Uvod u mrežnu sigurnost. Aktualna pitanja sigurnosti korporativnih podatkovnih mreža

Mrežna i informacijska sigurnost

Osiguravanje korporativne mrežne sigurnosti

Visoka sigurnost i usklađenost s propisima obavezni su u projektima umrežavanja poduzeća.

Kako bi zaštitili vlastite informacijske resurse, poduzeća implementiraju mrežna sigurnosna rješenja u svoju infrastrukturu, jamčeći sigurnost mreže i komercijalnih podataka na svim razinama:

  • vatrozid
  • upravljane VPN mreže
  • otkrivanje i blokiranje pokušaja upada u mrežu
  • zaštita krajnje točke prometna razmjena
  • korporativni antivirusni sustav.

Sigurnost veze

Za zaposlenike na službenom putu ili rade od kuće, usluga daljinski pristup da je korporativna mreža postala radna potreba.

Sve više organizacija dopušta partnerima daljinski pristup njihovim mrežama kako bi smanjili troškove održavanja sustava. Stoga je zaštita krajnjih točaka razmjene prometa jedan od najvažnijih zadataka u osiguravanju sigurnosti mreže poduzeća.

Mjesta na kojima se poslovna mreža povezuje s Internetom su sigurnosni perimetar mreže. U tim se točkama sijeku dolazni i odlazni promet. Promet korporativnih korisnika prelazi mrežne granice, a internetski zahtjevi vanjskih korisnika za pristup aplikacijama weba i e-pošte ulaze u mrežu tvrtke.

Budući da krajnje točke imaju stalnu vezu s internetom, što obično dopušta vanjskom prometu da uđe u korporativnu mrežu, to je glavna meta za napadače.

Prilikom izgradnje korporativne podatkovne sigurnosne mreže, vatrozidi se instaliraju na rubovima mreže na pristupnim točkama Interneta. Ovi uređaji vam omogućuju da spriječite i blokirate vanjske prijetnje prilikom zatvaranja VPN tunela (vidi sliku 1).


Slika 1 Sigurnosni perimetar korporativne mreže

Skup integriranih rješenja za sigurne veze tvrtke Cisco Systems osigurava povjerljivost podataka. Mreža ispituje sve krajnje točke i metode pristupa u svim mrežama poduzeća: LAN, WAN i bežična mobilna mreža

Osigurava punu dostupnost vatrozida i VPN usluge. Značajke vatrozida omogućuju filtriranje aplikacijskog sloja s praćenjem stanja za dolazni i odlazni promet, siguran odlazni pristup za korisnike i DMZ mrežu za poslužitelje kojima je potrebno pristupiti s Interneta.

Sistemski integrator IC "Telecom-Service" gradi korporativne sigurnosne mreže temeljene na multifunkcionalnim sigurnosnim uređajima Cisco Systems, Juniper Networks i Huawei Technologies, omogućujući smanjenje broja potrebnih uređaja u mreži.

Sveobuhvatna korporativna mrežna sigurnosna rješenja tvrtki Cisco Systems, Juniper Networks i Huawei Technologies imaju brojne prednosti koje su važne za učinkovito poslovanje:

  • smanjenje IT proračuna za rad i održavanje softvera i hardvera
  • povećanje fleksibilnosti mreže
  • smanjenje troškova implementacije
  • smanjenje ukupnih troškova vlasništva
  • jačanje kontrole kroz jedinstveno upravljanje i uvođenje sigurnosnih politika
  • povećanje profita i povećanje pokazatelja učinkovitosti poduzeća
  • smanjenje sigurnosnih prijetnji mreži i sustavima za pohranu podataka
  • primjena učinkovitih sigurnosnih politika i pravila na krajnjim čvorovima mreže: osobnim računalima, dlanovnicima i poslužiteljima
  • smanjenje vremena za implementaciju novih sigurnosnih rješenja
  • učinkovita prevencija upada u mrežu
  • integracija sa softverom drugih programera u području sigurnosti i upravljanja.
  • puna kontrola pristupa mreži

Ciscovi sigurnosni proizvodi na svim mrežnim razinama

Sigurnost krajnje točke: Softver Cisco Security Agent štiti računala i poslužitelje od napada crva.

Ugrađeni vatrozidi: PIX Security Appliance, Catalyst 6500 Firewall Services Module i set značajki vatrozida štite mrežu interno i na perimetru.

Zaštita od upada u mrežu: IPS senzori serije 4200, moduli usluga Catalyst 6500 IDS (IDSM-2) ili IOS IPS identificiraju, analiziraju i blokiraju zlonamjerni neželjeni promet.

Otkrivanje i uklanjanje DDoS napada: Cisco Traffic Anomaly Detector XT i Guard XT osiguravaju normalan rad u slučaju napada prekida usluge. Cisco Traffic Anomaly Detector Services i Cisco Guard moduli pružaju snažnu zaštitu od DDoS napada na Catalyst 6500 Series prekidače i 7600 Series routere.

Sigurnost sadržaja: Modul uređaja Access Router Content Engine modul štiti poslovne aplikacije koje rade s Internetom i osigurava isporuku web sadržaja bez grešaka.

Inteligentne mrežne i sigurnosne administrativne usluge: Neželjeni promet i aplikacije pronađeni su i blokirani u Cisco usmjerivačima i preklopnicima.

Upravljanje i praćenje:

Proizvodi:

  • CiscoWorks VPN/rješenje za upravljanje sigurnošću (VMS)
  • CiscoWorksSecurity Information Management System (SIMS) - sustav za upravljanje sigurnosnim informacijama
    • Ugrađeni upravitelji uređaja: Cisco Router i Security Device Manager (SDM), PIX Device Manager (PDM), Adaptive Security Device Manager (ASDM) brzo i učinkovito prate, nadziru sigurnosne usluge i mrežnu aktivnost.

    Tehnologija kontrole pristupa mreži (NAC) tvrtke Cisco

    Kontrola pristupa mreži (NAC) skup je tehnologija i rješenja temeljenih na inicijativi u cijeloj industriji koju vodi Cisco Systems.

    NAC koristi mrežnu infrastrukturu za provođenje sigurnosnih pravila na svim uređajima koji traže pristup mrežnim resursima. Time se smanjuje moguća šteta na mreži od sigurnosnih prijetnji.

    Višenamjenski sigurnosni uređaji pružaju siguran udaljeni pristup korporativnom VPN-u zaposlenicima i partnerima koji koriste SSL i IPsec VPN protokole, ugrađene usluge blokiranja za sprječavanje i sprječavanje IPS upada.

    Self-Defending Network - strategija samoobrambene mreže tvrtke Cisco

    Self-Defending Network je strategija budućnosti tvrtke Cisco koja se razvija. Tehnologija vam omogućuje zaštitu poslovnih procesa poduzeća otkrivanjem i sprječavanjem napada, prilagodbom unutarnjim i vanjskim mrežnim prijetnjama.

    Poduzeća mogu učinkovitije koristiti intelektualne mogućnosti mrežnih resursa, optimizirati poslovne procese i smanjiti troškove.

    Cisco Security Management Suite

    Cisco Security Management Suite skup je proizvoda i tehnologija dizajniranih za pružanje skalabilne administracije i provedbe sigurnosnih pravila za samoobrambenu Cisco mrežu.

    Integrirani Cisco proizvod omogućuje vam automatizaciju zadataka upravljanja sigurnošću pomoću ključnih komponenti: upravitelja upravljanja i Cisco Security MARS - sustava za praćenje, analizu i odgovor.

    Cisco Security Management Manager pruža jednostavno sučelje za konfiguriranje vatrozida, VPN-a i sustava zaštite od upada (IPS) na Cisco sigurnosnim uređajima, vatrozidima, usmjerivačima i preklopnicima.

    Ako uzmemo u obzir sustav sigurnost informacija bilo koje velike tvrtke, onda ovo nije samo antivirus, već i nekoliko drugih programa za zaštitu u svim područjima. Dani jednostavnih IT sigurnosnih rješenja davno su prošli.

    Naravno, osnova općeg sustava informacijske sigurnosti za svaku organizaciju je zaštita standardne radne stanice od virusa. I ovdje potreba za korištenjem antivirusa ostaje nepromijenjena.

    Ali korporativni sigurnosni zahtjevi općenito su se promijenili. Tvrtke trebaju cjelovita end-to-end rješenja koja ne samo da mogu pružiti zaštitu od najsloženijih suvremenih prijetnji, već i biti ispred svih.

    „Sve više velikih tvrtki gradi sigurnosni sustav temeljen na principu dubinske obrane.“

    Štoviše, raniji su se stupnjevi gradili na različitim elementima IT infrastrukture, no sada bi višerazinska zaštita trebala biti čak i na pojedinim elementima IT okruženja, prvenstveno na radnim stanicama i poslužiteljima

    S kojim su se prijetnjama tvrtke susrele u 2014.?

    Iz perspektive prijetnje, ciljani napadi na korporacije i vladine agencije nedavno su postali veliki problem u informacijskoj sigurnosti. Mnoge tehnike koje su hakeri prije koristili za napade kućnih korisnika sada se koriste u tvrtkama.

    Tu spadaju modificirani bankarski trojanci koji su usmjereni na zaposlenike financijskih odjela i računovodstvenih odjela, te razni programi za šifriranje koji su počeli raditi unutar korporativnih informacijskih mreža, te korištenje metoda socijalni inženjering.

    Osim toga, mrežni crvi postali su popularni; da bi ih uklonili, cijela korporativna mreža mora biti zatvorena. Ako se tvrtke koje imaju sličan problem suoče veliki broj podružnice koje se nalaze u različitim vremenskim zonama, tada svaki prekid rada mreže neizbježno dovodi do financijskih gubitaka.

    Prema rezultatima studije koju je 2014. proveo Kaspersky Lab među stručnjacima za informacijsku sigurnost, ruske tvrtke najčešće se suočavaju s

    • malware,
    • neželjena korespondencija (spam),
    • pokušaja neovlaštenog ulaska u sustav putem phishinga.
    • ranjivosti u instalirani softver,
    • rizici povezani s ponašanjem zaposlenika poduzeća.

    Problem je dodatno otežan činjenicom da cyber prijetnje nisu statične: svakodnevno se množe, postaju sve raznovrsnije i složenije. Kako bismo jasnije razumjeli trenutno stanje na području informacijske sigurnosti i posljedice do kojih može dovesti čak i jedan računalni incident, izložimo sve u brojkama i činjenicama dobivenim na temelju analize događaja iz 2014. godine od strane Kaspersky Laba.

    Statistika cyber prijetnji


    Usput, mobilni uređaji danas su i dalje posebna "glavobolja" stručnjaka za informacijsku sigurnost. Korištenje osobnih pametnih telefona i tableta u poslovne svrhe već je prihvatljivo u većini organizacija, no pravilno upravljanje ovim uređajima i njihovo uključivanje u zajednički sustav Informacijska sigurnost poduzeća ne provodi se svugdje.

    "Prema Kaspersky Labu, Android platforma Danas je 99% zlonamjernog softvera specijaliziranog za Mobilni uredaji."

    Da bismo shvatili odakle dolazi toliki broj prijetnji i zamislili brzinu kojom se one povećavaju, dovoljno je reći da stručnjaci Kaspersky Laba svaki dan obrade 325 tisuća uzoraka novog malwarea.

    Zlonamjerni softver najčešće dospijeva na računala korisnika na dva načina:

    • kroz ranjivosti u legalnom softveru
    • koristeći metode socijalnog inženjeringa.

    Naravno, kombinacija ove dvije tehnike je vrlo česta, ali napadači ne zanemaruju ni druge trikove.

    Posebna prijetnja poslovanju su ciljani napadi koji su sve češći.

    "Korištenje ilegalnog softvera, naravno, dodatno povećava rizik da postanete uspješna meta za cyber napad, prvenstveno zbog prisutnosti većeg broja ranjivosti u njemu."

    Ranjivosti se prije ili kasnije pojave u bilo kojem softveru. To mogu biti pogreške tijekom razvoja programa, zastarjelost verzija ili pojedinih elemenata koda. Bilo kako bilo, glavni problem nije prisutnost ranjivosti, već njezino pravovremeno otkrivanje i zatvaranje.

    Usput, nedavno, a 2014. godina je jasan dokaz za to, proizvođači softvera počinju sve više zatvarati ranjivosti u svojim programima. Međutim, još uvijek postoji mnogo praznina u aplikacijama, a kibernetički kriminalci ih aktivno koriste za prodor u korporativne mreže.

    U 2014. godini 45% svih incidenata ranjivosti bilo je uzrokovano rupama u popularnom softveru Oracle Java.

    Osim toga, prošla je godina bila prekretnica kada je otkrivena ranjivost u uobičajenom OpenSSL protokolu enkripcije, nazvanom Heartbleed. Ovaj propust omogućio je napadaču čitanje sadržaja memorije i presretanje osobnih podataka na sustavima koji koriste ranjive verzije protokola.

    OpenSSL se naširoko koristi za zaštitu podataka koji se prenose putem interneta (uključujući informacije koje se razmjenjuju između korisnika na web stranicama, e-pošte, poruka u internetskim programima za razmjenu trenutnih poruka) i podataka koji se prenose putem VPN (virtualnih privatnih mreža) kanala, tako da je potencijalna šteta utjecaj ove ranjivosti Moguće je da bi napadači mogli iskoristiti ovu ranjivost kao početak za nove kampanje cyber špijunaže.

    Žrtve napada

    Općenito, u 2014. broj organizacija koje su postale žrtve ciljanih kibernetičkih napada i kampanja kibernetičke špijunaže porastao je gotovo 2,5 puta. Tijekom prošle godine gotovo 4,5 tisuća organizacija u najmanje 55 zemalja, uključujući Rusiju, postalo je meta kibernetičkih kriminalaca.

    Krađa podataka dogodila se u najmanje 20 različitih gospodarskih sektora:

    • država,
    • telekomunikacija,
    • energija,
    • istraživanje,
    • industrijski,
    • zdravstvo,
    • građevinske i druge tvrtke.

    Cyberkriminalci su dobili pristup sljedećim informacijama:

    • lozinke,
    • datoteke,
    • informacije o geolokaciji,
    • audio podaci,
    • snimke zaslona
    • slike web kamere.

    Vjerojatno je da su u nekim slučajevima ove napade podržale vladine agencije, dok su druge vjerojatnije izvele profesionalne skupine kibernetičkih plaćenika.

    Posljednjih godina Kaspersky Labov Centar za istraživanje i analizu globalnih prijetnji pratio je aktivnosti više od 60 kriminalnih skupina odgovornih za kibernetičke napade diljem svijeta. Njihovi sudionici govore različite jezike: ruski, kineski, njemački, španjolski, arapski, perzijski i druge.

    Posljedice ciljanih operacija i kampanja kibernetičke špijunaže uvijek su izuzetno ozbiljne. Neminovno završavaju hakiranjem i infekcijom korporativne mreže, poremećajem poslovnih procesa i curenjem povjerljivih informacija, posebice intelektualnog vlasništva. U 2014. godini 98% ruskih tvrtki susrelo se s nekom vrstom kibernetičkog incidenta čiji su izvori u pravilu bili izvan samih poduzeća.Osim toga, još 87% organizacija zabilježilo je incidente uzrokovane unutarnjim prijetnjama.

    “Ukupan iznos štete za velike tvrtke u prosjeku je 20 milijuna rubalja za svaki uspješan primjer cyber napada.”

    Čega se tvrtke boje i kako stvari stvarno stoje

    Kaspersky Lab svake godine provodi istraživanje kako bi utvrdio stav IT stručnjaka prema pitanjima informacijske sigurnosti. Studija iz 2014. pokazala je da velika većina ruskih tvrtki, točnije 91%, podcjenjuje količinu zlonamjernog softvera koji danas postoji. Štoviše, oni niti ne pretpostavljaju da se broj malwarea stalno povećava.



    Zanimljivo je da je 13% IT stručnjaka reklo da ih ne brinu prijetnje iznutra.

    To se može objasniti činjenicom da u nizu tvrtki nije uobičajeno dijeliti cyber prijetnje na vanjske i unutarnje. Osim toga, među ruskim čelnicima službi za informatiku i informacijsku sigurnost postoje oni koji još uvijek radije rješavaju sve probleme s unutarnjim prijetnjama mjerama zabrane.

    Međutim, ako je čovjeku nešto zabranjeno, to ne znači da on to ne čini. Stoga svaka sigurnosna politika, uključujući zabranu, zahtijeva odgovarajuće alate kontrole kako bi se osigurala usklađenost sa svim zahtjevima.

    Što se tiče vrsta informacija koje napadače primarno zanimaju, studija je pokazala da se percepcije tvrtki i stvarno stanje stvari dosta razlikuju.

    Stoga se gubitka najviše boje same tvrtke

    • informacije o klijentima,
    • financijski i operativni podaci,
    • intelektualno vlasništvo.
    Poslovne brige malo manje
    • informacije o analizi aktivnosti konkurenata,
    • Informacije o plaćanju,
    • osobni podaci zaposlenika
    • podaci o bankovnim računima poduzeća.

    “Zapravo, ispada da kibernetički kriminalci najčešće kradu interne operativne podatke tvrtke (u 58% slučajeva), ali samo 15% kompanija smatra da je potrebno zaštititi te podatke na prvom mjestu.”

    Za sigurnost je jednako važno promišljati ne samo tehnologije i sustave, već i uzeti u obzir ljudski faktor: razumijevanje ciljeva od strane stručnjaka koji grade sustav i razumijevanje odgovornosti zaposlenika koji koriste uređaje. .

    Nedavno se napadači sve više oslanjaju ne samo na tehnička sredstva, već i na slabosti ljudi: koriste metode društvenog inženjeringa koje pomažu izvući gotovo sve informacije.

    Zaposlenici koji odnose podatke sa svog uređaja moraju shvatiti da snose potpuno istu odgovornost kao da su sa sobom ponijeli papirnate kopije dokumenata.

    Osoblje tvrtke također treba biti dobro svjesno da svaki moderni tehnički složeni uređaj sadrži nedostatke koje napadač može iskoristiti. Ali da bi iskoristio te nedostatke, napadač mora dobiti pristup uređaju. Stoga je prilikom preuzimanja pošte, aplikacija, glazbe i slika potrebno provjeriti reputaciju izvora.

    Važno je biti oprezan s zapaljivim tekstualnim porukama i e-poštom te provjeriti pouzdanost izvora prije nego što otvorite poruku i kliknete na poveznicu.

    Kako bi tvrtka i dalje imala zaštitu od takvih slučajnih ili namjernih radnji zaposlenika, trebala bi koristiti module za zaštitu podataka od curenja.

    “Tvrtke se moraju redovito prisjećati kako raditi s osobljem: od poboljšanja vještina IT zaposlenika do objašnjavanja osnovnih pravila za siguran rad na internetu, bez obzira s kojih mu uređaja pristupaju.”

    Tako je ove godine Kaspersky Lab objavio novi modul koji implementira funkcije zaštite od curenja podataka -

    Zaštita u oblaku

    Mnoge velike tvrtke koriste oblak na ovaj ili onaj način, u Rusiji najčešće u verziji privatnog oblaka. Ovdje je važno zapamtiti da, kao i svaki drugi informacijski sustav koji je stvorio čovjek, usluge u oblaku sadrže potencijalne ranjivosti koje autori virusa mogu iskoristiti.

    Stoga, kada organizirate pristup čak i svom oblaku, morate se sjetiti sigurnosti komunikacijskog kanala i krajnjih uređaja koje koriste zaposlenici. Jednako su važne interne politike koje reguliraju koji zaposlenici imaju pristup podacima u oblaku ili koja razina povjerljivosti informacija može biti pohranjena u oblaku itd. Tvrtka mora formulirati transparentna pravila:

    • koje će usluge raditi iz oblaka,
    • koji su na lokalnim resursima,
    • kakvu vrstu informacija treba staviti u oblake,
    • koju treba držati “kod kuće”.

    Temeljeno na članku: Vrijeme za “teške” odluke: sigurnost u Enterprise segmentu.

    Upravo je takav rezultat dalo istraživanje više od 1000 voditelja IT odjela velikih i srednjih europskih tvrtki, koje je naručila Intel Corporation. Svrha ankete bila je identificirati problem koji najviše zabrinjava stručnjake iz industrije. Odgovor je bio sasvim očekivan, više od polovice ispitanika navelo je problem sigurnosti mreže kao problem koji zahtijeva hitno rješavanje. Ostali rezultati istraživanja također su sasvim očekivani. Na primjer, faktor sigurnosti mreže prednjači među ostalim problemima na terenu informacijske tehnologije; njegov značaj je porastao za 15% u odnosu na stanje prije pet godina.
    Prema rezultatima istraživanja, visokokvalificirani IT stručnjaci troše više od 30% svog vremena na rješavanje sigurnosnih problema. Situacija u velikim tvrtkama (s preko 500 zaposlenih) još je alarmantnija - oko četvrtina ispitanika pola svog vremena provodi rješavajući te probleme.

    Ravnoteža prijetnji i zaštite

    Nažalost, pitanje sigurnosti mreže neraskidivo je povezano s temeljnim tehnologijama koje se koriste u modernim telekomunikacijama. Slučajno se dogodilo da je pri razvoju obitelji IP protokola prednost dana pouzdanosti mreže u cjelini. U vrijeme pojavljivanja ovih protokola, sigurnost mreže osiguravala se na potpuno drugačije načine, koji su jednostavno bili nerealni za korištenje u kontekstu Globalne mreže. Možete se glasno žaliti na kratkovidnost programera, ali gotovo je nemoguće radikalno promijeniti situaciju. Sada samo se trebate znati zaštititi od potencijalnih prijetnji.
    Glavno načelo u ovoj vještini treba biti ravnotežu između potencijalnih prijetnji sigurnosti mreže i potrebne razine zaštite. Mora se osigurati razmjernost između sigurnosnih troškova i troškova moguće štete od realiziranih prijetnji.
    Suvremenim velikim i srednjim poduzećima informacijsko-telekomunikacijske tehnologije postale su osnova poslovanja. Stoga su se oni pokazali najosjetljivijima na učinke prijetnji. Što je mreža veća i složenija, potrebno je više truda da se zaštiti. Štoviše, trošak stvaranja prijetnji je nekoliko redova veličine manji od troška njihovog neutraliziranja. Ovakvo stanje stvari prisiljava tvrtke da pažljivo odvagnu posljedice mogućih rizika od raznih prijetnji i odaberu odgovarajuće metode zaštite od onih najopasnijih.
    Trenutno najveće prijetnje korporativnoj infrastrukturi dolaze od radnji povezanih s neovlaštenim pristupom internim resursima i blokiranjem normalnog rada mreže. Ima dosta veliki broj takve prijetnje, no svaka se od njih temelji na kombinaciji tehničkih i ljudskih čimbenika. Na primjer, penetracija malware u korporativnu mrežu može doći ne samo zbog zanemarivanja sigurnosnih pravila od strane mrežnog administratora, već i zbog pretjerane znatiželje zaposlenika tvrtke koji odluči iskoristiti primamljivu poveznicu iz neželjene pošte. Stoga se ne treba nadati da će i najbolja tehnička rješenja u području sigurnosti postati lijek za sve bolesti.

    Rješenja klase UTM

    Sigurnost je uvijek relativan pojam. Ako ga ima previše, tada postaje osjetno teže koristiti sam sustav koji ćemo štititi. Stoga, razuman kompromis postaje prvi izbor u osiguravanju mrežne sigurnosti. Srednjim poduzećima prema ruskim standardima takav bi izbor mogao pomoći klasne odluke UTM (Ujedinjeno upravljanje prijetnjama ili Ujedinjeno upravljanje prijetnjama), pozicionirani su kao višenamjenski mrežni i informacijski sigurnosni uređaji. U svojoj srži, ova rješenja su softverski i hardverski sustavi koji kombiniraju funkcije različite uređaje: vatrozid, sustav za otkrivanje i sprječavanje upada u mrežu (IPS), kao i funkcije antivirusnog pristupnika (AV). Često su ovi kompleksi zaduženi za rješavanje dodatnih zadataka, kao što su usmjeravanje, prebacivanje ili podrška VPN mrežama.
    Često pružatelji UTM rješenja nude rješenja za mala poduzeća. Možda je ovaj pristup djelomično opravdan. No ipak, malim je poduzećima u našoj zemlji lakše i jeftinije koristiti sigurnosnu uslugu svog internetskog provajdera.
    Kao i svako univerzalno rješenje, UTM oprema ima svoje prednosti i nedostatke. Prvi uključuju uštedu troškova i vremena za implementaciju u usporedbi s organiziranjem zaštite slične razine od zasebnih sigurnosnih uređaja. UTM je također unaprijed uravnoteženo i testirano rješenje koje može lako riješiti širok raspon sigurnosnih problema. Konačno, rješenja ove klase nisu toliko zahtjevna za razinu kvalifikacija tehničkog osoblja. Svaki stručnjak može se nositi s njihovim postavljanjem, upravljanjem i održavanjem.
    Glavni nedostatak UTM-a je činjenica da je svaka funkcionalnost univerzalnog rješenja često manje učinkovita od iste funkcionalnosti specijaliziranog rješenja. Zato kada visoke performanse odn visok stupanj stručnjaci za sigurnost radije koriste rješenja temeljena na integraciji pojedinačnih proizvoda.
    Međutim, unatoč ovom nedostatku, UTM rješenja postaju sve traženija od strane mnogih organizacija koje se uvelike razlikuju po veličini i vrsti aktivnosti. Prema Rainbow Technologies, takva su rješenja uspješno implementirana, na primjer, za zaštitu poslužitelja jedne od internetskih trgovina kućanskih aparata, koji je bio izložen redovitim DDoS napadima. Također, UTM rješenje omogućilo je značajno smanjenje količine spama u poštanski sustav jedan od automobilskih holdinga. Osim rješavanja lokalnih problema, imamo iskustvo u izgradnji sigurnosnih sustava baziranih na UTM rješenjima za distribuiranu mrežu koja pokriva središnji ured pivarske tvrtke i njenih podružnica.

    UTM proizvođači i njihovi proizvodi

    Rusko tržište opreme klase UTM formirano je samo ponudama stranih proizvođača. Nažalost, nitko od domaćih proizvođača još nije uspio ponuditi vlastita rješenja u ovoj klasi opreme. Izuzetak je softversko rješenje Eset NOD32 Firewall, koje su, prema tvrtki, izradili ruski programeri.
    Kao što je već spomenuto, na ruskom tržištu UTM rješenja mogu biti zanimljiva uglavnom tvrtkama srednje veličine čija korporativna mreža ima do 100-150 radnih mjesta. Prilikom odabira UTM opreme koja će biti predstavljena u recenziji, glavni kriterij odabira bila je njezina izvedba u različitim načinima rada, što može osigurati ugodno korisničko iskustvo. Proizvođači često navode specifikacije performansi za načine rada Vatrozid, IPS Intrusion Prevention i AV Virus Protection.

    Riješenje Kontrolna točka Zove se UTM-1 rub i jedinstveni je sigurnosni uređaj koji kombinira vatrozid, sustav za sprječavanje upada, antivirusni pristupnik, kao i VPN i alate za daljinski pristup. Vatrozid uključen u rješenje kontrolira rad s velikim brojem aplikacija, protokola i servisa, a ima i mehanizam za blokiranje prometa koji se očito ne uklapa u kategoriju poslovnih aplikacija. Na primjer, promet izravnih poruka (IM) i peer-to-peer (P2P). Antivirusni pristupnik omogućuje praćenje zlonamjernog koda u porukama e-pošte, FTP i HTTP prometu. U ovom slučaju nema ograničenja na veličinu datoteka i dekompresija arhivskih datoteka se provodi "u hodu".
    Rješenje UTM-1 Edge ima napredne mogućnosti za rad u VPN mrežama. OSPF dinamičko usmjeravanje i VPN klijentske veze su podržane. Model UTM-1 Edge W dostupan je s ugrađenim WiFi hotspot IEEE 802.11b/g pristup.
    Kada su potrebne velike implementacije, UTM-1 Edge se neprimjetno integrira s Check Point SMART kako bi se uvelike pojednostavilo upravljanje sigurnošću.

    Tvrtka Cisco tradicionalno posvećuje povećanu pozornost pitanjima mrežne sigurnosti i nudi širok izbor potrebnih uređaja. Za pregled smo odlučili odabrati model Cisco ASA 5510, koji je usmjeren na osiguranje sigurnosti perimetra korporativne mreže. Ova oprema dio je serije ASA 5500 koja uključuje modularne sustave zaštite klase UTM. Ovaj vam pristup omogućuje prilagodbu sigurnosnog sustava osobitostima funkcioniranja mreže određenog poduzeća.
    Cisco ASA 5510 dolazi u četiri glavna kompleta - vatrozid, VPN alati, sustav za sprječavanje upada, kao i antivirusni i antispam alati. Rješenje uključuje dodatne komponente, kao što je sustav Security Manager za stvaranje upravljačke infrastrukture za široku korporativnu mrežu i sustav Cisco MARS, dizajniran za nadzor mrežnog okruženja i odgovor na proboje sigurnosti u stvarnom vremenu.

    slovački Tvrtka Eset isporučuje programski paket Vatrozid Eset NOD32 UTM klasa, koja uz funkcije korporativnog vatrozida uključuje Eset NOD32 antivirusni sustav zaštite, alate za filtriranje pošte (anti-spam) i web prometa, IDS i IPS sustave za detekciju i prevenciju mrežnih napada. Rješenje podržava stvaranje VPN mreža. Ovaj kompleks izgrađen je na poslužiteljskoj platformi koja pokreće Linux. Softverski dio razvijeni uređaji domaća tvrtka Leta IT, pod kontrolom ruskog predstavništva tvrtke Eset.
    Ovo rješenje omogućuje praćenje mrežnog prometa u stvarnom vremenu i podržava filtriranje sadržaja prema kategorijama web izvora. Pruža zaštitu od DDoS napada i blokira pokušaje skeniranja portova. Eset NOD32 Firewall rješenje uključuje podršku DNS poslužitelji, DHCP i kontrola promjene propusnosti. Kontrolira se promet SMTP i POP3 protokola pošte.
    Ovo rješenje također uključuje mogućnost stvaranja distribuiranih korporativnih mreža pomoću VPN veza. Istodobno, podržani su različiti načini mrežne agregacije, autentifikacije i algoritama šifriranja.

    Tvrtka Fortinet nudi cijelu obitelj uređaja FortiGate UTM klase, pozicionirajući svoja rješenja kao sposobna pružiti zaštitu mreže uz održavanje visoke razine performansi, kao i pouzdan i transparentan rad informacijski sustavi poduzeća u stvarnom vremenu. Za recenziju smo odabrali model FortiGate-224B, koji je usmjeren na zaštitu perimetra korporativne mreže sa 150 - 200 korisnika.
    Oprema FortiGate-224B uključuje funkciju vatrozida, VPN poslužitelji, filtriranje web prometa, sustave za sprječavanje upada, kao i antivirusnu i antispam zaštitu. Ovaj model ima ugrađen Layer 2 LAN switch i WAN sučelja, eliminirajući potrebu za vanjskim uređajima za usmjeravanje i prebacivanje. U tu svrhu podržano je usmjeravanje pomoću RIP, OSPF i BGP protokola, kao i protokoli za autentifikaciju korisnika prije pružanja mrežnih usluga.

    Tvrtka SonicWALL nudi širok izbor UTM uređaja, od kojih ovu recenziju dobio rješenje NSA 240. Ova oprema je mlađi model u liniji, namijenjen za korištenje kao sigurnosni sustav za korporativnu mrežu srednjih poduzeća i podružnica velikih tvrtki.
    Ova se linija temelji na korištenju svih sredstava zaštite od potencijalnih prijetnji. To su vatrozid, sustav zaštite od upada, antivirusni i antispyware pristupnici. softver. Postoji filtriranje web prometa prema 56 kategorija stranica.
    Kao jedan od vrhunaca svog rješenja SonicWALL ističe tehnologiju dubokog skeniranja i analize dolaznog prometa. Kako bi se izbjegla degradacija performansi, ova tehnologija koristi paralelnu obradu podataka na višeprocesorskoj jezgri.
    Ova oprema podržava VPN, ima napredne mogućnosti usmjeravanja i podržava različite mrežne protokole. Također, rješenje iz SonicWALL-a sposobno je pružiti visoku razinu sigurnosti pri servisiranju VoIP prometa korištenjem SIP i H.323 protokola.

    Iz linije proizvoda Tvrtka WatchGuard rješenje je odabrano za pregled Ložište X550e, koji je pozicioniran kao sustav s naprednom funkcionalnošću za osiguranje mrežne sigurnosti i namijenjen je uporabi u mrežama malih i srednjih poduzeća.
    Rješenja UTM klase ovog proizvođača temelje se na principu zaštite od mješovitih mrežnih napada. Da bi se to postiglo, oprema podržava vatrozid, sustav za sprječavanje napada, pristupnike protiv virusa i neželjene pošte, filtriranje web resursa, kao i sustav protiv špijunskog softvera.
    Ova oprema koristi princip zajedničke zaštite, prema kojem mrežni promet provjeren po određenom kriteriju na jednoj razini zaštite neće biti provjeren po istom kriteriju na drugoj razini. Ovaj pristup omogućuje visoku učinkovitost opreme.
    Još jednom prednošću svog rješenja proizvođač naziva podršku za tehnologiju Zero Day, koja osigurava sigurnosnu neovisnost o prisutnosti potpisa. Ova značajka je važna kada se pojave nove vrste prijetnji kojima se još nije učinkovito suprotstavilo. Tipično, "prozor ranjivosti" traje od nekoliko sati do nekoliko dana. Kada koristite Zero Day tehnologiju, vjerojatnost negativnih posljedica iz prozora ranjivosti značajno je smanjena.

    Tvrtka ZyXEL nudi svoje vatrozidno rješenje klase UTM, namijenjeno uporabi u korporativnim mrežama s do 500 korisnika. Ovaj ZyWALL 1050 rješenje dizajniran za izgradnju mrežnog sigurnosnog sustava, uključujući punu zaštitu od virusa, sprječavanje upada i podršku za virtualne privatne mreže. Uređaj ima pet Gigabit Ethernet portova, koji se mogu konfigurirati za korištenje kao WAN, LAN, DMZ i WLAN sučelja, ovisno o konfiguraciji mreže.
    Uređaj podržava prijenos VoIP aplikativnog prometa putem SIP i H.323 protokola na firewall i NAT razini, kao i prijenos prometa paketne telefonije u VPN tunelima. Istovremeno je osigurano funkcioniranje mehanizama za sprječavanje napada i prijetnji za sve vrste prometa, uključujući VoIP promet, rad antivirusnog sustava s punom bazom potpisa, filtriranje sadržaja za 60 kategorija web stranica i zaštitu od spama.
    Rješenje ZyWALL 1050 podržava više topologija privatnih mreža, VPN koncentratorski način rada i agregaciju virtualne mreže u zone s jedinstvenom sigurnosnom politikom.

    Glavne karakteristike UTM-a

    Mišljenje stručnjaka

    Dmitry Kostrov, direktor projekta Uprave za tehnološku zaštitu korporativnog centra MTS OJSC

    Opseg UTM rješenja uglavnom se odnosi na poduzeća klasificirana kao mala i srednja poduzeća. Sam koncept Unified Threat Management (UTM), kao zasebnu klasu opreme za zaštitu mrežnih resursa, uvela je međunarodna agencija IDC, prema kojoj su UTM rješenja multifunkcionalni softverski i hardverski sustavi koji kombiniraju funkcije različitih uređaja. Obično to uključuje vatrozid, VPN, sustave za otkrivanje i sprječavanje upada u mrežu, kao i protuvirusne i antispam pristupnike i funkcije filtriranja URL-ova.
    Kako bi se postigla istinski učinkovita zaštita, uređaj mora biti višerazinski, aktivan i integriran. Istodobno, mnogi proizvođači sigurnosne opreme već imaju prilično široku paletu proizvoda vezanih uz UTM. Dovoljna jednostavnost postavljanja sustava, kao i sustav sve-u-jednom, čini tržište za ove uređaje prilično atraktivnim. Ukupni trošak vlasništva i povrat ulaganja pri implementaciji ovih uređaja čine se vrlo privlačnima.
    Ali ovo UTM rješenje je poput "švicarskog noža" - postoji alat za svaku situaciju, ali za bušenje rupe u zidu potrebna vam je prava bušilica. Također postoji mogućnost da se pojavi zaštita od novih napada, ažuriranje potpisa i sl. neće biti tako brz, za razliku od podrške pojedinačnih uređaja u “klasičnoj” shemi zaštite korporativne mreže. Također ostaje problem jedne točke kvara.

    U početnoj fazi razvoja mrežnih tehnologija štete od virusa i drugih vrsta računalnih napada bile su male, budući da je ovisnost svjetskog gospodarstva o informacijskoj tehnologiji bila mala. Trenutno, u kontekstu značajne ovisnosti poslovanja o elektroničkim načinima pristupa i razmjene informacija te stalno rastućeg broja napada, šteta od najsitnijih napada koji dovode do gubitka računalnog vremena procjenjuje se u milijunima dolara, a ukupna godišnje štete globalnom gospodarstvu iznose desetke milijardi dolara.

    Informacije koje se obrađuju na korporativnim mrežama posebno su ranjive, čemu doprinose:

    • povećanje količine informacija koje se obrađuju, prenose i pohranjuju na računalima;
    • koncentracija informacija različitih razina važnosti i povjerljivosti u bazama podataka;
    • proširenje pristupa kruga korisnika informacijama pohranjenim u bazama podataka i resursima računalne mreže;
    • povećanje broja poslova na daljinu;
    • široka uporaba globalnog interneta i raznih komunikacijskih kanala;
    • automatizacija razmjene informacija između korisničkih računala.

    Analiza najčešćih prijetnji kojima su izložene suvremene ožičene korporativne mreže pokazuje da izvori prijetnji mogu varirati od neovlaštenih upada napadača do računalnih virusa, pri čemu su ljudske pogreške vrlo značajna sigurnosna prijetnja. Potrebno je uzeti u obzir da se izvori sigurnosnih prijetnji mogu nalaziti kako unutar CIS-a - unutarnji izvori, tako i izvan njega - vanjski izvori. Ova podjela je potpuno opravdana jer su za istu prijetnju (primjerice krađa) protumjere za vanjske i unutarnje izvore različite. Poznavanje mogućih prijetnji, kao i ranjivosti CIS-a potrebno je za odabir naj učinkovita sredstva osiguranje sigurnosti.

    Najčešće i najopasnije (po visini štete) su nenamjerne pogreške korisnika, operatera i administratora sustava koji servisiraju CIS. Nekada takve greške dovode do izravne štete (pogrešno uneseni podaci, greška u programu zbog koje se sustav zaustavio ili urušio), a nekada stvaraju slabosti koje napadači mogu iskoristiti (najčešće se radi o administrativnim greškama).

    Prema američkom Nacionalnom institutu za standarde i tehnologiju (NIST), 55% povreda IP sigurnosti rezultat je nenamjernih pogrešaka. Rad u globalnom informacijskom sustavu čini ovaj faktor vrlo relevantnim, a izvor štete mogu biti kako radnje korisnika organizacije tako i korisnika globalne mreže, što je posebno opasno. Na sl. Slika 2.4 prikazuje kružni dijagram koji prikazuje statističke podatke o izvorima kršenja sigurnosti u CIS-u.

    Na drugom mjestu po oštećenjima su krađe i krivotvorenje. U većini istraženih slučajeva pokazalo se da su počinitelji bili stalno zaposlenici organizacija koji su bili dobro upoznati s rasporedom rada i mjerama zaštite. Prisutnost snažnog informacijskog kanala komunikacije s globalnim mrežama u nedostatku odgovarajuće kontrole nad njegovim radom može dodatno olakšati takve aktivnosti.

    Nepošten

    Napadi izvana

    Uvrijeđen

    Pogreške korisnika i osoblja

    4% virusa

    Riža. 2.4. Izvori kršenja sigurnosti

    zaposlenici

    Problemi

    fizički

    sigurnosti

    Uvrijeđeni zaposlenici, čak i oni bivši, upoznati su s procedurama u organizaciji i sposobni su vrlo učinkovito naštetiti. Stoga, kada zaposlenik dobije otkaz, mora mu se oduzeti pravo pristupa informacijskim resursima.

    Namjerni pokušaji dobivanja neovlaštenog pristupa putem vanjske komunikacije čine oko 10% svih mogućih kršenja. Iako se ovaj broj možda ne čini značajnim, internetsko iskustvo pokazuje da je gotovo svaki internetski poslužitelj podložan pokušajima upada nekoliko puta dnevno. Testovi Agencije za zaštitu informacijskih sustava (SAD) pokazali su da 88% računala ima slabosti u pogledu informacijske sigurnosti koje se mogu aktivno koristiti za dobivanje neovlaštenog pristupa. Zasebno treba razmotriti slučajeve udaljenog pristupa informacijskim strukturama organizacije.

    Prije izgradnje sigurnosne politike potrebno je procijeniti rizike kojima je računalno okruženje organizacije izloženo i poduzeti odgovarajuće radnje. Očito je da troškovi organizacije za praćenje i sprječavanje sigurnosnih prijetnji ne bi trebali premašiti očekivane gubitke.

    Navedena statistika može reći administraciji i osoblju organizacije gdje treba usmjeriti napore za učinkovito smanjenje sigurnosnih prijetnji korporativnoj mreži i sustavu. Naravno, potrebno je pozabaviti se pitanjima fizičke sigurnosti i mjerama za smanjenje negativnog utjecaja ljudskih pogrešaka na sigurnost, no istovremeno je najozbiljniju pozornost potrebno posvetiti rješavanju problema sigurnosti mreže kako bi se spriječili napadi na korporativne mrežu i sustav, izvana i unutar sustava.

    Danas smo se u našem blogu odlučili dotaknuti sigurnosnih aspekata korporativnih mreža. A Mikhail Lyubimov, tehnički direktor LWCOM-a, pomoći će nam u tome.

    Zašto je ova tema mrežne sigurnosti izuzetno aktualna u suvremenom svijetu?

    Zbog gotovo univerzalne dostupnosti širokopojasnog interneta, većina akcija na uređajima provodi se putem mreže, pa je za 99% suvremenih prijetnji mreža transport kojim se prijetnja dostavlja od izvora do cilja. Naravno, širenje zlonamjernog koda moguće je korištenjem prijenosni medij, Ali ovu metodu trenutno se sve rjeđe koristi, a većina je tvrtki odavno naučila nositi se s takvim prijetnjama.

    Što je podatkovna mreža?

    Nacrtajmo prvo arhitekturu klasične korporativne podatkovne mreže u pojednostavljenom i razumljivom obliku.

    Mreža za prijenos podataka počinje sklopkom pristupnog sloja. Na ovaj prekidač izravno su povezana radna mjesta: računala, prijenosna računala, pisači, multifunkcionalni i razni drugi uređaji, npr. bežične točke pristup. Sukladno tome, možete imati puno opreme, može se spojiti na mrežu na potpuno različitim mjestima (katovi ili čak zasebne zgrade).

    Tipično, korporativna podatkovna mreža izgrađena je pomoću topologije "zvijezda", tako da će međusobna interakcija svih segmenata biti osigurana opremom na razini jezgre mreže. Na primjer, može se koristiti isti prekidač, samo obično u snažnijoj i funkcionalnijoj verziji u usporedbi s onima koji se koriste na razini pristupa.

    Poslužitelji i sustavi za pohranu obično su konsolidirani na jednom mjestu i, sa stajališta podatkovnih mreža, mogu biti spojeni ili izravno na core opremu ili mogu imati određeni segment pristupne opreme namijenjen za te svrhe.

    Zatim, imamo opremu za sučelje s vanjskim podatkovnim mrežama (primjerice, Internet). Tipično, u te svrhe, tvrtke koriste takve uređaje kao što su usmjerivači, vatrozidi i razne vrste proxy poslužitelja. Također se koriste za organiziranje komunikacije s distribuiranim uredima tvrtke i za povezivanje udaljenih zaposlenika.

    Ovo je arhitektura lokalne mreže koja je laka za razumijevanje i uobičajena za modernu stvarnost.

    Koja klasifikacija prijetnji danas postoji?

    Definirajmo glavne ciljeve i vektore napada unutar mrežne komunikacije.

    Najčešća i najjednostavnija meta napada je korisnički uređaj. Zlonamjerni softver može se lako distribuirati u tom smjeru putem sadržaja na web resursima ili putem e-pošte.

    U budućnosti, napadač, nakon što je dobio pristup radnoj stanici korisnika, može ili ukrasti povjerljive podatke ili razviti napad na druge korisnike ili druge uređaje na korporativnoj mreži.

    Sljedeća moguća meta napada su, naravno, poslužitelji. Jedna od najpoznatijih vrsta napada na objavljene resurse su DoS i DDoS napadi, koji se koriste za poremećaj stabilnog rada resursa ili njihov potpuni kvar.

    Napadi također mogu biti usmjereni s vanjskih mreža na određene objavljene aplikacije, na primjer, web resurse, DNS poslužitelje, elektronička pošta. Napadi također mogu biti usmjereni unutar mreže - s računala zaraženog korisnika ili od napadača spojenog na mrežu, na aplikacije kao što su dijeljenje datoteka ili baze podataka.



    Postoji i kategorija selektivnih napada, a jedan od najopasnijih je napad na samu mrežu, odnosno na pristup istoj. Napadač koji je dobio pristup mreži može pokrenuti sljedeći napad na gotovo bilo koji uređaj spojen na nju, kao i tajno dobiti pristup bilo kojoj informaciji. Ono što je najvažnije je da je uspješan napad ove vrste prilično teško otkriti i ne može se liječiti standardnim sredstvima. To je, zapravo, imate Novi korisnik ili, još gore, administrator o kojem ne znate ništa.

    Druga meta napadača mogu biti komunikacijski kanali. Treba razumjeti da uspješan napad na komunikacijske kanale ne samo da vam omogućuje čitanje informacija koje se preko njih prenose, već i da bude identičan po posljedicama napadu na mrežu, kada napadač može dobiti pristup svim resursima lokalne računalne mreže.

    Kako organizirati kompetentnu i pouzdanu zaštitu prijenosa podataka?

    Za početak možemo predstaviti globalne prakse i preporuke za organizaciju zaštite korporativne podatkovne mreže, odnosno set alata koji će vam omogućiti da izbjegnete većinu postojećih prijetnji uz minimalan napor, tzv. sigurni minimum.

    U tom kontekstu potrebno je uvesti pojam “mrežni sigurnosni perimetar”, jer Što bliže kontrolirate mogući izvor prijetnje, to više smanjujete broj metoda napada dostupnih napadaču. U tom slučaju perimetar mora postojati i za vanjske i za unutarnje veze.

    Prije svega, preporučamo osigurati sučelje s javnim mrežama jer s njih dolazi najveći broj prijetnji. Trenutačno postoji niz specijaliziranih mrežnih sigurnosnih alata dizajniranih posebno za sigurno organiziranje veza s internetom.

    Pojmovi kao što su NGFW (vatrozid sljedeće generacije) i UTM (Unified Threat Management) naširoko se koriste za njihovo označavanje. Ovi uređaji ne samo da objedinjuju funkcionalnost klasičnog usmjerivača, vatrozida i proxy poslužitelja, već i pružaju dodatne usluge sigurnosti, kao što su: filtriranje URL-ova i sadržaja, antivirusni program, itd. U isto vrijeme, uređaji često koriste sustave za skeniranje sadržaja temeljene na oblaku, što vam omogućuje brzu i učinkovitu provjeru svih prenesenih podataka na prijetnje. No glavna stvar je mogućnost retrospektivno izvješćivanja o identificiranim prijetnjama, odnosno identificiranja prijetnji u slučajevima kada je zaraženi sadržaj već prenesen korisniku, ali je proizvođač naknadno dobio informaciju o zlonamjernosti ovog softvera.

    Stvari poput inspekcije HTTPS prometa i automatske analize aplikacija omogućuju vam kontrolu ne samo pristupa određenim stranicama, već i dopuštanje/zabranu rada aplikacija kao što su: Skype, Team Viewer i mnoge druge, a kao što znate većina njih već dugo pokreću HTTP i HTTPS protokole i standardni mrežni alati jednostavno ne mogu kontrolirati njihov rad.

    Osim ovoga, unutar jedan uređaj također možete dobiti sustav za sprječavanje upada, koji je odgovoran za zaustavljanje napada usmjerenih na objavljene resurse. Dodatno možete dobiti i VPN poslužitelj za siguran daljinski rad zaposlenika i povezivanje poslovnica, anti-spam, botnet sustav kontrole, sandbox itd. Sve to čini takav uređaj istinski unificiranim mrežnim sigurnosnim alatom.

    Ako vaša tvrtka još ne koristi takva rješenja, toplo preporučujemo da ih počnete koristiti upravo sada, jer je vrijeme njihove učinkovitosti već došlo, a možemo sa sigurnošću reći da su takvi uređaji dokazali svoju stvarnu sposobnost borbe protiv veliki iznos prijetnje, koje prije 5 godina nisu postojale. U to su vrijeme takve stvari tek bile ušle na tržište, imale su mnogo problema i bile su prilično skupe i slabog učinka.

    Kako odabrati vatrozid sljedeće generacije?

    Sada na tržištu postoji ogroman broj mrežnih uređaja s deklarirano sličnom funkcionalnošću, no samo nekoliko njih može pružiti istinski učinkovitu zaštitu. To se objašnjava činjenicom da samo ograničeni broj proizvođača ima sredstva i zapravo ih ulaže u neprekidni razvoj trenutnih prijetnji, tj. stalno ažurirati baze potencijalno opasnih resursa, pružati neprekidnu podršku za rješenja itd.

    Mnogi partneri pokušat će vam prodati rješenja koja su im isplativa za prodaju, tako da cijena rješenja ne odgovara uvijek njegovoj stvarnoj sposobnosti suprotstavljanja prijetnjama. Osobno preporučujem da se za odabir uređaja obratite materijalima neovisnih analitičkih centara, na primjer, izvješća NSS Labs. Po mom mišljenju, oni su točniji i nepristraniji.

    Osim prijetnji izvana, vaši resursi mogu biti napadnuti i iznutra. Takozvani "sigurni minimum" koji bi se trebao koristiti u vašoj lokalnoj mreži je njezina segmentacija u VLAN-ove, tj. virtualne privatne mreže. Osim segmentacije, između njih je obavezna primjena pristupnih politika, barem korištenjem sredstava standardne pristupne liste (ACL), jer jednostavno posjedovanje VLAN-a u borbi protiv modernih prijetnji ne daje praktički ništa.

    Kao zasebnu preporuku, navest ću poželjnost korištenja kontrole pristupa izravno s priključka uređaja. Međutim, potrebno je zapamtiti opseg mreže, tj. Što bliže zaštićenim uslugama primjenjujete pravila, to bolje. U idealnom slučaju, takva bi se pravila trebala implementirati na pristupne sklopke. U takvim slučajevima preporuča se primijeniti 4 kao najminimalniju sigurnosnu politiku jednostavna pravila:

    • držati sve neiskorištene portove prekidača administrativno onemogućenima;
    • nemojte koristiti 1. VLAN;
    • koristiti MAC listove za filtriranje na pristupnim sklopkama;
    • koristiti inspekciju ARP protokola.
    Odlično rješenje bilo bi korištenje istih vatrozida sa sustavima za sprječavanje upada duž putanje prijenosa podataka, a također i arhitektonski korištenje demilitariziranih zona. Autentifikaciju spojenog uređaja najbolje je implementirati pomoću 802.1x protokola, koristeći različite AAA sustave (sustavi autentifikacije, autorizacije i obračuna) za centraliziranu kontrolu pristupa mreži. Obično se ova rješenja nazivaju uobičajenim izrazom među proizvođačima NAC (Network Access Control). Primjer jednog takvog komercijalnog sustava je Cisco ISE.



    Napadači također mogu pokrenuti napade na kanale. Za zaštitu kanala treba koristiti jaku enkripciju. Mnogi ljudi to zanemaruju i onda snose posljedice. Nezaštićeni kanali nisu samo informacije dostupne za krađu, već i mogućnost napada na gotovo sve korporativni resursi. Naši korisnici imali su znatan broj presedana u svojoj praksi kada su napadi izvedeni na korporativnu telefoniju organiziranjem komunikacije kroz nezaštićene kanale prijenosa podataka između središnjeg i udaljenog ureda (na primjer, jednostavnim korištenjem GRE tunela). Tvrtkama stizali ludi računi!

    Što nam možete reći o bežičnim mrežama i BYOD-u?

    Tema rada na daljinu, bežične mreže i korištenje vlastitih uređaja, želio bih posebno istaknuti. Po mom iskustvu, ove su tri stvari jedna od najvećih potencijalnih sigurnosnih rupa u vašoj tvrtki. Ali istovremeno su jedna od najvećih konkurentskih prednosti.

    Da ukratko pristupim problemu, preporučujem ili potpunu zabranu korištenja bežičnih mreža, rada na daljinu ili rada putem vlastitih mobilnih uređaja, pozivajući se na korporativna pravila, ili pružanje ovih usluga što je temeljitije moguće sa sigurnosne točke gledišta, pogotovo zato što moderna rješenja pružaju mogućnost da to učinite u u svom najboljem izdanju.

    Što se tiče rada na daljinu, mogu vam pomoći isti vatrozidi sljedeće generacije ili UTM uređaji. Naša praksa pokazuje da postoji niz stabilnih rješenja (uključujući Cisco, Checkpoint, Fortinet, Citrix) koja vam omogućuju rad s različitim klijentskim uređajima, a istovremeno pružaju najviše standarde za identifikaciju udaljenog zaposlenika. Na primjer, korištenje certifikata, dvofaktorska autentifikacija, jednokratne lozinke isporučene SMS-om ili generirane pomoću posebnog ključa. Također možete pratiti softver instaliran na računalu s kojeg se pokušava pristupiti, na primjer, za instalaciju odgovarajućih ažuriranja ili pokretanje antivirusnih programa.

    Wi-Fi sigurnost je tema koja zaslužuje svoj članak. U ovom postu ću pokušati dati najvažnije preporuke. Ako gradite korporativni Wi-Fi, svakako razmotrite sve moguće sigurnosne aspekte povezane s njim.

    Usput, Wi-Fi je sasvim zaseban izvor prihoda za našu tvrtku. Njima se bavimo profesionalno: projekti opremanja trgovačkih i trgovačkih centara, poslovnih centara, skladišta bežičnom opremom, uključujući korištenje suvremenih rješenja poput pozicioniranja, provode se neprekidno. A prema rezultatima naših radijskih istraživanja, u svakom drugom uredu i skladištu nalazimo barem jedan kućni Wi-Fi usmjerivač koji su zaposlenici sami spojili na mrežu. Obično to čine zbog vlastite udobnosti rada, na primjer, da odu u sobu za pušenje s prijenosnim računalom ili da se slobodno kreću unutar sobe. Jasno je da na takve rutere nisu primjenjivana nikakva korporativna sigurnosna pravila te su se lozinke dijelile poznatim kolegama, zatim kolegama kolega, pa gostima koji su dolazili na kavu, a kao rezultat toga, gotovo svi su imali pristup korporativnoj mreži. , dok je bilo potpuno nekontrolirano.

    Naravno, vrijedi zaštititi mrežu od povezivanja takve opreme. Glavni načini za to mogu biti: korištenje autorizacije na portovima, filtriranje prema MAC-u, itd. Opet, s Wi-Fi točke gledišta, jaki kriptografski algoritmi i metode provjere autentičnosti poduzeća trebaju se koristiti za mrežu. No trebali biste shvatiti da nisu sve metode provjere autentičnosti poduzeća jednako korisne. Na primjer, Android uređaji u nekim izdanjima softvera mogu prema zadanim postavkama ignorirati javni certifikat Wi-Fi mreže, čime su Evil twin napadi mogući. Ako se koristi metoda provjere autentičnosti, kao što je EAP GTC, tada se ključ prenosi u čistom tekstu i može biti potpuno presretnut u ovom napadu. Preporučujemo korištenje samo provjere autentičnosti certifikata u korporativnim mrežama, tj. Ovo su TLS metode, ali imajte na umu da značajno povećava opterećenje mrežnih administratora.

    Postoji još jedan način: ako je rad na daljinu implementiran u korporativnoj mreži, tada se možete povezati putem Wi-Fi mreža uređaji su također prisiljeni koristiti VPN klijent. Odnosno, dodijelite segment Wi-Fi mreže u početno nepouzdano područje, a na kraju ćete dobiti dobru radnu opciju s minimiziranjem troškova upravljanja mrežom.

    Proizvođači poslovnih Wi-Fi rješenja, kao što su Cisco, Ruckus, koji je sada Brocade, Aruba, koji je sada HPE, osim toga standardna rješenja za organiziranje Wi-Fi-ja, pružaju cijeli niz usluga za automatsko praćenje sigurnosti bežičnog okruženja. To jest, stvari poput WIPS-a (Wireless Intrusion Prevention System) za njih rade prilično dobro. Ovi proizvođači su implementirali bežične senzore koji mogu nadzirati cijeli spektar frekvencija, čime se omogućuje praćenje u automatski način rada prilično ozbiljne prijetnje.

    Sada se dotaknimo tema kao što su BYOD (Donesi vlastiti uređaj) i MDM (Upravljanje mobilnim uređajima). Naravno, svaki mobilni uređaj koji pohranjuje korporativne podatke ili ima pristup korporativnoj mreži potencijalni je izvor problema. Tema sigurnosti za takve uređaje ne odnosi se samo na siguran pristup korporativnoj mreži, već i na centralizirano upravljanje politikama za mobilne uređaje: pametne telefone, tablete, prijenosna računala koja se koriste izvan organizacije. Ova je tema bila relevantna već dugo vremena, ali tek sada su se na tržištu pojavila stvarno funkcionalna rješenja koja vam omogućuju upravljanje raznolikom flotom mobilne opreme.

    Nažalost, u ovom postu neće biti moguće govoriti o njima, ali znajte da rješenja postoje i posljednjih godinu dana doživljavamo procvat implementacije MDM rješenja od Microsofta i MobileIrona.

    Govorili ste o "minimalnoj sigurnosti", što je onda "maksimalna sigurnost"?

    Jedno vrijeme na Internetu je bila popularna slika: preporuča se instaliranje vatrozida poznatih proizvođača jedan za drugim kako bi se zaštitila mreža. Ni na koji način vas ne potičemo da učinite isto, ali, ipak, ima istine ovdje. Bit će izuzetno korisno imati ga mrežni uređaj s analizom virusnih potpisa, na primjer, iz SOFOS-a, a na radnim mjestima već instalirajte antivirus iz Kaspersky Laba. Tako dobivamo dva sustava zaštite od zlonamjernog koda koji ne ometaju jedan drugog.

    Postoji nekoliko specijaliziranih alata za informacijsku sigurnost:

    DLP. Tržište nudi specijalizirane alate za informacijsku sigurnost, odnosno razvijene i usmjerene na rješavanje određene prijetnje. Trenutno DLP (Data Loss Prevention) ili sustavi za sprječavanje curenja podataka postaju popularni. Djeluju kako na mrežnoj razini, integrirajući se u okruženje prijenosa podataka, tako i izravno na aplikacijskim poslužiteljima, radnim stanicama i mobilnim uređajima.

    Malo se udaljavamo od teme mreže, ali prijetnja od curenja podataka uvijek će postojati. Konkretno, ova rješenja postaju relevantna za tvrtke u kojima gubitak podataka nosi komercijalne i reputacijske rizike i posljedice. Prije samo 5 godina implementacija DLP sustava bila je donekle otežana zbog njihove složenosti i potrebe da se za svaki pojedini slučaj provede razvojni proces. Stoga su mnoge tvrtke zbog njihove cijene odustale od ovih rješenja ili su napisale vlastita. Trenutačno su tržišni sustavi dovoljno zreli, tako da se sve potrebne sigurnosne funkcije mogu dobiti izravno iz kutije.

    Na ruskom tržištu komercijalne sustave uglavnom zastupa proizvođač Infowatch (ispod je slika ovog proizvođača o tome kako predstavljaju svoje rješenje u velikoj tvrtki) i prilično poznati MacAfee.

    WAF. Zbog razvoja usluga Internet trgovine, a to je Internet bankarstvo, elektronički novac, elektroničko poslovanje, usluge osiguranja itd., nedavno su postali traženi specijalizirani alati za zaštitu web izvora. Naime WAF - Web Application Firewall.

    Ovaj uređaj omogućuje vam odbijanje napada usmjerenih na ranjivosti samog mjesta. Osim selektivnih DoS napada, kada je stranica preplavljena legitimnim zahtjevima, to mogu biti napadi SQL injection, Cross site skriptiranje itd. Prije su takve uređaje kupovale uglavnom banke, ali nisu bili traženi od drugih kupaca i koštali su puno novca. Na primjer, cijena radnog rješenja počela je od 100.000 USD. Sada tržište nudi veliki broj rješenja poznatih proizvođača (Fortinet, Citrix, Positive Technologies), od kojih možete dobiti radno rješenje za zaštitu vaše web stranice za prilično razuman novac (3-5 puta manje od prethodno navedenog iznosa ).

    Revizija. Organizacije, posebno one koje se zalažu za vlastitu sigurnost, implementiraju automatizirane alate za reviziju. Ova su rješenja skupa, ali omogućuju prijenos niza administratorskih funkcija u područje automatizacije, što je iznimno traženo za velike tvrtke. Takva rješenja stalno skeniraju mrežu i revidiraju sve instalirane operativni sustavi i aplikacije za poznate sigurnosne rupe, pravovremenost ažuriranja i usklađenost s korporativnim politikama. Vjerojatno najpoznatija rješenja u ovom području ne samo u Rusiji, već u cijelom svijetu su proizvodi tvrtke Positive Technologies.

    SIEM. Slično SIEM rješenjima. To su sustavi dizajnirani za otkrivanje hitnih situacija koje su posebno povezane sa sigurnosnim događajima. Čak i standardni skup od nekoliko vatrozida, desetak aplikacijskih poslužitelja i tisuće desktopa može generirati desetke tisuća upozorenja dnevno. Ako imate veliku tvrtku i imate desetke rubnih uređaja, razumite podatke koje od njih primate ručni mod Postaje jednostavno nemoguće. Automatiziranje kontrole prikupljenih logova istovremeno sa svih uređaja omogućuje administratorima i zaposlenicima informacijske sigurnosti da djeluju odmah. SIEM rješenja tvrtke Arcsight (dio HPE proizvoda) i Q-RADAR (dio IBM proizvoda) dosta su poznata na tržištu.

    I za kraj: što savjetujete onima koji se ozbiljno bave organizacijom zaštite svojih IT resursa?

    Naravno, kada organizirate IT sigurnost za poduzeće, ne treba zaboraviti na administrativne propise. Korisnici i administratori trebaju biti svjesni da se pronađeni flash pogoni ne mogu koristiti na računalu, kao što ne mogu slijediti sumnjive poveznice u e-pošti ili otvarati sumnjive privitke. Vrlo je važno reći i objasniti koji su linkovi i prilozi neprovjereni. U stvarnosti, ne shvaćaju svi da nema potrebe pohranjivati ​​lozinke na samoljepljive ceduljice zalijepljene na monitor ili telefon, da morate naučiti čitati upozorenja koja aplikacije pišu korisniku itd. Trebali biste korisnicima objasniti što je sigurnosni certifikat i što znače poruke povezane s njim. Općenito, potrebno je uzeti u obzir ne samo tehničku stranu problema, već i usaditi kulturu korištenja korporativnih IT resursa od strane zaposlenika.
    Nadam se da vam je ovaj izvrstan post bio zanimljiv i koristan.