Menú
Está libre
registrarse
el principal  /  Firmware / 1 La más alta amenaza para las redes corporativas está conectada. ¿Por qué la protección del perímetro de la red corporativa ya no funciona?

1 La mayor amenaza para las redes corporativas está conectada. ¿Por qué la protección del perímetro de la red corporativa ya no funciona?

Sistemas de información en los que pertenecen las herramientas de transferencia de datos a una empresa se utilizan solo para las necesidades de esta empresa, es habitual que llame a la red de la red de computadoras corporativas de la empresa (COP). COP es una red privada interna de una organización que combina los recursos de computación, comunicación y información de esta organización y destinada a transmitir datos electrónicos, en los que se puede actuar cualquier información, según lo anterior, se puede decir que en la COP se define Una política especial que describe el hardware utilizado y software, reglas para recibir usuarios a recursos de red, reglas de administración de redes, gestión de recursos y desarrollo adicional la red. La red corporativa es una red de una organización separada.

Varias definiciones similares se pueden formular según el concepto de la red corporativa del Olifer V.G. Y Olifer N.D. " Red de computadoras: Principios, Tecnologías, Protocolos ": Cualquier organización es una combinación de elementos interactivos (divisiones), cada uno de los cuales puede tener su propia estructura. Los elementos están interconectados funcionalmente, es decir, Realizan ciertos tipos de trabajo en el marco de un solo proceso de negocios, así como información, intercambio de documentos, faxes, pedidos escritos y orales, etc. Además, estos elementos interactúan con sistemas externos, y su interacción también puede ser informativa y funcional. Y esta situación es válida para casi todas las organizaciones, sin importar qué tipo de actividad no hicieran, para una agencia gubernamental, un banco, una empresa industrial, una empresa comercial, etc.

Dicha visión general de la organización le permite formular algunos principios generales para construir sistemas de información corporativa, es decir, Sistemas de información sobre la escala de toda la organización.

La red corporativa es un sistema que proporciona información de transmisión de información entre varias aplicaciones utilizadas en el sistema de corporación. Se considera que una red corporativa es cualquier red que trabaje en el protocolo TCP / IP y utilizando estándares de comunicación, así como las aplicaciones de servicio que entregan datos a los usuarios de la red. Por ejemplo, una empresa puede crear un servidor web para publicar anuncios, horarios de producción y otros documentos de servicio. Los abridores realizan acceso a los documentos necesarios utilizando la visualización web.

Los servidores web corporativos pueden proporcionar a los usuarios servicios, servicios similares Internet, como trabajar con páginas de hipertexto (que contiene texto, hipervínculos, imágenes gráficas y grabación), proporcionando los recursos necesarios a solicitudes de clientes web, así como el acceso a las bases de datos. En este manual, todos los servicios de publicación se denominan "servicios de Internet", independientemente de dónde se usen (en Internet o red corporativa).

La red corporativa generalmente se distribuye geográficamente, es decir, es decir. Oficinas de unificación, divisiones y otras estructuras que están a una distancia significativa entre sí. Los principios en los que se construye la red corporativa es bastante diferente de los utilizados al crear red local. Esta limitación es fundamental, y al diseñar una red corporativa, se deben tomar todas las medidas para minimizar las cantidades de datos transmitidos. El resto de lo mismo, la red corporativa no debe realizar restricciones sobre qué aplicaciones exactamente y cómo manejar la información traducida por ella. Una característica característica de dicha red es que presenta equipos de una variedad de fabricantes y generaciones, así como software inhomogéneo, que originalmente no está orientado a un procesamiento de datos conjuntos.

Para conectar a los usuarios remotos a la red corporativa, la opción más fácil y asequible es el uso del teléfono. Donde puede ser utilizado por las redes RDSI. Para combinar los nodos de red en la mayoría de los casos, se utilizan redes de transmisión de datos globales. Incluso cuando la colocación de líneas seleccionadas es posible (por ejemplo, dentro de una ciudad), el uso de tecnologías de conmutación por lotes permite reducir la cantidad de canales de comunicación necesarios y es importante, para garantizar la compatibilidad del sistema con las redes globales existentes.

Conectar la red corporativa a Internet está justificada si necesita acceso a los servicios apropiados. En muchas obras, es una opinión acerca de conectarse a Internet-Y: use Internet como entorno de transferencia de datos solo cuando otras formas no están disponibles y las consideraciones financieras superan los requisitos de confiabilidad y seguridad. Si usa Internet solo como fuente de información, es mejor usar la tecnología de conexión "Dial-On-Demand", es decir. En esta forma de conectarse, cuando la conexión al nodo de Internet está instalada solo en su iniciativa y en el momento en que lo necesite. Esto reduce bruscamente el riesgo de penetración no autorizada en su red desde el exterior.

Para transferir datos dentro de la red corporativa, también vale la pena utilizar canales virtuales de redes de conmutación de paquetes. Las principales ventajas de este enfoque son versatilidad, flexibilidad, seguridad.

Como resultado de estudiar la estructura de las redes de información (IP) y la tecnología de procesamiento de datos, se está desarrollando el concepto de IP de seguridad de la información. Los conceptos reflejan los siguientes aspectos destacados:

  • 1) Organización de la red de la organización.
  • 2) las amenazas de seguridad de la información existentes, la posibilidad de su implementación y el daño estimado de esta implementación;
  • 3) Organización de almacenamiento de información en IP;
  • 4) Organización del procesamiento de la información;
  • 5) Regulación de la tolerancia del personal a una información u otra información;
  • 6) Responsabilidad del personal de la seguridad.

Desarrollando este tema, basado en el concepto de seguridad de la información de la PI anterior, se propone el esquema de seguridad, cuya estructura debe satisfacer las siguientes condiciones:

Protección contra la penetración no autorizada en la red corporativa y la posibilidad de fugas de información sobre los canales de comunicación.

Remuneración de flujos de información entre segmentos de red.

Protección de recursos de red críticos.

Protección criptográfica de recursos de información.

Para una consideración detallada de las condiciones de seguridad anteriores, es aconsejable presentar una opinión: proteger contra la penetración no autorizada y la información de fugas se propone firewall o firewalls. De hecho, el firewall es una puerta de enlace que realiza funciones de protección de red desde el acceso no autorizado desde el exterior (por ejemplo, de otra red).

Tres tipos de firewalls distinguen:

La puerta de enlace de aplicación de nivel de aplicación se conoce a menudo como un servidor proxy (servidor proxy): realiza las funciones de retransmisión de datos para un número limitado de aplicaciones de usuario. Es decir, si la puerta de enlace no organiza el soporte para una aplicación en particular, no se proporciona el servicio correspondiente, y los datos del tipo correspondiente no pueden pasar por el firewall.

Enrutador plegable. Enrutador de filtro. Más precisamente, este es un enrutador, que incluye filtrado de paquetes (enrutador de filtrado de paquetes). Utilizado en redes conmutadas en paquetes en modo Datagram. Es decir, en aquellas tecnologías de transferencia de tecnología en redes de comunicación en las que falta el plano de alarma (preestablecimiento de la conexión entre UI y UE) (por ejemplo, IP v 4). En este caso, tomar una decisión sobre la transmisión del paquete de datos recibidos en la red se basa en los valores de sus campos de encabezado. nivel de transporte. Por lo tanto, este tipo de firewalls generalmente se implementa como una lista de reglas aplicadas a los valores de los campos de encabezado de nivel de tráfico.

Cambio de la puerta de enlace. Puerta de pasarela de nivel de conmutación: la protección se implementa en el plano de control (a nivel de alarma) por resolución o prohibiendo esas u otras conexiones.

Se otorga un lugar especial a la protección criptográfica de los recursos de información en las redes corporativas. Dado que el cifrado es una de las formas más confiables de proteger los datos de la familiarización no autorizada. Una característica del uso de los fondos criptográficos es un reglamento legislativo rígido. Actualmente, en las redes corporativas, se instalan solo en aquellos lugares de trabajo donde se mantiene la información que tiene un alto grado de importancia.

Por lo tanto, según la clasificación de los medios de protección criptográfica de los recursos de información en las redes corporativas, se dividen en:

Los sistemas de criptos con una clave, a menudo se llaman tradicionales, simétricos o con una clave. El usuario crea un mensaje abierto, cuyos elementos son los símbolos del alfabeto final. Se genera una clave de cifrado para cifrar el mensaje abierto. Con la ayuda de un algoritmo de cifrado, se forma un mensaje cifrado.

El modelo modelo establece que la clave de cifrado se genera en el mismo lugar donde el mensaje en sí. Sin embargo, es posible tener otra clave para crear una clave: la clave de cifrado es creada por un tercero (el centro de distribución clave), que ambos usuarios de confianza. En este caso, el tercero soporta la responsabilidad de la entrega de la clave para ambos usuarios. En general, esta decisión es contraria a la esencia misma de la criptografía, asegurando el secreto de la información de usuario transmitida.

Los criptosistemas con una clave utilizan los principios de sustitución (reemplazo), permutaciones (transposición) y composiciones. Cuando se sustituyen, los mensajes abiertos individuales son reemplazados por otros caracteres. El cifrado utilizando el principio de permutación implica cambiar el procedimiento para seguir los caracteres en un mensaje abierto. Para mejorar la confiabilidad del cifrado, el mensaje cifrado obtenido mediante el uso de algún cifrado puede cifrarse nuevamente usando otro cifrado. Se dice que, en este caso, se aplica un enfoque compuesto. En consecuencia, los sistemas de criptos simétricos (con una clave) se pueden clasificar en sistemas que utilizan cifras de sustitución, permutaciones y composiciones.

Open Key Cryptosystem. Solo se lleva a cabo. Los usuarios en cifrado y descifrado utilizan diferentes claves de KO y KZ. Este criptosistema es asimétrico, con dos llaves o con una llave abierta.

El destinatario del mensaje (usuario 2) genera un par conectado de teclas:

Ko - llave abiertaque está disponible públicamente y, por lo tanto, resulta ser un remitente accesible del mensaje (usuario 1);

El KC es una clave personal y secreta que permanece conocida solo al destinatario del mensaje (usuario 1).

El usuario 1, con la clave de cifrado KO, utilizando un algoritmo de cifrado específico, formas de texto cifrado.

El usuario 2, posee la clave secreta del KC, tiene la capacidad de realizar el efecto contrario.

En este caso, el usuario 1 prepara un mensaje al usuario 2 y encripta este mensaje antes de ser enviado con la PC. El usuario 2 puede descifrar este mensaje usando la clave pública KO. Como, el mensaje fue cifrado por la clave personal del remitente, puede actuar como una firma digital. Además, en este caso, es imposible cambiar el mensaje sin acceso a la clave personal del usuario 1, por lo que el mensaje también resuelve las tareas de identificar al remitente e integridad de los datos.

Finalmente, me gustaría decir que a través de la instalación de herramientas de protección criptográfica, es posible proteger de manera confiable al lugar de trabajo del empleado de la organización, que trabaja directamente con información que es de particular importancia para la existencia de esta organización, desde el acceso no autorizado.

Las formas de proteger la información en la empresa, así como las formas de presas, están cambiando constantemente. Emerge regularmente nuevas ofertas de empresas que brindan servicios de protección de información. La panacea no es ciertamente, pero hay varios pasos básicos para construir la protección del sistema de información de la empresa, a la que necesita prestar atención.

Muchos concepto seguramente familiar de protección profunda contra la piratería. red de información. La idea principal es usar varios niveles de defensa. Esto permitirá, como mínimo, minimizará el daño asociado con una posible violación del perímetro de seguridad de su sistema de información.
A continuación, considere los aspectos generales de la seguridad informática, así como crear una cierta lista de verificación que sirve de base para construir la protección básica del sistema de información empresarial.

1. Firewall (Firewall, Brandmaeer)

Firewall o Firewall es la primera línea de defensa que cumple con los invitados irrazonables.
En términos de control de acceso, se distinguen los siguientes tipos de brandmaera:

  • En el caso más sencillo, el filtrado de paquetes de red se produce de acuerdo con las reglas establecidas, es decir. Basado en las direcciones de origen y destino de los paquetes de red, números de puerto de red;
  • Brandmauer trabajando en el nivel de la sesión (estado). Monitorea las conexiones activas y descarta paquetes falsos que violan las especificaciones TCP / IP;
  • Firewall operando en el nivel aplicado. Gestiona el filtrado en función del análisis de los datos de la aplicación transmitidos dentro del paquete.

Mayor atención a la seguridad de la red y el desarrollo de comercio electrónico llevó al hecho de que un número creciente de usuarios se utiliza para proteger el cifrado de los compuestos (SSL, VPN). Esto hace que sea difícil analizar el transmisión de tráfico a través de firewalls. Como puede adivinar, las mismas tecnologías disfrutan de desarrolladores de software malintencionados. Los virus que usan el cifrado de tráfico se han vuelto prácticamente no distinguibles del tráfico de usuarios legales.

2. Redes privadas virtuales (VPN)

Situaciones en las que el empleado necesita acceso a los recursos de la compañía desde lugares públicos (Wi-Fi en el aeropuerto o hotel) o desde la casa (la red doméstica de los empleados no controla a sus administradores) es especialmente peligroso para la información corporativa. Para protegerlos, es simplemente necesario usar los túneles VPN cifrados. Acerca de cualquier acceso a un escritorio remoto (RDP) no puede estar directamente sin cifrado. Lo mismo se aplica al uso de terceros: TeamViewer, Aammy Admin, etc. Para acceder a la red de trabajo. El tráfico a través de estos programas está encriptado, pero pasa a través de los desarrolladores de este software sin desperdicio para usted.

Las desventajas de la VPN incluyen la complejidad relativa de la implementación, los costos adicionales de las claves de autenticación y un aumento en el ancho de banda del canal de Internet. Las claves de autenticación también se pueden comprometer. Los dispositivos móviles robados de la empresa o empleados (computadoras portátiles, tabletas, teléfonos inteligentes) con parámetros de conexión VPN preconfigurados pueden ser un agujero potencial para el acceso no autorizado a los recursos de la Compañía.

3. Sistemas de detección y prevención de intrusos (IDS, IPS)

Sistema de detección de intrusos (IDS - Inglés: Sistema de detección de intrusos): software o hardware, diseñado para identificar el acceso no autorizado en sistema informático (Red) o gestión no autorizada de dicho sistema. En el caso más sencillo, dicho sistema ayuda a detectar el escaneo de los puertos de la red de su sistema o intentar ingresar al servidor. En el primer caso, esto indica la inteligencia inicial por el atacante, y en el segundo intento de hackear su servidor. También puede detectar ataques destinados a aumentar los privilegios en el sistema, acceso no autorizado a archivos importantes, así como software malicioso. Los interruptores de red avanzados le permiten conectar el sistema de detección de intrusos utilizando los espejos de puertos, o a través de los desintegradores de tráfico.

Sistema de prevención de intrusiones (IPS - inglés: sistema de prevención de intrusiones) -programa o sistema de seguridad de hardware, bloqueando activamente la invasión a medida que se detectan. En caso de detección de intrusos, el tráfico de la red sospechosa se puede bloquear automáticamente, y la notificación de esto se envió inmediatamente al administrador.

4. Protección antivirus.

El software antivirus es la principal frontera de protección para la mayoría de las empresas modernas. Según la compañía de investigación de Gartner, el volumen del mercado antivirus para 2012 ascendió a $ 19.14 mil millones. Consumidores principales: un segmento de negocios medianos y pequeñas.

En primer lugar, la protección antivirus está dirigida a dispositivos y estaciones de trabajo de clientes. Las versiones de negocios de antivirus incluyen funciones de control centralizadas para transferir los dispositivos cliente, así como la capacidad de configurar centralmente las políticas de seguridad. El surtido de las empresas antivirus tiene soluciones especializadas para servidores.
Dado el hecho de que la mayoría de las infecciones de malware se producen como resultado de las acciones del usuario, los paquetes antivirus ofrecen opciones de protección integrales. Por ejemplo, la protección de los programas de correo electrónico, los chats, revisando los usuarios visitados por los usuarios. Además, los paquetes antivirus incluyen cada vez más el firewall de software, los mecanismos de protección proactivos, así como los mecanismos de filtrado de spam.

5. Listas blancas

¿Qué representa "listas blancas"? Hay dos enfoques principales para la seguridad de la información. El primer enfoque sugiere que en el sistema operativo predeterminado, se permite el lanzamiento de las aplicaciones si no se han ingresado previamente en la "Lista Negra". El segundo enfoque, por el contrario, sugiere que se permiten el lanzamiento de solo aquellos programas que se agregaron de antemano a la "Lista Blanca", y todos los demás programas están bloqueados por defecto. El segundo enfoque de la seguridad es ciertamente más preferible en el mundo corporativo. Se pueden crear listas blancas, ambas usando las herramientas integradas del sistema operativo y utilizando un software de terceros. El software antivirus a menudo ofrece esta característica en su composición. La mayoría de las aplicaciones antivirus que ofrecen filtrarse en una lista blanca le permiten gastar ajuste inicial Muy rápidamente, con una atención mínima del usuario.

Sin embargo, puede haber situaciones en las que las dependencias de los archivos de programa de la lista blanca no fueron definidos correctamente por usted o el software antivirus. Esto conducirá a un fallo de solicitud o su instalación incorrecta. Además, las listas blancas son impotentes contra los ataques utilizando la vulnerabilidad de procesamiento de documentos por programa de una lista blanca. Además, debe prestar atención al enlace más débil en cualquier protección: el personal a sí mismo a toda prisa puede ignorar la advertencia de software antivirus y agregar un software malicioso a la lista blanca.

6. Filtrado de spam

Los boletines de noticias de spam a menudo se usan para llevar a cabo ataques de phishing utilizados para introducir un troyano u otro daños a la red corporativa. Los usuarios que proceden una gran cantidad de correo electrónico diariamente, más susceptibles a los mensajes de phishing. Por lo tanto, la tarea del Departamento de TI de la Compañía es filtrar el número máximo de spam desde el flujo de correo electrónico total.

Maneras básicas de filtrar el spam:

  • Proveedores de servicios de filtrado de spam especializados;
  • Software para filtrarse de spam en sus propios servidores de correo;
  • Soluciones de hardware especializadas implementadas en un centro de datos corporativos.

7. Soporte para la condición real

Actualización oportuna del software y el uso de parches de seguridad actuales: un elemento importante de la protección de la red corporativa desde el acceso no autorizado. Fabricantes de software, por regla general, no proporcionan información completa Sobre un nuevo agujero encontrado en seguridad. Sin embargo, los atacantes tienen suficiente y la descripción general de la vulnerabilidad a literalmente un par de horas después de publicar una descripción del nuevo agujero y un parche, escriba software para operar esta vulnerabilidad.
De hecho, este es un problema bastante grande para las pequeñas y medianas empresas, ya que se usa comúnmente una amplia gama de productos de software de diferentes fabricantes. A menudo, las actualizaciones de todo el software del parque no se les paga la atención, y esto es prácticamente ventana abierta En el sistema de seguridad de la empresa. Actualmente, una gran cantidad se actualiza de forma independiente de los servidores del fabricante y elimina parte del problema. ¿Por qué parte? Debido a que los servidores del fabricante pueden ser hackeados y, bajo el disfraz de actualizaciones legales, obtendrá un software recién malintencionado. Y también los propios fabricantes a veces producen actualizaciones que violan el funcionamiento normal de su software. En sitios de negocios críticos, es inaceptable. Para prevenir dichos incidentes, todas las actualizaciones recibidas, en primer lugar, deben aplicarse inmediatamente después de su liberación, en segundo lugar, deben probarse cuidadosamente antes de su uso.

8. Seguridad física

La seguridad física de la red corporativa es uno de los factores más importantes que es difícil de sobreestimar. Tener acceso físico al dispositivo de red del atacante, en la mayoría de los casos, será fácil acceder a su red. Por ejemplo, si hay acceso físico al interruptor y la red no filtra las direcciones MAC. Aunque el filtrado de MAC en este caso no le ahorrará. Otro problema es la actitud de robo o negligente hacia los discos duros después de reemplazar en el servidor u otro dispositivo. Dado el hecho de que las contraseñas encontradas se pueden descifrar, los gabinetes de servidores y las habitaciones o equipos con equipos siempre deben estar de manera segura de la penetración de la extraña.

Tocamos solo algunos de los aspectos más comunes de la seguridad. También es importante prestar atención a la capacitación del usuario, una auditoría periódica de seguridad de la información, creación y cumplimiento de una política de seguridad de la información confiable.
Tenga en cuenta que la protección de la red corporativa es un tema bastante complicado que está cambiando constantemente. Debe estar seguro de que la compañía no dependa solo de uno o dos bordes de protección. Siempre trate de seguir la información tópica y las decisiones nuevas en el mercado de seguridad de la información.

Aproveche la protección confiable de la red corporativa en el marco del servicio "Servicio de computadoras informáticas" en Novosibirsk.

Amenazas y vulnerabilidades de las redes corporativas por cable.

En la etapa inicial del desarrollo de las tecnologías de la red, el daño de los tipos virales y otros tipos de ataques informáticos fue pequeña, ya que la dependencia de la economía global de tecnologías de la información Era pequeño. Actualmente, en el contexto de una dependencia significativa del negocio del acceso y el intercambio de información electrónicos y un número cada vez mayor de ataques de daño de los ataques más bajos que conducen a la pérdida de tiempo de máquina, se calcula por millones de dólares, y el acumulativo. Los daños anuales a la economía global son decenas de miles de millones de dólares.

La información procesada en las redes corporativas es especialmente vulnerable a:
un aumento en los volúmenes procesados \u200b\u200btransmitidos y almacenados en la información de las computadoras;
Concentración en bases de datos de información. varios niveles importancia y confidencialidad;
expandir el acceso del círculo de usuarios a la información almacenada en las bases de datos y a los recursos de la red informática;
un aumento en el número de trabajos remotos;
Uso generalizado de Global internet y varios canales de comunicación;
Automatización del intercambio de información entre las computadoras de los usuarios.

El análisis de las amenazas más comunes, que están sujetas a las redes corporativas cableadas modernas, muestra que las fuentes de amenazas pueden variar de intrusos no autorizados a virus informáticosAl mismo tiempo, los errores humanos son una amenaza muy importante para la seguridad. Debe tenerse en cuenta que las fuentes de amenazas de seguridad pueden ubicarse dentro de la cocina: fuentes internas y fuera de él. fuentes externas. Esta división está completamente justificada porque para la misma amenaza (por ejemplo, robo), los métodos de oposición para fuentes externas e internas son diferentes. El conocimiento de las posibles amenazas, así como los lugares vulnerables, KISA, es necesario seleccionar las herramientas de seguridad más efectivas.

Los más frecuentes y peligrosos (desde el punto de vista del daño) son errores de usuario no deseados, operadores y administradores del sistemaSirviendo gatito. A veces, tales errores conducen a daños directos (datos ingresados \u200b\u200bincorrectamente, un error en el programa que causó la parada o destrucción del sistema), y a veces crea debilidades que los atacantes pueden usar (como errores de administración habituales).

Según el Instituto Nacional de Normas y Tecnologías de los Estados Unidos (NIST), el 55% de los casos de deterioro de la PI es una consecuencia de errores involuntarios. Trabajar en IP global hace que este factor sea bastante relevante, y la fuente de daño puede ser tanto las acciones de las organizaciones de la organización y los usuarios de la Red Global, que es especialmente peligrosa. En la Fig. 2.4 Se proporciona un diagrama de circuito que ilustra datos estadísticos sobre las fuentes de trastornos de seguridad en KIS.

En el segundo lugar en términos de daño, se ubican los robos y tiros. En la mayoría de los casos investigados, los perpetradores fueron proporcionados por empleados regulares de organizaciones, excelentes conocidos con el modo de operación y medidas de protección. Disponibilidad de poderosos. canal informativo La comunicación con las redes globales en ausencia de debida control sobre su trabajo puede facilitar aún más estas actividades.

Higo. 2.4. Fuentes de trastornos de seguridad.

Empleados ofendidos, incluso anteriores, familiarizados con los pedidos en la organización y pueden dañar de manera muy efectiva. Por lo tanto, al despedir a un empleado de su acceso a recursos de información Debe cancelar

Los intentos intencionales de obtener el NSD a través de las comunicaciones externas ocupan aproximadamente el 10% de todas las violaciones posibles. Aunque este valor no parece ser tan significativo, la experiencia en Internet muestra que casi un servidor de un solo minuto se somete a intentos de penetrar varias veces al día. Las pruebas de la Agencia para Sistemas de Información (EE. UU.) Han demostrado que el 88% de las computadoras tienen debilidades desde el punto de vista de la seguridad de la información que se pueden usar activamente para obtener un NSD. Por separado, debe haber casos de acceso remoto a las estructuras de información de las organizaciones.

Antes de construir políticas de seguridad, es necesario evaluar los riesgos a los que se expone el entorno informático de la organización y tomar las medidas apropiadas. Obviamente, el costo de la organización para controlar y prevenir las amenazas de seguridad no debe exceder las pérdidas esperadas.

Los datos estadísticos pueden sugerir que la administración y el personal de la organización envíen los esfuerzos para reducir efectivamente las amenazas de seguridad a la red corporativa y el sistema. Por supuesto, debe lidiar con los problemas de seguridad física y medidas para reducir el impacto negativo en la seguridad de los errores humanos, pero al mismo tiempo es necesario pagar la atención más seria para resolver las tareas de seguridad de la red para prevenir los ataques. en la red corporativa y el sistema que desde afuera y desde el interior del sistema.


Hoy en mi blog decidimos tocar los aspectos de seguridad de las redes corporativas. Y el director técnico de la empresa LWCOM, Mikhail Lyubimov nos ayudará en esto.

¿Por qué este tema de seguridad de la red es extremadamente relevante en el mundo moderno?

En vista de la accesibilidad prácticamente extendida de Internet de banda ancha, la mayoría de las acciones en dispositivos se realizan a través de la red, por lo tanto, para el 99% de las amenazas modernas, es la red la que ofrece una amenaza de la fuente al objetivo. Por supuesto, la propagación del código malicioso es posible con medios extraíbles, pero este método se está utilizando actualmente cada vez menos, y la mayoría de las empresas han aprendido mucho tiempo para combatir amenazas similares.

¿Qué es una red de datos?

Primero dibuje la arquitectura de la Red Classic Corporate Data en simplificada y todos comprensibles.

La red de transmisión de datos comienza con el conmutador de nivel de acceso. Directamente a este interruptor se conectan a trabajos: computadoras, computadoras portátiles, impresoras, multifunción y varios tipos de otros dispositivos, como puntos de acceso inalámbricos. En consecuencia, puede tener mucho equipo, se puede conectar a la red en lugares completamente diferentes (pisos o incluso edificios individuales).

Por lo general, la red de datos corporativos se basa en la topología "STAR", por lo que la interacción de todos los segmentos entre ellos proporcionará el equipo de nivel de kernel de la red. Por ejemplo, se puede usar el mismo interruptor, solo generalmente en una realización más productiva y funcional en comparación con los niveles de acceso.

Los servidores y los sistemas de almacenamiento generalmente se consolidan en un solo lugar y, desde el punto de vista de las redes de datos, se pueden conectar directamente directamente al equipo del kernel y pueden tener un segmento determinado del segmento de equipos de acceso.

A continuación, tenemos equipo para una articulación con redes de transmisión de datos externos (por ejemplo, Internet). Por lo general, para estos fines en empresas, dispositivos, enrutadores, firewalls, se utilizan varios tipos de servidores proxy. Se utilizan para organizar la comunicación con las oficinas distribuidas de la empresa y para conectar a los empleados remotos.

Esta es una simple comprensión y ordinaria para la arquitectura de realidades modernas de una red de computadoras locales.

¿Qué clasificación de amenazas existe hoy?

Determinemos los principales objetivos y direcciones de los ataques en el marco de la interacción de la red.

El objetivo de ataque más común y simple es un dispositivo de usuario. El software malicioso es fácil de distribuir en esta dirección a través del contenido en los recursos web o por correo.

En el futuro, el atacante, que tiene acceso a la estación de trabajo del usuario, o puede secuestrar datos confidenciales, o desarrollar un ataque a otros usuarios u otros dispositivos de red corporativa.

El siguiente objetivo posible del ataque es, por supuesto, servidores. Odinels de los tipos de ataques más famosos en los recursos publicados son los ataques de DOS y DDOS que se utilizan para violar el funcionamiento estable de los recursos o su total fracaso.

También se pueden dirigir ataques de redes externas a aplicaciones publicadas específicas, como recursos web, servidores DNS, correo electrónico. Además, los ataques se pueden dirigir desde el interior de la red, desde la computadora infectada del usuario o de un atacante conectado a la red, en aplicaciones, como bolas de archivos o bases de datos.



También hay una categoría de ataques electorales, y uno de los ataques más peligrosos está en la propia red, es decir, acceder a ella. Un atacante que tiene acceso a la red puede organizar el siguiente ataque de hecho en cualquier dispositivo conectado a él, y también acceda en secreto cualquier información. Lo más importante es que un ataque exitoso de este tipo es bastante difícil de detectar, y no se trata con medios estándar. De hecho, es decir, tiene un nuevo usuario o, peor que el administrador, sobre el cual no sabe nada.

Mientras que el objetivo de los ataques puede ser canal de comunicación. Debe entenderse que el ataque exitoso en los canales de comunicación no solo le permite leer la información transmitida de acuerdo con ellos, sino que también es idéntica a las consecuencias de un ataque a la red, cuando un atacante puede acceder a todos los recursos de un nivel local Red informática.

¿Cómo organizar la protección de datos competente y confiable?

Para empezar, podemos proporcionar prácticas y recomendaciones globales sobre la organización de la protección de una red de datos corporativos, a saber, un conjunto de fondos que permitirán esfuerzos mínimos para evitar la mayoría de las amenazas existentes, el llamado mínimo seguro.

En este contexto, debe ingresar el término "Perímetro de seguridad de la red", porque Cuanto más cercano a la posible fuente de la amenaza, supervisará, más fuerte reduzca el número de métodos de ataque disponibles para el atacante. En este caso, el perímetro debe existir tanto para conexiones externas como internas.

En primer lugar, recomendamos asegurar el pantano con redes públicas, porque la mayor cantidad de amenazas se deriva de ellos. Actualmente, hay una serie de herramientas de seguridad de red especializadas destinadas solo para la organización segura de conectarse a Internet.

Para su designación, tales términos como NGFW (Gestión de amenazas unificadas) son ampliamente utilizadas. Estos dispositivos no solo combinan la funcionalidad del enrutador clásico, el servidor de seguridad y el servidor proxy, sino que también proporcionan servicios adicionales Seguridad, tales como: URL de filtrado y contenido, antivirus, etc. Al mismo tiempo, los dispositivos a menudo utilizan sistemas de verificación del sistema en la nube, lo que le permite verificar de manera rápida y eficiente todos los datos transmitidos para las amenazas. Pero lo principal es la capacidad de informar sobre las amenazas identificadas en una retrospectiva, es decir, para identificar amenazas en los casos en que el contenido infectado ya se transfirió al usuario, pero la información sobre la nocividad de este software apareció en el fabricante. mas tarde.

Cosas como la inspección de tráfico HTTPS y el análisis automático de aplicaciones, le permiten controlar no solo el acceso a sitios específicos, sino que también permite / prohibir el funcionamiento de dichas aplicaciones como: Skype, visor de equipo y muchos otros, y cómo sabe que la mayoría de ellos trabajen. Durante mucho tiempo, los protocolos HTTP y HTTPS, y las redes estándar de su trabajo simplemente no controlan.

Además de esto, dentro de un solo dispositivo También puede obtener un sistema de prevención de intrusiones que sea responsable de suprimir los ataques dirigidos a los recursos publicados. Además, también puede obtener un servidor VPN para un trabajo remoto con seguridad de los empleados y las sucursales de conexión, Antispam, Sistema de control BOTNET, Sandbox, etc. Todo esto hace que este dispositivo sea realmente un dispositivo de seguridad de red realmente unificada.

Si su empresa aún no usa tales soluciones, le recomendamos que los comiencen a usar en este momento, ya que ha llegado el momento de su efectividad, y podemos decir con confianza que tales dispositivos han demostrado su verdadera capacidad para luchar con muchas amenazas. , que no ha sido hace 5 años. Luego, tales cosas solo fueron al mercado, tenían muchos problemas y eran bastante caros y de bajo rendimiento.

¿Pero cómo elegir el firewall de próxima generación?

Ahora en el mercado gran cantidad Dispositivos de red con una funcionalidad similar declarada, pero la protección realmente efectiva es capaz de proporcionar solo unidades. Esto se explica por el hecho de que solo un número limitado de fabricantes tiene fondos y realmente los invierte en sin parar a través de las amenazas actuales, es decir, Actualizar constantemente las bases de recursos potencialmente peligrosos, aseguran apoyo ininterrumpido para soluciones, etc.

Muchos socios intentarán venderle soluciones que sean beneficiosas para ellos para la venta, por lo que la decisión de la decisión no siempre le corresponda. capacidad real resistir las amenazas. Personalmente, recomiendo seleccionar el dispositivo para referirse a los materiales de centros analíticos independientes, por ejemplo, informes de NSS Labs. En mi opinión, son más precisos e imparciales.

Además de las amenazas desde el exterior, sus recursos pueden ser atacados y desde adentro. El llamado "mínimo seguro" que debe usarse en su red de computación localmente es su segmentación en VLAN, es decir, Redes privadas virtuales. Además de la segmentación, se requiere que proporcione una aplicación obligatoria de políticas de acceso entre ellos al menos con medios estándar de sábanas de acceso (ACL), porque simplemente la presencia de VLAN como parte de la lucha contra las amenazas modernas no da nada.

Una recomendación separada i designa la conveniencia de usar el control de acceso directamente desde el puerto del dispositivo. Sin embargo, es necesario recordar el perímetro de la red, es decir. Cuanto más cercano a los servicios protegidos, lo que aplica políticas, mejor. Idealmente, dichas políticas deben ingresarse en los interruptores de acceso. En tales casos, se recomiendan 4 reglas simples como las políticas de seguridad más mínimas:

  • mantenga todos los puertos no utilizados de los interruptores administrativamente apagados;
  • no aplique 1st VLAN;
  • use las hojas de filtración MAC en los interruptores de acceso;
  • utilice la inspección del protocolo ARP.
Se aplicará una excelente solución en la ruta de transferencia de datos los mismos firewalls con sistemas de prevención de intrusiones, así como a las zonas desmilitarizadas de uso arquitectónico. Es mejor implementar la autenticación del dispositivo conectado a 802. 1x Protocolo usando varios sistemas AAA (autenticación, autorización y sistemas de autenticación de cuentas) para el control centralizado de acceso a la red. Normalmente, estas soluciones se designan entre los términos del NAC (control de acceso a la red). Un ejemplo de uno de los sistemas comerciales similares es Cisco ISE.



También los atacantes pueden ser atacados en canales. Para proteger los canales, use un cifrado fuerte. Muchos negligen por esto, y luego pagan las consecuencias. Los canales desprotegidos no solo están disponibles para la información secuestrada, sino también la posibilidad de atacar a casi todos los recursos corporativos. Nuestros clientes en la práctica tuvieron un número considerable de precedentes, cuando se hicieron ataques a la telefonía corporativa organizando la comunicación a través de canales de datos desprotegidos entre la oficina central y remota (por ejemplo, simplemente usando los túneles GRE). ¡Las empresas vinieron simplemente billetes locos!

¿Qué puedes contar con redes inalámbricas y BYOD?

El tema del trabajo remoto, las redes inalámbricas y el uso de sus propios dispositivos, me gustaría asignar por separado. Desde mi propia experiencia, puedo decir que estas tres cosas son uno de los más grandes agujeros potenciales de la seguridad de su empresa. Pero al mismo tiempo son una de las mayores ventajas competitivas.

Si trae a la pregunta brevemente, le recomiendo que esté prohibiendo completamente el uso de redes inalámbricas, operación remota o trabaje a través de sus propios dispositivos móviles, motivándolo por reglas corporativas, o proporciona estos servicios lo más posible en términos de seguridad, especialmente Dado que las soluciones modernas brindan la oportunidad de hacer esto es B. lo mejor de la vista.

En términos de trabajo remoto, puede ayudar a los mismos firewalls de próxima generación o dispositivos UTM. Nuestra práctica muestra que hay una serie de soluciones estables (hay Cisco, Checkpoint, Fortinet, Citrix, que le permite trabajar con muchos dispositivos de clientes, al tiempo que garantiza los más altos estándares para identificar a un empleado remoto. Por ejemplo, el uso de certificados, autorización de dos factores, contraseñas desechables entregadas por SMS o generadas en una clave especial. También puede controlar el software instalado en la computadora desde donde se realiza los intentos de acceso, por ejemplo, es necesario instalar las actualizaciones apropiadas o las antivirus en ejecución.

La seguridad de Wi-Fi es un tema merecedor de un artículo separado. Como parte de esta publicación, intentaré dar las recomendaciones más importantes. Si construye Wi-Fi corporativo, asegúrese de resolver todos los aspectos de seguridad posibles asociados con él.

Por cierto, Wi-Fi es un artículo completamente separado de los ingresos de nuestra empresa. Tratamos con ellos profesionalmente: proyectos de equipo. equipo inalámbrico TRC y TC, centros de negocios, almacenes, incluido el uso soluciones modernas, como el posicionamiento, se realizan en nuestro modo sin parar. Y de acuerdo con los resultados de nuestras encuestas de radio, en cada Second Office and Warehouse encontramos al menos un enrutador de Wi-Fi en casa que los empleados están conectados a la red. Por lo general, lo hacen por su propia comodidad, digamos, en un fumador con una computadora portátil, salgan o se mueven libremente dentro de la habitación. Está claro que no se utilizaron reglas de seguridad corporativas sobre tales enrutadores y las contraseñas se distribuyeron a colegas familiares, luego con colegas de colegas, luego los invitados a café y, finalmente, tenían acceso a la red corporativa casi todo, mientras que era absolutamente incontrolable.

Por supuesto, vale la pena asegurar la red de conectar dicho equipo. Las principales formas de hacer esto son: Uso de la autorización en puertos, filtrando nuevamente en Mac, etc., desde el punto de vista Wi-Fi, la red debe usar algoritmos criptográficos y métodos de autenticación empresarial. Pero debe entenderse que no todos los métodos de autenticación empresarial son igualmente útiles. Por ejemplo, los dispositivos Android en algunas bases de software pueden ignorar un certificado de red Wi-Fi público, lo que hace posible atacar a la clase gemela malvada. Si se usa el método de autenticación, como EAP GTC, la clave en él se transmite en el formulario abierto y se puede intercedir en el ataque especificado. Recomendamos utilizar la autenticación del certificado exclusivamente en redes corporativas, es decir, Estos son métodos TLS, pero consideren que aumenta significativamente la carga en los administradores de la red.

Todavía hay una manera: si la operación remota se implementa en la red corporativa, entonces el dispositivo está conectado a través de Wi-Fi para forzar el uso también Cliente VPN. Es decir, asignar un segmento de red Wi-Fi a un área inicialmente incrédula, y al final, resultará una buena opción de trabajo con minimizar los costos de administración de la red.

Las soluciones de Wi-Fi Enterprise Fabricantes, como Cisco, Ruckus, que ahora son brocade, Aruba, que ahora es HPE, además de las soluciones de Wi-Fi estándar, proporcionan un conjunto completo de servicios para el control de seguridad automática de un entorno inalámbrico. Es decir, tienen bastante trabajo tales cosas como WIPS (sistema de prevención de intrusiones inalámbricas). Estos fabricantes tienen sensores inalámbricos que pueden controlar todo el espectro de frecuencia, lo que permite realizar un seguimiento de modo automatico Amenazas bastante graves.

Ahora vamos a tocar el prolongado su propio dispositivo para llevar su dispositivo) y MDM (administración de dispositivos móviles - administración de dispositivos móviles). Por supuesto, cualquier dispositivo móvil en el que se almacenan los datos corporativos, o que tiene acceso a la red corporativa, es una fuente potencial de problemas. El sujeto de seguridad para tales dispositivos se refiere no solo a un acceso seguro a la red corporativa, sino también la gestión centralizada de las políticas de dispositivos móviles: teléfonos inteligentes, tabletas, computadoras portátiles utilizadas fuera de la organización. Este tema ha sido relevante durante mucho tiempo, pero ahora en realidad aparecieron soluciones de trabajo en el mercado, lo que permite administrar una variedad de tecnología móvil.

Desafortunadamente, para informar sobre ellos en el marco de esta publicación no funcionará, sino que sabrá que hay soluciones y en el último año estamos experimentando una implementación de la implementación de MDM de Microsoft y MobileRon.

¿Ha contado sobre "seguridad en un mínimo", lo que representa la seguridad "en el máximo"?

A la vez en Internet, una imagen fue popular para: Se recomendó proteger a la red para poner a uno sobre una pantallas de tiempo de distribución de fabricantes conocidos. No entendemos de ninguna manera para hacerte lo mismo, pero, sin embargo, hay una parte de la verdad aquí. Será extremadamente útil tener un dispositivo de red con un análisis de firma de virus, por ejemplo, desde Sofos, y en lugares de trabajo ya instale antivirus de Kaspersky Lab. Por lo tanto, obtenemos dos códigos no maliciosos que se interfieren entre sí.

Hay una serie de fondos especializados IB:

DLP. Los medios especializados de seguridad de la información se presentan en el mercado, es decir, desarrollado y dirigido a resolver una amenaza particular. Actualmente, los sistemas DLP (Prevención de la pérdida de datos) son populares o previniendo fugas de datos. Trabajan tanto en el nivel de red, integrándose en el medio de transferencia de datos y directamente en servidores de aplicaciones, estaciones de trabajo, dispositivos móviles.

Somos algo derivados del sujeto de la red, pero siempre existirá la amenaza de fugas de datos. En particular, estas soluciones se vuelven relevantes para las empresas donde la pérdida de datos lleva riesgos y consecuencias comerciales y de reputación. Hace 5 años, la introducción de los sistemas DLP fue algo difícil en vista de su complejidad y la necesidad de llevar a cabo el proceso de desarrollo para cada caso específico. Por lo tanto, debido a su valor, muchas empresas rechazaron estas soluciones, o escribieron su propiedad. Actualmente, los sistemas de mercado son suficientes, por lo que todas las características de seguridad necesarias se pueden obtener directamente desde la "Caja".

Sobre el mercado ruso Los sistemas comerciales están representados principalmente por el fabricante de InfoWatch (debajo de la imagen de este fabricante sobre cómo representan su solución en una empresa grande) y un Macaafee bastante famoso.

WAF.Debido al desarrollo de los servicios de comercio de Internet, y esta es la banca en línea, el dinero electrónico, el comercio electrónico, los servicios de seguros, etc., los fondos recientemente especializados han estado en la demanda de proteger los recursos web. A saber, WAF - Firewall de aplicación web.

Este dispositivo le permite reflejar los ataques dirigidos a la vulnerabilidad del propio sitio. Además de los ataques de DOS selectivos, cuando el sitio se suprime por solicitudes legítimas, puede ser ataques Inyección SQL, Scripting de sitio cruzado, etc. Anteriormente, dichos dispositivos fueron comprados principalmente por bancos, y otros clientes que no estaban en demanda, e incluso costaron dinero muy grande. Por ejemplo, el costo de la solución de trabajo comenzó de $ 100,000. Ahora el mercado presenta una gran cantidad de soluciones de fabricantes conocidos (Fortinet, Citrix, Technologies Positive Technologies), desde las cuales puede obtener una solución de trabajo para proteger su sitio por bastante dinero sano (3-5 veces menos que la cantidad anterior indicado).

Auditoría. Las organizaciones que se hablan especialmente por su propia seguridad, implementan herramientas de auditoría automatizadas. Estas soluciones son caras, pero le permiten hacer una serie de funciones de administrador en el área de automatización, que es extremadamente exigente para grandes empresas. Tales decisiones están escaneando constantemente la red y realizan una auditoría de todos los establecidos. sistemas operativos y solicitudes de presencia de agujeros famosos en seguridad, puntualidad de actualizaciones, cumplimiento de las políticas corporativas. Probablemente las soluciones más famosas en esta área no solo en Rusia, sino también en todo el mundo, son productos de tecnologías positivas.

SIEM. Similar a SIEM Solutions. Estos son sistemas, afilados para identificar situaciones independientes con respecto a los eventos de seguridad. Incluso conjunto estándar Desde el par de firewalls, una docena de servidores de aplicaciones y miles de empleos pueden generar decenas de miles de alertas por día. Si tiene una empresa grande y tiene docenas de dispositivos fronterizos, ordenar los datos de ellos en modo manual Se vuelve simplemente imposible. La automatización del control de los registros recolectados al mismo tiempo de todos los dispositivos permite que los administradores y los empleados del IB actúen de inmediato. El mercado es bastante conocido por SIEM SOLUTIONS de ARSIGHT (ingresa a los productos HPE) y Q-Radar (ingresa a los productos IBM).

Y, finalmente, ¿qué puede aconsejar a los que seriamente comprometidos en la organización de proteger sus recursos de TI?

Por supuesto, al organizar la seguridad de TI, la empresa no debe olvidarse de las regulaciones administrativas. Los usuarios y administradores deben tener en cuenta que las unidades flash encontradas para usar en la computadora no pueden ser procesadas por enlaces dudosos en letras o descubrir inversiones dudosas. Es muy importante en esto decirlo y explicar qué vínculos e inversiones están probadas. De hecho, no todos entienden que no es necesario almacenar contraseñas en pegatinas pegadas al monitor o teléfono, lo que necesita aprender a leer las advertencias que escriben el usuario del usuario, etc. Debe explicarse a los usuarios que un certificado de seguridad de este tipo y qué mensajes asociados con ella sean. En general, es necesario tener en cuenta no solo el lado técnico de la cuestión, sino también para inculcar la cultura del uso de los recursos corporativos de TI por parte de los empleados.
Espero que este gran post fue interesante para ti y útil.

Al tratar de garantizar que la viabilidad de la compañía de servicios de seguridad se centra en proteger el perímetro de la red: los servicios disponibles de Internet. La imagen de un atacante sombrío que está listo para atacar desde cualquier lugar del mundo hasta los servicios de la empresa publicados, los propietarios de negocios de desgracias. Pero en la medida de lo verdadero, teniendo en cuenta que la información más valiosa no está en el perímetro de la organización, sino en las profundidades de sus redes corporativas? ¿Cómo evaluar la proporcionalidad de la protección de la infraestructura de los ataques externos e internos?

"El barco en el puerto es seguro, pero no para este propósito se construyen los barcos".

La sensación de seguridad es engañosa.

En las condiciones de la informatización y la globalización total, las empresas hacen nuevos requisitos para las redes corporativas, la flexibilidad y la independencia de los recursos corporativos se relacionan con sus usuarios finales: empleados y socios. Por esta razón, las redes corporativas de hoy están muy lejos del concepto tradicional de aislamiento (a pesar del hecho de que inicialmente describieron de esta manera).

Imagina una oficina: las paredes protegen de mundo externoLas particiones y las paredes dividen el área total en zonas especializadas más pequeñas: cocina, biblioteca, salas de oficina, empleos, etc. La transición de la zona a la zona ocurre en ciertos lugares, y, si es necesario, también está controlado por medios adicionales. : Cámaras de video, sistemas de control de acceso, guardias sonrientes ... Entrando así una habitación, nos sentimos seguros, hay una sensación de confianza, buena voluntad. Sin embargo, es necesario reconocer que este sentimiento es solo un efecto psicológico basado en el "teatro de seguridad", cuando el propósito de las actividades realizadas se declara un aumento de la seguridad, pero de hecho, solo se forma sobre su disponibilidad. Después de todo, si el atacante realmente quiere tomar algo, entonces encontrar la oficina no se convertirá en una dificultad insuperable, y tal vez incluso por el contrario, habrá oportunidades adicionales.

Lo mismo sucede en las redes corporativas. En condiciones, cuando existe la posibilidad de encontrar dentro de la red corporativa, los enfoques de seguridad clásicos son insuficientes. El hecho es que los métodos de protección se basan en la base del modelo de amenaza interna y están dirigidos a contrarrestar a los empleados que pueden, al azar o deliberadamente, pero sin calificaciones adecuadas, violan las políticas de seguridad. Pero, ¿y si hay un hacker calificado? El costo de superar el perímetro de la red en el mercado subterráneo tiene un precio prácticamente fijo para cada organización y, en promedio, no exceda los $ 500. Por ejemplo, en el mercado negro de Servicios de Hacker, Dell, la siguiente lista de precios se muestra a abril de 2016:

Como resultado, puede comprar un robo de un buzón corporativo, cuya cuenta es más probable que sea adecuada para todos los demás servicios corporativos de la empresa debido al principio común de la autorización de inicio de sesión único. O para comprar virus polimórficos que no se rastrean para los antivirus y con la ayuda del correo de phishing para infectar a los usuarios descuidados, lo que cuida al control de la computadora dentro de la red corporativa. Para los perímetros de red bien protegidos, se utilizan las deficiencias de la conciencia humana, por lo que, por ejemplo, habiendo comprado nuevos documentos de identificación y habiendo recibido datos sobre la vida laboral y personal del empleado de la organización a través del orden de cibershpionage, puede usar Ingeniería social y obtener información confidencial.

Nuestra experiencia en la realización de pruebas de penetración muestra que el perímetro externo se supera en el 83% de los casos, y en el 54% esto no requiere una preparación altamente calificada. Al mismo tiempo, de acuerdo con las estadísticas, aproximadamente cada quinto empleado de la Compañía está listo para vender conscientemente sus credenciales, incluso de acceso remoto, por lo tanto, enormes que simplifican la superación del perímetro de la red. En tales condiciones, los intrusos internos y externos se vuelven indistinguibles, lo que crea un nuevo desafío de la seguridad de las redes corporativas.

Tomar datos críticos y no proteger

Dentro de la red corporativa, la entrada a todos los sistemas es monitoreada y accesible solo para la verificación de los usuarios. Pero este verificador resulta mencionado anteriormente que el "teatro de seguridad" habitual, ya que el estado real de los asuntos se ve muy oscuro, y esto es confirmado por las estadísticas de las vulnerabilidades de los sistemas de información corporativa. Aquí hay algunas deficiencias importantes de las redes corporativas.

  • Pacientes de la palabra

Curiosamente, el uso de contraseñas débiles es típico no solo para el personal de la compañía ordinaria, sino también para los administradores de TI. Por ejemplo, en términos de servicios y equipos, las contraseñas instaladas por el fabricante predeterminado permanecen en servicio y equipo, o se utiliza la misma combinación elemental para todos los dispositivos. Por ejemplo, una de las combinaciones más populares es una cuenta de administrador con contraseña de administrador o contraseña. También las contraseñas cortas populares, que consisten en las letras minúsculas del alfabeto latino y las contraseñas simples numéricas, como 123456. Por lo tanto, puede ejecutar una contraseña rápidamente, encontrar la combinación correcta y acceder a los recursos corporativos.

  • Almacenamiento de información crítica dentro de la red en el formulario abierto.

Imagínese la situación: el atacante recibió acceso a la red interna, puede haber dos opciones para el desarrollo de los eventos. En el primer caso, la información se almacena en forma abierta, y la compañía realiza inmediatamente riesgos graves. En otro caso, los datos de la red se cifran, la clave se almacena en otros lugares, y la compañía tiene posibilidades y tiempo para resistir al atacante y ahorrar documentos importantes del robo.

  • Uso de versiones obsoletas de los sistemas operativos y sus componentes.

Cada vez que aparece una actualización, al mismo tiempo que se produce el documento técnico en el que se describe en detalle qué deficiencias y errores se han fijado en la nueva versión. Si se ha descubierto un problema relacionado con la seguridad, los atacantes comienzan a explorar activamente este tema, encontrar errores relacionados y sobre esta base para desarrollar herramientas de piratería.

Hasta el 50% de las empresas o no actualizan los programas utilizados, o hágalo demasiado tarde. A principios de 2016, el Hospital Real de Melbourne sufrió el hecho de que sus computadoras estaban ejecutando Windows XP. Inicialmente, al golpear a una computadora oficinas de patología, el virus se extendió rápidamente por la red, bloqueando durante algún tiempo el trabajo automatizado de todo el hospital.

  • Utilizando aplicaciones de negocios autodesarrollo sin control de seguridad

La tarea principal de su propio desarrollo es el rendimiento funcional. Dichas aplicaciones tienen un umbral de baja protección, a menudo producidas en condiciones de deficiencia de recursos y apoyo adecuado del fabricante. El producto de hecho funciona, realiza tareas, pero es muy fácil hackear y acceder a los datos necesarios.

  • Falta de protección antivirus efectiva y otros medios de protección.

Se cree que oculto de una mirada externa, es decir, la red interna es que puede ser segura. Las compañías de seguridad siguen atentamente el perímetro externo, y si está protegido tan bien, no caerá en el pirata informático interno. Y, de hecho, en el 88% de los casos, las vulnerabilidades no se implementan en las empresas, no hay prevención de intrusiones y sistemas de almacenamiento de seguridad centralizados. En el agregado, esto no permite garantizar efectivamente la seguridad de la red corporativa.

Al mismo tiempo, la información que se almacena dentro de la red corporativa tiene un alto grado de importancia para el trabajo de la empresa: bases de clientes en sistemas de CRM y facturación, indicadores comerciales críticos en ERP, comunicación empresarial en correo, flujo de documentos contenidos en Portales y recursos de archivos, etc. P.

La frontera entre la red corporativa y pública se ha vuelto tan borrosa que era completamente difícil controlar completamente su seguridad y costosa. Después de todo, prácticamente no hay contramedidas contra robo o registros comerciales, administrador de negligencia, amenazas implementadas a través de la ingeniería social, etc., lo que hace que los atacantes utilizaran estas técnicas para superar la protección externa y abordar la infraestructura vulnerable con información más valiosa.

La salida puede ser el concepto de seguridad de la información en la que la seguridad del interno y red externa Se garantiza sobre la base de un solo modelo de amenazas, y con la probabilidad de transformación de un tipo de atacante a otro.

Atacantes contra defensores, ¿de quién tomará?

La seguridad de la información, ya que la condición es posible solo en el caso del escurridizo Joe, debido a su innecesaria. La confrontación entre intrusos y defensores ocurre en planos fundamentalmente diferentes. Los atacantes se benefician debido a la violación de la confidencialidad, la disponibilidad o la integridad de la información, y cuanto más efectivo y de manera más eficiente, cuanto mayor sea el beneficio que puedan obtener. Los defensores no extraen los beneficios del proceso de seguridad en absoluto, ningún paso es una inversión no reembolsable. Es por eso que se distribuyó la gestión de seguridad orientada al riesgo, en la que la atención de los defensores se centra en los riesgos más caros (en términos de evaluación de daños) con el precio más bajo de su superposición. Los riesgos con el costo de superposición superior al recurso protegido, son conscientemente aceptados o asegurados. La tarea de este enfoque es mejorar el precio de superar el punto de seguridad menos débil de la organización lo más posible, por lo que los servicios críticos deben estar bien protegidos, independientemente de dónde se encuentra este recurso dentro de la red o en el perímetro de la red.

El enfoque orientado al riesgo es solo una medida forzada que le permite existir el concepto de seguridad de la información en el mundo real. De hecho, pone a los defensores en una posición difícil: juegan su negro por lotes, solo respondiendo a las amenazas reales emergentes.