Sdscompany.ru

Компьютерный журнал
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Защищенная сеть внутри организации

Методы защиты локальной сети

По утверждениям IT-специалистов, процесс построения локальной сети — это лишь третья часть работы по конструированию. Второй этап — проведение настройки конфигурации, первый — обеспечение безопасности локальной сети. Каждому предприятию необходимо сохранить приватность сведений, которые передаются по разным каналам или находятся на хранении внутри самой корпоративной системы.

С какими целями необходимо обеспечить безопасность?

Цели во многом зависят от индивидуальной ситуации. Но можно выделить три основные, характерные для всех случаев.

  1. Предотвращение любых попыток изменить информацию, сохранение ее в неизменном виде.
  2. Обеспечение конфиденциальности всех занесенных данных.
  3. Доступность всех действий и сохранение возможности проводить операции.

Обеспечение неизменности гарантирует, что в случае, если произойдет вторжение злоумышленников внутрь операционной системы ПК, файлы не подвергнутся уничтожению. Также невозможно изменение их содержимого и подмена исходных файлов.

К конфиденциальной информации относятся следующие сведения:

  • сведения, которые составляют коммерческую тайну;
  • личные данные санкционированных пользователей;
  • список логинов, паролей;
  • документация, находящаяся во внутреннем пользовании фирмы;
  • бухгалтерские отчеты;
  • сохраненные рабочие переписки;
  • кадры фото и видеосъемки, наблюдений;
  • иная важная информация.

Подобные файлы представляют особый интерес для преступников и конкурентов, так как могут использоваться не только для хищения финансовых средств, но и с целью обнародования данных в личных целях.

При выполнении действий по защите возникает еще одна проблема: обеспечение доступности. Серверы, принтеры, рабочие станции, критические файлы и иные ресурсы должны находиться в состоянии круглосуточного доступа для всех пользователей.

Методики защиты

Все меры по обеспечению безопасности должны быть предварительно проработаны, сформулированы в виде плана. Один из самых важных моментов — профилактика возникновения форс-мажорных ситуаций.

Для обеспечения защиты создаются физические препятствия к проникновению злоумышленников к аппаратуре. Устанавливается контроль над всеми ресурсами системы. Криптографическое преобразование информации с целью маскировки проводится при передаче ее по линиям связи на большие расстояния. Заключительный этап — создание свода правил безопасности, принуждение всех сотрудников организации к их исполнению.

Программные инструменты

Главным образом обеспечение безопасности локальных сетей зависит от программных средств. К таковым относятся:

  1. Межсетевые экраны. Это промежуточные элементы компьютерной сети, которые служат для фильтрации входящего и исходящего трафика. Риск несанкционированного доступа к информации становится меньше.
  2. Прокси-серверы. Производят ограничение маршрутизации между глобальной и локальной частями сети.
  3. VPN. Позволяют передавать информацию по зашифрованным каналам.
  4. Разные наборы протоколов, которые нужны для создания защищенного соединения и установления контроля над элементами локальной сети.

Эти приложения, встроенные в оперативную систему и специализированные, шифруют данные. Данные разграничивают потоки информации.

Комплексная защита

Наша компания создала решение, обеспечивающее полный контроль за локальными сетями. Это ИКС — межсетевой экран, снабженный всеми необходимыми функциями для защиты сети.

ИТ-услуги для бизнеса

+7(913)949-61-60

8 основных рубежей защиты корпоративной сети

Несколько наиболее важных шагов построения базовой защиты сети предприятия

Способы защиты информации на предприятии, также как и способы ее добычи, постоянно меняются. Регулярно появляются новые предложения от компаний, предоставляющих услуги по защите информации. Панацеи конечно нет, но есть несколько базовых шагов построения защиты информационной системы предприятия, на которые вам обязательно нужно обратить внимание.

Многим наверняка знакома концепция глубокой защиты от взлома информационной сети. Основная ее идея состоит в том, чтобы использовать несколько уровней обороны. Это позволит, как минимум, минимизировать ущерб, связанный с возможным нарушением периметра безопасности вашей информационной системы.
Далее рассмотрим общие аспекты компьютерной безопасности, а также создадим некий чеклист, служащий в качестве основы для построения базовой защиты информационной системы предприятия.

1. Межсетевой экран (файрвол, брэндмауэр)

Брандмауэр или файрвол — это первая линия обороны, которая встречает непрошенных гостей.
По уровню контроля доступа выделяют следующие типы брэндмауэра:

  • В простейшем случае фильтрация сетевых пакетов происходит согласно установленных правил, т.е. на основе адресов источника и назначения сетевых пакетов, номеров сетевых портов;
  • Брэндмауэр, работающий на сеансовом уровне (stateful). Он отслеживает активные соединения и отбрасывает поддельные пакеты, нарушающие спецификации TCP/IP;
  • Файрвол, работающий на прикладном уровне. Производит фильтрацию на основе анализа данных приложения, передаваемых внутри пакета.

Повышенное внимание к сетевой безопасности и развитие электронной коммерции привело к тому, что все большее число пользователей используют для своей защиты шифрование соединений (SSL, VPN). Это достаточно сильно затрудняет анализ трафика проходящего через межсетевые экраны. Как можно догадаться, теми же технологиями пользуются разработчики вредоносного программного обеспечения. Вирусы, использующие шифрование трафика, стали практически не отличимы от легального трафика пользователей.

2. Виртуальные частные сети (VPN)

Ситуации, когда сотруднику необходим доступ к ресурсам компании из общественных мест (Wi-Fi в аэропорту или гостинице) или из дома (домашнюю сеть сотрудников не контролируют ваши администраторы), особенно опасны для корпоративной информации. Для их защиты просто необходимо использовать шифрованные туннели VPN. Ни о каком доступе к удаленному рабочему столу (RDP) напрямую без шифрования не может быть и речи. Это же касается использования стороннего ПО: Teamviewer, Aammy Admin и т.д. для доступа к рабочей сети. Трафик через эти программы шифруется, но проходит через неподконтрольные вам сервера разработчиков этого ПО.

К недостаткам VPN можно отнести относительную сложность развертывания, дополнительные расходы на ключи аутентификации и увеличение пропускной способности интернет канала. Ключи аутентификации также могут быть скомпрометированы. Украденные мобильные устройства компании или сотрудников (ноутбуки, планшеты, смартфоны) с предварительно настроенными параметрами подключения VPN могут стать потенциальной дырой для несанкционированного доступа к ресурсам компании.

3. Системы обнаружения и предотвращения вторжений (IDS, IPS)

Система обнаружения вторжений (IDS — англ.: Intrusion Detection System) — программное или аппаратное средство, предназначенное для выявления фактов неавторизованного доступа в компьютерную систему (сеть), либо несанкционированного управления такой системой. В простейшем случае такая система помогает обнаружить сканирование сетевых портов вашей системы или попытки войти на сервер. В первом случае это указывает на первоначальную разведку злоумышленником, а во втором попытки взлома вашего сервера. Также можно обнаружить атаки, направленные на повышение привилегий в системе, неавторизованный доступ к важным файлам, а также действия вредоносного программного обеспечения. Продвинутые сетевые коммутаторы позволяют подключить систему обнаружения вторжений, используя зеркалирование портов, или через ответвители трафика.

Система предотвращения вторжений (IPS — англ.: Intrusion Prevention System) -программная или аппаратная система обеспечения безопасности, активно блокирующая вторжения по мере их обнаружения. В случае обнаружения вторжения, подозрительный сетевой трафик может быть автоматически перекрыт, а уведомление об этом немедленно отправлено администратору.

4. Антивирусная защита

Антивирусное программное обеспечение является основным рубежом защиты для большинства современных предприятий. По данным исследовательской компании Gartner, объем рынка антивирусного ПО по итогам 2012 года составил $19,14 млрд. Основные потребители — сегмент среднего и малого бизнеса.

Прежде всего антивирусная защита нацелена на клиентские устройства и рабочие станции. Бизнес-версии антивирусов включают функции централизованного управления для передачи обновлений антивирусных баз клиентские устройства, а также возможность централизованной настройки политики безопасности. В ассортименте антивирусных компаний присутствуют специализированные решения для серверов.
Учитывая то, что большинство заражений вредоносным ПО происходит в результате действий пользователя, антивирусные пакеты предлагают комплексные варианты защиты. Например, защиту программ электронной почты, чатов, проверку посещаемых пользователями сайтов. Кроме того, антивирусные пакеты все чаще включают в себя программный брандмауэр, механизмы проактивной защиты, а также механизмы фильтрации спама.

5. Белые списки

Что из себя представляют «белые списки»? Существуют два основных подхода к информационной безопасности. Первый подход предполагает, что в операционной системе по умолчанию разрешен запуск любых приложений, если они ранее не внесены в «черный список». Второй подход, напротив, предполагает, что разрешен запуск только тех программ, которые заранее были внесены в «белый список», а все остальные программы по умолчанию блокируются. Второй подход к безопасности конечно более предпочтителен в корпоративном мире. Белые списки можно создать, как с помощью встроенных средств операционной системы, так и с помощью стороннего ПО. Антивирусное ПО часто предлагает данную функцию в своем составе. Большинство антивирусных приложений, предлагающих фильтрацию по белому списку, позволяют провести первоначальную настройку очень быстро, с минимальным вниманием со стороны пользователя.

Тем не менее, могут возникнуть ситуации, в которых зависимости файлов программы из белого списка не были правильно определены вами или антивирусным ПО. Это приведет к сбоям приложения или к неправильной его установке. Кроме того, белые списки бессильны против атак, использующих уязвимости обработки документов программами из белого списка. Также следует обратить внимание на самое слабое звено в любой защите: сами сотрудники в спешке могут проигнорировать предупреждение антивирусного ПО и добавить в белый список вредоносное программное обеспечение.

6. Фильтрация спама

Спам рассылки часто применяются для проведения фишинг атак, использующихся для внедрения троянца или другого вредоноса в корпоративную сеть. Пользователи, которые ежедневно обрабатывают большое количество электронной почты, более восприимчивы к фишинг-сообщениям. Поэтому задача ИТ-отдела компании — отфильтровать максимальное количество спама из общего потока электронной почты.

Основные способы фильтрации спама:

  • Специализированные поставщики сервисов фильтрации спама;
  • ПО для фильтрации спама на собственных почтовых серверах;
  • Специализированные хардварные решения, развернутые в корпоративном дата-центре.

7. Поддержка ПО в актуальном состоянии

Своевременное обновление программного обеспечения и применение актуальных заплаток безопасности — важный элемент защиты корпоративной сети от несанкционированного доступа. Производители ПО, как правило, не предоставляют полную информацию о новой найденной дыре в безопасности. Однако злоумышленникам хватает и общего описания уязвимости, чтобы буквально за пару часов после публикации описания новой дыры и заплатки к ней, написать программное обеспечение для эксплуатации этой уязвимости.
На самом деле это достаточно большая проблема для предприятий малого и среднего бизнеса, поскольку обычно используется широкий спектр программных продуктов разных производителей. Часто обновлениям всего парка ПО не уделяется должного внимания, а это практически открытое окно в системе безопасности предприятия. В настоящее время большое количество ПО самостоятельно обновляется с серверов производителя и это снимает часть проблемы. Почему часть? Потому что сервера производителя могут быть взломаны и, под видом легальных обновлений, вы получите свежее вредоносное ПО. А также и сами производители порой выпускают обновления, нарушающие нормальную работу своего ПО. На критически важных участках бизнеса это недопустимо. Для предотвращения подобных инцидентов все получаемые обновления, во-первых, должны быть применены сразу после их выпуска, во-вторых, перед применением они обязательно должны быть тщательно протестированы.

Читать еще:  Сеть появляется и пропадает

8. Физическая безопасность

Физическая безопасность корпоративной сети является одним из важнейших факторов, который сложно переоценить. Имея физический доступ к сетевому устройству злоумышленник, в большинстве случаев, легко получит доступ к вашей сети. Например, если есть физический доступ к коммутатору и в сети не производится фильтрация МАС-адресов. Хотя и фильтрация MAC в этом случае вас не спасет. Еще одной проблемой является кража или небрежное отношение к жестким дискам после замены в сервере или другом устройстве. Учитывая то, что найденные там пароли могут быть расшифрованы, серверные шкафы и комнаты или ящики с оборудованием должны быть всегда надежно ограждены от проникновения посторонних.

Мы затронули лишь некоторые из наиболее распространенных аспектов безопасности. Важно также обратить внимание на обучение пользователей, периодический независимый аудит информационной безопасности, создание и соблюдение надежной политики информационной безопасности.
Обратите внимание на то, что защита корпоративной сети является достаточно сложной темой, которая постоянно меняется. Вы должны быть уверены, что компания не зависит всего лишь от одного-двух рубежей защиты. Всегда старайтесь следить за актуальной информацией и свежими решениями на рынке информационной безопасности.

Воспользуйтесь надежной защитой корпоративной сети в рамкам услуги «обслуживание компьютеров организаций» в Новосибирске.

Защита корпоративной информации

Защита информации в корпоративных сетях – это комплекс мер по предотвращению утечки корпоративных данных, персональных данных (ПНд) сотрудников и клиентов, отражение атак на ресурсы компании. Современные методы защиты включают в себя идентификацию и аутентификацию, разграничение прав доступа и управление доступом к данным, криптографию и создание межсетевых экранов.

Защита информации в корпоративных системах требуется:

  • для организаций и предприятий со сложной административно-территориальной структурой: банков, торговых сетей, государственных и транснациональных компаний, производственных комплексов;
  • а также предприятий любого уровня, использующих облачные технологии, он-лайн кассы, IP-телефонию, Интернет-банки, системы электронного документооборота (ЭДО).

Организация процедур комплексной защиты корпоративной информации в сетях крупных компаний осложнена использованием оборудования разных поколений и разных производителей, различных баз данных, локальных сетей (LAN).

Что такое Интернет сегодня. Миллионы компьютеров, серверов, объединенных в одну большую глобальную сеть. В сети Интернет ежесекундно проходят терабайты информации: фотографии, файлы, личные сообщения, денежные транзакции и т.д. Если информация важная, то за нее можно получить деньги. А места, в которых можно быстро и без усилий заработать деньги привлекают злоумышленников.

И если на заре развития сети Интернет в 90-е годы обычное платежное банковское поручение можно было отправить по электронной почте незашифрованным письмом, то сегодня такое письмо может содержать информацию, изменённую злоумышленниками в корыстных целях. Да, совершенствуются методы защиты передачи информации, но и инструменты, которые применяют злоумышленники не стоят на месте. Тем не менее методы атаки всегда остаются прежними, как и узкие места защиты.

Технологии защиты корпоративной информации

Система корпоративной защиты информации должна отражать любые типы атак:

  • попытки взлома хакерами;
  • несанкционированный доступ к конфиденциальным данным, в т.ч. ПНд;
  • заражение вредоносным программным обеспечением (ПО): вирусами, троянскими программами, «червями»;
  • загрузке и установке шпионских программ, рекламного софта;
  • спаму, фишинг-атакам;
  • взлому сайтов (CMS), корпоративных групп в социальных сетях.

При этом применяемые средства и технологии защиты корпоративных данных не должны препятствовать нормальному функционированию информационных систем (ИС) предприятия, включая доступность данных из ИС для авторизованных пользователей. В целом, система комплексной защиты корпоративных данных должна отвечать требованиям:

  • доступности для авторизованных, идентифицированных пользователей;
  • целостностью, т.е. полноты и достоверности возвращаемых на запрос сведений;
  • конфиденциальностью – предоставлением данных согласно уровню доступа пользователя.

Технология защиты корпоративных данных подразумевает:

  • использование межсетевых экранов (программных и аппаратных) – современные решения позволяют настраивать VPN, интегрироваться с антивирусами;
  • установку антивирусной защиты с закрытием почтовых шлюзов, прокси-серверов (зачастую одновременно применяется 2 – 3 антивирусные программы с различными методами обнаружения вредоносного ПО);
  • настройку систем обнаружения атак (IDS);
  • создание единой консоли управления информационной безопасности.

Комплексная защита корпоративной информации

Современная система защиты корпоративных данных в сетях должна противодействовать случайным и преднамеренным атакам, внутренним и внешним источникам угрозы (направленным на данные, программы, аппаратуру, поддерживающую инфраструктуру).

Также не следует трактовать защиту корпоративных данных исключительно только как предотвращение несанкционированного доступа со стороны злоумышленников. Часто перед специалистами ставится задачи:

  • при выборе оператора облачного сервиса, виртуального сервера (хостинг-провайдера) – отслеживать uptime сервера (объективно он не может быть равен 100%, однако для ответственных решений существует правило 4-х и ли 5-и девяток, т.е. доступности сервера в 99,99% или 99,999% времени), особенно если остановка его (сервера) работы может привести к серьезным потерям;
  • устранение последствий технических сбоев, потерь данных в случае техногенных катастроф, случайного или умышленного нарушения правил эксплуатации информационной системы (ИС), при превышении расчетного числа запросов к БД, пропускной способности каналов связи и т.д.;
  • устранения ошибок конфигурирования, топологии сети, отказов аппаратных или программных модулей, физического разрушения (износа) аппаратной части системы и т.п.

Однако настоящие проблемы являются, как правило, прозрачными и прогнозируемыми. В то время как попытки взлома, несанкционированного доступа потенциально более опасны, непредсказуемы.

Задача 1-я: защита корпоративных данных от атак

Самое узкое место в защите передачи информации – это белый IP адрес, через который передается и принимается информация. Большинство атак в сети Интернет направленно на выявление незащищенных портов на устройстве (далее Firewall (файрволл)), к которому привязан данный белый IP адрес.

Атакующий перебирает все популярные протоколы передачи информации (SSH, RDP, FTP, HTTP, SMTP и другие) и сканируя открытые порты устройства.

Найдя такие порты, злоумышленник начинает перебирать известные логины сотрудников организации и сопоставляя скомпрометированные пароли отправляя запросы на авторизацию на устройстве.

Как узнать логин пользователя организации? Все просто – это первая часть корпоративной электронной почты до символа @, вторая часть электронной почты после символа @ обычно является именем корпоративного домена. К примеру, ivanovii@domen.ru злоумышленник будет использовать при атаке следующим образом – domen.ruivanovii + пароли.

Где злоумышленники находят электронные адреса сотрудников? Везде:

  • на сайте организации в разделах: контакты, закупки (тендера), вакансии и другие;
  • на сайтах объявлений, hh.ru и подобных;
  • покупают базы электронных адресов.

Задача 2-я: доступ к информации в корпоративных системах

Помимо защиты от атак извне необходим доступ к корпоративной информации организации сотрудников вне пределов периметра организации через сеть Интернет. Используя FTP-сервера, RDP подключение к рабочему компьютеру, мы просто упрощаем работу злоумышленника. Правильнее сегодня использовать VPN (Virtual Private Network) сети. Почему? RDP подключение использует для соединения один порт устройства, и если удаленных сотрудников 10, 20, 100 – то нужно открыть 10, 20, 100 портов на файрволле. В случае организации подключения через VPN – открытый порт будет один.

Задача 3: управление каналом Интернет при защите корпоративных данных

Чем больше сотрудников в организации, работающих в сети Интернет, тем больше нагрузка на основной канал. А ширина канала Интернет всегда ограничена, да и сотрудник организации должен работать, а не сидеть в социальных сетях, развлекательных, игровых сайтах. Для этого вырабатываем правила использования сети Интернет внутри организации – идет градация сотрудников. Например, можно назначить три вида доступа:

  1. Обычный – ограниченный: запрещены доступы к социальным сетям, сайтам типа youtube, rutube, игровым и т.д.;
  2. Привилегированный – неограниченный доступ к сети Интернет, но через специальную систему фильтр (о ней поговорим дальше);
  3. Прямой доступ – доступ к сети интернет минуя все корпоративные системы защиты информации. Обычно такой доступ предоставляли системам дистанционного банковского обслуживания, системам корпоративной видеосвязи.

Большинство пользователей организации заходят на одни и те же сайты и каждый раз открывая одну и ту же страницу в Интернет создают дополнительную нагрузку на канал. В целях экономии трафика рекомендуется использовать прокси-сервер.

Задача 4: фильтрация трафика в корпоративных сетях

Пользователи через канал Интернет получают различную информацию – файлы, сообщения электронной почты и многое другое. Злоумышленник постарается прислать для взлома корпоративной сети вирус, троян, ссылку на фишинговый сайт.

Логично, что необходимо фильтровать весь входящий и исходящий в единой общей точке.

Задача 5: анализ данных

В организациях каждая служба (кадровая, служба безопасности и другие) хочет понимать, чем живет и дышит их сотрудник, какие сайты посещает. К примеру, частое посещение сотрудником сайтов типа hh.ru будет означать, что сотрудник хочет поменять место работы, а если это ключевой сотрудник, то по определенным направления работы организации будет провал.

Необходимо знать, сколько времени сотрудник проводит в сети Интернет, отрываясь от основной работы. Поэтому работу сотрудника в сети Интернет необходимо тщательно анализировать.

Вышеперечисленные задачи всегда в определенный момент времени возникают перед службой ИТ и каждый начинает решать их по-своему. И если использовать разнообразные системы, то на их поддержку уйдет много времени и потребуется не один сотрудник.

Но существуют комплексные решения управления и защиты интернет трафика, которые содержат в себе – программный файрвол, систему фильтрации трафика, интеграция с антивирусом для фильтрации входящего и исходящего трафика, прокси-сервер, VPN-сервер, систему обнаружения и предотвращения вторжений (IPS).

Самым удачным продуктом был Microsoft Forefront Threat Management Gateway. К сожалению, он перестал продаваться в 2012 году. Снятие его с продаж вызвало недоумение у всего ИТ-шного мира. Но это решение крупной компанию. Чем заменить и что использовать?

Наиболее доступными из решений являются Kerio, Ideco, UserGate. Решения Checkpoint, Sophos, Fortigate относятся к классу Enterprise. Большинство решений являются независимыми аппаратно-программными комплексами, что сказывается на их цене. Решения поддерживают интеграцию с большинством известных антивирусов, содержат мощный инструмент отчетности и анализа.

Следует понимать, что не существует ПО, которое обеспечивало бы 100% уровень защиты. Более того, пользователь (системный администратор) зачастую не может повлиять на уязвимости в конкретном продукте (иначе как отказаться от его использования). Поэтому при выборе инструментов защиты корпоративных данных следует использовать ПО, уязвимости которого либо не несут пользователю ощутимой угрозы, либо их реализация с точки зрения злоумышленника бесполезна.

Читать еще:  Первая социальная сеть

На что обращать внимание при выборе таких систем:

  • функционал;
  • требования к аппаратной части;
  • юзабилити (удобство использования);
  • возможность анализировать https трафик;
  • работа без агентов;
  • интеграция с существующим в организации антивирусом;
  • обязательно просмотрите встроенную отчетность. в случае Microsoft TMG докупалась лицензию на систему анализа логов – Internet Access Monitor;
  • возможность резать канал интернет на полосы;
  • на возможность решения поставленных перед вами задач.

Перед внедрением разверните тестовую версию продукта и протестируйте на ограниченном круге лояльных пользователей.

Враг не пройдёт!! Защита компьютерной сети предприятия

Наталья ЛАРИОНОВА, компания «Айдеко Софтвер»

Мы с вами живём в век информационного общества. И именно поэтому информация является наиболее ценным объектом. Любое государственное и коммерческое предприятие заинтересовано в сохранении информации, которая может ему навредить, если попадёт в руки злоумышленников или будет уничтожена. Для государственных учреждений такая информация носит гриф “Секретно”, для коммерческих предприятий — “Коммерческая тайна” или “Ценная информация”.

Зададимся вопросом: какая именно информация нуждается в защите и может представлять интерес для злоумышленника? Это, как правило, важные договоры, списки клиентов, базы данных бухгалтерских программ, пароли и ключи системы “клиент-банк”, каналы связи с подразделениями и т. п.

Всё чаще в СМИ сообщают о краже информации и денежных средств через интернет, при этом хакера находят очень редко. А большинство предприятий скрывают случаи взлома своих сетей и кражи данных, чтобы сохранить деловую репутацию.

Чтобы не стать жертвой хакера, необходимо защищать компьютеры и всю сеть организации от интернет-угроз. И не стоит утешать себя тем, что, мол, именно ваше предприятие не заинтересует злоумышленника: ведь специальные программы — сканеры уязвимостей обшаривают весь интернет без разбора.

Когда возникает необходимость обеспечить информационную безопасность компании, руководство, как правило, обращается к системным интеграторам. Они проводят комплексный анализ и разрабатывают проект по защите информации. В конечном счёте всё это оборачивается приобретением дорогостоящих программных и аппаратных средств, таких как Cisco PIX, Checkpoint, Microsoft ISA. Такие большие комплексные проекты стоят более 15 тыс. долл., требуют постоянного сопровождения и целесообразны только для крупных предприятий.

Для малых и многих средних предприятий весь проект по защите можно свести к двум пунктам:

  • защита персональных компьютеров;
  • комплекс из интернет-шлюза и файерволла, отгораживающий сеть предприятия от Всемирной сети и защищающий компьютеры пользователей от проникновения извне.

Защита персональных компьютеров

Эта тема достаточно хорошо освещена в прессе: в самом деле, защитить персональные компьютеры на предприятии не так уж и сложно.

Самое главное — не использовать на компьютере реальный IP-адрес интернета, и тогда злоумышленник не сможет подключиться к вашему компьютеру. Поясним попутно, что IP-адрес (Internet Protocol Address — адрес интернет-протокола) — это уникальный идентификатор устройства (компьютера), подключённого к локальной сети или интернету, по которому его определяют внешние устройства с целью приёма от него информации или передачи её.

Второе. Нельзя без предварительной проверки специальными программами открывать файлы с неизвестными вам расширениями (или с известными расширениями исполняемых файлов — *.com, *.exe, *.bat), скачанные через интернет или полученные по электронной почте. Если вы получили по почте файлы от ваших знакомых, то предварительно спросите по телефону, высылали они их вам или нет. Это позволит избежать засорения компьютера программами-шпионами и “троянскими конями”.

Третье — защита локальных файлов. Устанавливайте пароли длиной не менее 12 букв и никогда не сообщайте свой пароль никому, даже системному администратору (у него должен быть свой пароль). Попросите системного администратора ограничить доступ к вашим файлам, кроме тех сотрудников, кому это необходимо по должностным инструкциям, и максимально ограничить доступ к файлам через сеть. Храните самые важные файлы на флэш-карте USB, пользоваться ею не сложнее, чем дискетой. Меняйте пароль как можно чаще: выберите для себя алгоритм смены пароля, например, 1-го числа каждого месяца. Не стоит полагаться на то, что ваши коллеги — добропорядочные граждане, ведь в помещение могут попасть и посторонние и начнут перебирать известные пароли: “1”, “11” “12345”, “пароль”, “2006”, “lena2006” и т. д. Обязательно блокируйте компьютер или выключайте его, если выходите из офиса. Попросите вашего администратора установить пароль в BIOS на включение компьютера и опломбируйте компьютер наклейкой с печатью.

Будьте внимательны к приходящим специалистам — это один из основных каналов утечки данных; записывайте их паспортные данные и берите расписку о неразглашении информации. Никогда не оставляйте на долгое время ключевую дискету системы “клиент-банк” в компьютере и не создавайте её копии на компьютере.

Для защиты информации персонального компьютера используют как минимум четыре вида программ.

1. Антивирусы, такие как Kaspersky Antivirus, DrWeb, Norton Antivirus, Panda, NOD32.

2. Персональный межсетевой экран (другие названия — брандмауэр или файерволл). Такие программы защищают от проникновения в ваш компьютер через сеть и блокируют вирусные эпидемии. Можно использовать встроенный в Windows брандмауэр, хотя рекомендуются более мощные — Agnitum Outpost, Symantec Personal Firewall.

3. Утилиты для обнаружения программ-шпионов и троянских программ. О таких утилитах часто забывают системные администраторы, из бесплатных можно рекомендовать Ad-aware компании Lavasoft.

4. Программы резервного копирования. Здесь выбор очень широкий, лучше проконсультироваться с системным администратором, чтобы вся важная информация со всех компьютеров дублировалась на резервный носитель. Вы можете и самостоятельно создавать резервные копии своих файлов на флэш-карту USB или перезаписываемый CD (CD-RW). Берегите свой труд и создавайте резервные копии как можно чаще, ведь восстанавливать утерянную бухгалтерию или важные файлы вам придётся вручную.

Интернет-шлюз + файерволл как основа безопасности сети предприятия

Если все персональные компьютеры защищены, возникает вопрос: а зачем ещё дополнительно защищать сеть с помощью шлюза? Проблема заключается в том, что все локальные компьютеры находятся в доверенной сети и уязвимым местом становится именно шлюз, который устанавливается на границе доверенной сети и сети интернет. Захватив шлюз через интернет, злоумышленник попадает в доверенную сеть предприятия и может захватить другие компьютеры локальной сети и получить доступ к важной информации. Поэтому требования к современному шлюзу предъявляются очень высокие.

Интернет-шлюз стоит в одном ряду с другими готовыми решениями (рис. 1) и должен соответствовать следующим главным критериям:

  • универсальность (подходит для большинства предприятий);
  • функциональность (обладает всеми необходимыми возможностями для решения задач);
  • надёжность (безотказность работы в любых условиях);
  • низкая стоимость владения (минимальные расходы на внедрение и сопровождение, простота в использовании и управлении).

Однако наиболее распространённые на сегодняшний день интернет-шлюзы не полностью удовлетворяют современным требованиям. На рис. 2 показаны распространённые виды интернет-шлюзов и их преимущества и недостатки.

В последнее время на мировом рынке появились новые специализированные решения для предприятий, которые при небольшой цене имеют высокую безопасность, надёжность и низкую стоимость владения. Есть подобные системы и на российском рынке.

Зачем нужен интернет-шлюз

Рассмотрим задачи, решаемые современным интернет-шлюзом, на примере универсального интернет-шлюза Ideco Internet Control Server, в котором совмещены высокая безопасность и удобство использования. Все эти задачи можно разделить на три группы: защита пользователей и сети предприятия; учёт трафика, планирование и ограничение расходов; фильтрация трафика в соответствии с политикой предприятия.

Защита пользователей и сети предприятия

Современный интернет-шлюз в первую очередь должен обеспечить защиту пользователей и сети предприятия от атак из сети интернет. Для решения этой задачи в Ideco ICS используется технология NAT (Network Address Translation — преобразование сетевых адресов). Эта технология скрывает пользователей от внешних злоумышленников, делая невидимыми из сети интернет. Другой важной функцией NAT является предоставление качественного доступа в интернет, причём все пользовательские программы работают без дополнительных настроек, что выгодно отличает NAT от технологии Proxy.

Но, помимо опасностей, которые подстерегают вас непосредственно в сети интернет, существуют также угрозы внутри самого предприятия. Например, информация может быть перехвачена или передана в интернет от имени другого пользователя. Для предотвращения подобных угроз совместно с NAT используется технология VPN (Virtual Private Network — виртуальная частная сеть). По VPN каждому пользователю администратор назначает личный защищённый IP-адрес, который закреплён за ним постоянно. Сам компьютер предприятия по умолчанию не имеет доступа в интернет, и только после ввода логина и пароля сотрудник предприятия получает персональный защищённый выход во Всемирную сеть. Кроме этого технология VPN позволяет подключать по защищённому каналу филиалы и мобильных сотрудников, работающих из дома или находящихся в командировке.

Интернет-шлюз Ideco ICS обеспечивает и антивирусную защиту. Вся отправляемая и принимаемая почта проверяется встроенным антивирусом. Таким образом, при получении и отправке почты можно быть уверенным, что она не содержит вирусов и вирусные эпидемии не поразят вашу локальную сеть через электронную почтовую систему.

Учёт трафика, планирование и ограничение расходов

Но что делать, если безопасность уже была нарушена? В этом случае очень кстати окажется детализированная статистика. Она позволяет выяснять обстоятельства дела уже после того, как безопасность была нарушена недобросовестными сотрудниками. С помощью статистики всегда можно точно определить, кто, когда и куда передал данные. Помимо прочего это помогает экономить денежные ресурсы предприятия. Получив отчёт о посещении интернета в мегабайтах и в рублях, легко в последующем спланировать расходы на интернет для пользователей и отделов и установить соответствующие ограничения. Часто программы без ведома пользователя скачивают очень большие объёмы данных, поэтому лимит необходимо устанавливать и для добросовестных пользователей, и для организации в целом, это позволит избежать больших расходов.

Современный интернет-шлюз позволяет контролировать расходы в реальном времени, предупреждать о перерасходе и блокировать доступ в интернет при превышении установленного лимита.

Фильтрация трафика в соответствии с политикой предприятия

Важным пунктом в обеспечении информационной безопасности является файерволл, работающий на шлюзе. Файерволл шлюза позволяет запретить ненужные протоколы или ограничить доступ к определённым сайтам, а также запретить работу определённых приложений, например программы поддержки файлообменных сетей.

Опасность могут также представлять любые предоставленные для скачивания в интернете файлы. Такие файлы часто заражены вирусами и программами-шпионами. Файерволл позволяет запретить скачивание файлов определённого типа, например с расширениями *.exe или *.avi.

Читать еще:  Айфон не видит сеть что делать

Файерволл в Ideco ICS имеет одну интересную особенность: он обеспечивает интеллектуальную обработку трафика с целью выделения приоритетов, что позволяет важным приложениям качественно работать при стопроцентной загрузке интернет-канала.

Разумеется, шлюз и сам должен быть максимально защищён. При его выборе стоит уделить внимание тому, на базе какой операционной системы он работает, ведь при взломе интернет-шлюза остальная защита просто теряет смысл. Одной из самых защищённых операционных систем на сегодня является Linux. Раньше использовать Linux могли только предприятия, в штате которых есть высококвалифицированные системные администраторы со специальными знаниями. Сегодня появляется всё больше готовых продуктов, основанных на Linux. Так, шлюз Ideco ICS работает на ОС Linux, но управляется через простой графический интерфейс, понятный обычному пользователю (рис. 3).

Как мы с вами убедились, обеспечение информационной безопасности компании — это решение вполне конкретных и известных задач. С использованием современного программного обеспечения защититься от интернет-угроз под силу любому предприятию.

Как обеспечить безопасность корпоративной компьютерной сети

Как показывает отчет PricewaterhouseCoopers, в 2018 году компьютерные атаки являются первоочередной угрозой для бизнеса: они беспокоят 41% опрошенных. Годом раньше эту опасность респонденты PwC ставили лишь на пятое место по степени значимости.

А по статистике компании Positive Technologies, в IV квартале 2017 года почти 40% зафиксированных ею атак имели своей целью получить доступ к данным и в трети случаев мишенями были пользователи.

Защиту корпоративной сети должна наладить каждая компания, заботящаяся о своем бизнесе. А каркасом цифровой безопасности организации в настоящее время часто является UTM-система, включающая в себя межсетевой экран (firewall), предназначенный для защиты периметра сети. Решение контролирует потоки данных между «большим интернетом» и внутренней сетью компании. В том числе блокирует нежелательный трафик по заранее заданным правилам. К этому классу продуктов и относится универсальный шлюз безопасности Traffic Inspector Next Generation.

На текущий момент существует два базовых подхода к защите корпоративной сети:

  • построить собственную защиту периметра с нуля;
  • развернуть в локальной сети готовое UTM-решение.

Как у первого, так и у второго есть достоинства и недостатки. И какой выбрать — зависит от масштаба корпоративной сети, от доступного бюджета, от типа бизнеса, которому требуется защита. Разберем по очереди и тот и другой метод.

По первому впечатлению создание своего комплекса безопасности представляется самым надежным вариантом. В общем виде такие проекты реализуются следующим образом: либо собственные IT-специалисты компании, либо подрядчик — системный интегратор строят на базе набора защитных устройств и программ контуры информационной обороны. Под каждую задачу обеспечения цифровой безопасности подбирается отдельное решение или несколько, и они увязываются в единую систему.

При основательном добросовестном подходе возможна гибкая адаптация доступных на рынке продуктов под профиль бизнеса, особенности его структуры, его специфику работы с данными. Но гладко бывает только в рекламных презентациях, а дешево — забежим вперед — не бывает никогда.

  • При грамотном планировании удается наладить бесшовную систему, в которой оптимизировано всё и вся. Вплоть до скорости передачи трафика.

Это повышает производительность системы, которая особенно важна в высоконагруженных сервисах, например, в платежных процессингах, где выполняются десятки тысяч операций в секунду.

  • Возможна адаптация защитного комплекса под конкретные задачи и под конкретные цифровые риски, характерные для сферы деятельности компании. Архитекторы систем компьютерной защиты знают, какие уязвимости чаще всего оказываются фатальными для финансовых, или медицинских, или промышленных структур, через какие участки защитного периметра, как правило, совершаются атаки. И знают, как залатать ту или иную брешь, где и чем усилить защиту корпоративной сети. UTM-решения «из коробки» выполняют большую часть задач кибербезопасности, но некоторые особенно экзотические — не до конца (или после длительной конфигурации, или с привлечением дополнительных средств защиты).

Хотя бывает, что единственно верный выбор — распределенная и эшелонированная оборона. Например, если на страже спокойствия корпоративной сети стоит только UTM и киберпреступник получит удаленный доступ к нему, весь периметр окажется оголенным. Так что какой-нибудь центр обработки данных (ЦОД) лучше всего снабдить многоуровневой системой безопасности, с использованием нескольких устройств и программно-аппаратных решений различной защитной функциональности.

С нуля, — значит, дорого.

  • закупка парка техники и программного обеспечения;
  • интеграция оборудования и ПО;
  • амортизация оборудования и продление лицензий на большое число машин.

Антивирусы, антиспам, веб-фильтры, системы фильтрации контента, DLP-службы, WAN-оптимизаторы, VPN-шлюзы, IPS и многое, многое другое, — в общей сложности все это тянет на десятки, а то и сотни тысяч долларов, особенно когда защите подлежит крупная и территориально распределенная инфраструктура.

Не у всякой компании найдутся бюджеты на столь масштабные работы. И не для всякой подобные инвестиции рациональны.

Внутри компании постоянно нужны ресурсы для того, чтобы «щит» выполнял свои функции. Мало построить собственную систему безопасности — нужно ее поддерживать в надлежащем состоянии. А это снова затраты, явные и неявные, — на содержание штата IT-специалистов. Явные — это в первую очередь фонд оплаты труда. В свою очередь, неявные хуже поддаются учету — например, дополнительные расходы вытекают из необходимости контролировать работу подразделения с точки зрения корпоративной безопасности: каким бы проницательным ни был ваш эйчар, ему не по плечу предугадать все неожиданности, которые влечет за собой человеческий фактор.

Согласно статистике «Лаборатории Касперского», 80% удавшихся кибератак обязаны своим успехом именно человеческому фактору — действию или бездействию конкретных людей внутри компании. И не всегда в проникновении внутрь корпоративной инфраструктуры прямо или косвенно виноваты рядовые пользователи: нередко ответственность лежит на администраторах сети, либо недостаточно компетентных, либо ситуативно принявших ошибочное решение, либо сознательно пошедших на должностное преступление.

Если уволить администратора или безопасника, есть риск, что тот не сумеет или не пожелает передать все тонкости «оборонной» конфигурации сети своему преемнику. Чтобы наработанные модели защиты оставались воспроизводимыми, необходимо документировать все процедуры и нововведения по линии цифровой безопасности, что означает — верно: дополнительные затраты.


Трудности с унификацией между используемыми программами и оборудованием

Распространена ситуация, когда под решение специфических задач приходится сводить воедино очень разное ПО и оборудование. Велика опасность получить на выходе «зоопарк» решений — с конфликтами между продуктами и рассинхронизацией обновлений.


Дублирование функций, а следовательно, снова лишние расходы плюс замедление системы

В последние годы наблюдается тренд на универсальные решения, предназначенные для обеспечения защиты корпоративной сети. Поэтому часто в защитном комплексе оказываются продукты, функциональность которых пересекается. Если не выполнить филигранную настройку всех компонентов контура обороны, одновременная работа доброго десятка решений может замедлять передачу трафика.

Проектирование и реализация собственной создаваемой с нуля системы безопасности целесообразны главным образом для крупных и очень крупных компаний, которые располагают соответствующими бюджетами, а главное — по объективным причинам не могут обеспечить себе достаточно надежной защиты иными способами.

Расшифровывается UTM как unified threat management, или универсальная система защиты от сетевых угроз. Она же шлюз безопасности. К данной категории решений относится и Traffic Inspector Next Generation. В числе прочего он обеспечивает:

  • защиту периметра сети с полным контролем статуса сетевых соединений;
  • автоматическое регулирование интернет-активности сотрудников;
  • организацию удаленного доступа к корпоративной сети с применением VPN;
  • работу прокси с мониторингом трафика на предмет цифровых угроз;
  • проброс портов, DNS-форвардинг и другие тонкие настройки взаимодействия машин из корпоративной сети с внешним миром.

Включает в себя защитные технологии, которых малому и среднему бизнесу достаточно для того, чтобы снизить опасность до статистически приемлемого уровня. В том числе, по крайней мере в случае Traffic Inspector Next Generation:

  • собственно файрвол;
  • антивирусные модули;
  • IDS/IPS;
  • службу мониторинга сетевой активности.

Раньше большинство решений такого типа работали с пакетами данных только на сетевом уровне, сегодня же многие современные межсетевые экраны умеют анализировать пакеты вплоть до седьмого уровня модели OSI.

Гарантия определенного уровня защиты. Будучи сертифицированным ФСТЭК России, UTM (и Traffic Inspector Next Generation не исключение) содержит лишь те защитные решения, которые входят в государственный реестр. Это чуть сужает выбор, зато задает планку качества.

Скоординированность работы модулей. В собранном с нуля защитном комплексе, как мы говорили ранее, возможны конфликты программ и оборудования. В UTM разработчики скрупулезно отлаживают взаимодействие модулей, поскольку те должны функционировать стабильно в самых разных условиях, в самых разных организациях. А значит, средняя устойчивость такой системы выше.

Значительно дешевле, чем внедрение индивидуальной, кастомизированной защиты. Продукт готовый и тиражируемый, поэтому по карману большинству предпринимателей и руководителей. А под конкретное сетевое окружение подгоняется за счет гибкого конфигурирования модулей.

Как правило, обладает наглядным интерфейсом, управление им понятно человеку без IT-бэкграунда. Для обслуживания UTM обычно достаточно одного системного администратора, а в повседневности работать с ним в штатном режиме сумеет и сам владелец небольшого бизнеса.

Скорость работы не всегда оптимальна. Это утверждение касается не всех UTM без исключения, но во многих действительно службы безопасности (система предотвращения вторжений, антивирус и прочие) при одновременной работе способны снижать быстродействие оборудования, на котором работают, и замедлять процесс обмена данными между интернетом и локальной сетью.

Не максимально возможная защита локальной сети от угроз внутренних. Например, от утечки данных. В крупных корпорациях для предотвращения подобных инцидентов применяют решения класса DLP (data leakage prevention).

С другой стороны, до состояния, в котором организация заинтересует действительно мощные хакерские группы, ей надо еще дорасти.

Достоинство, которое способно обернуться недостатком. Не все хитрые узкоспециальные задачи UTM будет решать «из коробки», без дополнительных манипуляций.

UTM — своего рода «сторожевая башня», которая помогает обеспечивать защиту локальной сети от несанкционированного доступа и других цифровых угроз.

Это решение выдерживает хакерские атаки, служит для предотвращения кражи информации, защищает машины в сети от вирусов и автоматически регулирует веб-активность «подшефных» пользователей. И в большинстве случаев его достаточно для создания высокого уровня информационной безопасности внутри компании.

Ссылка на основную публикацию
Adblock
detector