS/IPS, WAF и др.).

«Если говорить о традиционном периметре, то в программируемых сетях средства его защиты становятся по сути бесполезными, так как в SDN маршруты передачи трафика строятся невзирая на особенности физической топологии сети. Вместе с тем SDN вполне укладывается в концепцию размытого периметра, а в ряде случаев построение системы защиты облегчается, поскольку в корпоративной или операторской сети можно создать несколько центров защиты и направлять туда трафик из любой точки инфраструктуры. Правда, для этого нужны специализированные решения безопасности, учитывающие специфику SDN», - поясняет Алексей Лукацкий.

Отчасти SDN с ее централизованными контроллерами дает ответ на важный вопрос: где именно в сети должна осуществляться проверка соблюдения правил безопасности? Политику безопасности можно более точно соотнести с рисками и категориями данных - в частности, определить взаимосвязь между ресурсами или классами ресурсов, нуждающихся в особом контроле ИБ. Наконец, в соответствии с подходом «безопасность - это процесс», гибкость и адаптируемость программно конфигурируемых сетей благоприятствуют созданию постоянно обновляемой системы сетевой безопасности, отвечающей новым требованиям и угрозам.

Программно конфигурируемые сети повлияют на защиту периметра так же, как в свое время повлияла на нее виртуализация серверов и рабочих станций, убежден Михаил Башлыков. Появятся новые угрозы, связанные с тем, что все потоки данных будут обрабатываться на базе одного гипервизора, а все данные станут храниться на одном устройстве с функциями виртуализации. Эти риски придется учитывать.

«Развитие SDN наверняка приведет к улучшению продуктов и сервисов систем сетевой защиты: их масштабируемость и гибкость повысятся, особенно при использовании в составе управляемых услуг класса Managed Perimeter Security, - уверен Джабраил Матиев. - С ростом популярности облачных сред увеличивается спрос на данные услуги».

ЗАЩИТА ПЕРИМЕТРА НА АУТСОРСИНГЕ

«Мы положительно оцениваем Managed Perimeter Security и рассчитываем на дальнейшее развитие этих услуг, так как они позволяют более эффективно и с меньшими затратами реализовать защиту периметра, - рассказывает Михаил Башлыков. - В своем виртуальном ЦОД мы развернули подобное решение: создали центральный узел ИБ, предоставляющий заказчикам возможность пользоваться базовыми сервисами по схеме SaaS».

«Сервисы Managed Perimeter Security не скоро станут популярными, - возражает Виктория Носова. - Следует различать два типа политик безопасности. К первому относятся политики FW, NAT, VPN и организации мобильного доступа, то есть те, в которые достаточно часто приходится вносить изменения, например для разграничения доступа, поэтому заказчик должен сам создавать и контролировать их. Ко второму типу относятся политики IPS, антивирусной защиты, защиты от ботов, атак нулевого дня - они меняются не так часто и могут быть представлены в виде неких профилей, но в случае масштабной атаки требуют очень быстрой экспертной реакции. Такого рода сервисы лучше отдать на аутсорсинг - эксперты помогут настроить подходящий для организации профиль и быстро внесут изменения при возникновении новой атаки или угрозы».

«В России услуги Managed Perimeter Security пока не востребованы из-за отсутствия адекватной модели предоставления аутсорсинговых услуг безопасности, - считает Алексей Лукацкий. - У нас нет компаний, готовых гарантировать защиту и взять все риски на себя, законодательство не предусматривает передачу функций защиты в третьи руки, нет надежных каналов связи для обеспечения бесперебойной работы удаленных средств защиты информации или средств управления ими. В таких условиях говорить об их перспективах преждевременно».

ЗАКЛЮЧЕНИЕ

Успешность реализации концепции «сети без границ» во многом зависит от понимания того, кому необходимо предоставлять доступ, с каких устройств и к каким приложениям. Практика показывает, что сегодня наиболее востребовано несколько сценариев, рассказывает Юрий Черкас. Защита может строиться с помощью различных подсистем для управления мобильными устройствами (MDM), контроля доступа к сети (NAC), усиленной аутентификации и защиты каналов связи (VPN). Выбирая решения, нужно принимать во внимание особенности инфраструктуры и общую направленность ИТ-политики компании, а при рассмотрении вариантов построения защиты - ориентироваться на актуальный сценарий: например, организацию удаленной работы с Web-приложениями через шлюз SSL VPN, централизованное управление правилами доступа к корпоративной сети с использованием NAC или унификацию доступа за счет виртуализации рабочих мест (VDI). Но это далеко не все решения: не стоит забывать о таких компонентах системы защиты, как антивирус, FW, IPS, WAF, SIEM, DLP, Web- и почтовые шлюзы, DAM, контроль привилегированных пользователей, и о многом другом.

Сергей Орлов - ведущий редактор «Журнала сетевых решений/LAN». С ним можно связаться по адресу:

Введение

На современном этапе развития информационных технологий при построении корпоративных сетей фундаментальным является решение задач обеспечения безопасности информации. Связано это с тем, что в информационных системах предприятий и организаций хранится и обрабатывается критически важная информация, нарушение конфиденциальности, целостности или доступности которой может привести к нежелательным последствиям. Поэтому вопросам обеспечения информационной безопасности должно уделяться внимание на всех этапах разработки и эксплуатации информационных систем.

При создании системы защиты информации в первую очередь необходимо учитывать те факторы, которые могут повлечь за собой потерю информации. К ним относятся и модели угроз, представляющих собой входную информацию для проектирования системы защиты, механизмы мониторинга корректности доступа к информации, аутентификация пользователя и т.п.

Таким образом, разработка и исследование технологий защиты сети (сетевого периметра) является актуальной задачей, имеющей как теоретическую, так и практическую ценность.

Целью настоящей работы является изучение основных понятий и общих принципов реализации политики безопасности информационной системы.

Для достижения поставленной цели попытаемся дать ответы на следующие вопросы: 1) вопросы целесообразности выделять отдельные сети и обеспечивать защиту информации только на их периметре; 2) понятие и функции межсетевого шлюза; 3) угрозы безопасности информации из-за подмены адреса отправителя сообщения;4) возможные угрозы, связанные с неверной настройкой сетевого программного обеспечения.

1. Как Вы думаете, почему выгоднее выделять отдельные сети и обеспечивать защиту информации только на их периметре

Компьютерная сеть - это система распределенной обработки информации, состоящая как минимум из двух компьютеров, взаимодействующих между собой с помощью средств связи.

Средства связи должны обеспечивать надежную передачу информации между компьютерами сети. Компьютеры, входящие в состав сети, выполняют достаточно широкий круг функций, основными из которых являются:

Организация доступа к сети;

Управления передачей информации;

Предоставление вычислительных ресурсов и услуг абонентам сети.

Компьютерные сети по их радиусу действия и сложности, делятся на три группы: локальные сети, региональные сети и глобальные сети.

Кроме рассмотренной классификации сетей, существует еще один тип - корпоративная сеть. Подобные сети объединяют разных пользователей в пределах одной или нескольких организаций и предоставляют им множество ресурсов. Несмотря на то, что большую локальную сеть можно рассматривать как корпоративную, все-таки корпоративная сеть обычно состоит из нескольких локальных сетей, образующих региональную или глобальную сеть.

Большинство крупных сетей разрабатывается на основе структуры с общей магистралью, к которой через мосты и маршрутизаторы присоединяются отдельные сети (подсети). Эти подсети обслуживают различные отделы. Подсети могут делиться и далее на сегменты, предназначенные для обслуживания рабочих групп.

В общем случае распределение сети на отдельные сети (логические сегменты) повышает производительность сети (за счет разгрузки сегментов), а также гибкость построения сети, увеличивая степень защиты данных, и облегчает управление сетью.

Сегментация увеличивает гибкость сети. При построении сети как совокупности подсетей каждая подсеть может быть адаптирована к специфическим потребностям рабочей группы или отдела. Например, в одной подсети может использоваться технология Ethernet и ОС NetWare, а в другой - Token Ring и OS-400, в соответствии с традициями того или иного отдела или потребностей имеющихся приложений. Вместе с тем, у пользователей обеих подсетей есть возможность обмениваться данными через межсетевые устройства, такие как мосты, коммутаторы, маршрутизаторы.

Процесс разбивки сети на отдельные сети можно рассматривать и в обратном направлении, как процесс создание крупной сети из модулей - уже имеющихся подсетей.

Подсети повышают безопасность данных. При подключении пользователей к различным физическим сегментам сети можно запретить доступ определенных пользователей к ресурсам других сегментов. Устанавливая различные логические фильтры на мостах, коммутаторах и маршрутизаторах, можно контролировать доступ к ресурсам.

Подсети упрощают управление сетью. Побочным эффектом уменьшения трафика и повышения безопасности данных является упрощение управления сетью. Проблемы очень часто локализуются внутри сегмента. Как и в случае структурированной кабельной системы, проблемы одной подсети не влияют на другие подсети.

Организация многоуровневой защиты связана с определением периметра сети, внутренней сети и политики безопасности системы - фактора персонала.

Периметр - это усиленная граница сети, которая в своем составе может содержать: маршрутизаторы (routers); брандмауэры (firewalls); систему обнаружения вторжений (СОВ, IDS); устройства виртуальной частной сети (УВЧС, VPN); программное обеспечение сети; демилитаризованную зону (ДМЗ, DMZ) и экранированные подсети.

Маршрутизаторы осуществляют управление входным, выходным и внутрисетевым трафиком. Пограничный маршрутизатор является последним перед выходом в незащищенную сеть и выполняет роль первого и последнего рубежа защиты сети.

Брандмауэр или межсетевой экран анализирует объем информации, передаваемой в единицу времени, используя набор правил, которые позволяют определить возможность или невозможность передачи трафика сети. Область действия брандмауэра начинается в точке окончания области действия пограничного маршрутизатора.

Система обнаружения вторжений (СОВ) позволяет выявить и сообщить о вторжении в сеть, а также о потенциально опасных событиях. В случае выявления критических событий детекторы СОВ сообщают администратору и / или осуществляют запись в журнал событий.

Демилитаризованная зона - это подсеть, содержащая ресурсы общего пользования и подключается к брандмауэру или иному фильтрующему устройству, который защищает ее от внешних вторжений. Экранированная подсеть является областью, размещаемой вне брандмауэра. Цель использования экранированной подсети - изоляция серверов, к которым необходимо обеспечить доступ с незащищенной сети и используемых пользователями внутренней защищенной подсети.

Внутренняя сеть - это сеть, защищенная по периметру. Она состоит из всех серверов, рабочих станций и информационной инфраструктуры. Для обеспечения защиты внутренней сети используются следующие устройства "периметра": маршрутизаторы - для фильтрования входящего и исходящего трафика подсети; внутренние брандмауэры - для распределения ресурсов; прокси-брандмауэры - для повышения безопасности; детекторы СОВ - для мониторинга трафика внутренней сети. Во внутренней сети также используются: персональные брандмауэры - для усиления защиты какой- либо сетевой компьютерной единицы; антивирусное программное обеспечение; усиление защиты операционной системы; управление конфигурацией системы; аудит.

Защита периметра отдельных сетей позволяет добиться:

Защищенности доступа внутренних пользователей во внешние сети;

Предоставление доступа из внешних сетей к публичным ресурсам;

Защиту от сетевых атак на внутрисетевые ресурсы;

Создания единой точки антивирусной и антиспам фильтрации;

Предотвращения утечки конфиденциальной информации;

Мониторинга и анализа событий информационной безопасности.

Итак, выгода в выделении отдельных сетей в том, что периметр внутренней сети проще охранять от угроз извне и при какой либо атаке внутри сети пострадает только одна сеть, внутри своего периметра.

2. Что такое межсетевой шлюз

Межсетевые шлюзы - это устройства, позволяющие организовать взаимодействие между сетями, которые используют различные протоколы. Шлюзы выполняют преобразования (с помощью протоколов преобразования) форматов данных тех сообщений, которые используются в различных сетях.

К основным функциям шлюзов относят: связывание различных протоколов; связывание различных структур и форматов данных; связывание различных архитектур; связывание приложений различных языковых средств.

В процессе функционирования шлюз удаляет старый протокольный стек и перепаковывает данные в данные протокольного стека сети назначения.

Шлюзы функционируют и выполняют преобразование на прикладном уровне модели взаимодействия открытых систем.

Шлюзы (gateway) - программно-аппаратные комплексы, которые связывают неоднородные системы, использующие различные операционные среды и протоколы высоких уровней. С помощью шлюза соединяются системы, несогласованные по скоростям обмена информацией и по используемым формам передачи данных.

Обычно шлюзом выступает маршрутизатор, но это может быть и компьютер, на котором установлено несколько сетевых адаптеров, физически соединенных с обеими частями сети. Итак, это устройство выполняет роль "сторожа" между отдельными частями сети, разделяя их трафик.

С помощью шлюзов могут соединяться глобальные сети, или в локальных сетях - сегменты на базе мини, микро и больших ЭВМ.

Шлюзы часто используются на прикладном уровне OSI / ISO. В сети Internet немало шлюзовых машин, которые осуществляют пересылки сообщений, их преобразование, накопление и т. д.

Когда обмен информацией осуществляется между компьютерами, которые размещаются в одной части диапазона IP-адресов, шлюз не требуется - два компьютера просто обмениваются друг с другом пакетами. но когда компьютеру необходима связь за пределами диапазона локальных IP-адресов, он должен знать, как найти другой компьютер. Для передачи пакетов данных из одной части сети в другую было разработано специализированное устройство-маршрутизатор, которое действует как шлюз между частями сети. В него должны войти по крайней мере два IP-адреса, причем каждый - для своей части диапазона адресов и присоединенный физически к своему сегменту сети.

Маршрутизатор захватывает пакеты данных из одной части сети и переправляет их в другую, пересылая пакеты в сторону нужного компьютера.

Шлюз осуществляет свои функции на уровнях выше сетевого. Он не зависит от используемой передающей среды, но зависит от используемых протоколов обмена данными. Обычно шлюз выполняет преобразование между двумя протоколами.

С помощью шлюзов можно подключить локальную вычислительную сеть к главному компьютеру, а также локальную сеть подключить к глобальной.

3. Почему подмена адреса отправителя сообщения может нарушить целостность и доступность информации, но не нарушает ее конфиденциальность

Целью реализации угрозы в сетях, как правило, является, конфиденциальность, доступность, целостность информации.

Значительная часть сетей и операционных систем используют IP-адрес компьютера, для того, чтобы определять, тот ли это адресат, который нужен. В некоторых случаях возможно некорректное присвоение IP (или MAC) - адреса или подмена этих адресов отправителя другим адресом. Проведенные таким образом атаки называют фальсификацией адреса (IP (MAC) - spoofing).

Применение IP-spoofing может быть полезным для нарушителя во многих случаях:

Конечный узел, который подвергается атаке, предоставляет определенные права доступа некоторым машинам, которые определяются по их IP-адресам;

Межсетевой экран, стоящий на пути пакетов, фильтрует их по IP-адресу отправителя;

В процессе осуществления атаки нарушитель пытается выдать себя за кого-то другого, например, во избежание ответственности.

Атаки IP-спуфинга часто являются отправной точкой для других атак, например, DoS (Denial of Service - "Отказ в обслуживании").

В то же время, применяя IP spoofing, нарушитель имеет значительное ограничение: если на его пакеты должны поступать ответы, то он не сможет их получить - они будут направляться на тот IP-адрес, который был указан как адрес отправителя в исходном пакете. Поэтому конфиденциальность не нарушается, так как прежний адрес отправителя становится неизвестным, в связи с его заменой. Поэтому обычно IP-спуфинг ограничивается вставкой ложной информации или вредоносных команд в обычный поток передаваемых по сети данных. В этом случае возникает угроза целостности информации - умышленное ее изменение (модификация или даже удаление) данных, хранящихся в вычислительной системе или передаваемых из одной системы в другую.

Однако злоумышленник, поменяв таблицы маршрутизации данных и направив трафик на ложный IP-адрес, может восприниматься системой как санкционированный пользователь и, следовательно, иметь доступ к файлам, приложениям, и в том числе к электронной почте.

Защита от атаки IP-spoofing может производиться следующими средствами:

Фильтрация пакетов на межсетевом экране (брандмауэре) на входе в защищенную сеть позволяет значительно уменьшить возможность наиболее опасных подмен адресов. Типичным правилом является уничтожение всех пакетов, поступающих из внешней сети, но имеющих обратный IP-адрес, принадлежащий внутренней сети. Такие пакеты являются попыткой внешнего нарушителя выдать себя за легального пользователя с внутренней (защищенной) сети;

Искоренение атаки IP-spoofing может быть достигнуто только при условии контроля за прохождением пакетом определенного маршрута. Тогда можно будет проверять, действительно ли пакет поступил оттуда, откуда он отображается.

4. Дополните список возможных угроз, связанных с неверной настройкой сетевого программного обеспечения, исходя из Вашего опыта

Неверная настройка программно-аппаратных средств обнаружения вторжений (маршрутизаторов и брандмауэров, программного файервола и др.) может привести к следующим угрозам:

В сеть могут проникнуть приложения-нарушители, которые могут запускаться на компьютере пользователя незаметно для него. Эти приложения могут выполнить любую операцию на компьютере, в том числе переслать файлы с частной информацией другим компьютерам или вообще удалить данные из системы;

При неправильной настройке системы другие компьютеры могут получить доступ к файлам пользователя напрямую, без загрузки специального программного обеспечения;

Возможность размещения на компьютере некоторых видов информации (cookies или referrers) таким образом, что заинтересованные лица могут следить за действиями пользователя в сети;

Поражение компьютера пользователя "троянскими конями" и почтовыми "интернет-червями";

Шпионские программы - собирают сведения без ведома и согласия пользователя;

Открывается возможность для сетевой разведки - сбора информации о сети с помощью общедоступных данных и приложений.

Заключение

Подводя итоги работе, можно сделать следующие выводы.

Защита периметра сети является обязательным элементом системы информационной безопасности организации. Минимизация внешних угроз достигается путем внедрения многоуровневой системы защиты информации, и в первую очередь на внешней границе сети.

Межсетевые шлюзы - это устройства, позволяющие организовать взаимодействие между сетями, которые используют различные протоколы. Шлюзы выполняют преобразования форматов данных тех сообщений, которые используются в различных сетях. К основным функциям шлюзов относят: связывание различных протоколов; связывание различных структур и форматов данных; связывание различных архитектур; связывание приложений различных языковых средств.

Целью реализации угрозы в сетях является, конфиденциальность, доступность, целостность информации. Одной серьезных из угроз в сети является фальсификацией адреса. В этом случае возникает угроза целостности информации - умышленное ее изменение (модификация или даже удаление) данных, хранящихся в вычислительной системе или передаваемых из одной системы в другую. И хотя подмена адреса отправителя сообщения не нарушает конфиденциальность информации, она может нарушить ее целостность и доступность.

Неверная настройка программно-аппаратных средств обнаружения вторжений (маршрутизаторов и брандмауэров, программного файервола и др.) может привести к угрозам сетевой безопасности информации, чаще всего возникает угроза утечки информации из локальных сетей.

Таким образом, только соблюдение основных требований системы обнаружения угроз безопасности информации позволит управлять средствами защиты и повысить вероятность преодоления угрозы за счет их рационального использования.

Список литературы

1 Алишов Н.И., Марченко В.А. Технология интеграции средств защиты сетевого периметра // Математические машины и системы. 2006. № 2. С. 36-47.

2 Анин Б.Ю. Защита компьютерной информации. СПб.: БХВ, 2000. 384 с.

3 Камышев Э.Н. Информационная безопасность и защита информации: Учебное пособие. Томск: ТПУ, 2009. 95 с.

4 Машкина И.В. Управление и принятие решений в системах защиты информации. Уфа: УГАТУ, 2007. 160 с.

5 Минухин С.В., Кавун С.В., Знахур С.В. Компьютерные сети. Общие принципы функционирования компьютерных сетей. Учебное пособие. Харьков: Изд. ХНЭУ, 2008. 210 с.

6 Нестеров С.А. Информационная безопасность и защита информации: Учеб. пособие. СПб.: Изд-во Политехн. ун-та, 2009. 126 с.

1. Тип сервера, который хранит данные пользователей сети и обеспечивает доступ к ним:
A) клиент-сервер;
B) почтовый сервер;
C) факс-сервер;
D) файл-сервер.

2. Основными функциями текстового редактора являются (является):
A) автоматическая обработка информации, представленной в текстовых файлах;
B) копирование, перемещение, удаление и сортировка фрагментов текста;
C) создание, редактирование, сохранение, печать текстов;
D) управление ресурсами ПК и процессами, использующие эти ресурсы при создании текста.

3. Программные средства контроля закладываются на стадии …
A) рабочего проекта;
B) эскизного проекта;
C) ввода данных;
D) технического проекта.

4. Компьютерные программы, формализующие процесс принятия решений человеком это:
A) хранилище данных;
B) программы управления проектами;
C) справочно-правовые системы;
D) экспертная система.

5. Поиск данных в базе – это
A) определение значений данных в текущей записи;
B) процедура выделения значений данных, однозначно определяющих ключевой признак записи;
C) процедура выделения из множества записей подмножества, записи которого удовлетворяют заранее поставленному условию;
D) процедура определения дескрипторов базы данных.

6. Пользовательский интерфейс - это…
A) набор команд операционной системы;
B) правила общения пользователя с операционной системой;
C) правила общения с компьютером;
D) правила взаимодействия программ.
7. Помимо универсальных программ, для удовлетворения специфических потребностей отрасли экономики разрабатываются:
A) базы знаний и данных;
B) корпоративные методы принятия решений;
C) уникальные компьютерные программы;
D) новые виды программного обеспечения.

8. Форма адекватности информации, отражающая структурные характеристики информации и учитывающая тип носителя, способ представления информации, скорость передачи и обработки, надёжность и точность кодировки.
A) аналитическая;
B) прагматическая;
C) семантическая;
D) Синтаксическая.

9. Региональная сеть – это информационная сеть,
A) обслуживающая абонентов многих стран;
B) обслуживающая абонентов экономического района, области;
C) объединяющая пользователей одного предприятия;
D) объединяющая компьютеры в одном помещении.

10. Текстовой курсор – это:
A) устройство ввода текстовой информации;
B) курсор мыши;
C) вертикальная мигающая черта на экране указывает позицию ввода;
D) элемент отображения на экране.

11. Сетевой протокол – это …
A) согласование различных процессов во времени;
B) набор соглашений о взаимодействиях в компьютерной сети;
C) правила установления связи между двумя компьютерами в сети;
D) правила интерпретации данных, передаваемых по сети.

12. Совокупность секторов, каждый из которых объединяет группу людей или организаций, предлагающих однородные информационные продукты и услуги, составляет инфраструктуру _________ рынка
A) потребительского;
B) финансового;
C) Информационного;
D) книжного.

13. По способу доступа к базам данных СУБД различают …
A) таблично-серверные;
B) диск-серверные;
C) серверные;
D) клиент-серверные.
14. Для ввода, обработки, хранения и поиска графических образов бумажных документов предназначены:

B) системы обработки изображений документов;
C) системы оптического распознавания символов;
D) системы автоматизации деловых процедур.

15. Визуальный контроль документов - это …
A) способ проверки данных;
B) просмотр документов глазами;
C) метод защиты данных;
D) контроль с помощью видеосредств.

16. Термины «ИНФОРМАТИЗАЦИЯ» и «КОМПЬЮТЕРИЗАЦИЯ» обозначают принципиально различные процессы:
A) термины «ИНФОРМАТИЗАЦИЯ» и «КОМПЬЮТЕРИЗАЦИЯ» обозначают принципиально различные процессы;
B) термин «ИНФОРМАТИЗАЦИЯ» значительно уже термина «КОМПЬЮТЕРИЗАЦИЯ» ;
C) термины «ИНФОРМАТИЗАЦИЯ» и «КОМПЬЮТЕРИЗАЦИЯ» обозначают одни и те же процессы;
D) термин «ИНФОРМАТИЗАЦИЯ» значительно шире термина «КОМПЬЮТЕРИЗАЦИЯ» .

17. Технология мультимедиа обеспечивает работу в …
A) интерактивном режиме;
B) пакетном режиме;
C) сетевом режиме;
D) режиме реального времени.

18. Источники информации, являющиеся носителями первичной информации, именно в них информация фиксируется впервые:
A) книги;
B) газеты;
C) отчеты;
D) Документы.

19. Устройство, объединяющее несколько каналов связей, называется…
A) коммутатором;
B) повторителем;
C) Концентратором;
D) модемом.

20. Устройство, объединяющее несколько каналов связей, называется…
A) коммутатором;
B) повторителем;
C) Концентратором;
D) Модемом.

21. Экономическую информацию, изложенную на доступном для получателя языке, называют:
A) полезной;
B) актуальной;
C) полной;
D) Понятной.

22. Обеспечивающие предметные информационные технологии (ИТ) предназначены для создания …
A) автоматизированных рабочих мест;
B) электронного офиса;
C) функциональных подсистем информационных систем;
D) функциональных информационных систем.

23. Приложение - это …
A) система программирования;
B) операционная система;
C) пакет (пакеты) прикладных программ;
D) система обработки данных.

24. Инструментальные аппаратные и программные средства, а также информационные технологии, используемые в процессе информатизации общества называют
A) инструментами поиска информации;
B) методами информатики;
C) способами информологии;
D) средствами информатизации.

25. К предпосылкам, настоятельно требующим использовать вычислительную технику в процессе принятия решений, не относится:
A) увеличение объема информации, поступающей в органы управления и непосредственно к руководителям;
B) усложнение решаемых задач;
C) необходимость учета большого числа взаимосвязанных факторов и быстро меняющейся обстановки;
D) усовершенствование компьютерных технологий.

26. К основным видам ущерба, наносимого в результате компьютерных преступлений относят:
A) потеря клиентов;
B) смена общественного мнения;
C) потери ресурсов;
D) нарушение прав человека и гражданина.
27. Технологии, основанные на локальном применении средств вычислительной техники, установленных на рабочих местах пользователей для решения конкретных задач специалиста – это:
A) информационные технологии поддержки принятия решений;
B) децентрализованные технологии;
C) комбинированные технологии;
D) централизованные технологии.

28. Изобретение микропроцессорной технологии и появление персонального компьютера привели к новой__________ революции
A) Информационной;
B) технической;
C) общественной;
D) культурной.

29. Наиболее известными способами представления графической информации являются:
A) точечный и пиксельный;
B) векторный и растровый;
C) параметрический и структурированный;
D) физический и логический.

30. Относительная ссылка в электронной таблице это:
A) ссылка на другую таблицу;
B) ссылка, полученная в результате копирования формулы;
C) когда адрес, на который ссылается формула, изменяется при копировании формулы;
D) когда адрес, на который ссылается формула, при копировании не изменяется.

31. Средства, обеспечивающие защиту внешнего периметра корпоративной сети от несанкционированного доступа:
A) средства управления системами обнаружения атак;
B) мониторы вторжений;
C) межсетевые экраны;
D) сетевые анализаторы.

32. К числу основных преимуществ работы с текстом в текстовом редакторе (по сравнении с пишущей машинкой) следует назвать:
A) возможность уменьшения трудоемкости при работе с текстом;
B) возможность более быстрого набора текста;
C) возможность многократного редактирования текста;
D) возможность использования различных шрифтов при наборе текста.

33. Технологию построения экспертных систем называют:
A) инженерией знаний;
B) генной инженерией;
C) кибернетикой;
D) сетевой технологией.

34. Меры защиты, относящиеся к нормам поведения, которые традиционно сложились или складываются по мере распространения информационных технологий в обществе
A) правовые (законодательные) ;
B) организационные (административные и процедурные) ;
C) технологические;
D) морально-этические.

35. Систему, способную изменять свое состояние или окружающую ее среду, называют:
A) закрытой;
B) изолированной;
C) открытой;
D) Адаптивной.

36. Блок выходных данных в СППР – это:
A) подсистема, обеспечивающая взаимодействие между пользователем, базой данных, эталонным вариантом (моделями) и осуществляющая непосредственно обработку данных;
B) собрание математических, аналитических моделей, которые необходимы для пользователя при осуществлении его деятельности;
C) подсистема результатов расчетов, полученных в ходе обработки информации базы данных;
D) собрание текущих или исторических данных, организованных для легкого доступа к областям применения.

37. Основным элементом электронных таблиц является…
A) строка;
B) лист;
C) столбец;
D) Ячейка.

38. Прикладные программные средства обеспечения управленческой деятельности предназначены для обработки числовых данных, характеризующих различные производственно-экономические и финансовые явления и объекты, и для составления соответствующих управленческих документов и информационно-аналитических материалов – это:
A) системы управления проектами;
B) системы обработки финансово-экономической информации;
C) системы подготовки презентаций;
D) системы подготовки текстовых документов.

39. Семантический аспект информации отражает:
A) структурные характеристики информации;
B) потребительские характеристики информации;
C) смысловое содержание информации;
D) возможность использования информации в практических целях.

40. Системные программы…
A) управляют работой аппаратных средств и обеспечивают услугами пользователя и его прикладные комплексы
B) игры, драйверы, трансляторы
C) программы, которые хранятся на жёстком диске
D) управляют работой ЭВМ с помощью электрических импульсов

Защита периметра: старые атаки не хуже новых

• Блог компании Positive Technologies ,
• Информационная безопасность

Внешние угрозы информационной безопасности, как правило, ассоциируются с хакерскими атаками на сетевой периметр, включая сложные целевые атаки на крупные компании и государственные структуры (APT). Недавний пример - с последующей публикацией части их инструментария по преодолению сетевого периметра. Как оказалось, многие эксплойты из этого набора использовали давно известные уязвимости, хотя «вишенкой на торте» был 0-Day для SNMP-сервисов (аббревиатура от “S ecurity N ot M y P roblem”). К сожалению, у нас нет полного набора слитых эксплойтов, чтобы целиком оценить масштаб бедствия. Однако мы можем использовать подход от обратного – оценить степень защищенности корпоративных периметров на основе реальной статистики их уязвимостей.

Одно из таких исследований было представлено на конференции PHDays VI в нашем традиционном сборнике Positive Research 2016. В выборку вошло порядка 10.000 доступных адресов и 15.000 уязвимостей, период исследования – два года (2014-2015). Однако надо уточнить, что исследование проводилось только для сетевых периметров с уровнем безопасности выше среднего: то есть рассматривались только компании, где налажены процессы инвентаризации активов и управления уязвимостями (что собственно и позволяет собирать статистику).

• Анализ с использованием honeypot-систем показывает, что сервисы SNMP очень популярны у потенциальных злоумышленников – про доступность этих сервисов уже знает широкий круг хакеров. А кто ещё не знает, без сложностей могут узнать через Shodan.
• SNMP-сервисов очень много, они доступны на большинстве современных сетевых инфраструктур. В частности, мы , что эксплуатация уязвимостей SNMP позволяет проникнуть в технологические сети операторов связи.
• Многие SNMP-сервисы работают на устаревших версиях ПО. Согласно нашему исследованию, в категории DNS, NTP и SNMP-сервисов каждый десятый - уязвим:

Исходя из этой статистики, можно однозначно оценить опубликованный эксплойт: он очень опасен и может быть использован для преодоления сетевого периметра многих организаций.

Однако остается другой интересный вопрос. Почему в инструментарии Equation Group, который громко назван «полным государственным набором кибероружия», оказалось множество эксплойтов для старых уязвимостей, включая такие, для которых обновления безопасности выпущены более 5 лет назад? Казалось бы, такая крутая хакерская группировка должна активнее использовать новые, неизвестные уязвимости.

Ответ парадоксально прост, если правильно переформулировать вопрос: а зачем хакерским группам тратить свое драгоценное время на 0-Days, если значительная часть систем, доступных через Интернет, не обновлялась годами?

Наше исследование показало, что три четверти всех обнаруженных уязвимостей - старше одного года, 30% уязвимостей - старше 5 лет, а практически каждая десятая уязвимость могла быть исправлена 10 лет тому назад. За исследуемый временной интервал уязвимости были обнаружены на 37% систем.

Таким образом, для успешного проведения атаки нет необходимости в использовании новейших уязвимостей: старые отлично подойдут. Они дешевле, да и хакерской группе раскрыть информацию о эксплуатации старой уязвимости - менее критично, чем “засветить” 0-Day.

Но пока мы рассмотрели только ситуацию с эксплойтами в закрытом инструментарии. А подойдут ли эксплойты от старых уязвимостей из открытых источников, скажем, из MSF? Для ответа на этот вопрос мы выбрали уязвимости со значениями CVSS “High”, доступные на начало периода исследования в тестируемых системах, и сопоставили их с известными эксплойт-паками.

Итак, резюме: для преодоления периметров, уровень защищенности которых оценивается выше среднего, не требуется каких-то эксплойтов из закрытых источников, и тем более тайных знаний APT-групп по использованию собственных 0-Day. Достаточно стандартного инструментария.

Как защищаться

1. Постоянный контроль сетевого периметра компании, результатом которого должно быть оперативное обнаружение сервисов, расположенных на периметре и доступных из сети Интернет.
2. Автоматизированный поиск уязвимостей в сервисах, расположенных на периметре. Результатом должно быть выявление уязвимостей и контроль их устранения.
3. Устранение лишних сервисов, необходимость размещения которых на периметре не обусловлена никакой объективной необходимостью. К этим категориям сервисов могут относиться NTP, SNMP, сервисы СУБД, административные интерфейсы и другие категории потенциально опасных сервисов.
4. Внедрение политики патч-менеджмента, при этом в первую следует уделить внимание системам c уязвимостями, для которых существуют эксплойты в открытом доступе, а также самым уязвимым системам. Остальные системы следует обновлять в соответствии с приоритезацией критичности систем и уязвимостей.
5. Использование комплексного подхода к ИБ. Обеспечение безопасности сетевого периметра является основой обеспечения ИБ, однако периметр - не единственный вектор проникновения злоумышленника в инфраструктуру компании.