Меню
безкоштовно
Реєстрація
Головна  /  прошивка / 1 найбільша загроза для корпоративних мереж пов'язана. Чому захист периметра корпоративної мережі більше не працює

1 найбільша загроза для корпоративних мереж пов'язана. Чому захист периметра корпоративної мережі більше не працює

Інформаційні системи, в яких засоби передачі даних належать одній компанія, використовуються тільки для потреб цієї компанії, прийнято називати мережа масштабу підприємства корпоративна комп'ютерна мережа (КС). КС-це внутрішня приватна мережа організації, що об'єднує обчислювальні, комунікаційні та інформаційні ресурси цієї організації і призначена для передачі електронних даних, в якості яких може виступати будь-яка інформація Тим самим грунтуючись на вищесказане можна сказати, що всередині КС визначена спеціальна політика, що описує апаратні і програмні засоби, Правила отримання користувачів до мережевих ресурсів, правила управління мережею, контроль використання ресурсів та подальший розвиток мережі. Корпоративна мережа являє собою мережу окремої організації.

Кілька схоже визначення можна сформулювати виходячи з концепції корпоративної мережі наведеної у праці Оліфера В.Г. і Оліфера Н.Д. " Комп'ютерні мережі: Принципи, технології, протоколи ": будь-яка організація - це сукупність взаємодіючих елементів (підрозділів), кожен з яких може мати свою структуру. Елементи пов'язані між собою функціонально, тобто вони виконують окремі види робіт в рамках єдиного бізнес процесу, а також інформаційно, обмінюючись документами, факсами, письмовими та усними розпорядженнями і т.д. Крім того, ці елементи взаємодіють із зовнішніми системами, причому їх взаємодія також може бути як інформаційним, так і функціональним. І ця ситуація справедлива практично для всіх організацій, яким би видом діяльності вони не займалися - для урядового установи, банку, промислового підприємства, комерційної фірми і т.д.

Такий загальний погляд на організацію дозволяє сформулювати деякі загальні принципи побудови корпоративних інформаційних систем, тобто інформаційних систем в масштабі всієї організації.

Корпоративна мережа - система, що забезпечує передачу інформації між різними додатками, використовуваними в системі корпорації. Корпоративною мережею вважається будь-яка мережа, що працює по протоколу TCP / IP і використовує комунікаційні стандарти Інтернету, а також сервісні програми, що забезпечують доставку даних користувачам мережі. Наприклад, підприємство може створити сервер Web для публікації оголошень, виробничих графіків і інших службових документів. Службовці здійснюють доступ до необхідних документів за допомогою засобів перегляду Web.

Сервери Web корпоративної мережі можуть забезпечити користувачам послуги, аналогічні послуг Інтернету, наприклад роботу з гіпертекстовими сторінками (що містять текст, гіперпосилання, графічні зображення і звукозапису), надання необхідних ресурсів по запитах клієнтів Web, а також здійснення доступу до баз даних. У цьому керівництві всі служби публікації називаються "службами Інтернету" незалежно від того, де вони використовуються (в Інтернеті або корпоративної мережі).

Корпоративна мережа, як правило, є територіально розподіленої, тобто об'єднує офіси, підрозділи та інші структури, що знаходяться на значній відстані один від одного. Принципи, за якими будується корпоративна мережа, досить сильно відрізняються від тих, що використовуються при створенні локальної мережі. Це обмеження є принциповим, і при проектуванні корпоративної мережі слід вживати всіх заходів для мінімізації обсягів переданих даних. В іншому ж корпоративна мережа не повинна вносити обмежень на те, які саме програми та яким чином обробляють переносити по ній інформацію. Характерною особливістю такої мережі є те, що в ній функціонують обладнання самих різних виробників і поколінь, а також неоднорідне програмне забезпечення, яке не орієнтоване спочатку на спільну обробку даних.

Для підключення віддалених користувачів до корпоративної мережі найпростішим і доступним варіантом є використання телефонного зв'язку. Там, де це, можливо, можуть використовуватися мережі ISDN. Для об'єднання вузлів мережі в більшості випадків використовуються глобальні мережі передачі даних. Навіть там, де можлива прокладка виділених ліній (наприклад, в межах одного міста) використання технологій пакетної комутації дозволяє зменшити кількість необхідних каналів зв'язку і - що важливо - забезпечити сумісність системи з існуючими глобальними мережами.

Підключення корпоративної мережі до Internet виправдано, якщо вам потрібен доступ до відповідних послуг. У багатьох роботах існує думка з приводу підключення до Internet-у: Використовувати Internet як середовище передачі даних варто тільки тоді, коли інші способи недоступні і фінансові міркування переважують вимоги надійності та безпеки. Якщо ви будете використовувати Internet тільки як джерело інформації, краще користуватися технологією "з'єднання по запиту" (dial-on-demand), тобто таким способом підключення, коли з'єднання з вузлом Internet встановлюється тільки з вашої ініціативи і на потрібний вам час. Це різко знижує ризик несанкціонованого проникнення у вашу мережу ззовні.

Для передачі даних усередині корпоративної мережі також варто використовувати віртуальні канали мереж пакетної комутації. Основні переваги такого підходу - універсальність, гнучкість, безпека

В результаті вивчення структури інформаційних мереж (ІС) і технології обробки даних розробляється концепція інформаційної безпеки ІС. У концепції знаходять відображення такі основні моменти:

  • 1) Організація мережі організації
  • 2) існуючі загрози безпеці інформації, можливості їх реалізації та завдання шкоди від цієї реалізації;
  • 3) організація зберігання інформації в ІС;
  • 4) організація обробки інформації;
  • 5) регламентація допуску персоналу до тієї чи іншої інформації;
  • 6) відповідальність персоналу за забезпечення безпеки.

Розвиваючи цю тему, на основі концепції інформаційної безпеки ІС, наведеної вище, пропонується схема безпеки, структура якої повинна задовольняти такі умови:

Захист від несанкціонованого проникнення в корпоративну мережу і можливості витоку інформації по каналах зв'язку.

Розмежування потоків інформації між сегментами мережі.

Захист критичних ресурсів мережі.

Криптографічний захист інформаційних ресурсів.

Для докладного розгляду вищенаведених умов безпеки доцільно навести думку: для захисту від несанкціонованого проникнення і витоку інформації пропонується використання міжмережевих екранів або брандмауерів. Фактично брандмауер - це шлюз, який виконує функції захисту мережі від несанкціонованого доступу ззовні (наприклад, з іншої мережі).

Розрізняють три типи брандмауерів:

Шлюз рівня додатків Шлюз рівня додатків часто називають проксі - сервером (proxy server) - виконує функції ретранслятора даних для обмеженого числа додатків користувача. Тобто, якщо в шлюзі не організована підтримка того чи іншого додатка, то відповідний сервіс не надається, і дані відповідного типу не можуть пройти через брандмауер.

Фільтрує маршрутизатор. Фільтруючий маршрутизатор. Точніше це маршрутизатор, в додаткові функції якого входить фільтрування пакетів (packet-filtering router). Використовується на мережах з комутацією пакетів в режимі дейтаграм. Тобто, в тих технологіях передачі інформації на мережах зв'язку, в яких площина сигналізації (попереднього встановлення з'єднання між УІ і УП) відсутній (наприклад, IP V 4). В даному випадку прийняття рішення про передачу по мережі надійшов пакету даних грунтується на значеннях його полів заголовка транспортного рівня. Тому брандмауери такого типу зазвичай реалізуються у вигляді списку правил, що застосовуються до значень полів заголовка транспортного рівня.

Шлюз рівня комутації. Шлюз рівня комутації - захист реалізується в площині управління (на рівні сигналізації) шляхом дозволу або заборони тих чи інших сполук.

Особливе місце відводиться криптографічного захисту інформаційних ресурсів в корпоративних мережах. Так як шифрування є одним з найнадійніших способів захисту даних від несанкціонованого ознайомлення. Особливістю застосування криптографічних засобів є жорстка законодавча регламентація. В даний час в корпоративних мережах вони встановлюються тільки на тих робочих місцях, де зберігається інформація, що має дуже високу ступінь важливості.

Так відповідно до класифікації засобів криптографічного захисту інформаційних ресурсів в корпоративних мережах вони діляться на:

Криптосистеми з одним ключем, їх часто називають традиційною, симетричною або з одним ключем. Користувач створює відкрите повідомлення, елементами якого є символи кінцевого алфавіту. Для шифрування відкритого повідомлення генерується ключ шифрування. За допомогою алгоритму шифрування формується шифроване повідомлення

Наведена модель передбачає, що ключ шифрування генерується там же, де саме повідомлення. Однак, можливо і інше рішення створення ключа - ключ шифрування створюється третьою стороною (центром розподілу ключів), якій довіряють обидва користувачі. В даному випадку за доставку ключа обом користувачам відповідальність несе третя сторона. Взагалі кажучи, дане рішення суперечить самій сутності криптографії - забезпечення секретності переданої інформації користувачів.

Криптосистеми з одним ключем використовують принципи підстановки (заміни), перестановки (транспозиції) і композиції. При підстановці окремі символи відкритого повідомлення замінюються іншими символами. Шифрування із застосуванням принципу перестановки увазі зміну порядку проходження символів у відкритому повідомленні. З метою підвищення надійності шифрування шифрування повідомлення, отримане застосуванням деякого шифру, може бути ще раз зашифровано за допомогою іншого шифру. Кажуть, що в даному випадку застосований композиційний підхід. Отже, симетричні криптосистеми (з одним ключем) можна класифікувати на системи, які використовують шифри підстановки, перестановки і композиції.

Асиметричні алгоритми шифрування. Вона має місце лише Ееслі користувачі при шифрування і дешифрування використовують різні ключі KО і Kз. Цю криптосистему називають асиметричною, з двома ключами або з відкритим ключем.

Одержувач повідомлення (користувач 2) генерує пов'язану пару ключів:

KО - відкритий ключ, Який публічно доступний і, таким чином, виявляється доступним відправнику повідомлення (користувач 1);

KС - секретний, особистий ключ, який залишається відомим тільки одержувачу повідомлення (користувач 1).

Користувач 1, маючи ключ шифрування KО, за допомогою певного алгоритму шифрування формує шифрований текст.

Користувач 2, володіючи секретним ключем Kс, має можливість виконати зворотну дію.

У цьому випадку користувач 1 готує повідомлення користувачеві 2 і перед відправленням шифрує це повідомлення за допомогою особистого ключа KС. Користувач 2 може розшифрувати це повідомлення, використовуючи відкритий ключ KО. Так як, повідомлення було зашифровано особистим ключем відправника, то воно може виступати в якості цифрового підпису. Крім того, в даному випадку неможливо змінити повідомлення без доступу до особистого ключа користувача 1, тому повідомлення вирішує так само задачі ідентифікації відправника і цілісності даних.

Наостанок хотілося б сказати, що за допомогою установки криптографічних засобів захисту можна досить надійно захистити робоче місце співробітника організації, який безпосередньо працює з інформацією, що має особливе значення для існування цієї організації, від несанкціонованого доступу.

Способи захисту інформації на підприємстві, також як і способи її видобутку, постійно змінюються. Регулярно з'являються нові пропозиції від компаній, що надають послуги із захисту інформації. Панацеї звичайно немає, але є кілька базових кроків побудови захисту інформаційної системи підприємства, на які вам обов'язково потрібно звернути увагу.

Багатьом напевно знайома концепція глибокої захисту від злому інформаційної мережі. Основна її ідея полягає в тому, щоб використовувати кілька рівнів оборони. Це дозволить, як мінімум, мінімізувати збитки, пов'язані з можливим порушенням периметра безпеки вашої інформаційної системи.
Далі розглянемо загальні аспекти комп'ютерної безпеки, а також створимо якийсь чекліст, службовець в якості основи для побудови базової захисту інформаційної системи підприємства.

1. Брандмауер (файрвол, брендмауер)

Брандмауер або файрвол - це перша лінія оборони, яка зустрічає непрошених гостей.
За рівнем контролю доступу виділяють наступні типи брендмауера:

  • У найпростішому випадку фільтрація мережевих пакетів відбувається відповідно до встановлених правил, тобто на основі адрес джерела і призначення мережевих пакетів, номерів мережевих портів;
  • Брєндмауери, що працює на сеансовому рівні (stateful). Він відстежує активні сполуки і відкидає підроблені пакети, що порушують специфікації TCP / IP;
  • Файрвол, що працює на прикладному рівні. Виробляє фільтрацію на основі аналізу даних програми, що передаються всередині пакету.

Підвищена увага до мережевої безпеки і розвиток електронної комерції призвело до того, що все більше число користувачів використовують для свого захисту шифрування з'єднань (SSL, VPN). Це досить сильно ускладнює аналіз трафіку проходить через міжмережеві екрани. Як можна здогадатися, тими ж технологіями користуються розробники шкідливого програмного забезпечення. Віруси, які використовують шифрування трафіку, стали практично не відрізняються від легального трафіку користувачів.

2. Віртуальні приватні мережі (VPN)

Ситуації, коли співробітнику необхідний доступ до ресурсів компанії з громадських місць (Wi-Fi в аеропорту або готелі) або з дому (домашню мережу співробітників не контролюють ваші адміністратори), особливо небезпечні для корпоративної інформації. Для їх захисту просто необхідно використовувати шифровані тунелі VPN. Ні про який доступ до віддаленого робочого столу (RDP) безпосередньо не використовує шифрування даних не може бути й мови. Це ж стосується використання стороннього ПЗ: Teamviewer, Aammy Admin і т.д. для доступу до робочої мережі. Трафік через ці програми шифрується, але проходить через непідконтрольні вам сервера розробників цього ПО.

До недоліків VPN можна віднести відносну складність розгортання, додаткові витрати на ключі аутентифікації і збільшення пропускної здатності інтернет каналу. Ключі аутентифікації також можуть бути скомпрометовані. Вкрадені мобільні пристрої компанії або співробітників (ноутбуки, планшети, смартфони) з попередньо налаштованими параметрами підключення VPN можуть стати потенційною діркою для несанкціонованого доступу до ресурсів компанії.

3. Системи виявлення й запобігання вторгнень (IDS, IPS)

Система виявлення вторгнень (IDS - англ .: Intrusion Detection System) - програмне або апаратне засіб, призначений для виявлення фактів несанкціонованого доступу в комп'ютерну систему (Мережа), або несанкціонованого управління такою системою. У найпростішому випадку така система допомагає виявити сканування мережевих портів вашої системи або спроби увійти на сервер. У першому випадку це вказує на первинну розвідку зловмисником, а в другому спроби злому вашого сервера. Також можна виявити атаки, спрямовані на підвищення привілеїв в системі, неавторизований доступ до важливих файлів, а також дії шкідливого програмного забезпечення. Просунуті мережеві комутатори дозволяють підключити систему виявлення вторгнень, використовуючи віддзеркалення портів, або через ответвители трафіку.

Система запобігання вторгнень (IPS - англ .: Intrusion Prevention System) -програмні або апаратна система забезпечення безпеки, активно блокує вторгнення в міру їх виявлення. У разі виявлення вторгнення, підозрілий мережевий трафік може бути автоматично перекритий, а повідомлення про це негайно відправлено адміністратору.

4. Антивірусний захист

Антивірусне програмне забезпечення є основним рубежем захисту для більшості сучасних підприємств. За даними дослідницької компанії Gartner, обсяг ринку антивірусного ПО за підсумками 2012 року склав $ 19,14 млрд. Основні споживачі - сегмент середнього і малого бізнесу.

Перш за все антивірусний захист націлена на клієнтські пристрої та робочі станції. Бізнес-версії антивірусів включають функції централізованого управління для передачі оновлень антивірусних баз клієнтські пристрої, а також можливість централізованої настройки політики безпеки. В асортименті антивірусних компаній присутні спеціалізовані рішення для серверів.
З огляду на те, що більшість заражень шкідливим ПО відбувається в результаті дій користувача, антивірусні пакети пропонують комплексні варіанти захисту. Наприклад, захист програм електронної пошти, чатів, перевірку відвідуваних користувачами сайтів. Крім того, антивірусні пакети все частіше включають в себе програмний брандмауер, механізми проактивного захисту, а також механізми фільтрації спаму.

5. Білі списки

Що з себе представляють "білі списки"? Існують два основні підходи до інформаційної безпеки. Перший підхід передбачає, що в операційній системі за замовчуванням дозволено запуск будь-яких додатків, якщо вони раніше не внесені до "чорного списку". Другий підхід, навпаки, передбачає, що дозволений запуск тільки тих програм, які заздалегідь були внесені до "білого списку", а всі інші програми за замовчуванням блокуються. Другий підхід до безпеки звичайно більш кращий в корпоративному світі. Білі списки можна створити, як за допомогою вбудованих засобів операційної системи, так і за допомогою стороннього ПО. Антивірусне ПЗ часто пропонує дану функцію в своєму складі. Більшість антивірусних програм, що пропонують фільтрацію по білому списку, дозволяють провести первинне налаштування дуже швидко, з мінімальним увагою з боку користувача.

Проте, можуть виникнути ситуації, в яких залежно файлів програми з білого списку були правильно визначені вами або антивірусним ПЗ. Це призведе до збоїв програми або до неправильної його установці. Крім того, білі списки безсилі проти атак, що використовують уразливості обробки документів програмами з білого списку. Також слід звернути увагу на найслабша ланка в будь-якому захисті: самі співробітники в поспіху можуть проігнорувати попередження антивірусного ПО і додати в білий список шкідливе програмне забезпечення.

6. Фільтрація спаму

Спам розсилки часто застосовуються для проведення фішинг атак, що використовуються для впровадження троянця або іншого шкідливий в корпоративну мережу. Користувачі, які щодня обробляють велику кількість електронної пошти, більш сприйнятливі до фішинг-повідомленнями. Тому завдання ІТ-відділу компанії - відфільтрувати максимальну кількість спаму із загального потоку електронної пошти.

Основні способи фільтрації спаму:

  • Спеціалізовані постачальники сервісів фільтрації спаму;
  • ПО для фільтрації спаму на власних поштових серверах;
  • Спеціалізовані хардварний рішення, розгорнуті в корпоративному дата-центрі.

7. Підтримка ПО в актуальному стані

Своєчасне оновлення програмного забезпечення і застосування актуальних латочок безпеки - важливий елемент захисту корпоративної мережі від несанкціонованого доступу. Виробники ПЗ, як правило, не надають повну інформацію про нову знайденої дірі в безпеці. Однак зловмисникам вистачає і загального опису уразливості, щоб буквально за пару годин після публікації опису нової дірки і латки до неї, написати програмне забезпечення для експлуатації цієї уразливості.
Насправді це досить велика проблема для підприємств малого та середнього бізнесу, оскільки зазвичай використовується широкий спектр програмних продуктів різних виробників. Часто оновлень всього парку ПО не приділяється належної уваги, а це практично відкрите вікно в системі безпеки підприємства. В даний час велика кількість ПО самостійно оновлюється з серверів виробника і це знімає частину проблеми. Чому частина? Тому що сервера виробника можуть бути зламані і, під виглядом легальних оновлень, ви отримаєте свіже шкідливе ПЗ. А також і самі виробники часом випускають оновлення, що порушують нормальну роботу свого ПО. На критично важливих ділянках бізнесу це неприпустимо. Для запобігання подібних інцидентів все одержувані поновлення, по-перше, повинні бути застосовані відразу після їх випуску, по-друге, перед застосуванням вони обов'язково повинні бути ретельно протестовані.

8. Фізична безпека

Фізична безпека корпоративної мережі є одним з найважливіших факторів, який складно переоцінити. Маючи фізичний доступ до мережних пристроїв зловмисник, в більшості випадків, легко отримає доступ до вашої мережі. Наприклад, якщо є фізичний доступ до комутатора і в мережі не проводиться фільтрація МАС-адрес. Хоча і фільтрація MAC в цьому випадку вас не врятує. Ще однією проблемою є крадіжка або недбале ставлення до жорстких дисків після заміни в сервері або іншому пристрої. З огляду на те, що знайдені там паролі можуть бути розшифровані, серверні шафи і кімнати або ящики з обладнанням повинні бути завжди надійно захищені від проникнення сторонніх.

Ми торкнулися лише деякі з найбільш поширених аспектів безпеки. Важливо також звернути увагу на навчання користувачів, періодичний незалежний аудит інформаційної безпеки, створення і дотримання надійної політики інформаційної безпеки.
Зверніть увагу на те, що захист корпоративної мережі є досить складною темою, яка постійно змінюється. Ви повинні бути впевнені, що компанія не залежить лише від одного-двох рубежів захисту. Завжди прагніть стежити за актуальною інформацією і свіжими рішеннями на ринку інформаційної безпеки.

Скористайтеся надійним захистом корпоративної мережі в рамкам послуги «обслуговування комп'ютерів організацій» в Новосибірську.

Загрози і уразливості провідних корпоративних мереж

На початковому етапі розвитку мережевих технологій збиток від вірусних та інших типів комп'ютерних атак був невеликий, так як залежність світової економіки від інформаційні технології була мала. В даний час в умовах значної залежності бізнесу від електронних засобів доступу та обміну інформацією і постійно зростаючого числа атак збиток від самих незначних атак, що приводять до втрат машинного часу, обчислюється мільйонами доларів, а сукупний річний збиток світовій економіці становить десятки мільярдів доларів.

Інформація, що обробляється в корпоративних мережах, є особливо вразливою, чому сприяють:
збільшення обсягів оброблюваної, переданої і збереженої в комп'ютерах інформації;
зосередження в базах даних інформації різного рівня важливості і конфіденційності;
розширення доступу кола користувачів до інформації, що зберігається в базах даних, і до ресурсів обчислювальної мережі;
збільшення числа віддалених робочих місць;
широке використання глобальної мережі Internet і різних каналів зв'язку;
автоматизація обміну інформацією між комп'ютерами користувачів.

Аналіз найбільш поширених загроз, до яких схильні сучасні провідні корпоративні мережі, показує, що джерела загроз можуть змінюватися від неавторизованих вторгнень зловмисників до комп'ютерних вірусів, При цьому дуже істотною загрозою безпеки є людські помилки. Необхідно враховувати, що джерела загроз безпеці можуть знаходитися як всередині КІС - внутрішні джерела, так і поза нею - зовнішні джерела. Такий поділ цілком виправдано тому, що для однієї і тієї ж загрози (наприклад крадіжки) методи протидії для зовнішніх і внутрішніх джерел різні. Знання можливих загроз, а також уразливих місць КІС необхідно для вибору найбільш ефективних засобів забезпечення безпеки.

Найчастішими і небезпечними (з точки зору розміру збитку) є ненавмисні помилки користувачів, операторів і системних адміністраторів, Які обслуговують КІС. Іноді такі помилки призводять до прямого збитку (неправильно введені дані, помилка в програмі, яка викликала зупинку або руйнування системи), а іноді створюють слабкі місця, якими можуть скористатися зловмисники (такі зазвичай помилки адміністрування).

Згідно з даними Національного інституту стандартів і технологій США (NIST), 55% випадків порушення безпеки ІС - наслідок ненавмисних помилок. Робота в глобальній ІС робить цей фактор досить актуальним, причому джерелом шкоди можуть бути як дії користувачів організації, так і користувачів глобальної мережі, що особливо небезпечно. На рис. 2.4 приведена кругова діаграма, що ілюструє статистичні дані за джерелами порушень безпеки в КІС.

На другому місці за розмірами шкоди розташовуються крадіжки і підробки. У більшості розслідуваних випадків винуватцями виявлялися штатні співробітники організацій, добре обізнані з режимом роботи та захисними заходами. наявність потужного інформаційного каналу зв'язку з глобальними мережами при відсутності належного контролю за його роботою може додатково сприяти такій діяльності.

Мал. 2.4. Джерела порушень безпеки

Ображені співробітники, навіть колишні, знайомі з порядками в організації і здатні шкодити вельми ефективно. Тому при звільненні працівника його права доступу до інформаційних ресурсів повинні припинений.

Навмисні спроби отримання несанкціонованого доступу через зовнішні комунікації займають близько 10% всіх можливих порушень. Хоча ця величина здається не настільки значною, досвід роботи в Internet показує, що майже каждийInternet-сервер по кілька разів на день піддається спробам проникнення. Тести Агентства захисту інформаційних систем (США) показали, що 88% комп'ютерів мають слабкі місця з точки зору інформаційної безпеки, які можуть активно використовуватися для отримання несанкціонованого доступу. Окремо слід розглядати випадки віддаленого доступу до інформаційних структур організацій.

До побудови політики безпеки необхідно оцінити ризики, яким піддається комп'ютерне середовище організації та вжити відповідних заходів. Очевидно, що витрати організації на контроль і запобігання загрозам безпеки не повинні перевищувати очікуваних втрат.

Наведені статистичні дані можуть підказати адміністрації і персоналу організації, куди слід спрямувати зусилля для ефективного зниження загроз безпеки корпоративної мережі і системи. Звичайно, потрібно займатися проблемами фізичної безпеки і заходами щодо зниження негативного впливу на безпеку помилок людини, але в той же час необхідно приділяти найсерйознішу увагу вирішенню завдань мережевої безпеки щодо запобігання атак на корпоративну мережу і систему як ззовні, так і зсередини системи.


Сьогодні в своєму блозі ми вирішили торкнутися аспектів безпеки корпоративних мереж. І нам в цьому допоможе технічний директор компанії LWCOM Михайло Любимов.

Чому ця тема мережевої безпеки є вкрай актуальною в сучасному світі?

З огляду на практично повсюдної доступності широкосмугового інтернету, більшість дій на пристроях виробляються через мережу, тому для 99% сучасних загроз саме мережа є транспортом, на якому доставляється загроза від джерела до мети. Звичайно, поширення шкідливого коду можливо за допомогою знімних носіїв, але даний спосіб в даний час використовується все рідше і рідше, та й більшість компаній давно навчилися боротися з подібними погрозами.

Що таке мережа передачі даних?

Давайте спочатку намалюємо архітектуру класичної корпоративної мережі передачі даних в спрощеному і всім зрозумілому вигляді.

Починається мережу передачі даних з комутатора рівня доступу. Безпосередньо до даного комутатора підключаються робочі місця: комп'ютери, ноутбуки, принтери, багатофункціональні і різного роду інші пристрої, наприклад, бездротові точки доступу. Відповідно обладнання у вас може бути багато, підключатися до мережі воно може в абсолютно різних місцях (поверхах або навіть окремих будівлях).

Зазвичай, корпоративна мережа передачі даних будується по топології «зірка», тому взаємодія всіх сегментів між собою забезпечуватиме обладнання рівня ядра мережі. Наприклад, може використовуватися той же комутатор, тільки зазвичай в більш продуктивній і функціональному варіанті в порівнянні з використовуваними на рівні доступу.

Сервери і системи зберігання даних зазвичай консолідовані в одному місці і, з точки зору мереж передачі даних, можуть підключатися як безпосередньо до обладнання ядра, так і можуть мати якийсь виділений для цих цілей сегмент обладнання доступу.

Далі у нас залишається обладнання для стику з зовнішніми мережами передачі даних (наприклад, Інтернет). Зазвичай для цих цілей в компаніях використовуються такі пристрої, маршрутизатори, міжмережеві екрани, різного роду проксі-сервери. Вони ж використовуються для організації зв'язку з розподіленими офісами компанії і для підключення віддалених співробітників.

Ось така вийшла проста для розуміння і звичайна для сучасних реалій архітектура локально-обчислювальної мережі.

Яка класифікація загроз існує на сьогоднішній день?

Давайте визначимо основні цілі та напрямки атак в рамках мережевої взаємодії.

Найпоширеніша і проста мета атаки - це призначене для користувача пристрій. Шкідливе програмне забезпечення легко поширити в даному напрямку через контент на веб-ресурсах або через пошту.

Надалі зловмисник, отримавши доступ до робочої станції користувача, або може викрасти конфіденційні дані, або розвивати атаку на інших користувачів або на інші пристрої корпоративної мережі.

Наступна можлива мета атаки - це, звичайно ж, сервери. Один з найвідоміших типів атак на опубліковані ресурси є DoS і DDoS атаки, які застосовуються з метою порушення стабільної роботи ресурсів або повного їх відмови.

Також атаки можуть бути направлені з зовнішніх мереж на конкретні опубліковані додатки, наприклад, веб-ресурси, DNS-сервери, електронну пошту. Також атаки можуть бути спрямовані зсередини мережі - з зараженого комп'ютера користувача або від зловмисника, який підключився до мережі, на такі додатки, як файлові кулі або бази даних.



Так само є категорія виборчих атак, і однією з найнебезпечніших є атака на саму мережу, тобто на доступ до неї. Зловмисник, який отримав доступ до мережі, може організувати наступну атаку фактично на будь-який пристрій, підключений до неї, а також скритно одержувати доступ до будь-якої інформації. Що найголовніше - успішну атаку подібного роду досить складно виявити, і вона не лікується стандартними засобами. Тобто фактично у вас з'являється новий користувач або, гірше того, адміністратор, про якого ви нічого не знаєте.

Ще метою атакуючого можуть бути канали зв'язку. Слід розуміти, що успішна атака на канали зв'язку не тільки дозволяє зчитувати передану по ним інформацію, але і бути ідентичною за наслідками атаці на мережу, коли зловмисник може отримати доступ до всіх ресурсів локально обчислювальної мережі.

Яким чином організувати грамотну і надійний захист передачі даних?

Для початку ми можемо уявити загальносвітові практики та рекомендації щодо організації захисту корпоративної мережі передачі даних, а саме той набір засобів, який дозволить мінімальними зусиллями уникнути більшості існуючих загроз, так званий безпечний мінімум.

В даному контексті необхідно ввести термін «периметр безпеки мережі», тому що чим ближче до можливого джерела загрози ви будете здійснювати контроль, тим сильніше ви знижуєте кількість доступних для зловмисника способів атаки. При цьому периметр повинен існувати як для зовнішніх, так і для внутрішніх підключень.

В першу чергу, ми рекомендуємо убезпечити стик з публічними мережами, адже найбільша кількість загроз виникає від них. В даний час існує ряд спеціалізованих засобів мережевої безпеки, призначених саме для безпечної організації підключення до мережі Інтернет.

Для їх позначення широко використовуються такі терміни як NGFW (Next-generation firewall) і UTM (Unified Threat Management). Ці пристрої не просто поєднують в собі функціонал класичного маршрутизатора, файрволла і проксі-сервера, але і надають додаткові сервіси безпеки, такі як: фільтрація по URL і контенту, антивірус і ін. При цьому пристрої часто використовують хмарні системи перевірки контенту, що дозволяє швидко і ефективно перевіряти всі дані, що передаються на наявність загроз. Але головне - це можливість повідомляти про виявлені загрози в ретроспективі, тобто виявляти загрози в таких випадках, коли заражений контент був уже переданий користувачеві, але інформація про шкідливість даного програмного забезпечення з'явилася у виробника пізніше.

Такі речі, як інспекція HTTPS трафіку і автоматичний аналіз додатків, дозволяють контролювати не тільки доступ до конкретних сайтів, але і вирішувати / забороняти роботу таких додатків як: Skype, Team Viewer і багатьох інших, а як ви знаєте, більшість з них давно працюють по протоколам HTTP і HTTPS, і стандартними мережевими засобами їх роботу просто так не проконтролювати.

На додаток до цього, в рамках єдиного пристрою ви можете отримати ще й систему запобігання вторгнень, яка відповідає за припинення атак, спрямованих на опубліковані ресурси. Також ви додатково можете отримати VPN-сервер для безпечної віддаленої роботи співробітників і підключення філій, антиспам, систему контролю ботнетів, пісочницю та ін. Все це робить такий пристрій дійсно уніфікованим засобом мережевої безпеки.

Якщо ваша компанія ще не використовує такі рішення, то ми дуже рекомендуємо почати ними користуватися прямо зараз, оскільки час їх ефективності вже настало, і ми можемо з упевненістю сказати, що подібні пристрої довели свою реальну здатність боротися з великою кількістю загроз, чого не було ще 5 років тому. Тоді подібні речі тільки вийшли на ринок, мали безліч проблем і були досить дорогими і низької продуктивності.

А як же вибрати Next-generation firewall?

Зараз на ринку величезна кількість мережевих пристроїв з заявленим подібним функціоналом, але дійсно ефективний захист здатні забезпечити лише одиниці. Це пояснюється тим, що лише обмежене число виробників мають кошти і справді вкладають їх в nonstop опрацювання актуальних загроз, тобто постійно оновлюють бази потенційно небезпечних ресурсів, забезпечують безперебійну підтримку рішень і т.д.

Багато партнерів будуть намагатися вам продати рішення, які вигідні їм для продажу, тому ціна рішення аж ніяк не завжди відповідає його реальної здатності протистояти загрозам. Особисто я рекомендую для вибору пристрою звернутися до матеріалів незалежних аналітичних центрів, наприклад, звітів NSS Labs. На мою думку, вони є більш точними і неупередженими.

Крім погроз із зовнішнього боку, ваші ресурси можуть бути атаковані і зсередини. Так званий «безпечний мінімум», який слід використовувати у вашій локально-обчислювальної мережі - це її сегментація на VLANи, тобто віртуальні приватні мережі. Крім сегментації, потрібне обов'язкове застосування політик доступу між ними хоча б стандартними засобами листів доступу (ACL), адже просто наявність VLAN в рамках боротьби з сучасними загрозами практично нічого не дає.

Окремою рекомендацією я позначу бажаність використання контролю доступу безпосередньо від порту пристрою. Однак при цьому необхідно пам'ятати про периметрі мережі, тобто чим ближче до захищається сервісів ви застосуєте політики - тим краще. В ідеалі такі політики слід вводити на комутаторах доступу. У таких випадках в якості самих мінімальних політик безпеки рекомендується застосовувати 4 простих правил:

  • тримати все незадіяні порти комутаторів адміністративно вимкненими;
  • не застосовувати 1й VLAN;
  • використовувати листи фільтрації по MAC на комутаторах доступу;
  • використовувати інспекцію ARP протоколу.
Відмінним рішенням буде застосовувати на шляху проходження передачі даних ті ж самі міжмережеві екрани з системами запобігання вторгнень, а також архітектурно використовувати демілітаризовані зони. Найкраще впровадити аутентифікацію підключається по 802. 1x протоколу, використовуючи для централізованого управління доступом до мережі різні AAA системи (системи аутентифікації, авторизації та аккаунтинга). Зазвичай ці рішення позначаються загальним серед виробників терміном NAC (Network Access Control). Приклад однієї з подібних комерційних систем - Cisco ISE.



Також зловмисниками можуть бути здійснені атаки на канали. Для захисту каналів слід використовувати сильне шифрування. Багато нехтують цим, а потім розплачуються за наслідки. Незахищені канали - це не тільки доступна для викрадень інформація, але і можливість атаки практично всіх корпоративних ресурсів. У наших замовників в практиці було чимала кількість прецедентів, коли відбувалися атаки на корпоративну телефонію шляхом організації зв'язку через незахищені канали передачі даних між центральним і віддаленим офісом (наприклад, просто використовуючи GRE тунелі). Компаніям приходили просто божевільні рахунки!

Що ви можете розповісти про бездротові мережі і BYOD?

Тему віддаленої роботи, бездротових мереж і використання власних пристроїв я хотів би виділити окремо. З власного досвіду можу сказати, що ці три речі - одна з найбільших потенційних дірок в безпеці вашої компанії. Але при цьому вони є і одним з найбільших конкурентних переваг.

Якщо підійти до питання коротко, то я рекомендую або повністю забороняти використання бездротових мереж, віддалену роботу або роботу через власні мобільні пристрої, мотивуючи це корпоративними правилами, або надавати ці послуги максимально опрацьованими з точки зору безпеки, тим більше, що сучасні рішення надають можливість зробити це в кращому вигляді.

У плані віддаленої роботи вам можуть допомогти ті ж самі Next Generation Firewalls або UTM пристрої. Наша практика показує, що є ряд стабільних рішень (туди входять Cisco, Checkpoint, Fortinet, Citrix), які дозволяють працювати з великою кількістю клієнтських пристроїв, при цьому забезпечуючи найвищі стандарти для ідентифікації віддаленого співробітника. Наприклад, використання сертифікатів, двухфакторной авторизації, одноразових паролів, що доставляються по SMS або генеруються на спеціальному ключі. Так само можна контролювати програмне забезпечення, встановлене на комп'ютері, з якого здійснюється спроба доступу, припустимо, на предмет встановлення відповідних оновлень або запущених антивірусів.

Безпека Wi-Fi - це заслуговує окремої статті тема. В рамках даного поста я спробую дати найголовніші рекомендації. Якщо ви будуєте корпоративний Wi-Fi, то обов'язково опрацьовуйте всі можливі аспекти безпеки, пов'язані з ним.

Між іншим, Wi-Fi - це ціла окрема стаття доходів нашої компанії. Ми займаємося ними професійно: проекти по оснащенню бездротовим обладнанням ТРК і ТЦ, бізнес-центрів, складів, в тому числі із застосуванням сучасних рішень, Таких як позиціонування, виконуються у нас в режимі nonstop. І за результатами проведених нами радіо-обстежень ми в кожному другому офісі і складі знаходимо як мінімум по одному домашньому Wi-Fi роутера, які підключали до мережі самі співробітники. Зазвичай вони це роблять для власної зручності роботи, припустимо, в курилку з ноутбуком вийти або вільно переміщатися в межах кімнати. Зрозуміло, що ніяких корпоративних правил безпеки на таких маршрутизаторах не застосовувалося і паролі лунали добре знайомим колегам, потім колегам колег, потім зайшли на каву гостям і в підсумку доступ до корпоративної мережі мали практично всі, при цьому він був абсолютно неконтрольованим.

Звичайно, варто убезпечити мережу від приєднання подібного встаткування. Основними способами це зробити можуть бути: використання авторизації на портах, фільтрація по MAC і ін. Знову ж таки, з точки зору Wi-Fi, для мережі слід використовувати сильні криптографічні алгоритми і enterprise методи аутентифікації. Але слід розуміти, що не всі enterprise методи аутентифікації є однаково корисними. Наприклад, Android пристрою в деяких релізах програмного забезпечення можуть за замовчуванням ігнорувати публічний сертифікат Wi-Fi мережі, тим самим роблячи можливим атаки класу Evil twin. Якщо ж використовується метод аутентифікації, такий як EAP GTC, то ключ в ньому передається у відкритому вигляді і його можна в зазначеній атаці цілком перехопити. Ми рекомендуємо в корпоративних мережах використовувати виключно аутентифікацію за сертифікатом, тобто це TLS методи, але враховуйте, що вона значно збільшує навантаження на адміністраторів мережі.

Є ще спосіб: якщо в корпоративній мережі впроваджена дистанційна робота, то можна підключені через Wi-Fi мережу пристрою змушувати використовувати ще і VPN клієнт. Тобто виділити Wi-Fi сегмент мережі в спочатку недовірених область, і в підсумку вийде хороший робочий варіант з мінімізацією витрат на управління мережею.

Виробники enterprise рішень по Wi-Fi, такі як Cisco, Ruckus, який тепер Brocade, Aruba, яка тепер HPE, крім стандартних рішень по організації Wi-Fi, надають цілий набір сервісів з автоматичного контролю безпеки бездротової середовища. Тобто у них цілком собі працюють такі речі як WIPS (Wireless intrusion prevention system). У даних виробників реалізовані бездротові сенсори, які можуть контролювати весь спектр частот, тим самим дозволяючи відслідковувати в автоматичному режимі досить-таки серйозні загрози.

Тепер торкнемося таких тем, як BYOD (Bring your own device - Принеси свій пристрій) і MDM (Mobile device management - Управління мобільними пристроями). Звичайно, будь-який мобільний пристрій, на якому зберігаються корпоративні дані, або яке має доступ до корпоративної мережі, є потенційним джерелом проблем. Тема безпеки для таких пристроїв стосується не тільки безпечного доступу до корпоративної мережі, але і централізованого управління політиками мобільних пристроїв: смартфонів, планшетів, ноутбуків, використовуваних поза організації. Ця тема актуальна вже дуже давно, але тільки зараз на ринку з'явилися реально працюють рішення, що дозволяють управляти різноманітним парком мобільної техніки.

На жаль, розповісти про них в рамках даного поста не вийде, але знайте, що рішення є і в останній рік ми відчуваємо бум впроваджень рішень MDM від Microsoft і MobileIron.

Ви розповіли про «безпеку в мінімумі», що тоді з себе представляє «безпека в максимумі»?

У свій час в інтернеті була популярна картинка: на ній рекомендувалося для захисту мережі поставити один за одним міжмережеві екрани відомих виробників. Ми ні в якому разі не закликаємо робити вас так само, але, тим не менш, частка істини тут є. Буде вкрай корисним мати мережеве пристрій з аналізом вірусних сигнатур, наприклад, від SOFOS, а на робочих місцях вже встановлювати антивірус від Лабораторії Касперського. Тим самим, ми отримуємо дві які не заважають один одному системи захисту від шкідливого коду.

Існує ряд спеціалізованих засобів ІБ:

DLP. На ринку представлені спеціалізовані засоби інформаційної безпеки, тобто розроблені і направлені на вирішення якоїсь конкретної загрози. В даний час популярними стають системи DLP (Data Loss Prevention) або запобігання витоку даних. Вони працюють як на мережевому рівні, інтегруючись в середу передачі даних, так і безпосередньо на серверах додатків, робочих станціях, мобільних пристроях.

Ми кілька йдемо від мережевої тематики, але загроза витоку даних буде існувати завжди. Особливо, дані рішення стають актуальними для компаній, де втрата даних несе комерційні та репутаційних ризики і наслідки. Ще 5 років тому впровадження DLP систем було трохи утруднено, оскільки вони мають комплексності та необхідності проведення процесу розробки для кожного конкретного випадку. Тому через їх вартості багато компаній відмовлялися від даних рішень, або писали свої. В даний час ринкові системи досить напрацьовані, тому весь необхідний функціонал безпеки можна отримати прямо з «коробки».

на російському ринку комерційні системи в основному представлені виробником Infowatch (нижче картинка від цього виробника про те, як вони уявляють своє рішення у великій компанії) і досить-таки відомим MacAfee.

WAF.Зважаючи на розвиток послуг інтернет комерції, а це інтернет-банкінг, електронні гроші, електронна торгівля, страхові послуги і т.д., останнім часом стали затребувані спеціалізовані засоби для захисту веб-ресурсів. А саме WAF - Web Application Firewall.

Цей пристрій дозволяє відображати атаки, спрямовані на уразливості самого сайту. Крім виборчих DoS атак, коли сайт пригнічується легітимними запитами, це можуть бути атаки SQL injection, Cross site scripting і ін. Раніше такі пристрої купувалися в основному банками, а у інших замовників вони були не затребувані, та й коштували дуже великих грошей. Для прикладу - вартість робочого рішення починалася від 100 000 $. Зараз на ринку представлена \u200b\u200bвелика кількість рішень від відомих виробників (Fortinet, Citrix, Positive Technologies), від яких можна отримати працююче рішення по захисту вашого сайту за цілком собі осудні гроші (в 3-5 разів менше, ніж зазначена раніше сума).

Audit. Організації, особливо ратують за власну безпеку, впроваджують засоби автоматизованого аудиту. Дані рішення дорогі, але дозволяють винести ряд функцій адміністратора в область автоматизації, що вкрай затребуване для великого бізнесу. Такі рішення постійно здійснюють сканування мережі та виконують аудит всіх встановлених операційних систем і додатків на предмет наявності відомих дірок в безпеці, своєчасності оновлень, відповідності корпоративних політик. Напевно, найвідоміші рішення в цій галузі не тільки в Росії, але і всьому світі - це продукти від Positive Technologies.

SIEM. Аналогічно SIEM рішення. Це системи, заточені на виявлення позаштатних ситуацій, що стосуються саме подій, пов'язаних з безпекою. навіть стандартний набір з пари міжмережевих екранів, десятка серверів додатків і тисячі робочих місць може генерувати десятки тисяч повідомлень в день. Якщо у вас велика компанія і ви маєте десятки прикордонних пристроїв, то розібратися в одержуваних від них даних в ручному режимі стає просто неможливо. Автоматизація контролю зібраних логів одночасно зі всіх пристроїв дозволяє адміністраторам і співробітникам ІБ діяти негайно. На ринку досить-таки відомі рішення SIEM від Arсsight (входить в продукцію HPE) і Q-RADAR (входить в продукцію IBM).

І наостанок: що ви можете порадити тим, хто всерйоз зайнявся організацією захисту своїх ІТ-ресурсів?

Безумовно, при організації ІТ-безпеки підприємства не варто забувати і про адміністративне регламенті. Користувачі та адміністратори повинні бути в курсі, що знайдені флешки використовувати на комп'ютері не можна, як не можна переходити по сумнівними посиланнями в листах або відкривати сумнівні вкладення. Дуже важливо при цей розповісти і пояснити, які посилання і вкладення є неперевіреними. Насправді, не всі розуміють, що не треба зберігати паролі на стікерах, приклеєних до монітора або телефону, що потрібно навчитися читати попередження, які пишуть користувачеві додатки і т.д. Слід пояснити користувачам, що таке сертифікат безпеки і що означають повідомлення, пов'язані з ним. В цілому, необхідно враховувати не тільки технічну сторону питання, а й прищеплювати культуру використання корпоративних ІТ-ресурсів співробітниками.
Сподіваюся, цей великий пост був вам цікавий і корисний.

У спробах забезпечити життєздатність компанії служби безпеки фокусують свою увагу на захисті мережевого периметра - сервісів, доступних з інтернету. Образ похмурого зловмисника, який готовий нападати з будь-якої точки світу на публікуються сервіси компанії, не на жарт лякає власників бізнесу. Але наскільки це справедливо, враховуючи, що найбільш цінна інформація знаходиться аж ніяк не на периметрі організації, а в надрах її корпоративних мереж? Як оцінити відповідність захищеності інфраструктури від атак зовнішніх і внутрішніх?

«Корабель в порту - це безпечно, але не з цією метою кораблі будуються»

Відчуття безпеки оманливе

В умовах тотальної інформатизації та глобалізації бізнес висуває нові вимоги до корпоративних мереж, на перший план виходять гнучкість і незалежність корпоративних ресурсів по відношенню до його кінцевим користувачам: співробітникам і партнерам. З цієї причини сьогоднішні корпоративні мережі дуже далекі від традиційного поняття ізольованості (незважаючи на те, що спочатку вони охарактеризувалися саме так).

Уявіть собі офіс: стіни захищають від зовнішнього світу, Перегородки і стіни ділять загальну площу на більш дрібні спеціалізовані зони: кухня, бібліотека, службові кімнати, робочі місця і т. Д. Перехід із зони в зону відбувається в певних місцях - в дверних отворах, і при необхідності там же контролюється додатковими засобами: відеокамерами, системами контролю доступу, усміхненим охоронцями ... Заходячи в таке приміщення, ми відчуваємо себе в безпеці, виникає відчуття довіри, доброзичливості. Однак варто визнати, що це відчуття - лише психологічний ефект, заснований на «театрі безпеки», коли метою проведених заходів заявляється підвищення безпеки, але по факту лише формується думка про її наявність. Адже якщо зловмисник дійсно захоче щось вдіяти, то знаходження в офісі не стане непереборною трудністю, а можливо навіть навпаки, знайдуться додаткові можливості.

Те ж саме відбувається і в корпоративних мережах. В умовах, коли існує можливість знаходження всередині корпоративної мережі, класичні підходи до забезпечення безпеки виявляються недостатніми. Справа в тому, що методи захисту будуються виходячи з внутрішньої моделі загроз і націлені на протидію співробітникам, які можуть випадково або навмисно, але без належної кваліфікації, порушити політику безпеки. Але що якщо всередині виявиться кваліфікований хакер? Вартість подолання мережевого периметра організації на підпільному ринку має практично фіксовану ціну для кожної організації та в середньому не перевищує 500 $. Так, наприклад, в по чорному ринку хакерських послуг компанії Dell на квітень 2016 року показаний наступний прейскурант:

У підсумку, можна купити злом корпоративного поштової скриньки, аккаунт від якого швидше за все підійде до всіх інших корпоративних сервісів компанії через поширеного принципу Single Sign-on авторизації. Або придбати не відслідковують для антивірусів поліморфні віруси і за допомогою фішинговою розсилки заразити необережних користувачів, тим самим заволодівши управлінням комп'ютера всередині корпоративної мережі. Для добре захищених мережевих периметрів використовуються недоліки людської свідомості, так, наприклад, купивши нові ідентифікаційні документи і отримавши дані про робочу і особистому житті співробітника організації через замовлення кібершпіонажу, можна використовувати соціальну інженерію і отримати конфіденційну інформацію.

Наш досвід проведення тестів на проникнення показує, що зовнішній периметр долається в 83% випадків, і в 54% це не вимагає висококваліфікованої підготовки. При цьому за статистикою приблизно кожен п'ятий співробітник компанії готовий свідомо продати свої облікові дані, в тому числі і від віддаленого доступу, тим самим колосально спрощуючи подолання мережевого периметра. При таких умовах внутрішній і зовнішній зловмисники стають не відрізнятись, що створює новий виклик безпеки корпоративних мереж.

Взяти критичні дані і не захистити

Усередині корпоративної мережі вхід в усі системи контролюється і доступний тільки для вже пройшли перевірку користувачів. Але ця сама перевірка виявляється згаданим раніше звичайним «театром безпеки», так як реальний стан справ виглядає дуже похмуро, і це підтверджується статистикою вразливостей корпоративних інформаційних систем. Ось деякі основні недоліки корпоративних мереж.

  • словникові паролі

Як не дивно, використання слабких паролів властиво не тільки для рядового персоналу компаній, але і для самих IT-адміністраторів. Так, наприклад, часто в сервісах і обладнанні залишаються паролі, встановлені виробником за замовчуванням, або для всіх пристроїв використовується один і той же елементарне поєднання. Наприклад, одне з найпопулярніших поєднань - обліковий запис admin з паролем admin або password. Також популярні короткі паролі, що складаються з малих літер латинського алфавіту, і прості чисельні паролі, такі як 123456. Таким чином, досить швидко можна виконати перебір пароля, знайти правильну комбінацію і отримати доступ до корпоративних ресурсів.

  • Зберігання критичної інформації всередині мережі у відкритому вигляді

Уявімо ситуацію: зловмисник отримав доступ до внутрішньої мережі, тут може бути два варіанти розвитку подій. У першому випадку інформація зберігається у відкритому вигляді, і компанія відразу ж несе серйозні ризики. В іншому випадку дані в мережі зашифровані, ключ зберігається в іншому місці - і компанія має шанси і час протистояти зловмисникові і врятувати важливі документи від крадіжки.

  • Використання застарілих версій операційних систем і їх компонентів

Кожен раз, коли з'являється оновлення, одночасно з цим випускається технічний документ, в якому детально описується, які недоліки і помилки були виправлені в новій версії. Якщо була виявлена \u200b\u200bпроблема, пов'язана з безпекою, то зловмисники починають активно досліджувати цю тему, знаходити пов'язані помилки і на цій основі розробляти інструменти злому.

До 50% компаній або не оновлюють використовувані програми, або роблять це занадто пізно. На початку 2016 року Королівський госпіталь Мельбурна постраждав від того, що його комп'ютери працювали під управлінням Windows XP. Спочатку потрапивши на комп'ютер відділення патології, вірус стрімко поширився по мережі, заблокувавши на деякий час автоматизовану роботу всього госпіталю.

  • Використання бізнес-додатків самостійної розробки без контролю захищеності

Основне завдання власної розробки - функціональна працездатність. Подібні додатки мають низький поріг захищеності, часто випускаються в умовах дефіциту ресурсів і належної підтримки від виробника. Продукт за фактом працює, виконує завдання, але при цьому його дуже просто зламати і отримати доступ до необхідних даних.

  • Відсутність ефективного антивірусного захисту та інших засобів захисту

Вважається, що заховане від зовнішнього погляду - захищено, т. Е. Внутрішня мережа як би знаходиться в безпеці. Безпечники уважно стежать за зовнішнім периметром, а якщо він так добре охороняється, то і у внутрішній хакер не потрапить. А за фактом в 88% випадків в компаніях не реалізовані процеси виявлення вразливостей, немає систем запобігання вторгнень і централізованого зберігання подій безпеки. У сукупності це не дозволяє ефективно забезпечувати безпеку корпоративної мережі.

При цьому інформація, яка зберігається усередині корпоративної мережі, має високий рівень значимості для роботи підприємства: клієнтські бази в CRM-системах і биллинге, критичні показники бізнесу в ERP, ділова комунікація в пошті, документообіг, що міститься на порталах і файлових ресурсах, і т. п.

Кордон між корпоративної та публічної мережею стала настільки розмитою, що повністю контролювати її безпеку стало дуже складно і дорого. Адже практично ніколи не використовують контрзаходи проти злодійства або торгівлі обліковими записами, недбалості мережевого адміністратора, погроз, що реалізуються через соціальну інженерію, тощо. Що змушує зловмисників користуватися саме цими прийомами подолання зовнішньої захисту та наблизитися до вразливою інфраструктурі з більш цінними відомостями.

Виходом може стати концепція інформаційної безпеки, в якій безпека внутрішньої і зовнішньої мережі забезпечується виходячи з єдиної моделі загроз, і з ймовірністю трансформації одного виду зловмисника в інший.

Зловмисники проти захисників - чия візьме?

Інформаційна безпека як стан можлива тільки у випадку з невловимим Джо - через його непотрібності. Протиборство між зловмисниками і захисниками відбувається в принципово різних площинах. Зловмисники отримують вигоду внаслідок порушення конфіденційності, доступності або цілісності інформації, і чим ефективніше і результативніше їх робота, тим більшу вигоду вони зможуть отримати. Захисники ж таки не витягують вигоди з процесу забезпечення безпеки зовсім, будь-який крок - це неповернутих інвестиція. Саме тому набуло поширення ризик-орієнтоване управління безпекою, при якому увага захисників фокусується на найбільш дорогих (з точки зору оцінки збитку) ризики з найменшою ціною їх перекриття. Ризики з ціною перекриття вище, ніж у охороняється ресурсу, усвідомлено приймаються або страхуються. Завдання такого підходу в тому, щоб якомога більше підвищити ціну подолання найменш слабкою точки безпеки організації, тому критичні сервіси повинні бути добре захищені незалежно від того, де розташовується даний ресурс - всередині мережі або на мережевому периметрі.

Ризик-орієнтований підхід - лише вимушений захід, що дозволяє існувати концепції інформаційної безпеки в реальному світі. За фактом, вона ставить захисників в скрутну позицію: свою партію вони грають чорними, лише відповідаючи на виникаючі актуальні загрози.