Menú
Está libre
registro
hogar  /  Internet/ Amenazas en la red corporativa y consejos para mejorar la protección. Garantizar la seguridad en las redes corporativas Equilibrar las amenazas y la protección

Amenazas en la red corporativa y consejos para mejorar la protección. Garantizar la seguridad en las redes corporativas Equilibrar las amenazas y la protección

Los sistemas de información en los que las instalaciones de transmisión de datos pertenecen a una empresa se utilizan solo para las necesidades de esta empresa; es habitual llamar a una red empresarial una red informática corporativa (CS). Un CS es una red privada interna de una organización que une los recursos informáticos, de comunicación y de información de esta organización y está destinada a la transmisión de datos electrónicos, que pueden ser cualquier información, por lo que con base en lo anterior podemos decir que un Se ha definido una política especial dentro de la CS que describe las herramientas de hardware y software utilizadas, las reglas para llevar a los usuarios a los recursos de la red, las reglas de administración de la red, el control del uso de los recursos y el desarrollo posterior de la red. Una red corporativa es una red de una organización separada.

Se puede formular una definición algo similar basada en el concepto de red corporativa dado en el trabajo de V.G. Olifer. y Olifer N.D. “Redes de computadoras: principios, tecnologías, protocolos”: cualquier organización es un conjunto de elementos (departamentos) que interactúan, cada uno de los cuales puede tener su propia estructura. Los elementos están interconectados funcionalmente, es decir realizan determinados tipos de trabajos en el marco de un único proceso empresarial, así como informativos, intercambio de documentos, faxes, pedidos escritos y orales, etc. Además, estos elementos interactúan con sistemas externos y su interacción también puede ser tanto informativa como funcional. Y esta situación es cierta para casi todas las organizaciones, sin importar el tipo de actividad que realicen: para una institución gubernamental, un banco, una empresa industrial, una empresa comercial, etc.

Esta visión general de la organización nos permite formular algunos principios generales de la construcción de sistemas de información corporativos, p. Ej. sistemas de información en toda la organización.

Una red corporativa es un sistema que proporciona transferencia de información entre varias aplicaciones utilizadas en el sistema de una corporación. Una red corporativa es cualquier red que usa el protocolo TCP / IP y usa estándares de comunicación de Internet, así como aplicaciones de servicio que brindan entrega de datos a los usuarios de la red. Por ejemplo, una empresa puede configurar un servidor web para publicar anuncios, programas de producción y otros documentos de servicio. Los empleados acceden a los documentos que necesitan mediante navegadores web.

Los servidores web en la red corporativa pueden proporcionar servicios similares a Internet a los usuarios, como trabajar con páginas de hipertexto (que contienen texto, hipervínculos, gráficos y grabaciones de sonido), proporcionar los recursos necesarios según lo soliciten los clientes web y acceder a bases de datos. A lo largo de esta guía, todos los servicios de publicación se denominan "servicios de Internet" independientemente de dónde se utilicen (en Internet o en una red corporativa).

Una red corporativa, por regla general, está distribuida geográficamente, es decir uniendo oficinas, divisiones y otras estructuras ubicadas a una distancia considerable entre sí. Los principios por los que se construye una red corporativa son bastante diferentes de los que se utilizan para crear una red local. Esta limitación es fundamental, y al diseñar una red corporativa, se deben tomar todas las medidas para minimizar la cantidad de datos transferidos. Por lo demás, la red corporativa no debe imponer restricciones sobre qué aplicaciones y cómo procesan la información que se transmite. Un rasgo característico de dicha red es que opera equipos de varios fabricantes y generaciones, así como software heterogéneo que no está inicialmente orientado al procesamiento conjunto de datos.

Para conectar usuarios remotos a la red corporativa, la opción más sencilla y asequible es utilizar una conexión telefónica. Las redes ISDN se pueden utilizar siempre que sea posible. Para conectar los nodos de la red, en la mayoría de los casos, se utilizan redes de transmisión de datos globales. Incluso cuando es posible colocar líneas dedicadas (por ejemplo, dentro de la misma ciudad), el uso de tecnologías de conmutación de paquetes le permite reducir la cantidad de canales de comunicación requeridos y, lo que es importante, garantizar la compatibilidad del sistema con los existentes. redes globales.

La conexión de una red corporativa a Internet está justificada si necesita acceder a los servicios adecuados. En muchos trabajos hay una opinión sobre la conexión a Internet: Vale la pena utilizar Internet como medio de transmisión de datos solo cuando no hay otros métodos disponibles y las consideraciones financieras superan los requisitos de confiabilidad y seguridad. Si solo va a utilizar Internet como fuente de información, lo mejor es utilizar la tecnología de marcado a pedido. de tal forma de conexión, cuando la conexión al sitio de Internet se establece solo por iniciativa suya y en el momento que lo necesite. Esto reduce drásticamente el riesgo de acceso no autorizado a su red desde el exterior.

Para transferir datos dentro de la red corporativa, también vale la pena utilizar circuitos virtuales de redes de conmutación de paquetes. Las principales ventajas de este enfoque son versatilidad, flexibilidad y seguridad.

Como resultado del estudio de la estructura de las redes de información (SI) y la tecnología de procesamiento de datos, se está desarrollando el concepto de seguridad de la información de SI. El concepto refleja los siguientes puntos principales:

  • 1) Organización de la red de la organización
  • 2) amenazas existentes a la seguridad de la información, la posibilidad de su implementación y el daño esperado de esta implementación;
  • 3) organización del almacenamiento de información en el SI;
  • 4) organización del procesamiento de la información;
  • 5) regulación del acceso del personal a tal o cual información;
  • 6) responsabilidad del personal para garantizar la seguridad.

Desarrollando este tema, con base en el concepto de seguridad de la información de SI, expuesto anteriormente, se propone un esquema de seguridad, cuya estructura debe satisfacer las siguientes condiciones:

Protección contra la penetración no autorizada en la red corporativa y la posibilidad de fuga de información a través de los canales de comunicación.

Delimitación de flujos de información entre segmentos de red.

Protección de recursos de red críticos.

Protección criptográfica de recursos de información.

Para una consideración detallada de las condiciones de seguridad anteriores, es recomendable dar una opinión: para protegerse contra la entrada no autorizada y la fuga de información, se propone utilizar firewalls o firewalls. De hecho, un firewall es una puerta de enlace que protege la red del acceso no autorizado desde el exterior (por ejemplo, desde otra red).

Hay tres tipos de cortafuegos:

Puerta de enlace de la capa de aplicación Una puerta de enlace de la capa de aplicación a menudo se denomina servidor proxy y actúa como retransmisor de datos para un número limitado de aplicaciones de usuario. Es decir, si la puerta de enlace no admite una aplicación en particular, entonces no se proporciona el servicio correspondiente y los datos del tipo correspondiente no pueden pasar a través del firewall.

Enrutador de filtrado. Enrutador de filtrado. Más precisamente, es un enrutador, cuyas funciones adicionales incluyen el filtrado de paquetes (enrutador de filtrado de paquetes). Se utiliza en redes de conmutación de paquetes en modo datagrama. Es decir, en aquellas tecnologías de transmisión de información sobre redes de comunicación en las que el plano de señalización (establecimiento de conexión preliminar entre el UE y el UE) está ausente (por ejemplo, IP V 4). En este caso, la decisión de transferir el paquete de datos recibido a través de la red se basa en los valores de sus campos de encabezado de la capa de transporte. Por lo tanto, estos tipos de firewalls generalmente se implementan como una lista de reglas que se aplican a los valores de los campos de encabezado de transporte.

Pasarela de capa de conmutación. Pasarela de nivel de conmutación: la protección se implementa en el plano de control (en el nivel de señalización) al permitir o denegar ciertas conexiones.

Se otorga un lugar especial a la protección criptográfica de los recursos de información en las redes corporativas. Dado que el cifrado es una de las formas más confiables de proteger los datos del acceso no autorizado. Una característica del uso de medios criptográficos es una estricta regulación legislativa. Actualmente, en las redes corporativas, se instalan solo en aquellos lugares de trabajo donde se almacena información de muy alto grado de importancia.

Entonces, de acuerdo con la clasificación de medios de protección criptográfica de los recursos de información en las redes corporativas, se dividen en:

Los criptosistemas de una tecla, a menudo se denominan tradicionales, simétricos o de una sola tecla. El usuario crea un mensaje abierto, cuyos elementos son los caracteres del alfabeto final. Se genera una clave de cifrado para cifrar un mensaje abierto. Un mensaje cifrado se genera mediante un algoritmo de cifrado.

El modelo dado asume que la clave de cifrado se genera en el mismo lugar que el mensaje en sí. Sin embargo, es posible otra solución para crear una clave: la clave de cifrado la crea un tercero (centro de distribución de claves), en el que ambos usuarios confían. En este caso, el tercero es el responsable de entregar la clave a ambos usuarios. En términos generales, esta solución contradice la esencia misma de la criptografía: garantizar el secreto de la información transmitida por el usuario.

Los criptosistemas de una clave utilizan los principios de sustitución (reemplazo), permutación (transposición) y composición. La sustitución reemplaza los caracteres individuales en el mensaje abierto con otros caracteres. El cifrado de permutación implica cambiar el orden de los caracteres en un mensaje abierto. Para mejorar la fuerza del cifrado, un mensaje cifrado obtenido utilizando un determinado cifrado puede volver a cifrarse utilizando un cifrado diferente. Dicen que en este caso se aplica el enfoque compositivo. Por tanto, los criptosistemas simétricos (con una clave) se pueden clasificar en sistemas que utilizan cifrados de sustitución, permutación y composición.

Un criptosistema de clave pública. Solo tiene lugar si los usuarios utilizan diferentes claves KО y KЗ durante el cifrado y descifrado. Este criptosistema se llama asimétrico, de dos claves o de clave pública.

El destinatario del mensaje (usuario 2) genera un par de claves asociado:

KО es una clave pública que está disponible públicamente y, por lo tanto, pasa a estar disponible para el remitente del mensaje (usuario 1);

KC es una clave privada y secreta que solo conoce el destinatario del mensaje (usuario 1).

El usuario 1, que tiene una clave de cifrado KO, utiliza un cierto algoritmo de cifrado para formar un texto cifrado.

El usuario 2, en posesión de la clave privada Kc, tiene la capacidad de realizar la acción opuesta.

En este caso, el usuario 1 prepara un mensaje para el usuario 2 y, antes de enviarlo, cifra este mensaje utilizando la clave privada KC. El usuario 2 puede descifrar este mensaje utilizando la clave pública KO. Dado que el mensaje se cifró con la clave privada del remitente, puede actuar como una firma digital. Además, en este caso, es imposible cambiar el mensaje sin acceso a la clave privada del usuario 1, por lo que el mensaje también resuelve el problema de identificación del remitente y la integridad de los datos.

Finalmente, me gustaría decir que al instalar medios de protección criptográficos, es posible proteger de manera confiable el lugar de trabajo de un empleado de una organización que trabaja directamente con información que es de particular importancia para la existencia de esta organización del acceso no autorizado.

En un esfuerzo por garantizar la viabilidad de la empresa, los servicios de seguridad se centran en proteger el perímetro de la red, servicios accesibles desde Internet. La imagen de un atacante lúgubre que está listo para atacar los servicios publicados de la empresa desde cualquier parte del mundo asusta seriamente a los dueños de negocios. Pero, ¿qué tan justo es esto, dado que la información más valiosa no se encuentra en el perímetro de la organización, sino en las profundidades de sus redes corporativas? ¿Cómo evaluar la proporcionalidad de la protección de la infraestructura frente a ataques externos e internos?

"Un barco en el puerto es seguro, pero los barcos no están construidos para este propósito"

Sentirse seguro es engañar

En el contexto de la total informatización y globalización, las empresas plantean nuevas demandas a las redes corporativas; flexibilidad e independencia de los recursos corporativos en relación con sus usuarios finales: los empleados y socios pasan a primer plano. Por esta razón, las redes corporativas de hoy están muy lejos de la noción tradicional de aislamiento (a pesar de que originalmente fueron definidas como tales).

Imagínese una oficina: las paredes protegen del mundo exterior, las particiones y las paredes dividen el área total en zonas especializadas más pequeñas: cocina, biblioteca, salas de servicio, lugares de trabajo, etc. La transición de una zona a otra ocurre en ciertos lugares, en las puertas y, si es necesario, también se controla allí con medios adicionales: cámaras de video, sistemas de control de acceso, guardias sonrientes ... Al entrar en una habitación así, nos sentimos seguros, hay un sentimiento de confianza y buena voluntad. Sin embargo, hay que admitir que este sentimiento es solo un efecto psicológico basado en el "teatro de la seguridad", cuando el objetivo de las medidas que se toman es aumentar la seguridad, pero en realidad solo se forma una opinión sobre su existencia. Después de todo, si un atacante realmente quiere hacer algo, entonces estar en la oficina no se convertirá en una dificultad insuperable, y quizás incluso por el contrario, habrá oportunidades adicionales.

Lo mismo ocurre en las redes corporativas. En un entorno donde existe la posibilidad de estar dentro de una red corporativa, los enfoques clásicos de seguridad son insuficientes. El hecho es que los métodos de protección se construyen sobre la base de un modelo de amenazas internas y tienen como objetivo contrarrestar a los empleados que, accidental o deliberadamente, pero sin las calificaciones adecuadas, violan la política de seguridad. Pero, ¿y si dentro hay un hacker experto? El costo de penetrar el perímetro de la red de una organización en el mercado clandestino tiene un precio casi fijo para cada organización y no supera los $ 500 en promedio. Entonces, por ejemplo, en el mercado negro de servicios de hackers de Dell para abril de 2016, se muestra la siguiente lista de precios:

Como resultado, puede comprar piratear un buzón de correo corporativo, cuya cuenta probablemente se ajuste a todos los demás servicios corporativos de la empresa debido al principio común de autorización de inicio de sesión único. O compre virus polimórficos que no sean rastreados por antivirus e infecten a los usuarios desprevenidos con la ayuda de correos de phishing, tomando así el control de una computadora dentro de la red corporativa. Para perímetros de red bien protegidos, las fallas de la conciencia humana se utilizan, por ejemplo, comprando nuevos documentos de identificación y obteniendo datos sobre el trabajo y la vida personal de un empleado de la organización al ordenar el ciberespionaje, puede usar la ingeniería social y obtener información confidencial. .

Nuestra experiencia con las pruebas de penetración muestra que el perímetro exterior se supera en el 83% de los casos, y en el 54% esto no requiere una formación altamente cualificada. Al mismo tiempo, según las estadísticas, aproximadamente uno de cada cinco empleados de la empresa está dispuesto a vender deliberadamente sus credenciales, incluso desde el acceso remoto, simplificando enormemente la superación del perímetro de la red. En tales condiciones, los atacantes internos y externos se vuelven indistinguibles, lo que plantea un nuevo desafío para la seguridad de las redes corporativas.

Toma datos críticos y no los protege

Dentro de la red corporativa, los inicios de sesión en todos los sistemas se supervisan y solo pueden acceder los usuarios ya autenticados. Pero esta misma comprobación resulta ser el habitual "teatro de seguridad" mencionado anteriormente, ya que el estado real de las cosas se ve muy sombrío, y esto lo confirman las estadísticas de las vulnerabilidades de los sistemas de información corporativos. Estas son algunas de las principales desventajas de las redes corporativas.

  • Contraseñas del diccionario

Curiosamente, el uso de contraseñas débiles es común no solo para el personal ordinario de la empresa, sino también para los propios administradores de TI. Entonces, por ejemplo, a menudo las contraseñas establecidas por el fabricante por defecto permanecen en los servicios y equipos, o se usa la misma combinación elemental para todos los dispositivos. Por ejemplo, una de las combinaciones más populares es admin con admin o contraseña. También son populares las contraseñas cortas que consisten en letras minúsculas del alfabeto latino y contraseñas numéricas simples, como 123456. Por lo tanto, puede usar la fuerza bruta de una contraseña rápidamente, encontrar la combinación correcta y obtener acceso a los recursos corporativos.

  • Almacenar información crítica dentro de la red en texto claro

Imagine una situación: un atacante obtuvo acceso a la red interna, puede haber dos escenarios para el desarrollo de eventos. En el primer caso, la información se almacena de forma abierta y la empresa asume de inmediato graves riesgos. De lo contrario, los datos de la red se cifran, la clave se almacena en un lugar diferente y la empresa tiene la oportunidad y el tiempo para resistir al atacante y evitar el robo de documentos importantes.

  • Usar versiones desactualizadas de sistemas operativos y sus componentes

Cada vez que se publica una actualización, se publica un documento técnico al mismo tiempo que detalla qué errores y errores se han corregido en la nueva versión. Si se descubre un problema de seguridad, los atacantes comienzan a investigar activamente el tema, encuentran errores relacionados y desarrollan herramientas de piratería sobre esta base.

Hasta el 50% de las empresas no actualizan su software o lo hacen demasiado tarde. A principios de 2016, el Royal Melbourne Hospital sufrió por el hecho de que sus computadoras ejecutaban Windows XP. Al llegar inicialmente a la computadora del departamento de patología, el virus se propagó rápidamente por la red, bloqueando el funcionamiento automatizado de todo el hospital durante algún tiempo.

  • Uso de aplicaciones comerciales de desarrollo propio sin control de seguridad

La principal tarea de nuestro propio desarrollo es el desempeño funcional. Estas aplicaciones tienen un umbral de seguridad bajo y, a menudo, se lanzan en condiciones de escasez de recursos y el apoyo adecuado del fabricante. El producto realmente funciona, realiza tareas, pero al mismo tiempo es muy fácil piratearlo y obtener acceso a los datos necesarios.

  • Falta de protección antivirus eficaz y otros medios de protección.

Se cree que lo que se oculta al exterior está protegido, es decir, la red interna es, por así decirlo, segura. Los guardias de seguridad vigilan de cerca el perímetro exterior y, si está tan bien protegido, el pirata informático interno no entrará. Y de hecho, en el 88% de los casos, las empresas no implementan procesos de detección de vulnerabilidades, no existen sistemas de prevención de intrusiones y almacenamiento centralizado de eventos de seguridad. En conjunto, esto no garantiza de forma eficaz la seguridad de la red corporativa.

Al mismo tiempo, la información que se almacena dentro de la red corporativa tiene un alto grado de trascendencia para el funcionamiento de la empresa: bases de clientes en sistemas CRM y facturación, indicadores críticos de negocio en ERP, comunicación empresarial en correo, flujo de documentos contenido en portales y recursos de archivos, etc. NS.

La línea entre la red corporativa y la pública se ha vuelto tan borrosa que se ha vuelto muy difícil y costoso controlar completamente su seguridad. Después de todo, casi nunca usan contramedidas contra robo o intercambio de cuentas, negligencia de un administrador de red, amenazas implementadas a través de ingeniería social, etc. Qué hace que los atacantes usen estos métodos para superar la protección externa y acercarse a la infraestructura vulnerable con información más valiosa.

La solución puede ser el concepto de seguridad de la información, en el que se asegura la seguridad de las redes internas y externas en base a un único modelo de amenaza, y con la probabilidad de transformación de un tipo de atacante en otro.

Atacantes contra defensores: ¿quién lo tomará?

La seguridad de la información como estado solo es posible en el caso del escurridizo Joe, debido a su inutilidad. El enfrentamiento entre atacantes y defensores tiene lugar en niveles fundamentalmente diferentes. Los atacantes se benefician de una violación de la confidencialidad, la disponibilidad o la integridad de la información, y cuanto más eficientes y efectivos son, más beneficios pueden obtener. Los defensores, por otro lado, no se benefician en absoluto del proceso de seguridad; cualquier paso es una inversión no reembolsable. Es por eso que la gestión de la seguridad basada en riesgos se ha generalizado, en la que la atención de los defensores se centra en los riesgos más costosos (en términos de evaluación de daños) con el menor costo para cubrirlos. Los riesgos con un precio de superposición superior al de un recurso protegido se aceptan o aseguran deliberadamente. El objetivo de este enfoque es aumentar el costo de superar la menor vulnerabilidad de seguridad de la organización tanto como sea posible, por lo que los servicios críticos deben estar bien protegidos, independientemente de si este recurso se encuentra dentro de la red o en el perímetro de la red.

El enfoque basado en el riesgo es solo una medida forzada que permite que el concepto de seguridad de la información exista en el mundo real. De hecho, pone a los defensores en una posición difícil: juegan su juego con las negras, solo respondiendo a las amenazas emergentes.

Los métodos para proteger la información en la empresa, así como los métodos para obtenerla, cambian constantemente. Regularmente aparecen nuevas ofertas de empresas que prestan servicios de seguridad de la información. Por supuesto, no existe una panacea, pero existen varios pasos básicos para construir la protección de un sistema de información empresarial, a los que definitivamente debe prestar atención.

Muchos probablemente estén familiarizados con el concepto de protección profunda contra la piratería de una red de información. Su idea principal es utilizar varios niveles de defensa. Esto permitirá, como mínimo, minimizar el daño asociado con una posible violación del perímetro de seguridad de su sistema de información.
A continuación, consideraremos los aspectos generales de la seguridad informática y también crearemos una cierta lista de verificación que sirva como base para construir la protección básica de un sistema de información empresarial.

1. Cortafuegos (cortafuegos, cortafuegos)

Un cortafuegos o cortafuegos es la primera línea de defensa que se enfrenta a los intrusos.
Según el nivel de control de acceso, se distinguen los siguientes tipos de firewalls:

  • En el caso más simple, el filtrado de paquetes de red ocurre de acuerdo con las reglas establecidas, es decir basado en direcciones de origen y destino de paquetes de red, números de puerto de red;
  • Un cortafuegos con estado. Supervisa las conexiones activas y descarta los paquetes falsificados que violan las especificaciones de TCP / IP;
  • Cortafuegos a nivel de aplicación. Filtros basados ​​en el análisis de los datos de la aplicación pasados ​​dentro del paquete.

La mayor atención a la seguridad de la red y el desarrollo del comercio electrónico ha llevado al hecho de que un número cada vez mayor de usuarios utilizan conexiones cifradas (SSL, VPN) para su protección. Esto dificulta bastante el análisis del tráfico que atraviesa los cortafuegos. Como puede imaginar, los desarrolladores de software malintencionado utilizan las mismas tecnologías. Los virus que utilizan el cifrado de tráfico se han vuelto prácticamente indistinguibles del tráfico de usuarios legítimos.

2. Redes privadas virtuales (VPN)

Las situaciones en las que un empleado necesita acceder a los recursos de la empresa desde lugares públicos (Wi-Fi en un aeropuerto u hotel) o desde su casa (sus administradores no controlan las redes domésticas de los empleados) son especialmente peligrosas para la información corporativa. Para protegerlos, solo necesita usar túneles VPN encriptados. El acceso directo al escritorio remoto (RDP) sin cifrado está fuera de discusión. Lo mismo se aplica al uso de software de terceros: Teamviewer, Aammy Admin, etc. para acceder a la red de trabajo. El tráfico a través de estos programas está encriptado, pero pasa a través de los servidores de los desarrolladores de este software fuera de su control.

Las desventajas de una VPN incluyen la relativa complejidad de la implementación, los costos adicionales de las claves de autenticación y un aumento en el ancho de banda de Internet. Las claves de autenticación también pueden verse comprometidas. Los dispositivos móviles robados de una empresa o empleados (computadoras portátiles, tabletas, teléfonos inteligentes) con configuraciones de conexión VPN preconfiguradas pueden convertirse en un agujero potencial para el acceso no autorizado a los recursos de la empresa.

3. Sistemas de detección y prevención de intrusiones (IDS, IPS)

El sistema de detección de intrusiones (IDS) es una herramienta de software o hardware diseñada para detectar los hechos de acceso no autorizado a un sistema informático (red) o control no autorizado de dicho sistema. En el caso más simple, dicho sistema ayuda a detectar escaneos de puertos de red en su sistema o intentos de iniciar sesión en el servidor. En el primer caso, esto indica un reconocimiento inicial por parte del atacante, y en el segundo, un intento de piratear su servidor. También puede detectar ataques destinados a aumentar los privilegios en el sistema, el acceso no autorizado a archivos importantes y la actividad de software malintencionado. Los conmutadores de red avanzados permiten que los sistemas de detección de intrusos se conecten mediante duplicación de puertos o tomas de tráfico.

El sistema de prevención de intrusiones (IPS) es un sistema de seguridad de software o hardware que bloquea activamente las intrusiones a medida que se detectan. Si se detecta una intrusión, el tráfico de red sospechoso se puede bloquear automáticamente y se envía inmediatamente una notificación al administrador.

4. Protección antivirus

El software antivirus es la principal línea de defensa para la mayoría de las empresas en la actualidad. Según la empresa de investigación Gartner, el volumen del mercado de software antivirus en 2012 ascendió a 19.140 millones de dólares, siendo los principales consumidores el segmento de las medianas y pequeñas empresas.

En primer lugar, la protección antivirus está dirigida a los dispositivos y estaciones de trabajo de los clientes. Las versiones comerciales de antivirus incluyen funciones de administración centralizada para transmitir actualizaciones de la base de datos antivirus a los dispositivos del cliente, así como la capacidad de configurar políticas de seguridad de forma centralizada. La gama de empresas antivirus incluye soluciones especializadas para servidores.
Dado que la mayoría de las infecciones de malware se producen como resultado de las acciones del usuario, las suites antivirus ofrecen opciones de protección integrales. Por ejemplo, protección de programas de correo electrónico, salas de chat, control de sitios visitados por usuarios. Además, los paquetes antivirus incluyen cada vez más cortafuegos de software, mecanismos de defensa proactivos y mecanismos de filtrado de correo no deseado.

5. Listas blancas

¿Qué son las listas blancas? Hay dos enfoques principales para la seguridad de la información. El primer enfoque asume que el sistema operativo puede ejecutar cualquier aplicación de forma predeterminada, si no está previamente en la lista negra. El segundo enfoque, por otro lado, asume que sólo los programas que se incluyeron previamente en la "lista blanca" pueden ejecutarse, y todos los demás programas están bloqueados de forma predeterminada. El segundo enfoque de la seguridad es, por supuesto, más preferible en el mundo empresarial. Las listas blancas se pueden crear utilizando las herramientas integradas del sistema operativo o software de terceros. El software antivirus a menudo ofrece esta característica en su composición. La mayoría de las aplicaciones antivirus que ofrecen filtrado de listas blancas permiten una configuración inicial muy rápida con una mínima atención por parte del usuario.

Sin embargo, puede haber situaciones en las que usted o el software antivirus no hayan identificado correctamente las dependencias de los archivos de programa incluidos en la lista blanca. Esto hará que la aplicación se bloquee o no se instale correctamente. Además, las listas blancas son impotentes contra los ataques que explotan las vulnerabilidades de procesamiento de documentos por parte de los programas incluidos en listas blancas. También debe prestar atención al eslabón más débil de cualquier protección: los propios empleados con prisa pueden ignorar la advertencia del software antivirus y agregar software malicioso a la lista blanca.

6. Filtrado de spam

Los correos no deseados se utilizan a menudo para llevar a cabo ataques de phishing que se utilizan para inyectar un troyano u otro malware en una red corporativa. Los usuarios que procesan grandes cantidades de correo electrónico a diario son más susceptibles a los correos electrónicos de phishing. Por lo tanto, la tarea del departamento de TI de la empresa es filtrar la cantidad máxima de spam del flujo de correo electrónico general.

Las principales formas de filtrar el spam:

  • Proveedores especializados de servicios de filtrado de spam;
  • Software de filtrado de spam en nuestros propios servidores de correo;
  • Soluciones de hardware especializadas implementadas en un centro de datos corporativo.

7. Soporte de software actualizado

Mantener su software actualizado y aplicar los últimos parches de seguridad es un elemento importante para proteger su red corporativa del acceso no autorizado. Los proveedores de software generalmente no brindan información completa sobre el agujero de seguridad recién descubierto. Sin embargo, una descripción general de la vulnerabilidad es suficiente para que los ciberdelincuentes escriban software para explotar esta vulnerabilidad literalmente un par de horas después de la publicación de una descripción de un nuevo agujero y un parche.
De hecho, este es un problema bastante grande para las pequeñas y medianas empresas, ya que se suele utilizar una amplia gama de productos de software de diferentes fabricantes. A menudo, las actualizaciones de toda la flota de software no reciben la debida atención, y esto es prácticamente una ventana abierta en el sistema de seguridad empresarial. Actualmente, una gran cantidad de software se actualiza de forma independiente desde los servidores del fabricante y esto elimina parte del problema. ¿Por qué parte? Debido a que los servidores del fabricante pueden ser pirateados y, bajo la apariencia de actualizaciones legales, recibirá malware nuevo. Y también los propios fabricantes a veces lanzan actualizaciones que interrumpen el funcionamiento normal de su software. En áreas críticas del negocio, esto es inaceptable. Para prevenir tales incidentes, todas las actualizaciones recibidas, en primer lugar, deben aplicarse inmediatamente después de su lanzamiento y, en segundo lugar, deben probarse a fondo antes de ser aplicadas.

8. Seguridad física

La seguridad física de una red corporativa es uno de los factores más importantes que no se puede sobrestimar. Al tener acceso físico a un dispositivo de red, un atacante, en la mayoría de los casos, obtendrá fácilmente acceso a su red. Por ejemplo, si hay acceso físico al conmutador y la red no filtra las direcciones MAC. Aunque el filtrado MAC no te salvará en este caso. Otro problema es el robo o descuido de los discos duros después de reemplazarlos en un servidor u otro dispositivo. Dado que las contraseñas que se encuentran allí se pueden descifrar, los gabinetes de servidores y las salas o cajas de equipos siempre deben estar protegidos de manera confiable contra intrusos.

Hemos abordado solo algunos de los aspectos de seguridad más comunes. También es importante prestar atención a la capacitación de los usuarios, la auditoría periódica independiente de la seguridad de la información, la creación y el cumplimiento de una política de seguridad de la información confiable.
Tenga en cuenta que proteger su red corporativa es un tema complejo que cambia constantemente. Debe asegurarse de que la empresa no dependa solo de una o dos líneas de defensa. Siempre trate de mantenerse al día con la información más reciente y las soluciones frescas en el mercado de la seguridad de la información.

Aproveche la protección confiable de su red corporativa en el marco del servicio "mantenimiento de computadoras corporativas" en Novosibirsk.

Hoy en nuestro blog decidimos tocar los aspectos de la seguridad de las redes corporativas. Y el director técnico de LWCOM, Mikhail Lyubimov, nos ayudará con esto.

¿Por qué este tema de la seguridad de la red es extremadamente relevante en el mundo moderno?

Debido a la disponibilidad casi ubicua de Internet de banda ancha, la mayoría de las acciones en los dispositivos se realizan a través de la red, por lo tanto, para el 99% de las amenazas modernas, es la red el transporte en el que se envía la amenaza desde el origen al destino. Por supuesto, la propagación de código malicioso es posible utilizando medios extraíbles, pero este método ahora se usa cada vez menos, y la mayoría de las empresas han aprendido durante mucho tiempo a lidiar con tales amenazas.

¿Qué es una red de datos?

Primero dibujemos la arquitectura de una red de datos corporativa clásica de una manera simplificada y comprensible.

La red de transmisión de datos comienza con un conmutador de nivel de acceso. Las estaciones de trabajo están conectadas directamente a este conmutador: computadoras, portátiles, impresoras, dispositivos multifuncionales y varios otros, por ejemplo, puntos de acceso inalámbricos. En consecuencia, puede tener una gran cantidad de equipos, se puede conectar a la red en lugares completamente diferentes (pisos o incluso edificios separados).

Normalmente, una red de transmisión de datos corporativos se construye de acuerdo con una topología en "estrella", por lo que la interacción de todos los segmentos entre sí será proporcionada por el equipo del nivel del núcleo de la red. Por ejemplo, se puede usar el mismo conmutador, solo que generalmente en una versión más productiva y funcional en comparación con las que se usan en el nivel de acceso.

Los servidores y los sistemas de almacenamiento de datos suelen estar consolidados en un solo lugar y, desde el punto de vista de las redes de transmisión de datos, pueden conectarse directamente al equipo central o pueden tener un determinado segmento de equipo de acceso asignado para estos fines.

Además, tenemos el equipo para la interfaz con redes de transmisión de datos externas (por ejemplo, Internet). Normalmente, las empresas utilizan dispositivos, enrutadores, cortafuegos y varios tipos de servidores proxy para estos fines. También se utilizan para organizar la comunicación con las oficinas distribuidas de la empresa y para conectar a los empleados remotos.

Así resultó la arquitectura de una red informática local, sencilla de entender y común a las realidades modernas.

¿Cuál es la clasificación actual de amenazas?

Definamos los principales objetivos y direcciones de los ataques en el marco de la interacción de la red.

El objetivo más común y simple de un ataque es el dispositivo del usuario. Es fácil difundir software malintencionado en esta dirección a través del contenido de los recursos web o por correo.

En el futuro, un atacante, que haya obtenido acceso a la estación de trabajo de un usuario, puede robar datos confidenciales o desarrollar un ataque a otros usuarios oa otros dispositivos de la red corporativa.

El próximo objetivo posible de un ataque son, por supuesto, los servidores. Algunos de los tipos de ataques más conocidos a los recursos publicados son los ataques DoS y DDoS, que se utilizan para interrumpir el funcionamiento estable de los recursos o para hacerlos fallar por completo.

Los ataques también pueden dirigirse desde redes externas a aplicaciones publicadas específicas, por ejemplo, recursos web, servidores DNS, correo electrónico. Los ataques también pueden dirigirse desde la red, desde la computadora de un usuario infectado o desde un atacante conectado a la red, a aplicaciones como archivos compartidos o bases de datos.



También existe una categoría de ataques selectivos, y uno de los más peligrosos es el ataque a la propia red, es decir, al acceso a ella. Un atacante que haya obtenido acceso a la red puede lanzar el próximo ataque en prácticamente cualquier dispositivo conectado a ella, así como obtener acceso en secreto a cualquier información. Lo más importante es que un ataque exitoso de este tipo es bastante difícil de detectar y no se puede curar con los medios estándar. Es decir, de hecho, tienes un nuevo usuario o, peor aún, un administrador del que no sabes nada.

Otro objetivo del atacante pueden ser los canales de comunicación. Debe entenderse que un ataque exitoso a los canales de comunicación no solo permite leer la información transmitida a través de ellos, sino también ser idéntico en las consecuencias de un ataque a la red, cuando un atacante puede acceder a todos los recursos de la red. Red de área local.

¿Cómo organizar una protección de transmisión de datos competente y confiable?

Para empezar, podemos presentar prácticas y recomendaciones globales para organizar la protección de una red de transmisión de datos corporativos, es decir, el conjunto de herramientas que le permitirán evitar la mayoría de las amenazas existentes con un mínimo esfuerzo, el llamado mínimo seguro.

En este contexto, es necesario introducir el término "perímetro de seguridad de la red", ya que cuanto más cerca esté de una posible fuente de amenaza, más reducirá el número de métodos de ataque disponibles para un atacante. En este caso, el perímetro debe existir tanto para conexiones externas como internas.

En primer lugar, recomendamos proteger la interfaz con las redes públicas, porque de ellas surgen la mayor cantidad de amenazas. Actualmente, hay una serie de herramientas de seguridad de red especializadas diseñadas solo para la organización segura de conexiones a Internet.

Para su designación, se utilizan ampliamente términos como NGFW (firewall de próxima generación) y UTM (gestión unificada de amenazas). Estos dispositivos no solo combinan la funcionalidad de un enrutador clásico, firewall y servidor proxy, sino que también brindan servicios de seguridad adicionales, como filtrado de contenido y URL, antivirus, etc. Al mismo tiempo, los dispositivos a menudo usan sistemas de verificación de contenido basados ​​en la nube. que le permite escanear rápida y efectivamente todos los datos transmitidos en busca de amenazas. Pero lo principal es la capacidad de informar las amenazas detectadas en retrospectiva, es decir, identificar amenazas en tales casos cuando el contenido infectado ya se transmitió al usuario, pero el fabricante recibió información sobre la nocividad de este software más tarde.

Cosas como la inspección del tráfico HTTPS y el análisis automático de aplicaciones le permiten controlar no solo el acceso a sitios específicos, sino también permitir / prohibir el funcionamiento de aplicaciones como Skype, Team Viewer y muchas otras, y como usted sabe, la mayoría de ellas. han estado trabajando en protocolos HTTP y HTTPS, y las herramientas de red estándar simplemente no pueden controlar su trabajo.

Además de esto, dentro de un solo dispositivo, también puede obtener un sistema de prevención de intrusiones, que se encarga de detener los ataques dirigidos a los recursos publicados. Además, puede obtener adicionalmente un servidor VPN para el trabajo remoto seguro de los empleados y las sucursales conectadas, antispam, un sistema de control de botnets, una caja de arena, etc. Todo esto hace que este dispositivo sea una herramienta de seguridad de red verdaderamente unificada.

Si su empresa aún no utiliza este tipo de soluciones, le recomendamos encarecidamente que empiece a utilizarlas ahora mismo, ya que ha llegado el momento de su eficacia, y podemos decir con confianza que dichos dispositivos han demostrado su capacidad real para hacer frente a una gran número de amenazas, lo que aún no ha sucedido hace 5 años. En ese momento, esas cosas acababan de ingresar al mercado, tenían muchos problemas y eran bastante caras y de bajo rendimiento.

¿Cómo elegir un firewall de próxima generación?

Ahora en el mercado hay una gran cantidad de dispositivos de red con dicha funcionalidad declarada, pero solo unos pocos pueden brindar una protección realmente efectiva. Esto se debe al hecho de que solo un número limitado de fabricantes tienen fondos y realmente los invierten en el desarrollo ininterrumpido de amenazas reales, es decir, Actualice constantemente las bases de datos de recursos potencialmente peligrosos, brinde soporte ininterrumpido para soluciones, etc.

Muchos socios intentarán venderle soluciones que les resulte rentable vender, por lo que el precio de una solución no siempre se corresponde con su capacidad real para resistir amenazas. Personalmente, recomiendo consultar los materiales de los think tanks independientes para elegir un dispositivo, por ejemplo, los informes de NSS Labs. En mi opinión, son más precisos e imparciales.

Además de las amenazas externas, sus recursos pueden ser atacados desde adentro. El llamado "mínimo seguro" que debe usarse en su red de área local es su segmentación en VLAN, es decir. redes privadas virtuales. Además de la segmentación, se requiere la aplicación obligatoria de políticas de acceso entre ellos al menos por medio de listas de acceso estándar (ACL), porque la mera presencia de una VLAN en la lucha contra las amenazas modernas no aporta prácticamente nada.

Como recomendación separada, indicaré la conveniencia de usar el control de acceso directamente desde el puerto del dispositivo. Sin embargo, es necesario recordar sobre el perímetro de la red, es decir cuanto más cerca aplique las políticas a los servicios protegidos, mejor. Idealmente, estas políticas deberían aplicarse en los conmutadores de acceso. En tales casos, se recomienda aplicar 4 reglas simples como política de seguridad mínima:

  • mantener todos los puertos inactivos del conmutador administrativamente inhabilitados;
  • no utilice la 1ª VLAN;
  • utilizar listas de filtrado MAC en conmutadores de acceso;
  • utilice el protocolo de inspección ARP.
Una excelente solución sería utilizar los mismos cortafuegos con sistemas de prevención de intrusiones a lo largo de la ruta de transmisión de datos, así como también utilizar arquitectónicamente zonas desmilitarizadas. Es mejor implementar la autenticación del dispositivo conectado usando el protocolo 802.1x, usando varios sistemas AAA (sistemas de autenticación, autorización y contabilidad) para el control de acceso a la red centralizado. Estas soluciones se conocen comúnmente como NAC (Network Access Control), que es común entre los fabricantes. Un ejemplo de uno de estos sistemas comerciales es Cisco ISE.



Además, los ciberdelincuentes pueden atacar canales. Se debe utilizar un cifrado fuerte para proteger los canales. Muchos lo descuidan y luego pagan el precio por las consecuencias. Los canales desprotegidos no solo son información disponible para el robo, sino también la capacidad de atacar casi todos los recursos corporativos. Nuestros clientes han tenido un número considerable de precedentes en la práctica cuando se realizaron ataques a la telefonía corporativa organizando la comunicación a través de canales de transmisión de datos desprotegidos entre las oficinas centrales y remotas (por ejemplo, simplemente usando túneles GRE). ¡Las empresas recibieron facturas locas!

¿Qué puede decirnos sobre las redes inalámbricas y BYOD?

Me gustaría destacar el tema del trabajo remoto, las redes inalámbricas y el uso de mis propios dispositivos por separado. Según mi propia experiencia, estas tres cosas son uno de los mayores agujeros de seguridad potenciales en su empresa. Pero también son una de las mayores ventajas competitivas.

En resumen, recomiendo prohibir completamente el uso de redes inalámbricas, trabajar de forma remota o trabajar a través de sus propios dispositivos móviles, motivando esto con reglas corporativas, o brindar estos servicios con los más elaborados en términos de seguridad, sobre todo porque las soluciones modernas brindan una oportunidad para hazlo en su mejor momento.

En términos de trabajo remoto, los mismos firewalls de próxima generación o dispositivos UTM pueden ayudarlo. Nuestra práctica muestra que hay una serie de soluciones estables (entre ellas, Cisco, Checkpoint, Fortinet, Citrix) que permiten trabajar con varios dispositivos cliente, al tiempo que garantizan los más altos estándares para identificar a un empleado remoto. Por ejemplo, el uso de certificados, autenticación de dos factores, contraseñas de un solo uso entregadas a través de SMS o generadas en una clave especial. También puede controlar el software instalado en el equipo desde el que se intenta acceder, por ejemplo, para la instalación de las actualizaciones adecuadas o la ejecución de antivirus.

La seguridad Wi-Fi es un tema que merece un artículo aparte. En este post intentaré dar las recomendaciones más importantes. Si está construyendo una red Wi-Fi corporativa, asegúrese de analizar todos los posibles aspectos de seguridad asociados con ella.

Por cierto, el Wi-Fi es un ingreso completamente separado para nuestra empresa. Los tratamos de manera profesional: los proyectos de equipamiento de plazas y centros comerciales, centros de negocios, almacenes con equipos inalámbricos, incluyendo el uso de soluciones modernas como el posicionamiento, se llevan a cabo en nuestra modalidad non-stop. Y de acuerdo con los resultados de nuestras encuestas de radio, en cada segunda oficina y almacén encontramos al menos un enrutador Wi-Fi doméstico, que los propios empleados conectaron a la red. Por lo general, lo hacen por su propia conveniencia del trabajo, por ejemplo, van a la sala de fumadores con una computadora portátil o se mueven libremente dentro de la habitación. Está claro que no se aplicaron reglas de seguridad corporativas en dichos enrutadores y las contraseñas se distribuyeron a colegas conocidos, luego a colegas de colegas, luego a invitados que vinieron a tomar un café y, como resultado, casi todos tuvieron acceso a la información corporativa. red, mientras que era absolutamente incontrolable.

Por supuesto, vale la pena proteger la red de la conexión de dicho equipo. Las principales formas de hacer esto pueden ser: usar autorización en puertos, filtrado por MAC, etc. Nuevamente, desde el punto de vista de Wi-Fi, se deben usar algoritmos criptográficos sólidos y métodos de autenticación empresarial para la red. Sin embargo, debe entenderse que no todos los métodos de autenticación empresarial son igualmente útiles. Por ejemplo, los dispositivos Android en algunas versiones de software pueden ignorar de forma predeterminada el certificado de Wi-Fi público, lo que hace posible los ataques gemelos malvados. Si se utiliza un método de autenticación, como EAP GTC, la clave se transmite en él en texto sin cifrar y puede ser interceptada por completo en el ataque especificado. Recomendamos usar solo autenticación de certificado en redes corporativas, es decir, Estos son métodos TLS, pero tenga en cuenta que aumenta significativamente la carga para los administradores de red.

Hay otra forma: si el trabajo remoto se implementa en la red corporativa, los dispositivos conectados a través de Wi-Fi también pueden verse obligados a usar el cliente VPN. Es decir, para asignar el segmento de la red Wi-Fi a un área inicialmente no confiable y, como resultado, obtendrá una buena opción de trabajo con la minimización de los costos de administración de la red.

Los proveedores de Wi-Fi empresarial como Cisco, Ruckus, ahora Brocade, Aruba, ahora HPE, además de las soluciones Wi-Fi estándar, brindan una gama de servicios para monitorear automáticamente la seguridad del entorno inalámbrico. Es decir, cosas como WIPS (sistema inalámbrico de prevención de intrusiones) les funcionan bastante. Estos fabricantes han implementado sensores inalámbricos que pueden monitorear todo el espectro de frecuencias, lo que hace posible rastrear automáticamente amenazas bastante serias.

Ahora vamos a tocar temas como BYOD (Traiga su propio dispositivo) y MDM (Administración de dispositivos móviles). Por supuesto, cualquier dispositivo móvil que almacene datos corporativos o tenga acceso a la red corporativa es una fuente potencial de problemas. El tema de la seguridad de dichos dispositivos se refiere no solo al acceso seguro a la red corporativa, sino también a la gestión centralizada de políticas de los dispositivos móviles: teléfonos inteligentes, tabletas, computadoras portátiles que se utilizan fuera de la organización. Este tema ha sido relevante durante mucho tiempo, pero solo ahora hay soluciones realmente funcionales en el mercado que le permiten administrar una flota diversa de equipos móviles.

Lamentablemente, no será posible hablar de ellos en el marco de este post, pero sepa que hay soluciones y en el último año hemos experimentado un boom en la implementación de soluciones MDM de Microsoft y MobileIron.

Hablaste de "seguridad al mínimo", ¿qué es entonces "seguridad al máximo"?

En un momento, una imagen fue popular en Internet: se recomendó instalar firewalls de fabricantes conocidos uno por uno para proteger la red. De ninguna manera le instamos a que haga lo mismo, pero, sin embargo, hay algo de verdad aquí. Será extremadamente útil tener un dispositivo de red con análisis de firmas de virus, por ejemplo, de SOFOS, y ya instalar un antivirus de Kaspersky Lab en los lugares de trabajo. Así, obtenemos dos sistemas de protección contra códigos maliciosos que no interfieren entre sí.

Hay una serie de herramientas especializadas en seguridad de la información:

DLP. Existen en el mercado herramientas de seguridad de la información especializadas, es decir, desarrolladas y orientadas a solucionar una amenaza concreta. Actualmente, los sistemas de prevención de pérdida de datos o DLP (Data Loss Prevention) se están volviendo populares. Funcionan tanto a nivel de red, integrándose en el medio de transmisión de datos, como directamente en servidores de aplicaciones, estaciones de trabajo y dispositivos móviles.

Nos estamos alejando un poco del tema de la red, pero la amenaza de fuga de datos siempre existirá. En particular, estas soluciones se vuelven relevantes para las empresas donde la pérdida de datos conlleva riesgos y consecuencias comerciales y de reputación. Incluso hace 5 años, la implementación de sistemas DLP era algo difícil debido a su complejidad y la necesidad de un proceso de desarrollo para cada caso específico. Por lo tanto, debido a su costo, muchas empresas abandonaron estas soluciones o escribieron las suyas propias. Actualmente, los sistemas de mercado se han desarrollado lo suficiente, por lo que toda la funcionalidad de seguridad necesaria se puede obtener de inmediato.

En el mercado ruso, los sistemas comerciales están representados principalmente por el fabricante Infowatch (a continuación se muestra una imagen de este fabricante sobre cómo presentan su solución en una gran empresa) y el bastante conocido MacAfee.

WAF. En vista del desarrollo de los servicios de comercio por Internet, y esto es la banca por Internet, el dinero electrónico, el comercio electrónico, los servicios de seguros, etc., recientemente se han demandado herramientas especializadas para proteger los recursos web. A saber, WAF - Firewall de aplicaciones web.

Este dispositivo le permite repeler ataques dirigidos a vulnerabilidades del propio sitio. Además de los ataques DoS selectivos, cuando un sitio es suprimido por solicitudes legítimas, estos pueden ser ataques de inyección SQL, secuencias de comandos entre sitios, etc. Cuestan mucho dinero. Por ejemplo, el costo de una solución funcional comenzó en $ 100,000. Ahora en el mercado hay una gran cantidad de soluciones de fabricantes reconocidos (Fortinet, Citrix, Positive Technologies), de las cuales puede obtener una solución funcional para proteger su sitio por un dinero bastante razonable (3-5 veces menos que el anterior cantidad indicada).

Auditoría. Las organizaciones, especialmente aquellas que abogan por su propia seguridad, están implementando herramientas de auditoría automatizadas. Estas soluciones son caras, pero permiten incorporar una serie de funciones de administrador al campo de la automatización, que es muy demandado por las grandes empresas. Estas soluciones escanean constantemente la red y auditan todos los sistemas operativos y aplicaciones instalados en busca de agujeros de seguridad conocidos, actualizaciones oportunas y cumplimiento de las políticas corporativas. Probablemente, las soluciones más famosas en esta área, no solo en Rusia, sino en todo el mundo, son productos de Positive Technologies.

SIEM. Similar a las soluciones SIEM. Estos son sistemas diseñados para detectar situaciones de emergencia relacionadas específicamente con eventos relacionados con la seguridad. Incluso un conjunto estándar de un par de firewalls, una docena de servidores de aplicaciones y miles de estaciones de trabajo pueden generar decenas de miles de alertas al día. Si tiene una gran empresa y tiene docenas de dispositivos fronterizos, entonces es simplemente imposible comprender los datos recibidos de ellos en modo manual. La automatización del control sobre los registros recopilados de todos los dispositivos simultáneamente permite que los administradores y el personal de seguridad de la información actúen de inmediato. Las soluciones SIEM de Arсsight (incluidas en los productos HPE) y Q-RADAR (incluidas en los productos IBM) son bastante conocidas en el mercado.

Y finalmente: ¿qué consejo puede dar a quienes están seriamente comprometidos con la organización de la protección de sus recursos de TI?

Por supuesto, al organizar la seguridad informática de una empresa, no se deben olvidar las regulaciones administrativas. Los usuarios y administradores deben tener en cuenta que las unidades flash encontradas no se pueden usar en una computadora, al igual que no pueden hacer clic en enlaces dudosos en letras o abrir archivos adjuntos dudosos. Es muy importante decir y explicar qué enlaces y adjuntos no están verificados. De hecho, no todo el mundo entiende que no es necesario almacenar las contraseñas en pegatinas pegadas al monitor o teléfono, que es necesario aprender a leer las advertencias que se escriben al usuario de la aplicación, etc. Debe explicar a los usuarios qué es un certificado de seguridad y qué significan los mensajes asociados a él. En general, es necesario tener en cuenta no solo el aspecto técnico del problema, sino también inculcar una cultura de uso de los recursos de TI corporativos por parte de los empleados.
Espero que hayas encontrado esta gran publicación interesante y útil.

La identificación / autenticación (IA) de los operadores debe realizarse en el hardware antes de la etapa de arranque del sistema operativo. Las bases de datos de AI deben almacenarse en la memoria no volátil de los sistemas de seguridad de la información (SSS), organizadas de manera que el acceso a ellas mediante una PC sea imposible, es decir. La memoria no volátil debe ubicarse fuera del espacio de direcciones de la PC.

La identificación / autenticación de usuarios remotos, como en el caso anterior, requiere implementación de hardware. La autenticación es posible de varias formas, incluida una firma digital electrónica (EDS). El requisito de "autenticación fuerte" se vuelve obligatorio, es decir repetición periódica del procedimiento en el proceso de trabajo a intervalos de tiempo, lo suficientemente pequeños como para que al superar la protección, el atacante no pueda causar daños tangibles.

2. Protección de equipos técnicos de NSD

Los medios para proteger las computadoras de la manipulación se pueden dividir en cerraduras electrónicas (EZ) y módulos de hardware de carga confiable (AMDZ). Su principal diferencia es la forma de implementar el control de integridad. Las cerraduras electrónicas realizan procedimientos de usuario de I / A de hardware, utilizan software externo para realizar procedimientos de control de integridad. El hardware de ASGM implementa tanto funciones EZ como funciones de control de integridad y funciones de administración.

Control de la integridad de la composición técnica de PC y LAN. El controlador SZI debe realizar el control de integridad de la composición técnica de la PC antes de cargar el sistema operativo. Esto debería controlar todos los recursos que (potencialmente) se pueden compartir, incluida la CPU, el BIOS del sistema, los disquetes, los discos duros y los CD-ROM.

La integridad de la composición técnica de la LAN debe garantizarse mediante el procedimiento de autenticación de red mejorado. El procedimiento debe realizarse en la etapa de conexión de las PC probadas a la red y luego a intervalos predeterminados por el administrador de seguridad.

Control de integridad del sistema operativo, es decir El controlador debe realizar el control de integridad de las áreas del sistema y los archivos del sistema operativo antes de cargar el sistema operativo para garantizar que se lean los datos reales. Dado que se pueden utilizar varios sistemas operativos en la gestión de documentos electrónicos, el software integrado en el controlador debe proporcionar servicio a los sistemas de archivos más populares.

Control de integridad del software y los datos de la aplicación. puede ser realizado por componentes de hardware y software del sistema de seguridad de la información.

3. Diferenciación del acceso a documentos, recursos de PC y la red.

Los sistemas operativos modernos contienen cada vez más control de acceso integrado. Normalmente, estas herramientas utilizan las características de un sistema de archivos (FS) en particular y se basan en atributos asociados con uno de los niveles de API del sistema operativo. En este caso, surgen inevitablemente los dos problemas siguientes.


Vinculante a las peculiaridades del sistema de archivos. En los sistemas operativos modernos, por regla general, no se utilizan uno, sino varios sistemas de archivos, tanto nuevos como obsoletos. Por lo general, el control de acceso integrado en el sistema operativo funciona en un nuevo sistema de archivos, pero es posible que no funcione en el antiguo, ya que utiliza diferencias significativas en el nuevo sistema de archivos.

Esta circunstancia generalmente no se especifica directamente en el certificado, lo que puede inducir a error al usuario. Con el fin de garantizar la compatibilidad, los FS antiguos en este caso se incluyen en el nuevo sistema operativo.

Enlace a la API del sistema operativo. Como regla general, los sistemas operativos cambian muy rápidamente ahora, una vez al año y medio. Es posible que cambien aún más a menudo. Si al mismo tiempo los atributos de control de acceso reflejan la composición de la API, con la transición a la versión moderna del SO será necesario rehacer la configuración del sistema de seguridad, capacitar al personal, etc.

Por lo tanto, se puede formular un requisito general: el subsistema de control de acceso debe imponerse al sistema operativo y, por lo tanto, ser independiente del sistema de archivos. Por supuesto, la composición de los atributos debe ser suficiente para describir la política de seguridad, y la descripción debe realizarse no en términos de la API del sistema operativo, sino en términos en los que los administradores de seguridad del sistema están acostumbrados a trabajar.

4.Protección de documentos electrónicos

La protección de las comunicaciones electrónicas incluye dos clases de tareas:

Asegurar la equivalencia del documento durante su ciclo de vida con el estándar electrónico original;

Asegurar la equivalencia de las tecnologías electrónicas aplicadas a las de referencia.

El propósito de cualquier protección es asegurar la estabilidad de las propiedades especificadas del objeto protegido en todos los puntos del ciclo de vida. La seguridad del objeto se realiza comparando el estándar (el objeto en el punto inicial del espacio y el tiempo) y el resultado (el objeto en el momento de la observación). Por ejemplo, si en el punto de observación (recepción del documento electrónico) solo hay información contextual muy limitada sobre el estándar (el contenido del documento electrónico original), pero hay información completa sobre el resultado (el documento observado), entonces esto significa que el documento electrónico debe incluir atributos que confirmen el cumplimiento de los requisitos técnicos y tecnológicos, es decir, la invariabilidad del mensaje en todas las etapas de producción y transporte del documento. Una de las opciones de atributos pueden ser los códigos de seguridad de autenticación (ASC).

Protección del documento cuando se crea. Al crear un documento, se debe generar un código de seguridad de autenticación en el hardware. Se debe excluir la redacción de una copia de un documento electrónico en medios externos antes del desarrollo del PCA. Si el correo electrónico lo genera el operador, entonces el PCA debe estar vinculado al operador. Si ED es generado por el componente de software AS, entonces el PCA debe generarse con referencia a este componente de software.

Protección del documento durante su transferencia. La protección de un documento durante su transmisión a través de canales de comunicación externos (abiertos) debe realizarse sobre la base del uso de medios criptográficos certificados, incluido el uso de una firma digital electrónica (EDS) para cada documento transmitido. También es posible otra opción: un paquete de documentos se firma utilizando un EDS, y cada documento individual está certificado por otro análogo de una firma manuscrita (HSA), por ejemplo, PCA.

Protección de un documento durante su procesamiento, almacenamiento y ejecución. En estas etapas, la protección del documento se lleva a cabo utilizando dos PCA: entrada y salida para cada etapa. En este caso, el PCA debe generarse en hardware con la vinculación del PCA al procedimiento de procesamiento (etapa de tecnología de la información). Para el documento recibido (con PCA y EDS), se genera un segundo PCA y solo entonces se elimina el EDS.

Protección de un documento al acceder a él desde el entorno externo. La protección de documentos al acceder a ellos desde el entorno externo incluye dos mecanismos ya descritos: identificación / autenticación de usuarios remotos y diferenciación de acceso a documentos, PC y recursos de red.

5. Protección de datos en canales de comunicación

Tradicionalmente, para proteger los datos en un canal de comunicación, se utilizan codificadores de canal y no solo se transmiten datos, sino también señales de control.

6. Protección de la tecnología de la información

A pesar de las conocidas similitudes, los mecanismos de protección de los datos electrónicos en sí mismos como objeto (número, datos) y la protección de los datos electrónicos como proceso (función, entorno informático) son radicalmente diferentes. En la protección de la tecnología de la información, a diferencia de la protección de los datos electrónicos, las características de la tecnología de referencia requerida se conocen de manera confiable, pero hay información limitada sobre el cumplimiento de estos requisitos por la tecnología realmente utilizada, es decir. el resultado. El único objeto que puede transportar información sobre la tecnología real (como una secuencia de operaciones) es el propio ED, o más bien los atributos incluidos en él. Como antes, uno de los tipos de estos atributos puede ser PCA. La equivalencia de tecnologías se puede establecer con mayor precisión cuanto más operaciones funcionales se adjuntan al mensaje a través del PCA. En este caso, los mecanismos no difieren de los utilizados para la protección de documentos electrónicos. Además, se puede suponer que la presencia de un PCA específico caracteriza la presencia de una operación correspondiente en el proceso tecnológico, y el valor de PCA caracteriza la integridad del mensaje en esta etapa del proceso tecnológico.

7. Diferenciación del acceso a los flujos de datos.

Con el fin de diferenciar el acceso a los flujos de datos, por regla general, se utilizan enrutadores que utilizan medios de protección criptográficos. En tales casos, se presta especial atención al sistema de claves y la confiabilidad del almacenamiento de claves. Los requisitos de acceso para la delimitación de flujos difieren de aquellos para la delimitación del acceso a archivos y directorios. Aquí solo es posible el mecanismo más simple: se permite o deniega el acceso.

El cumplimiento de los requisitos enumerados proporciona un nivel suficiente de seguridad para los documentos electrónicos como el tipo más importante de mensajes procesados ​​en los sistemas de información.

Como medio técnico para proteger la información, se ha desarrollado un módulo de hardware para carga confiable (ASMD), que proporciona carga de SO, independientemente de su tipo, para un usuario autenticado por un mecanismo de seguridad. Los resultados del desarrollo del sistema de protección de datos de NSD "Akkord" (el desarrollador de OKB CAD) se producen en serie y son hoy en día el medio más famoso para proteger las computadoras del acceso no autorizado en Rusia. Durante el desarrollo se utilizó la especificidad del área de aplicación, reflejada en la familia de herramientas hardware para proteger la información en el flujo de documentos electrónicos, que utilizan códigos de autenticación (CA) en varios niveles. Veamos algunos ejemplos de uso de hardware.

1. En las máquinas de caja registradora (KKM), las CA se utilizan como un medio para autenticar cheques como uno de los tipos de documentos electrónicos. Cada caja registradora debe estar equipada con un bloque de memoria fiscal inteligente (FP) que, además de las funciones de acumulación de datos sobre los resultados de ventas, realiza una serie de otras funciones:

Proporciona protección del software y los datos de KKM contra la manipulación;

Genera códigos de autenticación tanto para la caja registradora como para cada cheque;

Admite una interfaz típica para interactuar con el módulo del inspector de impuestos;

Proporciona la recuperación de datos fiscales para enviarlos a la oficina de impuestos simultáneamente con el balance.

El bloque elaborado FP "Akkord-FP" es fabricado en base a SZI "Akkord". Se caracteriza por las siguientes características:

Las funciones del DSS NSD están integradas con las funciones del FP;

Como parte del bloque FP, también hay registros KKM no volátiles;

Los procedimientos del módulo de inspector de impuestos también están integrados como parte integral del bloque "Accord-FP".

2. En el sistema de monitoreo de la integridad y validación de documentos electrónicos (SKTsPD) en el sistema automatizado del nivel federal o regional, la diferencia fundamental es la capacidad de proteger cada documento individual. Este sistema permitió el control sin aumentar significativamente el tráfico. La base para la creación de dicho sistema fue el controlador "Accord-S B / KA", un coprocesador de seguridad de alto rendimiento que implementa las funciones de generación / verificación de códigos de autenticación.

El centro regional de información y computación (RICC) asegura la gestión de la actividad SKTsPD en su conjunto, interactuando con todos los AWPs del SC - los AWPs de los operadores participantes, equipados con los complejos de hardware y software "Akkord-SB / KA" ( A-SB / KA) y software SKTsPD. El RIVC debe incluir dos estaciones de trabajo automatizadas: ARM-K para hacer llaves y ARM-R para preparar la distribución de datos de verificación.

3. Aplicación de códigos de autenticación en los subsistemas de protección tecnológica de datos electrónicos. La base para la implementación del hardware de seguridad de la información puede ser "Accord SB" y "Accord AMDZ" (en términos de protección contra el acceso no autorizado). Los códigos de autenticación se utilizan para proteger tecnologías. Los códigos de autenticación para documentos electrónicos en el subsistema de seguridad de tecnología de la información se generan y verifican en los servidores de códigos de autenticación (SCA) utilizando tablas de claves (tablas de validez) almacenadas en la memoria interna de los coprocesadores Akkord-SB instalados en el SCA. Las tablas de validez, cerradas con claves de entrega, se entregan al SCA y se cargan en la memoria interna de los coprocesadores, donde se expanden. Las claves de entrega se generan y registran en una estación de trabajo automatizada especializada ARM-K y se cargan en coprocesadores en la etapa inicial del proceso de personalización.

La experiencia de la aplicación práctica a gran escala de más de 100 000 módulos de protección de hardware del tipo "Accord" en los sistemas informáticos de varias organizaciones en Rusia y países vecinos muestra que el enfoque en la solución de software y hardware se eligió correctamente, ya que tiene grandes oportunidades para un mayor desarrollo y mejora.

conclusiones

Subestimar los problemas de seguridad de la información puede provocar un daño enorme.

El crecimiento de los delitos informáticos obliga a las personas a cuidar la seguridad de la información.

La operación en la práctica rusa del mismo tipo de software y hardware masivo (por ejemplo, computadoras personales compatibles con IBM; sistemas operativos - Windows, Unix, MS DOS, Netware, etc.) crea condiciones para los intrusos hasta cierto punto.

La estrategia para construir un sistema de seguridad de la información debe basarse en soluciones integradas, en la integración de tecnologías de la información y sistemas de seguridad, en el uso de técnicas y herramientas avanzadas, en tecnologías universales para proteger la información de tipo industrial.

Preguntas para el autocontrol

1. Nombre los tipos de amenazas a la información, dé una definición de la amenaza.

2. ¿Cuáles son las formas de proteger la información?

3. Describa el control de acceso como una forma de proteger la información. ¿Cuál es su papel y significado?

4. ¿Cuál es el propósito de los métodos criptográficos de protección de la información? Ponlos en una lista.

5. Dar el concepto de autenticación y firma digital. Cual es su esencia?

6. Discutir los problemas de protección de la información en redes y las posibilidades de su resolución.

7. Ampliar las características de la estrategia de seguridad de la información utilizando un enfoque sistemático, soluciones integradas y el principio de integración en la tecnología de la información.

8. Enumere las etapas de la creación de sistemas de seguridad de la información.

9. ¿Qué medidas se requieren para implementar la protección técnica de las tecnologías de gestión de documentos electrónicos?

10. ¿Cuál es la esencia del método multiplicativo?

11. ¿Qué procedimientos se deben seguir para proteger el sistema de gestión de documentos electrónicos?

12. ¿Qué funciones realiza el cortafuegos?

Pruebas para Ch. 5

Inserta los conceptos y frases que faltan.

1. Los eventos o acciones que pueden dar lugar a un uso no autorizado, distorsión o destrucción de información se denominan ...

2. Entre las amenazas a la seguridad de la información, conviene distinguir dos tipos: ...

3. Los tipos enumerados de contrarrestar las amenazas a la seguridad de la información: obstáculo, control de acceso, cifrado, regulación, coerción e inducción se refieren a ... seguridad de la información.

4. Los siguientes métodos para contrarrestar las amenazas a la seguridad: físico, hardware, software, organizativo, legislativo, moral y ético, físico se refieren a ... garantizar la seguridad de la información.


5. Los métodos criptográficos para proteger la información se basan en su ...

6. Asignar una designación única a un usuario para confirmar su cumplimiento se llama ...

7. La autenticación de un usuario para verificar su cumplimiento se llama ...

8. La mayor amenaza para las redes corporativas está asociada con:

a) con la heterogeneidad de los recursos y tecnologías de la información;

b) con software y hardware;

c) con fallas en los equipos. Selecciona las respuestas correctas.

9. El nivel racional de seguridad de la información en las redes corporativas se selecciona principalmente en base a consideraciones:

a) especificar métodos de protección;

b) viabilidad económica;

c) estrategias de defensa.

10. Un programa residente en la memoria que reside en la memoria de la computadora y controla las operaciones relacionadas con el cambio de información en los discos magnéticos se llama:

a) un detector;

c) un vigilante;

d) un auditor.

11. Las herramientas antivirus están diseñadas para:

a) probar el sistema;

b) proteger el programa de un virus;

c) analizar programas en busca de virus y tratarlos;

d) monitorear el sistema.