Menu
Jest wolny
Zameldować się
główny  /  Oprogramowanie / 1 Podłączony jest najwyższe zagrożenie dla sieci korporacyjnych. Dlaczego ochrona obwodowa sieci korporacyjnej nie działa już

1 Największe zagrożenie dla sieci korporacyjnych jest podłączony. Dlaczego ochrona obwodowa sieci korporacyjnej nie działa już

Systemy informacyjne, w których narzędzia transferu danych należą do jednej firmy są wykorzystywane wyłącznie do potrzeb tej firmy, jest zwyczajowo nazwać siecią sieci komputerowej firmy Enterprise (COP). COP jest wewnętrzną prywatną siecią organizacji, która łączy zasoby komputerowe, komunikacyjne i informacyjne w tej organizacji oraz przeznaczone do przesyłania danych elektronicznych, w których wszelkie informacje mogą działać, w ten sposób na podstawie powyższego, można powiedzieć, że w glinie jest zdefiniowany Specjalna polityka opisująca używana sprzęt i oprogramowanie, zasady otrzymywania użytkowników do zasobów sieciowych, zasad zarządzania siecią, zarządzaniem zasobami i dalszy rozwój sieć. Sieć korporacyjna to sieć oddzielnej organizacji.

Kilka podobna definicja może być formułowana na podstawie koncepcji sieci korporacyjnej Olifer V.G. I Olifer n.d. " Sieć komputerowa: Zasady, technologie, protokoły ": Każda organizacja jest kombinacją elementów interakcji (dywizji), z których każdy może mieć własną strukturę. Elementy są funkcjonalnie połączone, tj. Wykonują pewne rodzaje pracy w ramach jednolitego procesu biznesowego, a także informacje, wymiana dokumentów, faksów, napisanych i ustnych zamówień itp. Ponadto elementy te współdziałają z systemami zewnętrznymi, a ich interakcja może być również informacyjna i funkcjonalna. A ta sytuacja jest ważna dla prawie wszystkich organizacji, bez względu na działalność, której nie zrobili - dla agencji rządowej, banku, przedsiębiorstwa przemysłowego, firmy handlowej itp.

Taki ogólny pogląd organizacji pozwala sformułować niektóre ogólne zasady budowy systemów informacyjnych, tj. Systemy informacyjne na skali całej organizacji.

Sieć korporacyjna to system, który dostarcza informacji przekazujących informacje między różnymi aplikacjami stosowanymi w systemie Corporation. Sieć korporacyjna jest uważana za dowolną sieć pracującą na protokole TCP / IP i przy użyciu standardów komunikacyjnych, a także aplikacje usługowe, które zapewniają dane do użytkowników sieci. Na przykład przedsiębiorstwo może tworzyć serwer WWW do publikowania reklam, harmonogramów produkcji i innych dokumentów serwisowych. Otwieracze przeprowadzają dostęp do niezbędnych dokumentów za pomocą przeglądania stron internetowych.

Serwery internetowe Sieć korporacyjna może zapewnić użytkownikom usługi, podobne usługi Internet, taki jak praca z stronami hipertekstowymi (zawierającą tekst, hiperłącza, graficzne obrazy oraz nagrywanie), dostarczanie niezbędnych zasobów na żądaniach klientów internetowych, a także dostęp do baz danych. W tym podręczniku wszystkie usługi publikowane są nazywane "Usługi internetowe" niezależnie od tego, gdzie są używane (w Internecie lub sieci korporacyjnej).

Sieć korporacyjna jest zwykle dystrybuowana geograficznie, tj. Ujednolicenie biura, podziały i inne struktury, które mają znaczną odległość od siebie. Zasady, na których zbudowana jest sieć korporacyjna, jest zupełnie inna niż używana podczas tworzenia lokalna sieć. Ograniczenie to jest fundamentalne, a przy projektowaniu sieci korporacyjnej należy podjąć wszystkie środki w celu zminimalizowania ilości przesyłanych danych. Reszta z tego samego, sieć korporacyjna nie powinna zawierać ograniczeń na temat tego, co dokładnie aplikacje i sposobem obsługi informacji przez niego. Charakterystyczną cechą takiej sieci jest to, że posiada wyposażenie różnych producentów i pokoleń, a także niejednorodne oprogramowanie, które nie jest pierwotnie zorientowane na wspólne przetwarzanie danych.

Aby połączyć użytkowników zdalnych do sieci korporacyjnej, najłatwiejszą i najbardziej przystępną opcją jest korzystanie z telefonu. Gdzie może być używany przez sieci ISDN. Aby połączyć węzły sieciowe w większości przypadków, wykorzystywane są globalne sieci transmisji danych. Nawet jeśli układanie wybranych linii jest możliwe (na przykład w jednym mieście), stosowanie technologii przełączania wsadowego pozwala zmniejszyć liczbę niezbędnych kanałów komunikacyjnych i jest ważny - aby zapewnić zgodność systemu z istniejącymi sieciami globalnymi.

Podłączenie sieci korporacyjnej do Internetu jest uzasadnione, jeśli potrzebujesz dostępu do odpowiednich usług. W wielu dziełach jest to opinia na temat łączenia się z Internet-Y: Użyj Internetu jako środowisko transferu danych tylko wtedy, gdy inne sposoby nie są dostępne i rozważania finansowe przewyższają wymagania niezawodności i bezpieczeństwa. Jeśli korzystasz z Internetu tylko jako źródło informacji, lepiej jest korzystać z technologii połączeń "Dial-On-Demand", tj. W ten sposób podłączenie, gdy połączenie z węzłem internetowym jest zainstalowany tylko na inicjatywie i w momencie potrzeby. To ostro zmniejsza ryzyko nieautoryzowanej penetracji do sieci z zewnątrz.

Aby przenieść dane w sieci korporacyjnej, warto również korzystać z wirtualnych kanałów sieci przełączających pakiet. Głównymi zaletami tego podejścia są wszechstronność, elastyczność, bezpieczeństwo

W wyniku studiowania struktury sieci informacyjnych (IP) i technologii przetwarzania danych opracowywa się koncepcja IP bezpieczeństwa informacyjnego. Koncepcje odzwierciedlają następujące atrakcje:

  • 1) Organizacja sieci organizacji
  • 2) istniejące zagrożenia bezpieczeństwa informacji, możliwość ich wdrażania i szacunkowe szkody z tej realizacji;
  • 3) organizacja przechowywania informacji w OD;
  • 4) organizacja przetwarzania informacji;
  • 5) regulacja tolerancji personelu na jedną informację lub inne informacje;
  • 6) odpowiedzialność personelu za bezpieczeństwo.

Rozwijanie tego tematu, w oparciu o koncepcję bezpieczeństwa informacji powyżej Powyższy program bezpieczeństwa proponuje się, której struktura powinna spełniać następujące warunki:

Ochrona przed nieautoryzowaną penetracją do sieci korporacyjnej i możliwość wycieku informacji o kanałach komunikacyjnych.

Wynagrodzenie przepływów informacji między segmentami sieciowymi.

Ochrona krytycznych zasobów sieciowych.

Ochrona kryptograficzna zasobów informacyjnych.

Aby uzyskać szczegółowe uwzględnienie powyższych warunków bezpieczeństwa, wskazane jest, aby uzyskać opinię: proponuje się ochrona przed nieautoryzowaną penetracją i informacjami o wycieku firewall. lub firewalle. W rzeczywistości firewall jest bramą, która wykonuje funkcje ochrony sieci z nieautoryzowanego dostępu z zewnątrz (na przykład z innej sieci).

Trzy rodzaje ogniach rozróżniających:

Brama aplikacji VATEWAY VATERAWA APLIKAGE jest często określana jako serwer proxy (serwer proxy) - wykonuje funkcje przekaźnika danych dla ograniczonej liczby aplikacji użytkownika. Oznacza to, że jeśli brama nie organizuje wsparcia dla konkretnego zastosowania, odpowiednia usługa nie jest podana, a dane odpowiedniego typu nie mogą przejść przez zaporę.

Router składany. Router filtrujący. Dokładniej, jest to router, który zawiera filtrowanie pakietów (router filtrujący pakiet). Używany w sieciach przełączanych pakietami w trybie Datagram. Oznacza to, że w tych technologiach transferowych technologii w sieciach komunikacyjnych, w których brakuje płaszczyzny alarmowej (wstępne ustanowienie połączenia między UI i UE) (na przykład IP V4). W takim przypadku podejmowanie decyzji w sprawie transmisji otrzymanego pakietu danych w sieci opiera się na wartościach swoich pól nagłówka. poziom transportu.. Dlatego to typ zapory są zazwyczaj wdrażane jako lista reguł stosowanych do wartości pól nagłówka nagłówka ruchu.

Brama przełączająca. Brama na poziomie przełączania - ochrona jest zaimplementowana w płaszczyźnie sterującej (na poziomie alarmu) według rozdzielczości lub zakazania tych lub innych połączeń.

Szczególne miejsce podaje się do ochrony kryptograficznej zasobów informacyjnych w sieciach korporacyjnych. Ponieważ szyfrowanie jest jednym z najbardziej niezawodnych sposobów ochrony danych przed nieautoryzowaną zapoznaniem. Cechą wykorzystania funduszy kryptograficznych jest sztywna regulacja legislacyjna. Obecnie w sieciach korporacyjnych są instalowane tylko w tych miejscach pracy, w których przechowywane są informacje, które ma bardzo wysoki poziom ważności.

Tak więc zgodnie z klasyfikacją środków ochrony kryptograficznej zasobów informacyjnych w sieciach korporacyjnych, są one podzielone na:

Cryptosystems z jednym kluczem, często nazywają się tradycyjnym, symetrycznym lub jednym kluczem. Użytkownik tworzy otwarty komunikat, którego elementy są symbolami końcowego alfabetu. Generowany jest klucz szyfrowania, aby szyfrować otwartą wiadomość. Za pomocą algorytmu szyfrowania powstaje zaszyfrowana wiadomość.

Model modelu zapewnia, że \u200b\u200bklucz szyfrowania jest generowany w tym samym miejscu, w którym sama wiadomość. Jednak możliwe jest, aby inny klucz do utworzenia klucza - klucz szyfrowania jest tworzony przez stronę trzecią (centrum dystrybucji kluczy), który jest zaufany przez obu użytkowników. W tym przypadku strona trzecia ponosi odpowiedzialność za dostawę klucza do obu użytkowników. Ogólnie rzecz biorąc, ta decyzja jest sprzeczna z samą istotą kryptografii - zapewnienie tajemnicy przesyłanych informacji o użytkowniku.

Kryptosystemy z jednym kluczem wykorzystują zasady podstawienia (wymiany), permutacji (transpozycji) i kompozycji. Po podstawianiu pojedynczych otwartych wiadomości są zastępowane przez inne znaki. Szyfrowanie przy użyciu zasady permutacja obejmuje zmianę procedury dla następujących znaków w otwartej wiadomości. W celu poprawy niezawodności szyfrowania, szyfrowana wiadomość uzyskana przy użyciu niektórych szyfr można ponownie zaszyfrować za pomocą innego szyfru. Mówi się, że w tym przypadku zastosowano podejście kompozytowe. W związku z tym, symetryczne kryptosystemy (z jednym kluczem) można sklasyfikować w systemach, które stosują szyfry podstawowe, permutacji i kompozycji.

Otwórz kluczowy kryptosystem. Odbywa się tylko. Użytkownicy w szyfrowaniu i deszyfrowaniu używają różnych kluczy KO i KZ. Ten kryptosystem jest asymetryczny, z dwoma kluczami lub otwartym kluczem.

Odbiorca wiadomości (użytkownik 2) generuje podłączoną parę kluczy:

Ko - klucz otwartyktóry jest publicznie dostępny, a tym samym okazuje się dostępny nadawcą wiadomości (użytkownik 1);

KC jest tajemnicą, kluczowym kluczem, który pozostaje znany tylko odbiorcy wiadomości (użytkownik 1).

Użytkownik 1, mający klucz szyfrowania KO, przy użyciu określonego algorytmu szyfrowania tworzy zaszyfrowany tekst.

Użytkownik 2, posiadający tajny klucz KC, ma zdolność do wykonywania odwrotnego efektu.

W tym przypadku użytkownik 1 przygotowuje wiadomość do użytkownika 2 i szyfruje ten komunikat przed wysłaniem z komputerem. Użytkownik 2 może odszyfrować tę wiadomość za pomocą klucza publicznego KO. Ponieważ komunikat został zaszyfrowany przez kluczowy klucz nadawcy, może działać jako podpis cyfrowy. Ponadto w tym przypadku niemożliwe jest zmianę wiadomości bez dostępu do klucza osobistego użytkownika 1, więc komunikat rozwiązuje również zadania identyfikacji nadawcy i integralności danych.

Wreszcie, chciałbym powiedzieć, że dzięki instalacji narzędzi ochrony kryptograficznej możliwe jest niezawodnie chronić miejsca pracy pracownika organizacyjnego, który bezpośrednio współpracuje z informacjami, które mają szczególne znaczenie dla istnienia tej organizacji, od nieautoryzowanego dostępu.

Sposoby ochrony informacji w przedsiębiorstwie, a także sposoby zdobycia, stale się zmieniają. Regularnie pojawiają nowe oferty od firm świadczących usługi ochrony informacji. Panacea z pewnością nie jest, ale istnieje kilka podstawowych kroków w celu zbudowania ochrony systemu informacyjnego przedsiębiorstwa, które musisz zwrócić uwagę.

Wiele z pewnością znajomy pojęcie głębokiej ochrony przed hakowaniem sieć informacyjna. Główną ideą jest użycie kilku poziomów obrony. Pozwoli to na minimum, minimalizują szkody związane z możliwym naruszeniem obwodu bezpieczeństwa systemu informacyjnego.
Następnie rozważ ogólne aspekty bezpieczeństwa komputera, a także stworzyć pewną listę kontrolną, która służy jako podstawa do budowy podstawowej ochrony systemu informacyjnego przedsiębiorstwa.

1. Firewall (firewall, Brandmaeer)

Firewall lub firewall to pierwsza linia obrony, która spełnia nieuzasadnione gości.
Pod względem kontroli dostępu wyróżnia się następujące typy Brandmaera:

  • W najprostszym przypadku filtrowanie pakietów sieciowych występuje zgodnie z ustalonymi zasadami, tj. Na podstawie adresów źródłowych i przeznaczenia pakietów sieciowych, numerów portów sieciowych;
  • Brandmauer pracujący na poziomie sesji (stanu). Monitoruje aktywne połączenia i odrzuca fałszywe pakiety, które naruszają specyfikacje TCP / IP;
  • Zapora działa na poziomie zastosowanego. Zarządza filtrowania w oparciu o analizę danych aplikacji przesyłanych wewnątrz opakowania.

Zwiększona uwaga na bezpieczeństwo sieci i rozwój e-commerce doprowadziły do \u200b\u200bfaktu, że coraz większą liczbę użytkowników służy do ochrony szyfrowania związków (SSL, VPN). To znacznie utrudnia przeanalizowanie ruchu przechodzącego przez zapory ogniowe. Jak możesz domyślać, te same technologie cieszą się złośliwymi programistami. Wirusy, które korzystają z szyfrowania ruchu stały się praktycznie nie rozróżniane od legalnego ruchu użytkownika.

2. Wirtualne sieci prywatne (VPN)

Sytuacje, w których pracownik potrzebuje dostępu do zasobów firmy z miejsc publicznych (Wi-Fi na lotnisku lub hotelu) lub z domu (sieć domowa pracowników nie kontroluje administratorów) są szczególnie niebezpieczne dla informacji korporacyjnych. Aby je chronić, po prostu konieczne jest użycie zaszyfrowanych tuneli VPN. O dowolnym dostępie do zdalnego pulpitu (RDP) nie może być bezpośrednio bez szyfrowania. To samo dotyczy korzystania z osób trzecich: TeamViewer, Aammy Admin itp. Aby uzyskać dostęp do sieci roboczej. Ruch drogowy za pomocą tych programów jest szyfrowany, ale przechodzi przez deweloperów tego oprogramowania nieokreślone dla Ciebie.

Wady VPN obejmują względną złożoność wdrażania, dodatkowe koszty kluczy uwierzytelniania oraz wzrost przepustowości kanału internetowego. Klucze uwierzytelniające mogą być również zagrożone. Skradzione urządzenia mobilne firmy lub pracowników (laptopy, tabletki, smartfony) z wstępnie skonfigurowanymi parametrami połączenia VPN mogą być potencjalnym otworem dla nieautoryzowanego dostępu do zasobów firmy.

3. Systemy wykrywania i zapobiegania włamaniom (IDS, IPS)

System wykrywania włamań (IDS - angielski: system wykrywania włamań) - oprogramowanie lub sprzęt, zaprojektowany do identyfikacji nieautoryzowanego dostępu system komputerowy (Sieć) lub nieautoryzowane zarządzanie takiemu systemu. W najprostszym przypadku taki system pomaga wykryć skanowanie portów sieciowych systemu lub spróbować wprowadzić serwer. W pierwszym przypadku wskazuje to początkową inteligencję przez atakującego, aw drugiej próbie włamania serwera. Można również wykryć ataki mające na celu zwiększenie przywilejów w systemie, nieautoryzowany dostęp do ważnych plików, a także złośliwego oprogramowania. Zaawansowane przełączniki sieciowe umożliwiają podłączenie systemu wykrywania włamań przy użyciu lusterka portu lub przez dezyntegratory ruchu.

System zapobiegania wtargnieniu (IPS - angielski: system zapobiegania włamaniom) -Program lub system bezpieczeństwa sprzętu, aktywnie blokującej inwazji, gdy są wykryte. W przypadku wykrywania włamań podejrzany ruch sieciowy może być automatycznie zablokowany, a zgłoszenie tego zostało natychmiast wysłane do administratora.

4. Ochrona antywirusowa.

Oprogramowanie antywirusowe jest główną granicą ochrony dla większości nowoczesnych przedsiębiorstw. Według firmy badawczej Gartnera wielkość rynku antywirusowego na 2012 r. Wyniosła 19,14 mld USD. Główni konsumenci - segment średnich i małych przedsiębiorstw.

Przede wszystkim ochrona antywirusowa jest skierowana na urządzenia klienckie i stacje robocze. Wersje działalności antywirusowych obejmują scentralizowane funkcje sterowania do przesyłania urządzeń klienckich, a także możliwość centralnego konfigurowania zasad bezpieczeństwa. Asortyment firm antywirusowych ma wyspecjalizowane rozwiązania dla serwerów.
Biorąc pod uwagę fakt, że większość zakażeń złośliwego oprogramowania występują w wyniku działań użytkownika, pakietów antywirusowych oferuje kompleksowe opcje ochrony. Na przykład ochrona programów pocztowych, czat, sprawdzanie użytkowników odwiedzonych przez użytkowników. Ponadto pakiety antywirusowe coraz częściej obejmują zaporę oprogramowanie, proaktywne mechanizmy ochrony, a także mechanizmy filtrowania spamu.

5. Białe listy

Co reprezentuje "białe listy"? Istnieją dwa główne podejścia do bezpieczeństwa informacji. Pierwsze podejście sugeruje, że w domyślnym systemie operacyjnym uruchomienie dowolnych aplikacji jest dozwolone, jeśli nie zostały wcześniej wprowadzone na "czarnej liście". Drugie podejście, wręcz przeciwnie, sugeruje, że uruchomienie tylko tych programów, które zostały dodane z góry na "białą listę", są dozwolone, a wszystkie inne programy są domyślnie zablokowane. Drugie podejście do bezpieczeństwa jest z pewnością bardziej korzystne w świecie korporacyjnym. Można utworzyć białe listy, zarówno przy użyciu wbudowanych narzędzi systemu operacyjnego, jak i przy użyciu oprogramowania innych firm. Oprogramowanie antywirusowe często oferuje tę funkcję w kompozycji. Większość aplikacji antywirusowych oferujących filtrowanie na białej liście pozwala wydać wstępne ustawienie Bardzo szybko, przy minimalnej uwagi użytkownika.

Jednakże mogą istnieć sytuacje, w których zależności plików programowych z białej listy nie były prawidłowo zdefiniowane przez Ciebie lub oprogramowanie antywirusowe. Doprowadzi to do awarii aplikacji lub jego nieprawidłowej instalacji. Ponadto białe listy są bezsilne do ataków przy użyciu luki w zakresie przetwarzania dokumentów według programu z białej listy. Ponadto należy zwrócić uwagę na najsłabszy związek w każdej ochronie: same personel w pośpiechu mogą zignorować ostrzeżenie o oprogramowaniu antywirusowym i dodać złośliwe oprogramowanie na białą listę.

6. Filtrowanie spamu.

Biuletyny spamu są często używane do przeprowadzania ataków phishingowych używanych do wprowadzenia trojanów lub innych higry do sieci korporacyjnej. Użytkownicy, którzy mają dużą ilość wiadomości e-mail dziennie, bardziej podatni na wiadomości phishingowe. Dlatego zadaniem działu IT firmy jest filtrowanie maksymalnej liczby spamu z całkowitego przepływu e-mail.

Podstawowe sposoby filtrowania spamu:

  • Specjalistyczni dostawcy usług filtrowania spamu;
  • Oprogramowanie do filtrowania spamu na własnych serwerach pocztowych;
  • Specjalistyczne rozwiązania sprzętowe wdrożone w centrum danych korporacyjnych.

7. Wsparcie dla stanu rzeczywistego

Terminowa aktualizacja oprogramowania i stosowanie bieżących poprawek bezpieczeństwa - ważny element ochrony sieci korporacyjnej od nieautoryzowanego dostępu. Producenci oprogramowania, z reguły, nie zapewniają pełna informacja O nowym znalezionym otworze w zakresie bezpieczeństwa. Jednak napastnicy mają wystarczająco dużo i ogólny opis podatności dosłownie kilka godzin po opublikowaniu opisu nowego otworu i patchworku do niego, pisać oprogramowanie, aby obsługiwać tę lukę.
W rzeczywistości jest to dość duży problem dla małych i średnich przedsiębiorstw, ponieważ powszechnie używany jest szeroka gama produktów różnych producentów. Często aktualizacje całego oprogramowania Park nie jest zwrócona uwagi, a to jest praktycznie otwórz okno W systemie bezpieczeństwa przedsiębiorstwa. Obecnie duża kwota jest niezależnie aktualizowana z serwerów producenta i usuwa część problemu. Dlaczego część? Ponieważ serwery producenta można zhakować, a pod mocą aktualizacji prawnych otrzymasz świeżo złośliwe oprogramowanie. A także samych producentów czasami produkują aktualizacje, które naruszają normalne działanie ich oprogramowania. W krytycznych witrynach biznesowych jest niedopuszczalne. Aby zapobiec takich incydentom, wszystkie otrzymały aktualizacje, po pierwsze, należy stosować natychmiast po ich zwolnieniu, po drugie, muszą być starannie przetestowane przed użyciem.

8. Bezpieczeństwo fizyczne.

Bezpieczeństwo fizyczne sieci korporacyjnej jest jednym z najważniejszych czynników, które są trudne do przeceny. Posiadanie fizycznego dostępu do urządzenia sieciowego atakującego, w większości przypadków łatwo będzie dostęp do sieci. Na przykład, jeśli istnieje fizyczny dostęp do przełącznika, a sieć nie filtruje adresów MAC. Chociaż filtrowanie MAC w tym przypadku nie będzie cię uratować. Innym problemem jest kradzież lub niedbały stosunek do dysków twardych po wymianie serwera lub innego urządzenia. Biorąc pod uwagę fakt, że znalezione hasła można rozszyfrować, szafki serwerowe i pokoje lub sprzęt z wyposażeniem muszą zawsze być niezawodnie ogrodzony z penetracji obcych.

Dotknąliśmy tylko jednych z najczęstszych aspektów bezpieczeństwa. Ważne jest również, aby zwrócić uwagę na szkolenia użytkowników, okresowego niezależnego audytu bezpieczeństwa informacji, tworzenie i przestrzegania wiarygodnej polityki bezpieczeństwa informacji.
Należy pamiętać, że ochrona sieci korporacyjnej jest dość skomplikowany tematem, który ciągle się zmienia. Musisz być pewien, że firma nie zależy od jednego lub dwóch granic ochrony. Zawsze staraj się śledzić aktualne informacje i świeże decyzje na rynku bezpieczeństwa informacji.

Skorzystaj z wiarygodnej ochrony sieci korporacyjnej w ramach serwisu "Serwis komputerów komputerowych" w Nowosybirsku.

Zagrożenia i luki przewodowych sieci korporacyjnych

Na początkowym etapie rozwoju technologii sieciowych, uszkodzenie z wirusów i innych rodzajów ataków komputerowych były małe, ponieważ zależność gospodarki światowej technologie informacyjne To było małe. Obecnie w kontekście znaczącej zależności firmy z dostępu elektronicznego i wymiany informacji oraz coraz większą liczbę ataków uszkodzenia z najniższych ataków prowadzących do utraty czasu maszyny, jest obliczana przez miliony dolarów, a skumulowany Roczne szkody gospodarki światowej jest dziesiątki miliardów dolarów.

Informacje przetwarzane w sieciach korporacyjnych są szczególnie narażone na:
Wzrost objętości przetwarzanych i przechowywanych w informacjach o komputerach;
Koncentracja w bazach danych informacyjnych różne poziomy znaczenie i poufność;
Rozszerzenie dostępu do kręgu użytkowników do informacji przechowywanych w bazach danych oraz zasobów sieci komputerowych;
wzrost liczby zadań zdalnych;
Powszechne użycie globalnego internet i różne kanały komunikacji;
Automatyzacja wymiany informacji między komputerami użytkowników.

Analiza najczęstszych zagrożeń, które podlegają nowoczesnym przewodowym sieciom korporacyjnym, pokazuje, że źródła zagrożeń mogą się różnić w zależności od nieupoważnionych intruzów wirusy komputeroweJednocześnie błędy ludzkie są bardzo istotnym zagrożeniem dla bezpieczeństwa. Należy pamiętać, że źródła zagrożeń bezpieczeństwa mogą znajdować się zarówno wewnątrz kuchni - źródła wewnętrzne, jak i na zewnątrz - Źródeł zewnętrznych. Podział ten jest w pełni uzasadniony, ponieważ dla tego samego zagrożenia (na przykład kradzież) metody opozycji zewnętrznych i wewnętrznych źródeł są różne. Znajomość możliwych zagrożeń, a także wrażliwe miejsca Kisa, jest konieczne do wyboru najskuteczniejszych narzędzi bezpieczeństwa.

Najczęstsze i niebezpieczne (z punktu widzenia obrażeń) są niezamierzonymi błędami, operatorzy i administratorzy systemuserwujący Kitty. Czasami błędy prowadzą do bezpośredniego uszkodzenia (nieprawidłowo wprowadzone dane, błąd w programie, który spowodował zatrzymanie lub zniszczenie systemu), a czasami tworzą słabości, których atakujący mogą użyć (jak zwykłe błędy administracyjne).

Zgodnie z Narodowym Instytutem Standardów i Technologii Stanów Zjednoczonych (NIST) 55% przypadków utraty wartości IP jest konsekwencją niezamierzonego błędu. Praca w globalnym IP sprawia, że \u200b\u200bczynnik ten jest całkiem istotny, a źródłem szkód może być zarówno działaniam organizacji organizacji organizacji i użytkowników sieci globalnej, co jest szczególnie niebezpieczne. Na rys. 2.4 Podano schemat obwodu ilustrujący dane statystyczne dotyczące źródeł zaburzeń bezpieczeństwa w KIS.

Na drugim miejscu znajdują się kradzieże i theeres. W większości badanych spraw sprawcy dostali regularnych pracowników organizacji, doskonałych znajomych z trybem działania i środków ochronnych. Dostępność potężnego kanał informacyjny. Komunikacja z globalnymi sieciami w przypadku braku kontroli nad jej pracą może ponadto ułatwić takie działania.

Figa. 2.4. Źródła zaburzeń bezpieczeństwa

Obrażani pracownicy, nawet dawni, znający rozkazy w organizacji i są w stanie bardzo skutecznie szkodzić. Zatem, gdy odwołują się pracownikiem jego dostępu zasoby informacji Musi anulować.

Umyślne próby uzyskania NSD poprzez komunikację zewnętrzną zajmują około 10% wszystkich możliwych naruszeń. Chociaż ta wartość nie wydaje się być taka znacząca, doświadczenie w Internecie pokazuje, że prawie jednominutowy serwer jest poddawany próbom przeniknięcia kilku razy dziennie. Testy Agencji Systemów Informacyjnych (USA) wykazały, że 88% komputerów ma słabości z punktu widzenia bezpieczeństwa informacji, które można aktywnie wykorzystać do uzyskania NSD. Oddzielnie powinno być przypadki zdalnego dostępu do struktur informacji organizacji.

Przed budową polityki bezpieczeństwa konieczne jest ocena ryzyka, w którym środowisko komputerowe organizacji jest narażone i podejmować odpowiednie działania. Oczywiście koszt organizacji do kontroli i zapobiegania zagrożeniom bezpieczeństwa nie powinny przekraczać oczekiwanych strat.

Dane statystyczne mogą zasugerować administrację i personel organizacji do wysyłania wysiłków, aby skutecznie zmniejszyć zagrożenia bezpieczeństwa w sieci korporacyjnej i systemie. Oczywiście musisz poradzić sobie z problemami bezpieczeństwa fizycznego i środków, aby zmniejszyć negatywny wpływ na bezpieczeństwo błędów ludzkich, ale jednocześnie konieczne jest zwrócenie najpoważniejszą uwagę na rozwiązywanie zadań bezpieczeństwa sieci, aby zapobiec atakom W sieci korporacyjnej i systemie od zewnątrz i od wewnątrz systemu.


Dzisiaj na moim blogu zdecydowaliśmy się dotknąć aspektów bezpieczeństwa sieci korporacyjnych. A dyrektor techniczny firmy LWCOM Michhail Lyubimov pomoże nam w tym.

Dlaczego ten temat bezpieczeństwa sieci jest niezwykle istotny we współczesnym świecie?

W związku z praktycznie szeroką dostępnością szerokopasmowego Internetu, większość działań na urządzeniach jest dokonywana przez sieć, dlatego za 99% nowoczesnych zagrożeń, jest to sieć, która zapewnia zagrożenie ze źródła do celu. Oczywiście rozprzestrzenianie się złośliwego kodu jest możliwe z nośnikami wymiennymi, ale ta metoda jest obecnie używana coraz mniej, a większość firm długo nauczyła się walczyć z podobnymi zagrożeniami.

Jaka jest sieć danych?

Najpierw narysujmy architekturę klasycznej sieci danych korporacyjnych w uproszczonej i zrozumiałej.

Sieć transmisji danych zaczyna się od przełącznika poziomu dostępu. Bezpośrednio do tego przełącznika są podłączone do zadań: komputerów, laptopów, drukarek, wielofunkcyjnych i różnego rodzaju innych urządzeń, takich jak bezprzewodowe punkty dostępu. W związku z tym możesz mieć dużo sprzętu, może być podłączony do sieci w zupełnie różnych miejscach (podłogi lub nawet pojedyncze budynki).

Zwykle sieć danych korporacyjna opiera się na topologii "Gwiazda", więc interakcja wszystkich segmentów wśród nich zapewni sprzęt poziomu jądra sieciowego. Na przykład, ten sam przełącznik może być stosowany tylko zwykle w bardziej wydajnym i funkcjonalnym przykładzie wykonania w porównaniu z poziomami dostępu.

Serwery i systemy pamięci masowej są zwykle konsolidowane w jednym miejscu, a z punktu widzenia sieci danych można podłączyć zarówno bezpośrednio do sprzętu jądra, jak i mogą mieć pewny segment segmentu urządzeń dostępowych.

Następnie mamy sprzęt do stawu z zewnętrznymi sieciami transmisji danych (na przykład Internet). Zwykle stosuje się do tych celów w firmach, urządzeniach, routerach, zaporach, różnego rodzaju serwerów proxy. Służą do organizowania komunikacji z rozproszonymi biurami firmy i do podłączenia pracowników zdalnych.

Jest to takie proste dla zrozumienia i zwykłej architektury nowoczesnych realiów w lokalnej sieci komputerowej.

Jaka klasyfikacja zagrożeń istnieje dzisiaj?

Określmy główne cele i kierunki ataków w ramach interakcji sieciowych.

Najczęstszym i prostym celem ataku jest urządzenie użytkownika. Złośliwe oprogramowanie jest łatwe do dystrybucji w tym kierunku poprzez zawartość zasobów internetowych lub pocztą.

W przyszłości, atakujący, ma dostęp do stacji roboczej użytkownika lub może porwać dane poufne lub opracować atak na innych użytkowników lub innych urządzeń sieciowych.

Kolejnym możliwym celem ataku jest oczywiście serwery. Odinels najsłynniejszych typów ataków na opublikowane zasoby są atakami DOS i DDO, które są wykorzystywane do naruszenia stabilnej pracy zasobów lub ich pełnej awarii.

Ataki mogą być kierowane z sieci zewnętrznych do konkretnych opublikowanych aplikacji, takich jak zasoby internetowe, serwery DNS, e-mail. Ponadto ataki można kierować od wewnątrz sieci - z zainfekowanego komputera użytkownika lub z napastnika podłączonego do sieci, w aplikacji, takich jak piłki plików lub bazy danych.



Istnieje również kategoria ataków wyborczych, a jeden z najbardziej niebezpiecznych ataków jest w samej sieci, to znaczy dostęp do niego. Atakujący, który ma dostęp do sieci, może zorganizować następujący atak w rzeczywistości na dowolnym urządzeniu podłączonym do niego, a także potajemnie dostęp do wszelkich informacji. Co najważniejsze - udany atak tego rodzaju jest dość trudny do wykrycia i nie jest traktowany standardowymi środkami. Oznacza to, że masz nowy użytkownik lub, gorszy niż administrator, o którym nic nie wiesz.

Podczas gdy cel atakowania może być kanałami komunikacyjnymi. Należy rozumieć, że udany atak na kanałach komunikacyjnych nie tylko pozwala odczytać informacje przekazywane według nich, ale także być identyczne z konsekwencjami ataku w sieci, gdy atakujący może uzyskać dostęp do wszystkich zasobów lokalnie Sieć obliczeniowa.

Jak zorganizować kompetentną i niezawodną ochronę danych?

Aby rozpocząć, możemy zapewnić globalne praktyki i zalecenia dotyczące organizacji ochrony sieci danych korporacyjnych, a mianowicie zestaw funduszy, które pozwolą na minimalne wysiłki, aby uniknąć większości istniejących zagrożeń, tzw. Bezpieczne minimum.

W tym kontekście należy wprowadzić termin "obwód bezpieczeństwa sieci", ponieważ Im bliżej możliwego źródła zagrożenia, którego monitorujesz, silniejszy zmniejszysz liczbę metod ataku dostępnych dla atakującego. W tym przypadku obwód musi istnieć zarówno do połączeń zewnętrznych, jak i wewnętrznych.

Przede wszystkim zalecamy zabezpieczenie bagażnika z sieciami publicznymi, ponieważ największa ilość zagrożeń wynika z nich. Obecnie istnieje wiele specjalistycznych narzędzi bezpieczeństwa sieci przeznaczonych tylko dla bezpiecznej organizacji łączenia z Internetem.

Dla ich oznaczenia, takie terminy, takie jak NGFW (zjednoczone zarządzanie zagrożeniem) są szeroko stosowane. Urządzenia te nie tylko łączą funkcjonalność klasycznego routera, firewall i serwera proxy, ale także zapewniają dodatkowe usługi Zabezpieczenia, takie jak: URL filtrowania i treści, antywirus itp. W tym samym czasie urządzenia często używają systemów kontroli systemu Cloud, co pozwala szybko i skutecznie sprawdzić wszystkie przesyłane dane dla zagrożeń. Jednak główną rzeczą jest możliwość zgłaszania zidentyfikowanych zagrożeń w retrospektywnym, czyli, aby zidentyfikować zagrożenia w takich przypadkach, w których zainfekowana treść została już przeniesiona do użytkownika, ale informacje o szkodliwości tego oprogramowania pojawiły się u producenta później.

Rzeczy takie jak HTTPS Inspection i automatyczna analiza aplikacji, umożliwiają kontrolowanie nie tylko dostępu do określonych witryn, ale także zezwolić / zabronić funkcjonowania takich aplikacji jak: Skype, przeglądarki zespołu i wielu innych i jak wiesz większość z nich pracuje Przez długi czas protokoły HTTP i HTTPS oraz standardowe sieci ich pracy po prostu nie kontrolują.

Oprócz tego, wewnątrz pojedyncze urządzenie Możesz także uzyskać system zapobiegania włamaniom, który jest odpowiedzialny za tłumienie ataków mających na celu opublikowane zasoby. Możesz także dodatkowo uzyskać serwer VPN do bezpiecznego zdalnego pracy pracowników i łączenia oddziałów, antyspam, system sterowania botnetem, piaskownikiem itp. Wszystko to sprawia, że \u200b\u200btakie urządzenie naprawdę ujednolicone bezpieczeństwo sieci.

Jeśli Twoja firma nie używa jeszcze takich rozwiązań, bardzo zalecamy rozpoczęcie ich do wykorzystania, ponieważ czas ich skuteczności przyszedł i możemy powiedzieć z pewnością, że takie urządzenia udowodniły ich prawdziwą zdolność do walki z dużą ilością zagrożeń , który nie był 5 lat temu. Wtedy takie rzeczy trafiły tylko na rynek, miały wiele problemów i były raczej drogie i niskie wyniki.

Ale jak wybrać Firewall Next-Generation?

Teraz na rynku wielka kwota Urządzenia sieciowe z zadeklarowaną podobną funkcjonalnością, ale bardzo skuteczna ochrona jest w stanie zapewnić tylko jednostki. Jest to wyjaśnione przez fakt, że tylko ograniczona liczba producentów ma fundusze i naprawdę inwestować je w nonstop poprzez obecne zagrożenia, tj. Ciągle zaktualizuj podstawy potencjalnie niebezpiecznych zasobów, zapewniają nieprzerwane wsparcie dla rozwiązań itp.

Wielu partnerów spróbuje sprzedać rozwiązania, które są dla nich korzystne dla nich na sprzedaż, więc decyzja o decyzji nie zawsze się tym odpowiada prawdziwa umiejętność oprzeć się zagrożeniom. Osobiście zalecam wybranie urządzenia do odwołania się do materiałów niezależnych ośrodków analitycznych, na przykład, raporty NSS Labs. Moim zdaniem są bardziej dokładni i bezstronni.

Oprócz zagrożeń z zewnątrz, Twoje zasoby można zaatakować i od wewnątrz. Tak zwane "bezpieczne minimum", które powinno być używane w lokalnej sieci komputerowej, jest jej segmentacja na VLANS, tj. Wirtualne sieci prywatne. Oprócz segmentacji, wymagane jest zapewnienie obowiązkowego stosowania zasad dostępu między nimi przynajmniej ze standardowymi środkami arkuszy dostępu (ACL), ponieważ po prostu obecność VLAN w ramach walki z nowoczesnymi zagrożeniami nie daje nic.

Oddzielne zalecenie wyznaczam pożądliwość korzystania z kontroli dostępu bezpośrednio z portu urządzenia. Jednak konieczne jest, aby zapamiętać obwód sieci, tj. Im bliżej zabezpieczonych usług, które stosujesz zasady - tym lepiej. Idealnie taka polityka powinna być wprowadzona na przełączniki dostępu. W takich przypadkach zaleca się 4 proste zasady jako najbardziej minimalną politykę bezpieczeństwa:

  • utrzymuj wszystkie nieużywane porty przełączników administracyjnie wyłączonych;
  • nie stosować pierwszego VLAN;
  • użyj arkuszy filtracji MAC na przełącznikach dostępu;
  • użyj inspekcji protokołu ARP.
Doskonałe rozwiązanie zostanie zastosowane na ścieżce przesyłania danych te same zapory z systemami zapobiegania włamaniami, a także architektonicznie używają stref demilitarowych. Najlepiej jest wdrożyć uwierzytelnienie podłączonego urządzenia do 802. Protokół 1x przy użyciu różnych systemów AAA (uwierzytelnianie, autoryzacja i systemy uwierzytelniania konta) do scentralizowanej kontroli dostępu do sieci. Zazwyczaj rozwiązania te są oznaczone wśród warunków NAC (kontrola dostępu do sieci). Przykładem jednego z podobnych systemów handlowych jest Cisco Ise.



Również napastnicy można zaatakować na kanały. Aby chronić kanały, użyj silnego szyfrowania. Wiele zaniedbania przez to, a następnie zapłacić za konsekwencje. Nieszkodłączone kanały są dostępne nie tylko dla porwanych informacji, ale także możliwość atakowania prawie wszystkich zasobów korporacyjnych. Nasi klienci w praktyce miały znaczną liczbę precedensów, gdy ataki na telefonię korporacyjną zostały wykonane przez organizację komunikacji za pomocą niechronionych kanałów danych między centralnym i zdalnym biurem (na przykład, po prostu przy użyciu tuneli GRE). Firmy przyszły po prostu szalone rachunki!

Co możesz opowiedzieć o sieciach bezprzewodowych i BYOD?

Temat pracy zdalnej, sieci bezprzewodowych i korzystania z własnych urządzeń, chciałbym przeznaczyć osobno. Z mojego własnego doświadczenia mogę powiedzieć, że te trzy rzeczy są jednym z największych potencjalnych dziur w bezpieczeństwie Twojej firmy. Ale jednocześnie są jednym z największych zalet konkurencyjnych.

Jeśli krótko przyniesiesz do pytania, zalecam całkowicie zakazując korzystanie z sieci bezprzewodowych, zdalnego sterowania lub pracy przez własne urządzenia mobilne, motywując go przez zasady korporacyjne, lub dostarczają tych usług jak najwięcej w zakresie bezpieczeństwa, zwłaszcza Ponieważ nowoczesne rozwiązania zapewniają możliwość tego, że jest to B. najlepszy widok.

Jeśli chodzi o działanie zdalne, możesz pomóc w tej samej części zapory nowej generacji lub urządzeń UTM. Nasza praktyka pokazuje, że istnieje wiele stabilnych rozwiązań (istnieje Cisco, punkt kontrolny, Fortinet, Citrix, co pozwala pracować z wieloma urządzeniami klienckimi, zapewniając jednocześnie najwyższe standardy identyfikacji pracownika zdalnego. Na przykład stosowanie certyfikatów, autoryzacji dwuczęściowej, jednorazowych haseł dostarczanych przez SMS lub generowane na specjalnym kluczu. Możesz także kontrolować oprogramowanie zainstalowane na komputerze, z którego przeprowadza się próby dostępu, na przykład, konieczne jest zainstalowanie odpowiednich aktualizacji lub działających antywirusy.

Bezpieczeństwo Wi-Fi jest zasłużonym tematem oddzielnego artykułu. W ramach tego stanowiska postaram się podać najważniejsze zalecenia. Jeśli zbudujesz Wi-Fi korporacyjną, a następnie opracuj wszystkie możliwe aspekty bezpieczeństwa związane z nim powiązane.

Nawiasem mówiąc, Wi-Fi jest całym oddzielnym artykułem dochodu naszej firmy. Zajmujemy się nimi profesjonalnie: projekty sprzętu sprzęt bezprzewodowy TRC i TC, centra biznesowe, magazyny, w tym użycie nowoczesne rozwiązania, takie jak pozycjonowanie, są wykonywane w naszym trybie nonstop. W zależności od wyników naszych badań radiowych, w każdym drugim biurze i magazynie znajdujemy co najmniej jeden dom Wi-Fi router, że same pracownicy połączeni z siecią. Zwykle robią to dla własnej wygody, powiedzmy, w palaczu z laptopem, wyjdź lub swobodnie poruszać się w pokoju. Oczywiste jest, że żadne korporacyjne zasady bezpieczeństwa na takich routerach nie zostały użyte, a hasła zostały dystrybuowane do znajomych kolegów, a następnie z kolegami kolegów, a następnie goście do kawy i ostatecznie mieli dostęp do sieci korporacyjnej niemal wszystko, a to było absolutnie niekontrolowane.

Oczywiście warto zabezpieczyć sieci z podłączenia takiego sprzętu. Głównymi sposobami tego zrobić: przy użyciu autoryzacji na portach, filtrowanie na Mac itp. Ponownie z Wi-Fi punktu widzenia sieć powinna używać silnych algorytmów kryptograficznych i metod uwierzytelniania przedsiębiorstwa. Ale należy rozumieć, że nie wszystkie metody uwierzytelniania przedsiębiorstw są równie przydatne. Na przykład, urządzenia z systemem Android w niektórych oprogramowaniu mogą domyślnie ignorować publiczny certyfikat sieciowy Wi-Fi, dzięki czemu można zaatakować złą klasę bliźniacza. Jeśli stosowana jest metoda uwierzytelniania, taka jak EAP GTC, kluczem w nim jest przesyłany w otwartym formularzu i może być w określonym ataku. Zalecamy korzystanie z uwierzytelniania certyfikatu wyłącznie w sieciach korporacyjnych, tj. Są to metody TLS, ale uważają, że znacznie zwiększa obciążenie administratorami sieci.

Nadal jest sposób: Jeśli zdalna operacja jest zaimplementowana w sieci korporacyjnej, urządzenie jest podłączone przez Wi-Fi, aby również wymusić użycie Klient VPN.. Oznacza to, że przydzielenie segmentu sieci Wi-Fi na początkowo niedowierzający obszar, aw końcu okaże się dobrą opcję roboczą dzięki minimalizacji kosztów zarządzania siecią.

Producenci Enterprise Wi-Fi Solutions, takie jak Cisco, Ruck, który jest teraz brokatem, Aruba, który jest teraz HPE, oprócz standardowych rozwiązań Wi-Fi, zapewniają cały zestaw usług do automatycznego kontroli bezpieczeństwa środowiska bezprzewodowego. Oznacza to, że mają całkiem pracować takie rzeczy, takie jak WIPS (bezprzewodowy system zapobiegania włamaniom). Producenci te mają bezprzewodowe czujniki, które mogą kontrolować całe widmo częstotliwości, umożliwiając tym samym śledzenie tryb automatyczny Dość poważne zagrożenia.

Teraz dotknijmy brongować własne urządzenie, aby przynieść urządzenie) i MDM (MOBILE URZĄDZENIA - MOBILNE Zarządzanie urządzeniami mobilnymi). Oczywiście każde urządzenie mobilne, na których przechowywane są dane korporacyjne lub które ma dostęp do sieci korporacyjnej, jest potencjalnym źródłem problemów. Przedmiotem bezpieczeństwa takich urządzeń dotyczy nie tylko bezpiecznego dostępu do sieci korporacyjnej, ale także scentralizowane zarządzanie zasadami urządzeń mobilnych: smartfony, tabletki, laptopy używane poza organizacją. Temat ten był odpowiedni przez bardzo długi czas, ale teraz na rynku pojawiły się rozwiązania robocze, co pozwala zarządzać różnorodną technologią mobilną.

Niestety, aby powiedzieć o nich w ramach tego stanowiska, nie będzie działać, ale wiedzą, że istnieją rozwiązania, aw ubiegłym roku doświadczamy wysięgnika Rozwiązania MDM firmy Microsoft i MobileRon.

Czy powiedziałeś o "bezpieczeństwie w minimalnym", co stanowi "bezpieczeństwo w maksimum"?

W pewnym momencie w Internecie, obraz był popularny: Zaleca się ochronę sieci do umieszczenia jednego ponad jednego ekranów znanych producentów. Nie rozumiemy w żaden sposób, aby zrobić ci to samo, ale mimo to istnieje udział prawdy tutaj. Będzie niezwykle przydatne, aby mieć urządzenie sieciowe z analizą podpisu wirusów, na przykład z sofy, oraz w miejscach pracy już zainstalować antywirus z Kaspersky Lab. W ten sposób dostajemy dwa nieszkodliwe kody zakłócające się do siebie.

Istnieje wiele specjalistycznych funduszy IB:

DLP. Specjalistyczne środki bezpieczeństwa są przedstawiane na rynku, czyli opracowane i mające na celu rozwiązanie pewnego szczególnego zagrożenia. Obecnie systemy DLP (zapobieganie utraty danych) są popularne lub zapobiegające wyciekom danych. Pracują zarówno na poziomie sieci, integrując się na nośniku transferu danych, jak i bezpośrednio na serwerach aplikacji, stacji roboczych, urządzeń mobilnych.

Jesteśmy nieco pochodzą z podmiotu sieci, ale zagrożenie wycieku danych zawsze będzie istnieć. W szczególności rozwiązania te stają się istotne dla firm, w których utrata danych przenosi ryzyko handlowe i reputacyjne i konsekwencje. 5 lat temu wprowadzenie systemów DLP było nieco trudne ze względu na ich złożoność i potrzebę przeprowadzenia procesu rozwoju dla każdego konkretny przypadek. Dlatego ze względu na ich wartość wiele firm odmówił tych rozwiązań lub napisał własne. Obecnie wystarczą systemy rynkowe, więc wszystkie niezbędne funkcje zabezpieczeń można uzyskać bezpośrednio z "Box".

Na rynek rosyjski Systemy handlowe są reprezentowane głównie przez producenta Infokatch (poniżej obrazu od tego producenta, w jaki sposób reprezentują swoje rozwiązanie w dużej firmie) i dość znanego Mafee.

WAF.Ze względu na rozwój usług handlu internetowego, a to jest bankowość internetowa, pieniądze elektroniczne, e-commerce, usługi ubezpieczeniowe itp. Ostatnio wyspecjalizowane środki były pożądane do ochrony zasobów internetowych. Mianowicie WAF - zapora aplikacji internetowych.

To urządzenie pozwala odzwierciedlać ataki mające na celu podatność na samą stronę. Oprócz selektywnych ataków DOS, gdy strona jest tłumiona przez uzasadnione prośby, może to być atak SQL Injection., Skryptowanie krzyżowe itp. Wcześniej takie urządzenia zostały zakupione głównie przez banki, a inni klienci nie byli na żądanie, a nawet kosztują bardzo duże pieniądze. Na przykład koszt rozwiązania roboczego rozpoczął się od 100 000 $. Teraz rynek przedstawia dużą liczbę rozwiązań ze znanych producentów (Fortinet, Citrix, Technologies Pozytywne), z którego można uzyskać rozwiązanie robocze, aby chronić swoją witrynę za dość saneczkarskie pieniądze (3-5 razy mniej niż wcześniej wskazany).

Rewizja. Organizacje, które są szczególnie mówione o własne bezpieczeństwo, wdrażają zautomatyzowane narzędzia audytu. Rozwiązania te są drogie, ale umożliwiają wprowadzenie wielu funkcji administratora w obszarze automatyzacji, która jest niezwykle wymagana dla dużego biznesu. Takie decyzje stale skanują sieć i wykonują audyt wszystkich ustalonych system operacyjny i aplikacje na obecność słynnych otworów w zakresie bezpieczeństwa, terminowości aktualizacji, zgodność z polityki korporacyjnej. Prawdopodobnie najbardziej znane rozwiązania w tej dziedzinie nie tylko w Rosji, ale także cały świat są produktami z pozytywnych technologii.

Siem. Podobne do rozwiązań SIEM. Są to systemy, zaostrzone w celu identyfikacji sytuacji niezależnych dotyczących zdarzeń bezpieczeństwa. Parzysty standardowy zestaw Z pary zaporowych, kilkanaście serwerów aplikacji i tysiące miejsc pracy mogą generować dziesiątki tysięcy alertów dziennie. Jeśli masz dużą firmę i masz dziesiątki urządzeń przygranicznych, sortuj dane z nich tryb ręczny Staje się po prostu niemożliwe. Automatyzacja kontroli zebranych dzienników w tym samym czasie ze wszystkich urządzeń pozwala administratorom i pracownikom IB działać natychmiast. Rynek jest dość dobrze znany rozwiązaniom SIEM z Arsight (wchodzi produkty HPE) i Q-Radar (wchodzi do produktów IBM).

I wreszcie: Co możesz doradzić tych, którzy poważnie zaangażowali się w organizację ochrony swoich zasobów?

Oczywiście podczas organizowania bezpieczeństwa IT przedsiębiorstwo nie powinno zapomnieć o regulacjach administracyjnych. Użytkownicy i administratorzy powinni mieć świadomość, że znalezione napędy flash do korzystania z komputera nie mogą być przetwarzane przez wątpliwe linki w literach lub odkrywają wątpliwe inwestycje. Jest to bardzo ważne, aby powiedzieć i wyjaśnić, jakie linki i inwestycje są nieświadome. W rzeczywistości, nie wszyscy rozumie, że nie jest konieczne przechowywanie haseł na naklejkach przyklejonych do monitora lub telefonu, który musisz dowiedzieć się, jak czytać ostrzeżenia, które piszą użytkownika, itp. Należy wyjaśnić użytkownikom, że taki certyfikat bezpieczeństwa i jakie wiadomości związane z nim powiązane. Ogólnie rzecz biorąc, konieczne jest uwzględnienie nie tylko technicznej strony problemu, ale także zaszczepić kulturę wykorzystania zasobów korporacyjnych przez pracowników.
Mam nadzieję, że ten duży post był dla ciebie interesujący i przydatny.

Próbując zapewnić, że rentowność firmy Bezpieczeństwa koncentruje się na ochronie obwodu sieciowego - usługi dostępne w Internecie. Wizerunek ponury atakujący, który jest gotowy do ataku z dowolnego miejsca na świecie, aby opublikować usługi firmowe, nieszczęścia właścicieli firm. Ale jeśli chodzi o prawdziwe, biorąc pod uwagę, że najcenniejsze informacje nie są na obwodzie organizacji, ale w głębi sieci korporacyjnych? Jak ocenić proporcjonalność ochrony infrastruktury przed atakami zewnętrznych i wewnętrznych?

"Statek w porcie jest bezpieczny, ale nie w tym celu zbudowane są statki".

Uczucie bezpieczeństwa jest zwodnicze

W warunkach całkowitej informacji i globalizacji przedsiębiorstwo wprowadza nowe wymagania dla sieci korporacyjnych, elastyczność i niezależność zasobów korporacyjnych odnoszą się do użytkowników końcowych: pracowników i partnerów. Z tego powodu dzisiejsze sieci korporacyjne są bardzo daleko od tradycyjnej koncepcji izolacji (pomimo faktu, że początkowo opisali w ten sposób).

Wyobraź sobie biuro: ściany chronią przed Świat zewnętrznyPartycje i ściany dzielą całkowitą powierzchnię na mniejsze specjalistyczne strefy: kuchnia, biblioteka, pokoje biurowe, zadania itp Przejście z strefy do strefy występuje w niektórych miejscach - w drzwiach i w razie potrzeby, jest również kontrolowany przez dodatkowe środki : Kamery wideo, systemy kontroli dostępu, uśmiechający się strażnicy ... Wchodząc do takiego pokoju, czujemy się bezpiecznie, jest uczucie zaufania, dobrej woli. Jednak konieczne jest, aby rozpoznać, że to uczucie jest tylko efektem psychologicznym opartym na "teatrze bezpieczeństwa", kiedy cel prowadzony przez działalność oświadczyła wzrost bezpieczeństwa, ale w rzeczywistości utworzono jedynie o jej dostępności. W końcu, jeśli atakujący naprawdę chce wziąć wszystko, wtedy znalezienie biura nie stanie się trudnością nie do pokonania, a może nawet wręcz przeciwnie, będą dodatkowe możliwości.

To samo dzieje się w sieciach korporacyjnych. W warunkach, gdy istnieje możliwość znalezienia w sieci korporacyjnej, klasyczne podejścia bezpieczeństwa są niewystarczające. Faktem jest, że metody ochrony są zbudowane na podstawie modelu zagrożenia wewnętrznego i mają na celu przeciwdziałanie pracownikom, którzy mogą losowo lub celowo, ale bez odpowiednich kwalifikacji, naruszają polityki bezpieczeństwa. Ale co jeśli jest wykwalifikowany haker? Koszt przezwyciężenia obwodu sieciowego na rynku podziemnym ma praktycznie stałą cenę dla każdej organizacji, a średnio nie przekracza 500 USD. Na przykład na czarnym rynku usług Hacker, Dell, następujący cennik pokazano do kwietnia 2016 r.:

W rezultacie można kupić włamanie skrzynki pocztowej korporacyjnej, z czego najprawdopodobniej jest odpowiednia dla wszystkich innych usług korporacyjnych firmy ze względu na wspólną zasadę autoryzacji pojedynczego logowania. Lub do zakupu wirusów polimorficznych, które nie są śledzone dla antywirusów i przy pomocy wysyłki phishingowej do zainfekowania nieostrożnych użytkowników, dbając o kontrolę komputera w sieci korporacyjnej. Dla dobrze chronionych obwodników sieciowych, niedociągnięcia ludzkiej świadomości są używane, więc na przykład kupiłem nowe dokumenty identyfikacyjne i otrzymywali dane dotyczące pracy i życia osobistego pracownika organizacji za pośrednictwem zamówienia cyberspionage, możesz użyć Inżynieria społeczna i uzyskaj poufne informacje.

Nasze doświadczenie w prowadzeniu testów penetracji pokazuje, że zewnętrzny obwód jest przezwyciężony w 83% przypadków, aw 54% nie wymaga to wysoko wykwalifikowanego przygotowania. Jednocześnie, zgodnie z statystykami, w przybliżeniu każdy piąty pracownik Spółki jest gotowy świadomie sprzedawać swoje dane uwierzytelniające, w tym od zdalnego dostępu, tym samym ogromne uproszczenie przez pokonanie obwodu sieciowego. W takich warunkach intruzów wewnętrznych i zewnętrznych stają się nie do odróżnienia, co stwarza nowe wyzwanie bezpieczeństwa sieci korporacyjnych.

Weź krytyczne dane i nie chronią

W sieci korporacyjnej wejście do wszystkich systemów jest monitorowane i dostępne tylko dla sprawdzania użytkowników. Ale ten checker okazuje się być wspomniany wcześniej niż zwykły "teatr bezpieczeństwa", ponieważ prawdziwy stan rzeczy wygląda bardzo ciemno, a potwierdza to statystyki luki w zabezpieczeniach systemów informacyjnych. Oto kilka poważnych niedociągnięć sieci korporacyjnych.

  • Pacjenci słowo.

Co dziwne, wykorzystanie słabych haseł jest typowe nie tylko dla zwykłego personelu firmy, ale także dla samych administratorów IT. Na przykład, pod względem usług i urządzeń, hasła zainstalowane przez domyślnego producenta pozostają w serwisie i sprzęcie, lub ta sama kombinacja podstawowa jest używana dla wszystkich urządzeń. Na przykład jedna z najpopularniejszych kombinacji to konto administratora z hasłem administratora lub hasła. Również popularne krótkie hasła, składające się z małych liter alfabetu łacińskiego i prostych haseł numerycznych, takich jak 123456. Dlatego można szybko uruchomić hasło, znajdź właściwą kombinację i dostęp zasobów korporacyjnych.

  • Przechowywanie krytycznych informacji w sieci w formie otwartej

Wyobraź sobie sytuację: Atakujący ma dostęp do sieci wewnętrznej, mogą wystąpić dwie opcje rozwoju wydarzeń. W pierwszym przypadku informacje są przechowywane w formie otwartej, a firma natychmiast niesie poważne zagrożenia. W innym przypadku dane w sieci są szyfrowane, klucz jest przechowywany w innym miejscu - a firma ma szanse i czas na opór atakującego i oszczędzać ważne dokumenty z kradzieży.

  • Wykorzystanie przestarzałych wersji systemów operacyjnych i ich komponentów

Za każdym razem, gdy pojawia się aktualizacja, w tym samym czasie dokument techniczny jest produkowany, w którym opisano szczegółowo, które niedociągnięcia i błędy zostały ustalone w nowej wersji. Jeśli zostanie odkryty problem związany z bezpieczeństwem, napastnicy zaczynają aktywnie zbadać ten temat, znaleźć powiązane błędy i na tej podstawie opracowanie narzędzi hakerskich.

Do 50% firm lub nie aktualizuj użytych programów, albo zrobić go za późno. Na początku 2016 r. Królewski szpital Melbourne cierpiał na fakt, że jego komputery prowadzą Windows XP. Początkowo uderzając w biurowary komputerowe patologii, wirus szybko rozprzestrzenił się w sieci, blokując przez pewien czas zautomatyzowaną pracę całego szpitala.

  • Korzystanie z aplikacji biznesowych samorozwój bez kontroli bezpieczeństwa

Głównym zadaniem własnego rozwoju jest wydajność funkcjonalna. Takie zastosowania mają próg o niskiej ochronie, często produkowane w warunkach niedoboru zasobów i prawidłowego wsparcia od producenta. Produkt na faktach działa, wykonuje zadania, ale jest bardzo łatwy do włamania i dostęp do niezbędnych danych.

  • Brak skutecznej ochrony antywirusowej i innych środków ochrony

Uważa się, że ukryte z zewnętrznego spojrzenia - chronione, tj. Sieć wewnętrzna jest taka, jak może być bezpieczna. Firmy zabezpieczające ostrożnie podążają za zewnętrznym obwodem, a jeśli jest tak dobrze chroniony, nie wpadnie w wewnętrzny haker. W rzeczywistości w 88% przypadków luki nie są realizowane w firmach, nie ma zapobiegania włamaniom i scentralizowanych systemów przechowywania bezpieczeństwa. W agregacie nie pozwala to skutecznie zapewnić bezpieczeństwo sieci korporacyjnej.

Jednocześnie informacje przechowywane w sieci korporacyjnej mają wysoki stopień ważności dla pracy przedsiębiorstwa: podstawy klientów w systemach CRM i rozliczeniowe, krytyczne wskaźniki biznesowe w ERP, komunikacja biznesowa w poczcie, przepływ dokumentu zawarty włączony Portale i zasoby plików itp. P.

Granica między korporacją i siecią publiczną stała się tak zamazana, że \u200b\u200bbyła całkowicie trudna do w pełni kontrolować bezpieczeństwo i kosztowna. W końcu istnieją praktycznie żadne środki zaradcze przed kradzieżą lub rekordami handlowymi, administratorami zaniedbań, zagrożeń realizowanych za pośrednictwem inżynierii społecznej itp., Co powoduje, że atakujący wykorzystują te te techniki, aby przezwyciężyć ochronę zewnętrzną i podejść do wrażliwej infrastruktury z bardziej wartościowymi informacjami.

Wyjście może być koncepcją bezpieczeństwa informacji, w których bezpieczeństwo wewnętrznego i sieć zewnętrzna Jest zapewniona na podstawie pojedynczego modelu zagrożeń i prawdopodobieństwem przekształcenia jednego rodzaju napastnika do drugiego.

Atakujący przeciwko obrońcom - których zajmie?

Bezpieczeństwo informacji jako warunek jest możliwy tylko w przypadku nieuchwytnego Joe - ze względu na jego niezbędne. Konfrontacja między intruzami a obrońcami występuje w fundamentalnie różnych płaszczyznach. Atakujący korzystają ze względu na naruszenie poufności, dostępności lub uczciwości informacji, a bardziej skuteczne i skuteczniej ich pracy, tym większa korzyść, którą mogą dostać. Obrońcy nie wyodrębniają korzyści z procesu zabezpieczeń w ogóle, każdy krok jest inwestycją bezzwrotną. Dlatego dystrybuowano zarządzanie bezpieczeństwem zorientowanego na ryzyko, w którym uwaga obrońców koncentruje się na najdroższych (pod względem oceny szkód) ryzyka z najniższą ceną ich nakładania się. Ryzyko z kosztem nakładania się wyższych niż chroniony zasób, są świadomie przyjęte lub ubezpieczone. Zadaniem tego podejścia jest poprawa ceny pokonania najmniejszego słabego punktu bezpieczeństwa w jak największym stopniu, więc usługi krytyczne muszą być dobrze chronione niezależnie od tego, gdzie zasób znajduje się w sieci lub na obwodzie sieci.

Podejście zorientowane na ryzyko to tylko wymuszony środek, który pozwala istnieć koncepcję bezpieczeństwa informacji w świecie rzeczywistym. W rzeczywistości stawia obrońcom w trudnej sytuacji: grają w partię czarny, odpowiadając tylko na pojawienie się rzeczywistych zagrożeń.