Úvod do síťové bezpečnosti. Aktuální otázky bezpečnosti podnikových datových sítí

Síťová a informační bezpečnost

Zajištění bezpečnosti firemní sítě

Vysoké zabezpečení a dodržování předpisů jsou v projektech podnikových sítí naprosto nezbytné.

Aby podniky chránily své vlastní informační zdroje, implementují do své infrastruktury řešení zabezpečení sítě, která zaručují bezpečnost sítě a komerčních dat na všech úrovních:

  • firewall
  • spravované sítě VPN
  • detekce a blokování pokusů o narušení sítě
  • ochrana koncové body dopravní výměna
  • firemní antivirový systém.

Zabezpečení připojení

Pro zaměstnance na služební cesty nebo pracující z domova služba vzdálený přístup do podnikové sítě se stalo pracovní nutností.

Stále více organizací umožňuje partnerům vzdálený přístup k jejich sítím, aby se snížily náklady na údržbu systému. Ochrana koncových bodů výměny provozu je proto jedním z nejdůležitějších úkolů při zajišťování bezpečnosti firemní sítě.

Místa, kde se podniková síť připojuje k Internetu, jsou bezpečnostní perimetr sítě. V těchto bodech se protínají příchozí a odchozí provoz. Provoz firemních uživatelů překračuje hranice sítě a internetové požadavky od externích uživatelů o přístup k webovým a e-mailovým aplikacím vstupují do firemní sítě.

Vzhledem k tomu, že koncové body mají trvalé připojení k internetu, což obvykle umožňuje externímu provozu vstoupit do podnikové sítě, jsou hlavním cílem útočníků.

Při budování podnikové sítě pro zabezpečení dat jsou brány firewall instalovány na okrajích sítě v přístupových bodech k Internetu. Tato zařízení umožňují předcházet a blokovat externí hrozby při ukončování VPN tunelů (viz obr. 1).


Obr.1 Bezpečnostní perimetr podnikové sítě

Sada integrovaných řešení pro bezpečná spojení od Cisco Systems zajišťuje důvěrnost informací. Síť prověřuje všechny koncové body a přístupové metody ve všech firemních sítích: LAN, WAN a bezdrátové mobilní sítě

Zajišťuje plnou dostupnost firewallu a služby VPN. Funkce brány firewall poskytují stavové filtrování na aplikační vrstvě pro příchozí a odchozí provoz, bezpečný odchozí přístup pro uživatele a síť DMZ pro servery, ke kterým je potřeba přistupovat z internetu.

Systémový integrátor IC „Telecom-Service“ buduje podnikové bezpečnostní sítě založené na multifunkčních bezpečnostních zařízeních Cisco Systems, Juniper Networks a Huawei Technologies, což umožňuje snížit počet požadovaných zařízení v síti.

Komplexní řešení zabezpečení podnikových sítí od společností Cisco Systems, Juniper Networks a Huawei Technologies mají řadu výhod, které jsou důležité pro efektivní podnikání:

  • snížení IT rozpočtů na provoz a údržbu softwaru a hardwaru
  • zvýšení flexibility sítě
  • snížení nákladů na implementaci
  • snížení celkových nákladů na vlastnictví
  • posílení kontroly prostřednictvím jednotného řízení a zavedení bezpečnostních politik
  • zvýšení zisků a zvýšení ukazatelů výkonnosti podniku
  • snížení bezpečnostních hrozeb pro síť a úložné systémy
  • aplikace účinných bezpečnostních politik a pravidel na koncových uzlech sítě: PC, PDA a servery
  • zkrácení času na implementaci nových bezpečnostních řešení
  • účinná prevence narušení sítě
  • integrace se softwarem od jiných vývojářů v oblasti bezpečnosti a správy.
  • komplexní řízení přístupu k síti

Bezpečnostní produkty Cisco na všech úrovních sítě

Zabezpečení koncového bodu: Software Cisco Security Agent chrání počítače a servery před útoky červů.

Vestavěné firewally: PIX Security Appliance, Catalyst 6500 Firewall Services Module a sada funkcí firewallu chrání síť interně i na perimetru.

Ochrana proti vniknutí do sítě: Senzory IPS řady 4200, moduly služeb Catalyst 6500 IDS (IDSM-2) nebo IOS IPS identifikují, analyzují a blokují škodlivý nevyžádaný provoz.

Detekce a eliminace DDoS útoků: Cisco Traffic Anomaly Detector XT a Guard XT zajišťují normální provoz v případě útoků na přerušení služby. Cisco Traffic Anomaly Detector Services a moduly Cisco Guard poskytují silnou ochranu proti DDoS útokům na přepínače Catalyst řady 6500 a směrovače řady 7600.

Zabezpečení obsahu: Modul zařízení Modul Access Router Content Engine chrání podnikové aplikace pracující s internetem a zajišťuje bezchybné doručování webového obsahu.

Služby inteligentní správy sítí a zabezpečení: Nevyžádaný provoz a aplikace jsou nalezeny a blokovány ve směrovačích a přepínačích Cisco.

Řízení a monitorování:

Produkty:

  • Řešení CiscoWorks VPN/Security Management Solution (VMS)
  • CiscoWorksSecurity Information Management System (SIMS) - systém pro správu bezpečnostních informací
    • Vestavění správci zařízení: Cisco Router and Security Device Manager (SDM), PIX Device Manager (PDM), Adaptive Security Device Manager (ASDM) rychle a efektivně sledují, monitorují bezpečnostní služby a síťovou aktivitu.

    Technologie Network Admission Control (NAC) od společnosti Cisco

    Network Admission Control (NAC) je soubor technologií a řešení založených na celoodvětvové iniciativě vedené společností Cisco Systems.

    NAC využívá síťovou infrastrukturu k vynucení bezpečnostních zásad na všech zařízeních, která chtějí získat přístup k síťovým zdrojům. To snižuje možné poškození sítě bezpečnostními hrozbami.

    Multifunkční bezpečnostní zařízení poskytují zaměstnancům a partnerům bezpečný vzdálený přístup k podnikové VPN pomocí protokolů SSL a IPsec VPN, vestavěných blokovacích služeb pro prevenci a prevenci narušení IPS.

    Self-Defending Network - sebeobranná síťová strategie od společnosti Cisco

    Self-Defending Network je vyvíjející se budoucí strategie společnosti Cisco. Tato technologie vám umožňuje chránit podnikové obchodní procesy detekcí a předcházením útokům a přizpůsobením se interním a externím síťovým hrozbám.

    Podniky mohou efektivněji využívat intelektuální schopnosti síťových zdrojů, optimalizovat obchodní procesy a snižovat náklady.

    Cisco Security Management Suite

    Cisco Security Management Suite je sada produktů a technologií navržených tak, aby poskytovaly škálovatelnou správu a prosazování bezpečnostních zásad pro sebeobranou síť Cisco.

    Integrovaný produkt Cisco vám umožňuje automatizovat úlohy správy zabezpečení pomocí klíčových komponent: manažera správy a Cisco Security MARS – systému monitorování, analýzy a odezvy.

    Cisco Security Management Manager poskytuje jednoduché rozhraní pro konfiguraci firewallu, VPN a systému ochrany proti narušení (IPS) na bezpečnostních zařízeních, firewallech, směrovačích a přepínačích Cisco.

    Pokud vezmeme v úvahu systém informační bezpečnost jakákoli velká společnost, pak se nejedná pouze o antivirus, ale také o několik dalších programů pro ochranu ve všech oblastech. Doba jednoduchých řešení bezpečnosti IT je dávno pryč.

    Základem obecného systému zabezpečení informací pro každou organizaci je samozřejmě ochrana standardní pracovní stanice před viry. A zde nutnost použití antiviru zůstává nezměněna.

    Firemní bezpečnostní požadavky se ale celkově změnily. Společnosti potřebují plnohodnotná end-to-end řešení, která dokážou nejen poskytnout ochranu před nejsložitějšími moderními hrozbami, ale také si udržet náskok.

    "Stále více velkých společností buduje bezpečnostní systém založený na principu obrany do hloubky."

    Navíc dřívější úrovně byly postaveny na různých prvcích IT infrastruktury, ale nyní by víceúrovňová ochrana měla být i na jednotlivých prvcích IT prostředí, především na pracovních stanicích a serverech.

    Jakým hrozbám čelily společnosti v roce 2014?

    Z hlediska hrozeb se v poslední době staly obrovským problémem informační bezpečnosti cílené útoky na korporace a vládní agentury. Mnoho technik, které hackeři dříve používali k útokům na domácí uživatele, se nyní používá v podnicích.

    Patří sem upravené bankovní trojské koně, které jsou zaměřeny na zaměstnance finančních oddělení a účetních oddělení, a různé šifrovací programy, které začaly fungovat v rámci podnikových informačních sítí, a použití metod sociální inženýrství.

    Navíc se stali populární síťoví červi, pro jejich odstranění je nutné vypnout celou podnikovou síť. Pokud se potýkají firmy, které mají podobný problém velký počet pobočky umístěné v různých časových pásmech, pak každé přerušení provozu sítě nevyhnutelně vede k finančním ztrátám.

    Podle výsledků studie provedené společností Kaspersky Lab v roce 2014 mezi specialisty na informační bezpečnost nejčastěji ruské společnosti čelí

    • malware,
    • nevyžádaná korespondence (spam),
    • pokusy o neoprávněný vstup do systému prostřednictvím phishingu.
    • zranitelnosti v nainstalovaný software,
    • rizika spojená s chováním zaměstnanců společnosti.

    Problém dále zhoršuje skutečnost, že kybernetické hrozby zdaleka nejsou statické: každým dnem se množí, stávají se rozmanitějšími a složitějšími. Abychom lépe porozuměli současné situaci v oblasti informační bezpečnosti a důsledkům, ke kterým může vést i jediný počítačový incident, uveďme vše v číslech a faktech získaných na základě analýzy událostí roku 2014 provedené společností Kaspersky Lab.

    Statistiky kybernetických hrozeb


    Mimochodem, jsou to mobilní zařízení, která dnes stále představují samostatnou „bolest hlavy“ pro specialisty na informační bezpečnost. Používání osobních chytrých telefonů a tabletů pro pracovní účely je již ve většině organizací přijatelné, ale správná správa těchto zařízení a jejich zařazení do společný systém Firemní informační bezpečnost není praktikována všude.

    "Podle společnosti Kaspersky Lab platforma Android Dnes je 99 % malwaru, který se specializuje na mobilní zařízení."

    Abychom pochopili, odkud takové množství hrozeb pochází, a abychom si představili rychlost, s jakou se jejich počet zvyšuje, stačí říci, že specialisté Kaspersky Lab zpracují každý den 325 tisíc vzorků nového malwaru.

    Malware se do počítačů uživatelů nejčastěji dostává dvěma způsoby:

    • prostřednictvím zranitelností v legálním softwaru
    • pomocí metod sociálního inženýrství.

    Velmi častá je samozřejmě kombinace těchto dvou technik, ale útočníci nezanedbávají ani další triky.

    Samostatnou hrozbou pro podnikání jsou cílené útoky, které jsou stále častější.

    "Používání nelegálního softwaru samozřejmě dále zvyšuje riziko, že se stanete úspěšným cílem kybernetického útoku, především kvůli přítomnosti více zranitelností."

    Chyby zabezpečení se dříve nebo později objeví v jakémkoli softwaru. Mohou to být chyby při vývoji programu, zastaralost verzí nebo jednotlivých prvků kódu. Ať je to jak chce, hlavním problémem není přítomnost zranitelnosti, ale její včasné odhalení a uzavření.

    Mimochodem, v poslední době a rok 2014 je toho jasným důkazem, výrobci softwaru začínají stále více uzavírat zranitelnosti svých programů. V aplikacích je však stále dost mezer a kyberzločinci je aktivně využívají k pronikání do firemních sítí.

    V roce 2014 bylo 45 % všech incidentů zranitelnosti způsobeno dírami v oblíbeném softwaru Oracle Java.

    V minulém roce navíc došlo k určitému zlomu, když byla objevena zranitelnost v běžném šifrovacím protokolu OpenSSL s názvem Heartbleed. Tato chyba umožnila útočníkovi číst obsah paměti a zachytit osobní data v systémech používajících zranitelné verze protokolu.

    OpenSSL se široce používá k ochraně dat přenášených přes internet (včetně informací vyměňovaných mezi uživateli na webových stránkách, e-maily, zprávy v internetových instant messengerech) a dat přenášených prostřednictvím kanálů VPN (Virtual Private Networks), takže dopad této zranitelnosti byl potenciální poškození Je možné, že útočníci by tuto zranitelnost mohli využít jako start pro nové kybernetické špionážní kampaně.

    Oběti útoků

    Obecně se v roce 2014 počet organizací, které se staly obětí cílených kybernetických útoků a kyberšpionážních kampaní, zvýšil téměř 2,5krát. Za poslední rok se terčem kyberzločinců stalo téměř 4,5 tisíce organizací v nejméně 55 zemích včetně Ruska.

    Ke krádeži dat došlo v nejméně 20 různých ekonomických sektorech:

    • Stát,
    • telekomunikace,
    • energie,
    • výzkum,
    • průmyslový,
    • zdravotní péče,
    • stavební a další firmy.

    Kyberzločinci získali přístup k následujícím informacím:

    • hesla,
    • soubory,
    • geolokační informace,
    • audio data,
    • snímky obrazovky
    • obrázky z webové kamery.

    Je pravděpodobné, že v některých případech byly tyto útoky podporovány vládními agenturami, zatímco jiné s větší pravděpodobností provedly profesionální skupiny kybernetických žoldáků.

    V posledních letech Centrum globálního výzkumu a analýzy hrozeb společnosti Kaspersky Lab sledovalo aktivity více než 60 zločineckých skupin odpovědných za kybernetické útoky po celém světě. Jejich účastníci mluví různými jazyky: rusky, čínsky, německy, španělsky, arabsky, persky a dalšími.

    Důsledky cílených operací a kybernetických špionážních kampaní jsou vždy mimořádně vážné. Nevyhnutelně končí hackováním a infekcí podnikové sítě, narušením obchodních procesů a únikem důvěrných informací, zejména duševního vlastnictví. V roce 2014 se 98 % ruských společností setkalo s nějakým druhem kybernetického incidentu, jehož zdroje byly zpravidla mimo samotné podniky, dalších 87 % organizací navíc zaznamenalo incidenty způsobené vnitřními hrozbami.

    "Celková výše škod pro velké společnosti byla v průměru 20 milionů rublů za každý úspěšný příklad kybernetického útoku."

    Čeho se společnosti bojí a jak se věci ve skutečnosti mají

    Společnost Kaspersky Lab každoročně provádí průzkum, aby zjistila postoj IT specialistů k otázkám bezpečnosti informací. Studie z roku 2014 ukázala, že naprostá většina ruských společností, přesněji 91 %, podceňuje množství malwaru, který dnes existuje. Navíc ani nepředpokládají, že počet malwaru neustále roste.



    Zajímavé je, že 13 % IT profesionálů uvedlo, že se nebojí vnitřních hrozeb.

    To lze vysvětlit tím, že v řadě společností není zvykem dělit kybernetické hrozby na vnější a vnitřní. Navíc mezi ruskými šéfy IT a služeb informační bezpečnosti jsou tací, kteří stále dávají přednost řešení všech problémů s vnitřními hrozbami pomocí prohibičních opatření.

    Pokud má však člověk něco zakázáno, neznamená to, že to nedělá. Proto jakákoli bezpečnostní politika, včetně zákazu, vyžaduje vhodné kontrolní nástroje k zajištění souladu se všemi požadavky.

    Pokud jde o typy informací, o které se útočníci primárně zajímají, studie ukázala, že vnímání společností a skutečný stav věcí se značně liší.

    Ztráty se tak nejvíce bojí samotné firmy

    • informace o klientech,
    • finanční a provozní údaje,
    • duševní vlastnictví.
    Obchodní starosti o něco méně
    • informace o analýze aktivit konkurentů,
    • Informace o platbě,
    • osobní údaje zaměstnanců
    • údaje o firemních bankovních účtech.

    „Ve skutečnosti se ukazuje, že kyberzločinci nejčastěji kradou interní podnikové provozní informace (v 58 % případů), ale pouze 15 % společností považuje za nutné tato data na prvním místě chránit.“

    Pro bezpečnost je stejně důležité promyslet nejen technologie a systémy, ale také vzít v úvahu lidský faktor: porozumění cílům specialistů, kteří systém staví, a pochopení odpovědnosti zaměstnanců, kteří zařízení používají. .

    Útočníci se v poslední době stále více spoléhají nejen na technické prostředky, ale také na slabiny lidí: využívají metody sociálního inženýrství, které pomáhají získat téměř jakékoli informace.

    Zaměstnanci, kteří odebírají data na svém zařízení, musí pochopit, že nesou úplně stejnou odpovědnost, jako kdyby si s sebou vzali papírové kopie dokumentů.

    Pracovníci společnosti by si také měli dobře uvědomit, že každé moderní technicky složité zařízení obsahuje vady, které může útočník zneužít. Aby však útočník mohl využít těchto defektů, musí získat přístup k zařízení. Při stahování pošty, aplikací, hudby a obrázků je proto nutné zkontrolovat reputaci zdroje.

    Před otevřením zprávy a kliknutím na odkaz je důležité dávat si pozor na pobuřující textové zprávy a e-maily a zkontrolovat spolehlivost zdroje.

    Aby firma měla stále ochranu před takovým náhodným či úmyslným jednáním zaměstnanců, měla by využívat moduly na ochranu dat před úniky.

    „Firmy si musí pravidelně pamatovat, jak pracovat s personálem: od zlepšování dovedností IT zaměstnanců po vysvětlování základních pravidel pro bezpečnou práci na internetu bez ohledu na to, z jakého zařízení k němu přistupují.“

    Společnost Kaspersky Lab proto letos vydala nový modul, který implementuje funkce ochrany proti úniku dat –

    Cloudová ochrana

    Mnoho velkých společností využívá cloud tak či onak, v Rusku nejčastěji ve verzi privátního cloudu. Zde je důležité připomenout, že jako každý jiný informační systém vytvořený člověkem, cloudové služby obsahovat potenciální zranitelnosti, které mohou tvůrci virů zneužít.

    Proto při organizování přístupu i do vašeho cloudu musíte pamatovat na zabezpečení komunikačního kanálu a koncových zařízení, která zaměstnanci používají. Neméně důležité jsou interní zásady upravující, kteří zaměstnanci mají přístup k datům v cloudu, nebo jaká úroveň důvěrnosti informací může být v cloudu uložena atd. Společnost musí formulovat transparentní pravidla:

    • jaké služby budou fungovat z cloudu,
    • které jsou na místních zdrojích,
    • jaký druh informací by měl být umístěn v oblacích,
    • kterou je třeba mít „doma“.

    Na základě článku: Čas na „tvrdá“ rozhodnutí: bezpečnost v segmentu Enterprise.

    Přesně takový výsledek vyplynul z průzkumu mezi více než 1000 vedoucími IT oddělení velkých a středních evropských společností, který si objednala společnost Intel Corporation. Účelem průzkumu bylo identifikovat problém, který odborníky v oboru nejvíce znepokojuje. Odpověď byla vcelku očekávaná, více než polovina dotázaných označila problém zabezpečení sítě jako problém, který vyžaduje okamžité řešení. Další výsledky průzkumu jsou také celkem očekávané. Mezi další problémy v této oblasti vede například faktor zabezpečení sítě informační technologie; její význam vzrostl o 15 % ve srovnání se situací před pěti lety.
    Podle výsledků průzkumu tráví vysoce kvalifikovaní IT specialisté více než 30 % svého času řešením bezpečnostních problémů. Situace ve velkých firmách (nad 500 zaměstnanců) je ještě alarmující – řešením těchto záležitostí věnuje zhruba čtvrtina respondentů polovinu svého času.

    Rovnováha hrozeb a ochrany

    Problém zabezpečení sítě je bohužel neoddělitelně spojen se základními technologiemi používanými v moderních telekomunikacích. Stalo se tak, že při vývoji rodiny IP protokolů byla dána priorita spolehlivosti sítě jako celku. V době, kdy se tyto protokoly objevily, byla síťová bezpečnost zajišťována zcela jinými způsoby, které bylo v kontextu globální sítě prostě nereálné. Na krátkozrakost vývojářů si můžete hlasitě stěžovat, ale radikálně změnit situaci je téměř nemožné. Nyní jen se musíte umět chránit před potenciálními hrozbami.
    Hlavním principem této dovednosti by mělo být rovnováhu mezi potenciálními hrozbami pro zabezpečení sítě a požadovanou úrovní ochrany. Musí být zajištěna srovnatelnost mezi náklady na bezpečnost a náklady na možné škody z realizovaných hrozeb.
    Pro moderní velké a střední podniky se informační a telekomunikační technologie staly základem podnikání. Proto se ukázaly jako nejcitlivější na dopady hrozeb. Čím větší a složitější síť, tím větší úsilí vyžaduje její ochrana. Navíc náklady na vytváření hrozeb jsou řádově nižší než náklady na jejich neutralizaci. Tento stav nutí firmy pečlivě vážit důsledky možných rizik z různých hrozeb a volit vhodné způsoby ochrany před těmi nejnebezpečnějšími.
    V současnosti představují největší hrozby pro podnikovou infrastrukturu akce související s neoprávněným přístupem k interním zdrojům a blokováním běžného provozu sítě. Existuje docela velké číslo takové hrozby, ale každá z nich je založena na kombinaci technických a lidských faktorů. Například penetrace malware do podnikové sítě může dojít nejen kvůli zanedbání bezpečnostních pravidel správcem sítě, ale také kvůli přílišné zvědavosti zaměstnance společnosti, který se rozhodne využít lákavého odkazu ze spamové pošty. Proto byste neměli doufat, že i ta nejlepší technická řešení v oblasti bezpečnosti se stanou všelékem na všechny neduhy.

    řešení třídy UTM

    Bezpečnost je vždy relativní pojem. Je-li ho příliš mnoho, pak je použití samotného systému, který se chystáme chránit, znatelně obtížnější. Proto se rozumný kompromis stává první volbou při zajištění bezpečnosti sítě. U středních podniků podle ruských standardů může takové volbě dobře napomoci třídní rozhodnutí UTM (Unified Threat Management nebo United Threat Management), jsou umístěny jako multifunkční zařízení pro zabezpečení sítí a informací. Tato řešení jsou v jádru softwarové a hardwarové systémy, které kombinují funkce různá zařízení: firewall, systém detekce a prevence narušení sítě (IPS) a také funkce antivirové brány (AV). Tyto komplexy mají často za úkol řešit další úkoly, jako je směrování, přepínání nebo podpora sítí VPN.
    Poskytovatelé řešení UTM často nabízejí řešení pro malé podniky. Možná je tento přístup částečně oprávněný. Ale přesto je pro malé podniky u nás snazší a levnější využívat službu zabezpečení od svého poskytovatele internetu.
    Jako každé univerzální řešení má zařízení UTM své klady a zápory. První zahrnuje úsporu nákladů a času na implementaci ve srovnání s organizováním ochrany podobné úrovně ze samostatných bezpečnostních zařízení. UTM je také předem vyvážené a otestované řešení, které dokáže snadno vyřešit širokou škálu bezpečnostních problémů. Konečně řešení této třídy nejsou tak náročná na úroveň kvalifikace technického personálu. Jejich nastavení, správu a údržbu zvládne každý specialista.
    Hlavní nevýhodou UTM je fakt, že jakákoliv funkcionalita univerzálního řešení je často méně efektivní než stejná funkcionalita specializovaného řešení. Právě proto při vysokém výkonu resp vysoký stupeň bezpečnostní specialisté preferují používání řešení založených na integraci jednotlivých produktů.
    Navzdory této nevýhodě se však UTM řešení stávají poptávkou mnoha organizací, které se značně liší v rozsahu a typu činnosti. Podle Rainbow Technologies byla taková řešení úspěšně implementována například pro ochranu serveru jednoho z internetových obchodů s domácími spotřebiči, který byl vystaven pravidelným DDoS útokům. Řešení UTM také umožnilo výrazně snížit objem spamu poštovní systém jeden z automobilových holdingů. Kromě řešení lokálních problémů máme zkušenosti s budováním bezpečnostních systémů na bázi UTM řešení pro distribuovanou síť pokrývající centrálu pivovarnické společnosti a její pobočky.

    Výrobci UTM a jejich produkty

    Ruský trh pro zařízení třídy UTM je tvořen pouze nabídkami zahraniční výrobci. Bohužel žádný z tuzemských výrobců zatím nebyl schopen nabídnout vlastní řešení v této třídě zařízení. Výjimkou je softwarové řešení Eset NOD32 Firewall, které podle společnosti vytvořili ruští vývojáři.
    Jak již bylo zmíněno, na ruském trhu mohou být UTM řešení zajímavá především pro středně velké společnosti, jejichž firemní síť má do 100-150 pracovních míst. Při výběru zařízení UTM, které má být v recenzi prezentováno, byl hlavním kritériem výběru jeho výkon v různých provozních režimech, který by mohl zajistit pohodlný uživatelský zážitek. Výrobci často specifikují výkonové specifikace pro režimy Firewall, IPS Intrusion Prevention a AV Virus Protection.

    Řešení Kontrolní bod je nazýván Hrana UTM-1 a je to jednotné bezpečnostní zařízení, které kombinuje firewall, systém prevence narušení, antivirovou bránu a také nástroje VPN a vzdáleného přístupu. Firewall obsažený v řešení ovládá práci s velkým množstvím aplikací, protokolů a služeb a má také mechanismus blokování provozu, který zjevně nezapadá do kategorie podnikových aplikací. Například přenos rychlých zpráv (IM) a peer-to-peer (P2P). Antivirová brána umožňuje sledovat škodlivý kód v e-mailových zprávách, FTP a HTTP provoz. V tomto případě neexistují žádná omezení velikosti souborů a dekomprese archivních souborů se provádí „za běhu“.
    Řešení UTM-1 Edge má pokročilé možnosti pro práci v sítích VPN. Podporováno je dynamické směrování OSPF a připojení klientů VPN. Model UTM-1 Edge W je k dispozici s vestavěným WiFi hotspot Přístup IEEE 802.11b/g.
    Když jsou vyžadována rozsáhlá nasazení, UTM-1 Edge se hladce integruje s Check Point SMART, aby se výrazně zjednodušila správa zabezpečení.

    Společnost Cisco tradičně věnuje zvýšenou pozornost otázkám zabezpečení sítě a nabízí širokou škálu potřebných zařízení. Pro recenzi jsme se rozhodli vybrat model Cisco ASA 5510, která je zaměřena na zajištění bezpečnosti perimetru podnikové sítě. Toto zařízení je součástí řady ASA 5500, která zahrnuje modulární ochranné systémy třídy UTM. Tento přístup umožňuje přizpůsobit bezpečnostní systém zvláštnostem fungování sítě konkrétního podniku.
    Cisco ASA 5510 se dodává ve čtyřech hlavních sadách – firewall, nástroje VPN, systém prevence narušení a také antivirové a antispamové nástroje. Řešení obsahuje další komponenty, jako je systém Security Manager pro vytvoření infrastruktury pro správu rozsáhlé podnikové sítě a systém Cisco MARS, určený k monitorování síťového prostředí a reakci na narušení bezpečnosti v reálném čase.

    Slovák Společnost Eset dodává softwarový balík Firewall Eset NOD32 UTM třída, která zahrnuje kromě funkcí firemního firewallu také systém antivirové ochrany Eset NOD32, nástroje pro filtrování pošty (antispamu) a webového provozu, systémy detekce a prevence síťových útoků IDS a IPS. Řešení podporuje vytváření sítí VPN. Tento komplex je postaven na serverové platformě se systémem Linux. Softwarová část vyvinutá zařízení tuzemská společnost Leta IT, ovládaná ruským zastoupením společnosti Eset.
    Toto řešení umožňuje sledovat síťový provoz v reálném čase a podporuje filtrování obsahu podle kategorií webových zdrojů. Poskytuje ochranu před útoky DDoS a blokuje pokusy o skenování portů. Řešení Eset NOD32 Firewall zahrnuje podporu DNS servery, DHCP a řízení změny šířky pásma. Provoz poštovních protokolů SMTP a POP3 je řízen.
    Toto řešení také zahrnuje možnost vytvářet distribuované podnikové sítě pomocí připojení VPN. Současně jsou podporovány různé režimy síťové agregace, autentizace a šifrovacích algoritmů.

    Společnost Fortinet nabízí celou rodinu zařízení FortiGate třídy UTM, umísťující svá řešení tak, aby byla schopna poskytovat ochranu sítě při zachování vysoké úrovně výkonu a také spolehlivého a transparentního provozu informační systémy podniky v reálném čase. Pro recenzi jsme vybrali model FortiGate-224B, která je zaměřena na ochranu perimetru podnikové sítě se 150 - 200 uživateli.
    Zařízení FortiGate-224B zahrnuje funkci firewallu, servery VPN, filtrování webového provozu, systémy prevence narušení a také antivirová a antispamová ochrana. Tento model má vestavěný přepínač LAN na 2. vrstvě a rozhraní WAN, což eliminuje potřebu externích směrovacích a přepínacích zařízení. Pro tento účel je podporováno směrování pomocí protokolů RIP, OSPF a BGP a také protokoly pro autentizaci uživatele před poskytováním síťových služeb.

    Společnost SonicWALL nabízí široký výběr UTM zařízení, ze kterých tato recenze dostal řešení NSA 240. Toto zařízení je juniorským modelem v řadě, zaměřeným na použití jako bezpečnostní systém pro podnikovou síť středních podniků a poboček velkých společností.
    Tato linie je založena na využití všech prostředků ochrany před potenciálními hrozbami. Jedná se o firewall, systém ochrany proti vniknutí, antivirové a antispywarové brány. software. K dispozici je filtrování webového provozu podle 56 kategorií stránek.
    Jako jeden z vrcholů svého řešení SonicWALL uvádí technologii hlubokého skenování a analýzy příchozího provozu. Aby nedošlo ke snížení výkonu, využívá tato technologie paralelní zpracování dat na víceprocesorovém jádře.
    Toto zařízení podporuje VPN, má pokročilé možnosti směrování a podporuje různé síťové protokoly. Řešení od SonicWALL je také schopno poskytnout vysokou úroveň zabezpečení při obsluze VoIP provozu pomocí protokolů SIP a H.323.

    Z produktové řady Společnost WatchGuardřešení bylo vybráno ke kontrole Firebox X550e, který je umístěn jako systém s pokročilou funkcionalitou pro zajištění síťové bezpečnosti a je zaměřen na použití v sítích malých a středních podniků.
    Řešení třídy UTM tohoto výrobce jsou založena na principu ochrany proti smíšeným síťovým útokům. Aby toho bylo dosaženo, zařízení podporuje firewall, systém prevence útoků, antivirové a antispamové brány, filtrování webových zdrojů a také antispywarový systém.
    Toto zařízení využívá princip společné ochrany, podle kterého síťový provoz kontrolovaný podle určitého kritéria na jedné úrovni ochrany nebude kontrolován stejným kritériem na jiné úrovni. Tento přístup umožňuje vysoký výkon zařízení.
    Za další výhodu svého řešení výrobce nazývá podporu technologie Zero Day, která zajišťuje bezpečností nezávislost na přítomnosti podpisů. Tato funkce je důležitá, když se objeví nové typy hrozeb, kterým dosud nebylo možné účinně čelit. Obvykle „okno zranitelnosti“ trvá několik hodin až několik dní. Při použití technologie Zero Day se znatelně snižuje pravděpodobnost negativních důsledků z okna zranitelnosti.

    Společnost ZyXEL nabízí své firewallové řešení třídy UTM, zaměřené na použití v podnikových sítích do 500 uživatelů. Tento Řešení ZyWALL 1050 navržený k vybudování systému zabezpečení sítě, včetně plné antivirové ochrany, prevence narušení a podpory virtuálních privátních sítí. Zařízení má pět portů Gigabit Ethernet, které lze nakonfigurovat pro použití jako rozhraní WAN, LAN, DMZ a WLAN v závislosti na konfiguraci sítě.
    Zařízení podporuje přenos VoIP aplikačního provozu přes protokoly SIP a H.323 na úrovni firewallu a NAT a také přenos paketového telefonního provozu v tunelech VPN. Zároveň je zajištěno fungování mechanismů prevence útoků a hrozeb pro všechny typy provozu včetně VoIP provozu, provoz antivirového systému s plnou databází podpisů, filtrování obsahu pro 60 kategorií webových stránek a ochrana proti spamu.
    Řešení ZyWALL 1050 podporuje více topologií privátních sítí, režim koncentrátoru VPN a agregaci virtuální sítě do zón s jednotnou bezpečnostní politikou.

    Hlavní charakteristiky UTM

    Názor odborníka

    Dmitrij Kostrov, projektový ředitel Ředitelství technologické ochrany Podnikového centra MTS OJSC

    Rozsah UTM řešení se týká především společností klasifikovaných jako malé a střední podniky. Samotný koncept Unified Threat Management (UTM), jako samostatnou třídu zařízení pro ochranu síťových zdrojů, představila mezinárodní agentura IDC, podle které jsou UTM řešení multifunkčními softwarovými a hardwarovými systémy, které kombinují funkce různých zařízení. Obvykle mezi ně patří firewall, VPN, systémy detekce a prevence narušení sítě, stejně jako antivirové a antispamové brány a funkce filtrování URL.
    Aby bylo dosaženo skutečně účinné ochrany, musí být zařízení víceúrovňové, aktivní a integrované. Přitom řada výrobců zabezpečovacího zařízení má již poměrně širokou škálu produktů souvisejících s UTM. Dostatečná jednoduchost nasazení systému a také all-in-one systém činí trh s těmito zařízeními poměrně atraktivní. Celkové náklady na vlastnictví a návratnost investic při implementaci těchto zařízení se zdají velmi atraktivní.
    Ale toto řešení UTM je jako „švýcarský nůž“ – pro každou situaci existuje nástroj, ale k proražení díry do zdi potřebujete skutečný vrták. Existuje také možnost, že vznik ochrany proti novým útokům, aktualizace podpisů atd. nebude tak rychlý, na rozdíl od podpory jednotlivých zařízení v „klasickém“ schématu ochrany podnikové sítě. Zůstává také problém jediného bodu selhání.

    V počáteční fázi vývoje síťových technologií byly škody způsobené viry a jinými typy počítačových útoků malé, protože závislost světové ekonomiky na informačních technologiích byla malá. V současné době, v kontextu značné závislosti podnikání na elektronických prostředcích pro přístup a výměnu informací a neustále rostoucím počtu útoků, se škody způsobené těmi nejmenšími útoky vedoucími ke ztrátě času počítače odhadují na miliony dolarů a celková roční škody na světové ekonomice dosahují desítek miliard dolarů.

    Informace zpracovávané v podnikových sítích jsou obzvláště zranitelné, což usnadňuje:

    • zvýšení objemu informací zpracovávaných, přenášených a ukládaných v počítačích;
    • koncentrace informací různé úrovně důležitosti a důvěrnosti v databázích;
    • rozšíření přístupu okruhu uživatelů k informacím uloženým v databázích a ke zdrojům počítačové sítě;
    • zvýšení počtu vzdálených úloh;
    • široké využívání globálního internetu a různých komunikačních kanálů;
    • automatizace výměny informací mezi uživatelskými počítači.

    Analýza nejčastějších hrozeb, jimž jsou moderní kabelové podnikové sítě vystaveny, ukazuje, že zdroje hrozeb se mohou lišit od neoprávněných průniků útočníků po počítačové viry, přičemž velmi významnou bezpečnostní hrozbou je lidská chyba. Je nutné vzít v úvahu, že zdroje bezpečnostních hrozeb mohou být umístěny jak uvnitř CIS - vnitřní zdroje, tak mimo něj - externí zdroje. Toto rozdělení je zcela oprávněné, protože u stejné hrozby (například krádeže) jsou protiopatření pro vnější a vnitřní zdroje odlišná. Znalost možných hrozeb, stejně jako zranitelnosti CIS je nutné vybrat nejvíce účinnými prostředky zajištění bezpečnosti.

    Nejčastější a nejnebezpečnější (z hlediska výše škody) jsou neúmyslné chyby uživatelů, operátorů a systémových administrátorů obsluhujících CIS. Někdy takové chyby vedou k přímému poškození (nesprávně zadaná data, chyba v programu, která způsobila zastavení nebo kolaps systému) a někdy vytvářejí slabiny, které mohou útočníci zneužít (většinou se jedná o administrativní chyby).

    Podle amerického Národního institutu pro standardy a technologie (NIST) je 55 % porušení zabezpečení IP výsledkem neúmyslných chyb. Práce v globálním informačním systému činí tento faktor poměrně relevantním a zdrojem škod může být jak jednání uživatelů organizace, tak uživatelů globální sítě, což je obzvláště nebezpečné. Na Obr. Obrázek 2.4 ukazuje koláčový graf znázorňující statistické údaje o zdrojích narušení bezpečnosti v CIS.

    Krádeže a padělání jsou z hlediska škod na druhém místě. Ve většině prověřovaných případů se ukázalo, že pachatelé byli zaměstnanci organizací na plný úvazek, kteří dobře znali pracovní režim a ochranná opatření. Přítomnost výkonného informačního kanálu komunikace s globálními sítěmi při absenci řádné kontroly nad jeho provozem může tyto činnosti dále usnadnit.

    Nečestný

    Útoky zvenčí

    Uražený

    Uživatelské a personální chyby

    4 % virů

    Rýže. 2.4. Zdroje narušení bezpečnosti

    zaměstnanci

    Problémy

    fyzický

    bezpečnostní

    Uražení zaměstnanci, a to i bývalí, jsou obeznámeni s postupy v organizaci a jsou schopni velmi účinně ublížit. Proto při propuštění zaměstnance musí být jeho přístupová práva k informačním zdrojům odebrána.

    Úmyslné pokusy o získání neoprávněného přístupu prostřednictvím externí komunikace představují asi 10 % všech možných porušení. Ačkoli se toto číslo nemusí zdát významné, zkušenosti s internetem ukazují, že téměř každý internetový server je několikrát denně vystaven pokusům o narušení. Testy Agentury pro ochranu informačních systémů (USA) ukázaly, že 88 % počítačů má slabá místa z hlediska zabezpečení informací, které lze aktivně využít k získání neoprávněného přístupu. Samostatně by měly být zváženy případy vzdáleného přístupu k informačním strukturám organizace.

    Před budováním bezpečnostní politiky je nutné vyhodnotit rizika, kterým je vystaveno počítačové prostředí organizace, a přijmout vhodná opatření. Je zřejmé, že náklady organizace na sledování a prevenci bezpečnostních hrozeb by neměly přesáhnout očekávané ztráty.

    Poskytnuté statistiky mohou správě a zaměstnancům organizace říci, kam by se mělo zaměřit úsilí na účinné snížení bezpečnostních hrozeb pro podnikovou síť a systém. Samozřejmě je nutné řešit otázky fyzické bezpečnosti a opatření ke snížení negativního dopadu na bezpečnost lidských chyb, ale zároveň je nutné věnovat nejvážnější pozornost řešení problémů síťové bezpečnosti, aby se předešlo útokům na podnikové sítě a systému, a to jak zvenčí, tak zevnitř systému.

    Dnes jsme se v našem blogu rozhodli dotknout bezpečnostních aspektů podnikových sítí. A Michail Lyubimov, technický ředitel LWCOM, nám s tím pomůže.

    Proč je toto téma zabezpečení sítě v moderním světě extrémně aktuální?

    Vzhledem k téměř univerzální dostupnosti širokopásmového internetu se většina akcí na zařízeních provádí přes síť, takže pro 99 % moderních hrozeb je síť přenosem, přes který je hrozba doručena od zdroje k cíli. Šíření škodlivého kódu je samozřejmě možné pomocí vyměnitelné médium, Ale tato metoda se v současnosti používá stále méně a většina společností se s takovými hrozbami dávno naučila.

    Co je datová síť?

    Pojďme si nejprve ve zjednodušené a srozumitelné podobě nakreslit architekturu klasické podnikové datové sítě.

    Síť pro přenos dat začíná přepínačem přístupové vrstvy. Přímo k tomuto přepínači jsou připojena pracoviště: počítače, notebooky, tiskárny, multifunkční a různá další zařízení, např. bezdrátové body přístup. V souladu s tím můžete mít spoustu zařízení, které se mohou připojit k síti na zcela jiných místech (podlaží nebo dokonce samostatné budovy).

    Typicky je podniková datová síť postavena pomocí „hvězdové“ topologie, takže vzájemná interakce všech segmentů bude zajištěna zařízením na úrovni jádra sítě. Lze například použít stejný přepínač, jen obvykle ve výkonnější a funkčnější verzi oproti těm, které se používají na úrovni přístupu.

    Servery a úložné systémy jsou obvykle konsolidovány na jednom místě a z pohledu datových sítí mohou být napojeny buď přímo na jádro zařízení, nebo mohou mít pro tyto účely vyhrazený určitý segment přístupového zařízení.

    Dále tu máme zařízení pro rozhraní s externími datovými sítěmi (například Internet). Pro tyto účely společnosti obvykle používají taková zařízení, jako jsou směrovače, firewally a různé druhy proxy serverů. Používají se také pro organizaci komunikace s distribuovanými firemními kancelářemi a pro připojení vzdálených zaměstnanců.

    Toto je architektura místní sítě, která je snadno pochopitelná a běžná moderní realitě.

    Jaká klasifikace hrozeb dnes existuje?

    Definujme si hlavní cíle a útočné vektory v rámci síťové komunikace.

    Nejčastějším a nejjednodušším cílem útoku je uživatelské zařízení. Škodlivý software lze tímto směrem snadno šířit prostřednictvím obsahu na webových zdrojích nebo prostřednictvím e-mailu.

    V budoucnu může útočník po získání přístupu k pracovní stanici uživatele ukrást důvěrná data nebo vyvinout útok proti jiným uživatelům nebo jiným zařízením v podnikové síti.

    Dalším možným cílem útoku jsou samozřejmě servery. Jedním z nejznámějších typů útoků na publikované zdroje jsou DoS a DDoS útoky, které slouží k narušení stabilního chodu zdrojů nebo k jejich úplnému výpadku.

    Útoky lze také směřovat z externích sítí na konkrétní publikované aplikace, například webové zdroje, servery DNS, e-mailem. Útoky lze také směřovat ze sítě – z počítače infikovaného uživatele nebo od útočníka připojeného k síti do aplikací, jako jsou sdílení souborů nebo databáze.



    Existuje také kategorie selektivních útoků a jedním z nejnebezpečnějších je útok na samotnou síť, tedy na přístup k ní. Útočník, který získal přístup k síti, může spustit následující útok prakticky na jakékoli zařízení, které je k ní připojeno, a také tajně získat přístup k jakýmkoli informacím. Nejdůležitější je, že úspěšný útok tohoto druhu je poměrně obtížné odhalit a nelze jej léčit standardní prostředky. To je, ve skutečnosti, máte Nový uživatel nebo v horším případě správce, o kterém nic nevíte.

    Dalším cílem útočníka mohou být komunikační kanály. Je třeba si uvědomit, že úspěšný útok na komunikační kanály umožňuje nejen číst informace přenášené přes ně, ale ve svých důsledcích je totožný s útokem na síť, kdy útočník může získat přístup ke všem zdrojům místní počítačové sítě.

    Jak zorganizovat kompetentní a spolehlivou ochranu přenosu dat?

    Pro začátek můžeme představit globální postupy a doporučení pro organizaci ochrany podnikové datové sítě, konkrétně sadu nástrojů, které vám umožní vyhnout se většině existujících hrozeb s minimálním úsilím, tzv. bezpečným minimem.

    V této souvislosti je nutné zavést pojem „obvod zabezpečení sítě“, protože Čím blíže máte kontrolu k možnému zdroji hrozby, tím více snížíte počet metod útoku, které má útočník k dispozici. V tomto případě musí existovat perimetr pro vnější i vnitřní připojení.

    V první řadě doporučujeme zabezpečit rozhraní s veřejnými sítěmi, protože z nich pochází největší množství hrozeb. V současné době existuje řada specializovaných nástrojů pro zabezpečení sítě navržených speciálně pro bezpečnou organizaci připojení k internetu.

    Pro jejich označení se široce používají termíny jako NGFW (brána nové generace) a UTM (Unified Threat Management). Tato zařízení nejen spojují funkčnost klasického routeru, firewallu a proxy serveru, ale také poskytují Doplňkové služby zabezpečení, jako jsou: filtrování URL a obsahu, antivirus atd. Zařízení přitom často využívají cloudové systémy pro skenování obsahu, které umožňují rychle a efektivně kontrolovat všechna přenášená data, zda neobsahují hrozby. To hlavní je ale možnost zpětně reportovat o identifikovaných hrozbách, tedy identifikovat hrozby v případech, kdy infikovaný obsah již byl k uživateli přenesen, ale výrobce dostal informaci o škodlivosti tohoto softwaru později.

    Věci jako kontrola HTTPS provozu a automatická analýza aplikací vám umožní řídit nejen přístup na konkrétní stránky, ale také povolit/zakázat provoz aplikací jako: Skype, Team Viewer a mnoho dalších, a jak víte, většina z nich již dlouhou dobu běží protokoly HTTP a HTTPS a standardní síťové nástroje jednoduše nemohou řídit jejich provoz.

    Kromě toho uvnitř jediné zařízení můžete také získat systém prevence narušení, který je zodpovědný za zastavení útoků zaměřených na publikované zdroje. Dodatečně si můžete pořídit i VPN server pro bezpečnou vzdálenou práci zaměstnanců a propojování poboček, antispam, řídicí systém botnetu, sandbox atd. To vše dělá z takového zařízení skutečně jednotný nástroj pro zabezpečení sítě.

    Pokud vaše společnost ještě taková řešení nepoužívá, pak vřele doporučujeme začít je používat právě teď, protože čas jejich účinnosti již nastal a můžeme s jistotou říci, že taková zařízení prokázala svou skutečnou schopnost bojovat velké množství hrozby, které před 5 lety neexistovaly. V té době takové věci právě vstoupily na trh, měly mnoho problémů a byly dost drahé a málo výkonné.

    Jak vybrat firewall nové generace?

    Nyní je na trhu obrovské množství síťových zařízení s deklarovanou podobnou funkčností, ale jen málokteré dokáže poskytnout skutečně účinnou ochranu. To je vysvětleno tím, že jen omezený počet výrobců má finanční prostředky a skutečně je investuje do nonstop vývoje aktuálních hrozeb, tzn. neustále aktualizovat databáze potenciálně nebezpečných zdrojů, poskytovat nepřetržitou podporu řešení atd.

    Mnoho partnerů se vám bude snažit prodat řešení, která jsou pro ně zisková, takže cena řešení ne vždy odpovídá jeho skutečné schopnosti čelit hrozbám. Osobně doporučuji při výběru zařízení použít materiály z nezávislých analytických center, například zprávy NSS Labs. Podle mého názoru jsou přesnější a nezaujatější.

    Kromě hrozeb zvenčí lze na vaše zdroje útočit i zevnitř. Takzvané „bezpečné minimum“, které by mělo být ve vaší lokální síti použito, je její segmentace do VLAN, tzn. virtuální privátní sítě. Kromě segmentace je mezi nimi povinné uplatňovat přístupové politiky, alespoň pomocí prostředků standardního seznamu přístupů (ACL), protože prostě mít VLAN v boji proti moderním hrozbám prakticky nic nedá.

    Jako samostatné doporučení nastíním vhodnost použití řízení přístupu přímo z portu zařízení. Je však nutné pamatovat na perimetr sítě, tzn. Čím blíže k chráněným službám použijete zásady, tím lépe. V ideálním případě by takové zásady měly být implementovány na přístupových přepínačích. V takových případech se doporučuje použít 4 jako nejnižší bezpečnostní zásady jednoduchá pravidla:

    • ponechat všechny nepoužívané porty přepínače administrativně deaktivované;
    • nepoužívejte 1. VLAN;
    • používat MAC filtrovací listy na přístupových přepínačích;
    • použít kontrolu protokolu ARP.
    Vynikajícím řešením by bylo použít stejné firewally se systémy prevence narušení podél cesty přenosu dat a také architektonicky využít demilitarizované zóny. Nejlépe je implementovat autentizaci připojeného zařízení pomocí protokolu 802.1x s využitím různých systémů AAA (autentizační, autorizační a účetní systémy) pro centralizované řízení přístupu k síti. Obvykle jsou tato řešení označována běžným termínem mezi výrobci NAC (Network Access Control). Příkladem jednoho takového komerčního systému je Cisco ISE.



    Útočníci mohou také zaútočit na kanály. K ochraně kanálů by mělo být použito silné šifrování. Mnoho lidí to zanedbává a doplácí na následky. Nechráněné kanály nejsou jen informacemi dostupnými pro krádež, ale také možností napadení téměř každého firemní zdroje. Naši zákazníci měli ve své praxi značný počet precedentů, kdy byly prováděny útoky na podnikovou telefonii organizováním komunikace prostřednictvím nezabezpečených kanálů přenosu dat mezi centrální a vzdálenou pobočkou (například jednoduše pomocí GRE tunelů). Firmy dostaly šílené účty!

    Co nám můžete říci o bezdrátových sítích a BYOD?

    Téma práce na dálku, bezdrátové sítě a použití vlastních zařízení, bych rád vyzdvihl samostatně. Podle mých zkušeností jsou tyto tři věci jednou z největších potenciálních bezpečnostních děr ve vaší společnosti. Zároveň jsou ale jednou z největších konkurenčních výhod.

    Pro stručné přiblížení problematiky doporučuji buď zcela zakázat používání bezdrátových sítí, práci na dálku nebo práci přes vlastní mobilní zařízení, citovat firemní pravidla, nebo tyto služby z bezpečnostního hlediska co nejdůkladněji poskytovat, zejména proto, že moderní řešení poskytují příležitost to udělat v tom nejlepším.

    Pokud jde o práci na dálku, mohou vám pomoci stejné brány firewall nové generace nebo zařízení UTM. Naše praxe ukazuje, že existuje řada stabilních řešení (včetně Cisco, Checkpoint, Fortinet, Citrix), která umožňují pracovat s různými klientskými zařízeními a zároveň poskytují nejvyšší standardy pro identifikaci vzdáleného zaměstnance. Například použití certifikátů, dvoufaktorové autentizace, jednorázových hesel doručených pomocí SMS nebo vygenerovaných pomocí speciálního klíče. Můžete také sledovat software nainstalovaný na počítači, ze kterého se provádí pokus o přístup, například pro instalaci příslušných aktualizací nebo spuštění antivirů.

    Zabezpečení Wi-Fi je téma, které si zaslouží vlastní článek. V tomto příspěvku se pokusím uvést nejdůležitější doporučení. Pokud budujete firemní Wi-Fi, určitě zvažte všechny možné bezpečnostní aspekty s tím spojené.

    Mimochodem, Wi-Fi je pro naši společnost zcela samostatným zdrojem příjmů. Zabýváme se jimi profesionálně: projekty vybavení obchodních center a nákupních center, business center, skladů bezdrátovým zařízením, včetně využití moderních řešení jako je polohování, probíhají v nonstop režimu. A podle výsledků našich rozhlasových průzkumů v každé druhé kanceláři a skladu najdeme alespoň jednu domácí Wi-Fi router, který si zaměstnanci sami připojili k síti. Obvykle to dělají pro vlastní pohodlí při práci, například jít do kuřárny s notebookem nebo se volně pohybovat v místnosti. Je jasné, že na takové routery nebyla aplikována žádná podniková bezpečnostní pravidla a hesla byla distribuována známým kolegům, poté kolegům kolegů, poté hostům, kteří přišli na kávu, a ve výsledku měli téměř všichni přístup do firemní sítě , přičemž to bylo zcela nekontrolované.

    Samozřejmě stojí za to chránit síť před připojením takového zařízení. Hlavní způsoby, jak toho dosáhnout, mohou být: použití autorizace na portech, filtrování podle MAC atd. Opět platí, že z hlediska Wi-Fi by pro síť měly být použity silné kryptografické algoritmy a podnikové autentizační metody. Měli byste však pochopit, že ne všechny metody podnikové autentizace jsou stejně užitečné. Například zařízení Android v některých verzích softwaru mohou ve výchozím nastavení ignorovat veřejný certifikát sítě Wi-Fi, čímž umožňují útoky Evil twin. Pokud je použita autentizační metoda, jako je EAP GTC, pak je klíč přenášen v čistém textu a může být při tomto útoku zcela zachycen. V podnikových sítích doporučujeme používat pouze autentizaci certifikátem, tzn. Jedná se o metody TLS, ale mějte na paměti, že výrazně zvyšuje zátěž správců sítě.

    Existuje další způsob: pokud je vzdálená práce implementována v podnikové síti, můžete se připojit přes Wi-Fi síť zařízení jsou nucena používat také klienta VPN. To znamená, že přidělte segment sítě Wi-Fi do původně nedůvěryhodné oblasti a nakonec získáte dobrou pracovní možnost s minimalizací nákladů na správu sítě.

    Výrobci podnikových Wi-Fi řešení, jako je Cisco, Ruckus, což je nyní Brocade, Aruba, což je nyní HPE, navíc standardní řešení pro organizaci Wi-Fi poskytují celou řadu služeb pro automatické sledování bezpečnosti bezdrátového prostředí. To znamená, že věci jako WIPS (Wireless Intrusion Prevention System) jim docela dobře fungují. Tito výrobci implementovali bezdrátové senzory, které dokážou monitorovat celé spektrum frekvencí, čímž umožňují monitorování v automatický režim docela vážné hrozby.

    Nyní se dotkneme témat jako BYOD (Bring your own device) a MDM (Mobile device management). Potenciálním zdrojem problémů je samozřejmě každé mobilní zařízení, které uchovává firemní data nebo má přístup do firemní sítě. Téma bezpečnosti pro taková zařízení se týká nejen bezpečného přístupu do podnikové sítě, ale také centralizované správy politik pro mobilní zařízení: smartphony, tablety, notebooky používané mimo organizaci. Toto téma je aktuální již velmi dlouho, ale až nyní se na trhu objevila skutečně fungující řešení, která umožňují spravovat různorodou flotilu mobilních zařízení.

    V tomto příspěvku o nich bohužel nebude možné hovořit, ale vězte, že řešení existují a v posledním roce zažíváme boom v implementaci MDM řešení od Microsoftu a MobileIron.

    Mluvil jste o „minimální bezpečnosti“, co je tedy „maximální zabezpečení“?

    Svého času byl na internetu populární obrázek: doporučoval instalovat firewally od známých výrobců jeden po druhém, aby byla síť chráněna. V žádném případě vás nenabádáme, abyste udělali totéž, ale přesto je zde něco pravdy. Bude velmi užitečné mít síťové zařízení s analýzou virových signatur např. od SOFOS a na pracovištích již nainstalovat antivirus od Kaspersky Lab. Dostáváme tak dva systémy ochrany před škodlivým kódem, které se navzájem neruší.

    Existuje řada specializovaných nástrojů pro zabezpečení informací:

    DLP. Trh nabízí specializované nástroje informační bezpečnosti, tedy vyvinuté a zaměřené na řešení konkrétní hrozby. V současnosti jsou populární systémy DLP (Data Loss Prevention) neboli systémy prevence úniku dat. Fungují jak na síťové úrovni, integrují se do prostředí přenosu dat, tak přímo na aplikačních serverech, pracovních stanicích a mobilních zařízeních.

    Trochu se vzdalujeme od tématu sítě, ale hrozba úniku dat bude existovat vždy. Tato řešení se stávají relevantními zejména pro společnosti, kde ztráta dat s sebou nese obchodní a reputační rizika a důsledky. Ještě před 5 lety byla implementace systémů DLP poněkud obtížná kvůli jejich složitosti a nutnosti provést vývojový proces pro každý konkrétní případ. Mnoho společností proto kvůli jejich nákladnosti od těchto řešení upustilo nebo napsalo vlastní. V současné době jsou tržní systémy dostatečně vyspělé, takže všechny potřebné bezpečnostní funkce lze získat rovnou z krabice.

    Na ruském trhu jsou komerční systémy zastoupeny především výrobcem Infowatch (níže obrázek od tohoto výrobce, jak své řešení prezentují ve velké společnosti) a poměrně známým MacAfee.

    WAF. Vzhledem k rozvoji služeb internetového obchodování, a to je internetové bankovnictví, elektronické peníze, elektronický obchod, pojišťovací služby atd., specializované nástroje na ochranu webových zdrojů jsou v poslední době žádané. Konkrétně WAF - Web Application Firewall.

    Toto zařízení umožňuje odrazit útoky zaměřené na zranitelnosti samotného webu. Kromě selektivních DoS útoků, kdy je web zahlcen legitimními požadavky, to mohou být útoky SQL injection, Křížový web skriptování atd. Dříve si taková zařízení pořizovaly především banky, ale ze strany ostatních zákazníků nebyly žádané a stály spoustu peněz. Například náklady na funkční řešení začínaly na 100 000 USD. Nyní trh nabízí velké množství řešení od známých výrobců (Fortinet, Citrix, Positive Technologies), od kterých můžete získat fungující řešení pro ochranu vašich webových stránek za poměrně rozumné peníze (3-5krát méně než dříve uvedená částka ).

    Audit. Organizace, zejména ty, které se zasazují o vlastní bezpečnost, zavádějí nástroje automatického auditu. Tato řešení jsou drahá, ale umožňují přenést řadu administrátorských funkcí do oblasti automatizace, která je pro velké podniky extrémně žádaná. Taková řešení neustále skenují síť a kontrolují všechny nainstalované operační systémy a aplikace pro známé bezpečnostní díry, včasnost aktualizací a dodržování podnikových zásad. Asi nejznámějšími řešeními v této oblasti nejen v Rusku, ale na celém světě jsou produkty od Positive Technologies.

    SIEM. Podobné jako SIEM řešení. Jedná se o systémy určené k detekci mimořádných situací souvisejících konkrétně s událostmi souvisejícími s bezpečností. Dokonce i standardní sada několika firewallů, tuctu aplikačních serverů a tisíců desktopů může generovat desítky tisíc výstrah denně. Pokud máte velkou společnost a máte desítky okrajových zařízení, pak rozumějte datům, která od nich obdržíte manuální režim Stává se to prostě nemožné. Automatizace kontroly shromážděných protokolů současně ze všech zařízení umožňuje správcům a zaměstnancům informační bezpečnosti jednat okamžitě. SIEM řešení od Arcsight (součást produktů HPE) a Q-RADAR (součást produktů IBM) jsou na trhu poměrně známá.

    A nakonec: co můžete poradit těm, kteří se vážně zabývají organizací ochrany svých IT zdrojů?

    Při organizování IT bezpečnosti pro podnik by se samozřejmě nemělo zapomínat na administrativní předpisy. Uživatelé a správci by si měli uvědomit, že nalezené flash disky nelze použít v počítači, stejně jako nemohou sledovat pochybné odkazy v e-mailech nebo otevírat pochybné přílohy. Je velmi důležité sdělit a vysvětlit, které odkazy a přílohy nejsou ověřené. V reálu ne každý chápe, že není potřeba ukládat hesla na lepicí papírky nalepené na monitoru nebo telefonu, že je třeba se naučit číst varování, která aplikace uživateli píší atd. Měli byste uživatelům vysvětlit, co je bezpečnostní certifikát a co znamenají zprávy s ním spojené. Obecně je potřeba brát ohled nejen na technickou stránku problematiky, ale také vštěpovat zaměstnancům kulturu využívání firemních IT zdrojů.
    Doufám, že tento skvělý příspěvek byl pro vás zajímavý a užitečný.