Úvod do bezpečnosti siete. Aktuálne otázky bezpečnosti podnikových dátových sietí

Sieťová a informačná bezpečnosť

Zabezpečenie bezpečnosti podnikovej siete

Vysoká bezpečnosť a súlad s predpismi sú pri projektoch podnikových sietí nevyhnutnosťou.

Aby podniky chránili svoje vlastné informačné zdroje, implementujú do svojej infraštruktúry sieťové bezpečnostné riešenia, ktoré zaručujú bezpečnosť siete a komerčných údajov na všetkých úrovniach:

  • POŽARNE DVERE
  • spravované siete VPN
  • detekciu a blokovanie pokusov o prienik do siete
  • ochranu koncové body dopravná výmena
  • firemný antivírusový systém.

Bezpečnosť pripojenia

Pre zamestnancov na služobných cestách alebo pracujúcich z domu služba vzdialený prístup do podnikovej siete sa stala pracovnou nevyhnutnosťou.

Stále viac organizácií umožňuje partnerom vzdialený prístup k ich sieťam, aby sa znížili náklady na údržbu systému. Preto je ochrana koncových bodov prenosu jednou z najdôležitejších úloh pri zabezpečovaní bezpečnosti podnikovej siete.

Miesta, kde sa podniková sieť pripája na internet, sú bezpečnostným perimetrom siete. V týchto bodoch sa pretína prichádzajúca a odchádzajúca doprava. Prevádzka podnikových používateľov prekračuje hranice siete a internetové požiadavky externých používateľov na prístup k webovým a e-mailovým aplikáciám vstupujú do podnikovej siete.

Pretože koncové body majú trvalé pripojenie k internetu, čo zvyčajne umožňuje externému prenosu vstupovať do podnikovej siete, sú hlavným cieľom útočníkov.

Pri budovaní podnikovej siete na zabezpečenie dát sa na okrajoch siete v prístupových bodoch internetu inštalujú brány firewall. Tieto zariadenia umožňujú predchádzať a blokovať vonkajšie hrozby pri ukončovaní VPN tunelov (pozri obr. 1).


Obr.1 Bezpečnostný perimeter podnikovej siete

Súbor integrovaných riešení pre zabezpečené spojenia od Cisco Systems zaisťuje dôvernosť informácií. Sieť skúma všetky koncové body a metódy prístupu vo všetkých podnikových sieťach: LAN, WAN a bezdrôtová mobilná sieť

Zabezpečuje plnú dostupnosť firewallu a služby VPN. Funkcie brány firewall poskytujú stavové filtrovanie na aplikačnej vrstve pre prichádzajúcu a odchádzajúce prevádzky, bezpečný odchádzajúce prístup pre používateľov a sieť DMZ pre servery, ku ktorým je potrebné pristupovať z internetu.

Systémový integrátor IC "Telecom-Service" buduje podnikové bezpečnostné siete založené na multifunkčných bezpečnostných zariadeniach od Cisco Systems, Juniper Networks a Huawei Technologies, čo umožňuje znížiť počet požadovaných zariadení v sieti.

Komplexné riešenia zabezpečenia podnikovej siete od spoločností Cisco Systems, Juniper Networks a Huawei Technologies majú množstvo výhod, ktoré sú dôležité pre efektívne podnikanie:

  • zníženie IT rozpočtov na prevádzku a údržbu softvéru a hardvéru
  • zvýšenie flexibility siete
  • zníženie nákladov na implementáciu
  • zníženie celkových nákladov na vlastníctvo
  • posilnenie kontroly jednotným riadením a zavedením bezpečnostných politík
  • zvýšenie ziskov a zvýšenie ukazovateľov efektívnosti podniku
  • zníženie bezpečnostných hrozieb pre sieť a úložné systémy
  • aplikácia účinných bezpečnostných politík a pravidiel na koncových uzloch siete: PC, PDA a servery
  • skrátenie času na implementáciu nových bezpečnostných riešení
  • efektívna prevencia vniknutia do siete
  • integrácia so softvérom od iných vývojárov v oblasti bezpečnosti a správy.
  • plnohodnotné riadenie prístupu k sieti

Bezpečnostné produkty Cisco na všetkých úrovniach siete

Zabezpečenie koncového bodu: Softvér Cisco Security Agent chráni počítače a servery pred útokmi červov.

Vstavané brány firewall: PIX Security Appliance, Catalyst 6500 Firewall Services Module a sada funkcií firewallu chránia sieť interne a na jej okraji.

Ochrana proti vniknutiu do siete: Senzory IPS radu 4200, moduly služieb IDS Catalyst 6500 (IDSM-2) alebo IOS IPS identifikujú, analyzujú a blokujú škodlivú nevyžiadanú prevádzku.

Detekcia a eliminácia DDoS útokov: Cisco Traffic Anomaly Detector XT a Guard XT zaisťujú normálnu prevádzku v prípade útokov na prerušenie služby. Služby Cisco Traffic Anomaly Detector Services a moduly Cisco Guard poskytujú silnú ochranu pred DDoS útokmi na prepínače Catalyst radu 6500 a smerovače radu 7600.

Zabezpečenie obsahu: Modul zariadenia Modul Access Router Content Engine chráni podnikové aplikácie pracujúce s internetom a zabezpečuje bezchybné doručovanie webového obsahu.

Inteligentné služby správy siete a bezpečnosti: Nežiaduca prevádzka a aplikácie sa nachádzajú a blokujú v smerovačoch a prepínačoch Cisco.

Riadenie a monitorovanie:

Produkty:

  • CiscoWorks VPN/riešenie správy zabezpečenia (VMS)
  • CiscoWorksSecurity Information Management System (SIMS) - systém riadenia bezpečnostných informácií
    • Zabudovaní správcovia zariadení: Cisco Router and Security Device Manager (SDM), PIX Device Manager (PDM), Adaptive Security Device Manager (ASDM) rýchlo a efektívne sledujú, monitorujú bezpečnostné služby a sieťovú aktivitu.

    Technológia Network Admission Control (NAC) od spoločnosti Cisco

    Network Admission Control (NAC) je súbor technológií a riešení založených na celoodvetvovej iniciatíve pod vedením Cisco Systems.

    NAC využíva sieťovú infraštruktúru na presadzovanie bezpečnostných zásad na všetkých zariadeniach, ktoré sa snažia získať prístup k sieťovým zdrojom. To znižuje možné poškodenie siete bezpečnostnými hrozbami.

    Multifunkčné bezpečnostné zariadenia poskytujú zamestnancom a partnerom bezpečný vzdialený prístup k podnikovej VPN pomocou protokolov SSL a IPsec VPN, vstavaných blokovacích služieb na prevenciu a prevenciu prienikov IPS.

    Self-Defending Network - sebaobranná sieťová stratégia od Cisco

    Self-Defending Network je rozvíjajúca sa budúca stratégia od spoločnosti Cisco. Táto technológia vám umožňuje chrániť podnikové obchodné procesy detekciou a prevenciou útokov, prispôsobením sa interným a externým sieťovým hrozbám.

    Podniky môžu efektívnejšie využívať intelektuálne možnosti sieťových zdrojov, optimalizovať obchodné procesy a znižovať náklady.

    Cisco Security Management Suite

    Cisco Security Management Suite je súbor produktov a technológií navrhnutých na poskytovanie škálovateľnej správy a presadzovania bezpečnostných zásad pre sebaobranú sieť Cisco.

    Integrovaný produkt Cisco vám umožňuje automatizovať úlohy správy bezpečnosti pomocou kľúčových komponentov: manažéra správy a Cisco Security MARS – systému monitorovania, analýzy a odozvy.

    Cisco Security Management Manager poskytuje jednoduché rozhranie na konfiguráciu firewallu, VPN a systému ochrany pred narušením (IPS) na bezpečnostných zariadeniach Cisco, firewalloch, smerovačoch a prepínačoch.

    Ak vezmeme do úvahy systém informačná bezpečnosť akákoľvek veľká spoločnosť, potom to nie je len antivírus, ale aj niekoľko ďalších programov na ochranu vo všetkých oblastiach. Časy jednoduchých riešení bezpečnosti IT sú dávno preč.

    Samozrejme, základom všeobecného systému informačnej bezpečnosti pre každú organizáciu je ochrana štandardnej pracovnej stanice pred vírusmi. A tu zostáva potreba používať antivírus nezmenená.

    Požiadavky na firemnú bezpečnosť sa však celkovo zmenili. Spoločnosti potrebujú plnohodnotné riešenia typu end-to-end, ktoré dokážu poskytnúť nielen ochranu pred najkomplexnejšími modernými hrozbami, ale zároveň budú mať náskok.

    "Čoraz viac veľkých spoločností buduje bezpečnostný systém založený na princípe obrany do hĺbky."

    Skoršie úrovne boli navyše postavené na rôznych prvkoch IT infraštruktúry, no teraz by viacúrovňová ochrana mala byť dokonca aj na jednotlivých prvkoch IT prostredia, predovšetkým na pracovných staniciach a serveroch.

    Akým hrozbám čelili spoločnosti v roku 2014?

    Z hľadiska hrozby sa v poslednej dobe stali obrovským problémom v informačnej bezpečnosti cielené útoky na korporácie a vládne agentúry. Mnohé z techník, ktoré hackeri predtým používali na útoky na domácich používateľov, sa teraz používajú v podnikoch.

    Patria sem upravené bankové trójske kone, ktoré sú zamerané na zamestnancov finančných oddelení a účtovných oddelení, a rôzne šifrovacie programy, ktoré začali fungovať v rámci podnikových informačných sietí a používanie metód sociálne inžinierstvo.

    Okrem toho sa stali populárnymi sieťové červy, na ich odstránenie je potrebné vypnúť celú podnikovú sieť. Ak čelia spoločnosti, ktoré majú podobný problém veľké množstvo pobočky umiestnené v rôznych časových pásmach, potom každé prerušenie prevádzky siete nevyhnutne vedie k finančným stratám.

    Podľa výsledkov štúdie vykonanej spoločnosťou Kaspersky Lab v roku 2014 medzi odborníkmi na informačnú bezpečnosť, najčastejšie ruské spoločnosti čelia

    • malvér,
    • nevyžiadaná korešpondencia (spam),
    • pokusy o neoprávnený vstup do systému prostredníctvom phishingu.
    • zraniteľnosti v nainštalovaný softvér,
    • riziká spojené so správaním zamestnancov spoločnosti.

    Problém ešte zhoršuje skutočnosť, že kybernetické hrozby nie sú ani zďaleka statické: každým dňom sa množia, stávajú sa rozmanitejšími a komplexnejšími. Aby sme lepšie pochopili súčasnú situáciu v oblasti informačnej bezpečnosti a dôsledky, ku ktorým môže viesť aj jeden počítačový incident, prezentujme všetko v číslach a faktoch získaných na základe analýzy udalostí z roku 2014 spoločnosťou Kaspersky Lab.

    Štatistiky kybernetických hrozieb


    Mimochodom, sú to mobilné zariadenia, ktoré sú dnes aj naďalej samostatnou „bolesťou hlavy“ pre špecialistov informačnej bezpečnosti. Používanie osobných smartfónov a tabletov na pracovné účely je už vo väčšine organizácií prijateľné, no správna správa týchto zariadení a ich zaradenie do spoločný systém Firemná informačná bezpečnosť sa neuplatňuje všade.

    "Podľa spoločnosti Kaspersky Lab, platforma Android Dnes je 99 % malvéru, ktorý sa špecializuje na mobilné zariadenia."

    Aby sme pochopili, odkiaľ pochádza taký počet hrozieb a aby sme si predstavili rýchlosť, s akou sa ich počet zvyšuje, stačí povedať, že špecialisti Kaspersky Lab každý deň spracujú 325 tisíc vzoriek nového malvéru.

    Škodlivý softvér sa do počítačov používateľov najčastejšie dostáva dvoma spôsobmi:

    • prostredníctvom zraniteľností v legálnom softvéri
    • pomocou metód sociálneho inžinierstva.

    Samozrejme, kombinácia týchto dvoch techník je veľmi častá, no útočníci nezanedbávajú ani ďalšie triky.

    Samostatnou hrozbou pre podnikanie sú cielené útoky, ktoré sú čoraz bežnejšie.

    „Používanie nelegálneho softvéru, samozrejme, ďalej zvyšuje riziko, že sa stanete úspešným cieľom kybernetického útoku, a to predovšetkým z dôvodu prítomnosti väčšieho počtu zraniteľností.“

    Zraniteľnosť sa skôr či neskôr objaví v akomkoľvek softvéri. Môžu to byť chyby pri vývoji programu, zastaranie verzií alebo jednotlivých prvkov kódu. Nech je to akokoľvek, hlavným problémom nie je prítomnosť zraniteľnosti, ale jej včasné odhalenie a uzavretie.

    Mimochodom, v poslednej dobe a rok 2014 je toho jasným dôkazom, výrobcovia softvéru začínajú čoraz viac uzatvárať zraniteľné miesta vo svojich programoch. V aplikáciách je však stále dosť medzier a kyberzločinci ich aktívne využívajú na prienik do podnikových sietí.

    V roku 2014 bolo 45 % všetkých incidentov so zraniteľnosťou spôsobených dierami v populárnom softvéri Oracle Java.

    Okrem toho minulý rok zaznamenal niečo ako zlom, keď bola objavená zraniteľnosť v bežnom šifrovacom protokole OpenSSL s názvom Heartbleed. Táto chyba umožnila útočníkovi čítať obsah pamäte a zachytiť osobné údaje v systémoch používajúcich zraniteľné verzie protokolu.

    OpenSSL sa široko používa na ochranu údajov prenášaných cez internet (vrátane informácií vymieňaných medzi používateľmi na webových stránkach, e-maily, správy v internetových instant messengeroch) a údajov prenášaných cez kanály VPN (Virtual Private Networks), takže vplyv tejto zraniteľnosti bol možný. Je možné, že útočníci by mohli využiť túto zraniteľnosť ako začiatok pre nové kampane kybernetickej špionáže.

    Obete útokov

    Vo všeobecnosti sa v roku 2014 počet organizácií, ktoré sa stali obeťami cielených kybernetických útokov a kyberšpionážnych kampaní, zvýšil takmer 2,5-krát. Za posledný rok sa terčom kyberzločincov stalo takmer 4,5 tisíca organizácií v najmenej 55 krajinách vrátane Ruska.

    Ku krádeži údajov došlo v najmenej 20 rôznych ekonomických sektoroch:

    • štát,
    • telekomunikácie,
    • energia,
    • výskum,
    • priemyselný,
    • zdravotná starostlivosť,
    • stavebné a iné firmy.

    Kyberzločinci získali prístup k nasledujúcim informáciám:

    • heslá,
    • súbory,
    • geolokačné informácie,
    • audio dáta,
    • snímky obrazovky
    • obrázky z webovej kamery.

    Je pravdepodobné, že v niektorých prípadoch boli tieto útoky podporované vládnymi agentúrami, zatiaľ čo iné boli s väčšou pravdepodobnosťou vykonané profesionálnymi skupinami kybernetických žoldnierov.

    V posledných rokoch Centrum globálneho výskumu a analýzy hrozieb spoločnosti Kaspersky Lab sledovalo aktivity viac ako 60 zločineckých skupín zodpovedných za kybernetické útoky na celom svete. Ich účastníci hovoria rôznymi jazykmi: rusky, čínsky, nemecky, španielsky, arabsky, perzsky a inými.

    Dôsledky cielených operácií a kampaní kybernetickej špionáže sú vždy mimoriadne vážne. Nevyhnutne končia hackovaním a infekciou podnikovej siete, narušením obchodných procesov a únikom dôverných informácií, najmä duševného vlastníctva. V roku 2014 sa 98 % ruských spoločností stretlo s nejakým kybernetickým incidentom, ktorého zdroje boli spravidla mimo samotných podnikov, a ďalších 87 % organizácií zaznamenalo incidenty spôsobené internými hrozbami.

    "Celková výška škôd pre veľké spoločnosti bola v priemere 20 miliónov rubľov za každý úspešný príklad kybernetického útoku."

    Čoho sa spoločnosti obávajú a ako sa veci skutočne majú

    Spoločnosť Kaspersky Lab každoročne vykonáva prieskum s cieľom určiť postoj IT špecialistov k otázkam bezpečnosti informácií. Štúdia z roku 2014 ukázala, že veľká väčšina ruských spoločností, presnejšie 91 %, podceňuje množstvo škodlivého softvéru, ktorý dnes existuje. Navyše ani nepredpokladajú, že počet malvéru neustále narastá.



    Zaujímavé je, že 13 % IT profesionálov uviedlo, že sa neobávajú vnútorných hrozieb.

    Možno to vysvetliť tým, že v mnohých spoločnostiach nie je zvykom deliť kybernetické hrozby na externé a interné. Okrem toho medzi ruskými šéfmi IT a služieb informačnej bezpečnosti sú takí, ktorí stále uprednostňujú riešenie všetkých problémov s vnútornými hrozbami prostredníctvom prohibičných opatrení.

    Ak má však človek niečo zakázané, neznamená to, že to nerobí. Preto každá bezpečnostná politika, vrátane zákazu, vyžaduje vhodné kontrolné nástroje na zabezpečenie súladu so všetkými požiadavkami.

    Pokiaľ ide o typy informácií, o ktoré sa útočníci primárne zaujímajú, štúdia ukázala, že vnímanie spoločností a skutočný stav vecí sa značne líšia.

    Prehry sa teda najviac obávajú samotné firmy

    • informácie o klientoch,
    • finančné a prevádzkové údaje,
    • duševného vlastníctva.
    O niečo menej starostí s podnikaním
    • informácie o analýze aktivít konkurentov,
    • Informácie o platbe,
    • osobné údaje zamestnancov
    • údaje o firemných bankových účtoch.

    „V skutočnosti sa ukazuje, že kybernetickí zločinci najčastejšie kradnú interné prevádzkové informácie spoločnosti (v 58 % prípadov), no len 15 % spoločností považuje za potrebné v prvom rade tieto údaje chrániť.

    Pre bezpečnosť je rovnako dôležité premýšľať nielen nad technológiami a systémami, ale brať do úvahy aj ľudský faktor: pochopenie cieľov zo strany špecialistov, ktorí zostavujú systém, a pochopenie zodpovednosti zamestnancov, ktorí zariadenia používajú. .

    V poslednej dobe sa útočníci čoraz viac spoliehajú nielen na technické prostriedky, ale aj na slabé stránky ľudí: využívajú metódy sociálneho inžinierstva, ktoré pomáhajú vydolovať takmer akékoľvek informácie.

    Zamestnanci, ktorí odoberajú údaje na svojom zariadení, musia pochopiť, že nesú presne rovnakú zodpovednosť, ako keby si so sebou vzali papierové kópie dokumentov.

    Zamestnanci spoločnosti by si tiež mali dobre uvedomiť, že každé moderné technicky zložité zariadenie obsahuje chyby, ktoré môže útočník zneužiť. Ale na využitie týchto defektov musí útočník získať prístup k zariadeniu. Preto je potrebné pri sťahovaní pošty, aplikácií, hudby a obrázkov skontrolovať reputáciu zdroja.

    Pred otvorením správy a kliknutím na odkaz je dôležité dávať si pozor na poburujúce textové správy a e-maily a skontrolovať spoľahlivosť zdroja.

    Aby mala firma stále ochranu pred takýmto náhodným či úmyselným konaním zamestnancov, mala by využívať moduly na ochranu dát pred únikmi.

    „Spoločnosti si musia pravidelne pamätať, ako pracovať s personálom: od zlepšovania zručností IT zamestnancov až po vysvetľovanie základných pravidiel bezpečnej práce na internete bez ohľadu na to, z akých zariadení k nemu pristupujú.“

    Tento rok spoločnosť Kaspersky Lab vydala nový modul, ktorý implementuje funkcie ochrany pred únikom údajov -

    Cloudová ochrana

    Množstvo veľkých spoločností využíva cloud tak či onak, v Rusku najčastejšie vo verzii privátneho cloudu. Tu je dôležité pripomenúť, že ako každý iný informačný systém vytvorený človekom, cloudové služby obsahujú potenciálne zraniteľnosti, ktoré môžu autori vírusov zneužiť.

    Preto pri organizovaní prístupu aj k vášmu cloudu musíte pamätať na bezpečnosť komunikačného kanála a koncových zariadení, ktoré zamestnanci používajú. Rovnako dôležité sú interné pravidlá upravujúce, ktorí zamestnanci majú prístup k údajom v cloude, alebo aká miera dôvernosti informácií môže byť uložená v cloude atď. Spoločnosť musí formulovať transparentné pravidlá:

    • aké služby budú fungovať z cloudu,
    • ktoré sú na miestnych zdrojoch,
    • aký druh informácií by mal byť umiestnený v oblakoch,
    • ktoré treba držať „doma“.

    Na základe článku: Čas na „tvrdé“ rozhodnutia: bezpečnosť v segmente Enterprise.

    Presne taký je výsledok prieskumu medzi viac ako 1000 vedúcimi IT oddelení veľkých a stredne veľkých európskych spoločností, ktorý si objednala spoločnosť Intel Corporation. Účelom prieskumu bolo identifikovať problém, ktorý najviac znepokojuje odborníkov z odvetvia. Odpoveď bola celkom očakávaná, viac ako polovica respondentov označila problém bezpečnosti siete za problém, ktorý si vyžaduje okamžité riešenie. Ďalšie výsledky prieskumu sú tiež celkom očakávané. Napríklad faktor bezpečnosti siete vedie medzi inými problémami v tejto oblasti informačných technológií; jeho význam vzrástol o 15 % v porovnaní so situáciou spred piatich rokov.
    Podľa výsledkov prieskumu trávia vysokokvalifikovaní IT špecialisti viac ako 30 % svojho času riešením bezpečnostných problémov. Situácia vo veľkých firmách (nad 500 zamestnancov) je ešte alarmujúcejšia – približne štvrtina opýtaných trávi polovicu času riešením týchto otázok.

    Rovnováha hrozieb a ochrany

    Bohužiaľ, otázka bezpečnosti siete je neoddeliteľne spojená so základnými technológiami používanými v moderných telekomunikáciách. Stalo sa tak, že pri vývoji rodiny IP protokolov bola uprednostnená spoľahlivosť siete ako celku. V čase objavenia sa týchto protokolov bola bezpečnosť siete zabezpečená úplne inými spôsobmi, ktoré boli jednoducho nereálne použiť v kontexte globálnej siete. Na krátkozrakosť vývojárov sa môžete hlasno sťažovať, no radikálne zmeniť situáciu je takmer nemožné. Teraz len sa musíte vedieť chrániť pred potenciálnymi hrozbami.
    Hlavným princípom v tejto zručnosti by malo byť rovnováhu medzi potenciálnymi hrozbami pre bezpečnosť siete a úrovňou požadovanej ochrany. Musí byť zabezpečená porovnateľnosť medzi nákladmi na bezpečnosť a nákladmi na možné škody z realizovaných hrozieb.
    Pre moderné veľké a stredné podniky sa informačné a telekomunikačné technológie stali základom podnikania. Preto sa ukázali ako najcitlivejšie na účinky hrozieb. Čím väčšia a zložitejšia je sieť, tým viac úsilia si vyžaduje jej ochrana. Navyše, náklady na vytváranie hrozieb sú rádovo nižšie ako náklady na ich neutralizáciu. Tento stav núti firmy dôkladne zvažovať dôsledky možných rizík z rôznych hrozieb a voliť vhodné spôsoby ochrany pred tými najnebezpečnejšími.
    V súčasnosti predstavujú najväčšie hrozby pre podnikovú infraštruktúru akcie súvisiace s neoprávneným prístupom k interným zdrojom a blokovaním normálnej prevádzky siete. Existuje celkom veľké číslo takéto hrozby, ale každá z nich je založená na kombinácii technických a ľudských faktorov. Napríklad penetrácia malvér do podnikovej siete môže dôjsť nielen z dôvodu zanedbania bezpečnostných pravidiel zo strany správcu siete, ale aj z prílišnej zvedavosti zamestnanca firmy, ktorý sa rozhodne využiť lákavý odkaz zo spamovej pošty. Preto by ste nemali dúfať, že aj tie najlepšie technické riešenia v oblasti bezpečnosti sa stanú všeliekom na všetky neduhy.

    Riešenia triedy UTM

    Bezpečnosť je vždy relatívny pojem. Ak je ho priveľa, potom je používanie samotného systému, ktorý sa chystáme chrániť, výrazne ťažšie. Preto sa rozumný kompromis stáva prvou voľbou pri zaistení bezpečnosti siete. Pre stredné podniky podľa ruských štandardov môžu takémuto výberu pomôcť triedne rozhodnutia UTM (Unified Threat Management alebo United Threat Management), sú umiestnené ako multifunkčné sieťové a informačné bezpečnostné zariadenia. Jadrom týchto riešení sú softvérové ​​a hardvérové ​​systémy, ktoré kombinujú funkcie rôzne zariadenia: firewall, systém detekcie a prevencie prienikov do siete (IPS), ako aj funkcie antivírusovej brány (AV). Často sú tieto komplexy poverené riešením dodatočných úloh, ako je smerovanie, prepínanie alebo podpora sietí VPN.
    Poskytovatelia riešení UTM často ponúkajú riešenia pre malé podniky. Možno je tento prístup čiastočne opodstatnený. Napriek tomu je pre malé podniky v našej krajine jednoduchšie a lacnejšie využívať službu zabezpečenia od svojho poskytovateľa internetu.
    Ako každé univerzálne riešenie, aj vybavenie UTM má svoje pre a proti. Prvý zahŕňa úsporu nákladov a času na implementáciu v porovnaní s organizovaním ochrany podobnej úrovne zo samostatných bezpečnostných zariadení. UTM je tiež vopred vyvážené a testované riešenie, ktoré dokáže jednoducho vyriešiť širokú škálu bezpečnostných problémov. Napokon, riešenia tejto triedy nie sú také náročné na úroveň kvalifikácie technického personálu. Ich nastavenie, správu a údržbu zvládne každý špecialista.
    Hlavnou nevýhodou UTM je fakt, že akákoľvek funkcionalita univerzálneho riešenia je často menej efektívna ako rovnaká funkcionalita špecializovaného riešenia. Práve preto pri vysokom výkone resp vysoký stupeň bezpečnostní špecialisti preferujú používanie riešení založených na integrácii jednotlivých produktov.
    Napriek tejto nevýhode sa však UTM riešenia stávajú žiadanými mnohými organizáciami, ktoré sa značne líšia rozsahom a typom činnosti. Podľa Rainbow Technologies boli takéto riešenia úspešne implementované napríklad na ochranu servera jedného z internetových obchodov s domácimi spotrebičmi, ktorý bol vystavený pravidelným DDoS útokom. Riešenie UTM tiež umožnilo výrazne znížiť objem spamu poštový systém jeden z automobilových holdingov. Okrem riešenia lokálnych problémov máme skúsenosti s budovaním bezpečnostných systémov založených na UTM riešeniach pre distribuovanú sieť pokrývajúcu centrálu pivovarníckej spoločnosti a jej pobočky.

    Výrobcovia UTM a ich produkty

    Ruský trh zariadení triedy UTM tvoria iba ponuky zahraničných výrobcov. Žiaľ, ani jeden z domácich výrobcov zatiaľ nedokázal ponúknuť vlastné riešenia v tejto triede zariadení. Výnimkou je softvérové ​​riešenie Eset NOD32 Firewall, ktoré podľa spoločnosti vytvorili ruskí vývojári.
    Ako už bolo uvedené, na ruskom trhu môžu byť UTM riešenia zaujímavé najmä pre stredne veľké spoločnosti, ktorých firemná sieť má do 100-150 pracovných miest. Pri výbere zariadenia UTM, ktoré bude prezentované v recenzii, bol hlavným kritériom výberu jeho výkon v rôznych prevádzkových režimoch, ktorý by mohol zabezpečiť pohodlný používateľský zážitok. Výrobcovia často špecifikujú výkonové špecifikácie pre režimy Firewall, IPS Intrusion Prevention a AV Virus Protection.

    Riešenie Kontrolný bod sa volá Hrana UTM-1 a je zjednoteným bezpečnostným zariadením, ktoré kombinuje firewall, systém prevencie narušenia, antivírusovú bránu, ako aj nástroje VPN a vzdialeného prístupu. Firewall obsiahnutý v riešení riadi prácu s veľkým množstvom aplikácií, protokolov a služieb a disponuje aj mechanizmom blokovania prevádzky, ktorý zjavne nezapadá do kategórie biznis aplikácií. Napríklad prenos okamžitých správ (IM) a peer-to-peer (P2P). Antivírusová brána umožňuje sledovať škodlivý kód v e-mailových správach, FTP a HTTP prevádzku. V tomto prípade neexistujú žiadne obmedzenia týkajúce sa veľkosti súborov a dekompresia archívnych súborov sa vykonáva „za behu“.
    Riešenie UTM-1 Edge má pokročilé možnosti pre prácu v sieťach VPN. Podporované je dynamické smerovanie OSPF a pripojenia klientov VPN. Model UTM-1 Edge W je k dispozícii so vstavaným WiFi hotspot Prístup IEEE 802.11b/g.
    Keď sú potrebné rozsiahle nasadenia, UTM-1 Edge sa hladko integruje s Check Point SMART, aby sa výrazne zjednodušila správa zabezpečenia.

    Spoločnosť Cisco už tradične venuje zvýšenú pozornosť otázkam bezpečnosti siete a ponúka široké spektrum potrebných zariadení. Na posúdenie sme sa rozhodli vybrať model Cisco ASA 5510, ktorá je zameraná na zaistenie bezpečnosti perimetra podnikovej siete. Toto zariadenie je súčasťou série ASA 5500, ktorá zahŕňa modulárne ochranné systémy triedy UTM. Tento prístup vám umožňuje prispôsobiť bezpečnostný systém zvláštnostiam fungovania siete konkrétneho podniku.
    Cisco ASA 5510 sa dodáva v štyroch hlavných súpravách – firewall, nástroje VPN, systém prevencie narušenia, ako aj antivírusové a antispamové nástroje. Súčasťou riešenia sú ďalšie komponenty, ako napríklad systém Security Manager na vytvorenie infraštruktúry riadenia pre rozsiahlu podnikovú sieť a systém Cisco MARS, určený na monitorovanie sieťového prostredia a reakciu na narušenia bezpečnosti v reálnom čase.

    slovenský Spoločnosť Eset dodáva softvérový balík Firewall Eset NOD32 Trieda UTM, ktorá zahŕňa okrem funkcií podnikového firewallu aj systém antivírusovej ochrany Eset NOD32, nástroje na filtrovanie pošty (antispamu) a webovej prevádzky, systémy detekcie a prevencie sieťových útokov IDS a IPS. Riešenie podporuje vytváranie sietí VPN. Tento komplex je postavený na serverovej platforme so systémom Linux. Softvérová časť vyvinuté zariadenia domáca spoločnosť Leta IT, kontrolovaný ruským zastúpením spoločnosti Eset.
    Toto riešenie vám umožňuje monitorovať sieťovú prevádzku v reálnom čase a podporuje filtrovanie obsahu podľa kategórií webových zdrojov. Poskytuje ochranu pred útokmi DDoS a blokuje pokusy o skenovanie portov. Riešenie Eset NOD32 Firewall zahŕňa podporu DNS servery, DHCP a riadenie zmeny šírky pásma. Prevádzka poštových protokolov SMTP a POP3 je riadená.
    Toto riešenie zahŕňa aj možnosť vytvárať distribuované podnikové siete pomocou pripojení VPN. Zároveň sú podporované rôzne režimy sieťovej agregácie, autentifikácie a šifrovacích algoritmov.

    Spoločnosť Fortinet ponúka celú rodinu zariadení FortiGate UTM trieda, umiestnenie svojich riešení tak, aby boli schopné poskytovať ochranu siete pri zachovaní vysokej úrovne výkonu, ako aj spoľahlivej a transparentnej prevádzky informačné systémy podnikov v reálnom čase. Na recenziu sme vybrali model FortiGate-224B, ktorý je zameraný na ochranu perimetra podnikovej siete so 150 - 200 používateľmi.
    Zariadenie FortiGate-224B obsahuje funkciu firewallu, servery VPN, filtrovanie návštevnosti webu, systémy prevencie narušenia, ako aj antivírusová a antispamová ochrana. Tento model má vstavaný prepínač LAN vrstvy 2 a rozhrania WAN, čím sa eliminuje potreba externých smerovacích a prepínacích zariadení. Na tento účel je podporované smerovanie pomocou protokolov RIP, OSPF a BGP, ako aj protokoly overovania používateľov pred poskytovaním sieťových služieb.

    Spoločnosť SonicWALL ponúka široký výber UTM zariadení, z ktorých túto recenziu dostal riešenie NSA 240. Toto zariadenie je juniorským modelom v rade, zameraným na použitie ako bezpečnostný systém pre podnikovú sieť stredných podnikov a pobočiek veľkých spoločností.
    Táto línia je založená na využití všetkých prostriedkov ochrany pred potenciálnymi hrozbami. Ide o firewall, systém ochrany pred narušením, antivírusové a antispywarové brány. softvér. K dispozícii je filtrovanie návštevnosti webu podľa 56 kategórií stránok.
    Ako jeden z vrcholov svojho riešenia SonicWALL uvádza technológiu hĺbkového skenovania a analýzy prichádzajúcej prevádzky. Aby sa predišlo zníženiu výkonu, táto technológia využíva paralelné spracovanie dát na viacprocesorovom jadre.
    Toto zariadenie podporuje VPN, má pokročilé možnosti smerovania a podporuje rôzne sieťové protokoly. Riešenie od SonicWALL je tiež schopné poskytnúť vysokú úroveň bezpečnosti pri obsluhe VoIP prevádzky pomocou protokolov SIP a H.323.

    Z produktovej rady Spoločnosť WatchGuard riešenie bolo vybrané na posúdenie Firebox X550e, ktorý je umiestnený ako systém s pokročilou funkcionalitou pre zaistenie bezpečnosti siete a je zameraný na použitie v sieťach malých a stredných podnikov.
    Riešenia triedy UTM tohto výrobcu sú založené na princípe ochrany pred zmiešanými sieťovými útokmi. Na dosiahnutie tohto cieľa zariadenie podporuje firewall, systém prevencie útokov, antivírusové a antispamové brány, filtrovanie webových zdrojov, ako aj antispywarový systém.
    Toto zariadenie využíva princíp spoločnej ochrany, podľa ktorého sieťová prevádzka kontrolovaná podľa určitého kritéria na jednej úrovni ochrany nebude kontrolovaná podľa rovnakého kritéria na inej úrovni. Tento prístup umožňuje vysoký výkon zariadenia.
    Za ďalšiu výhodu svojho riešenia výrobca označuje podporu technológie Zero Day, ktorá zaisťuje bezpečnostnú nezávislosť od prítomnosti podpisov. Táto funkcia je dôležitá, keď sa objavia nové typy hrozieb, ktorým ešte nebolo možné účinne čeliť. Zvyčajne „okno zraniteľnosti“ trvá niekoľko hodín až niekoľko dní. Pri použití technológie Zero Day sa výrazne zníži pravdepodobnosť negatívnych dôsledkov z okna zraniteľnosti.

    Spoločnosť ZyXEL ponúka svoje firewallové riešenie triedy UTM, zamerané na použitie v podnikových sieťach do 500 používateľov. Toto Riešenie ZyWALL 1050 navrhnutý na vybudovanie bezpečnostného systému siete vrátane úplnej ochrany pred vírusmi, prevencie narušenia a podpory virtuálnych privátnych sietí. Zariadenie má päť gigabitových ethernetových portov, ktoré je možné nakonfigurovať na použitie ako rozhrania WAN, LAN, DMZ a WLAN v závislosti od konfigurácie siete.
    Zariadenie podporuje prenos prevádzky VoIP aplikácií cez protokoly SIP a H.323 na úrovni firewallu a NAT, ako aj prenos paketovej telefónnej prevádzky v tuneloch VPN. Zároveň je zabezpečené fungovanie mechanizmov na predchádzanie útokom a hrozbám pre všetky typy prevádzky vrátane VoIP prevádzky, prevádzka antivírusového systému s plnou databázou podpisov, filtrovanie obsahu pre 60 kategórií webstránok a ochrana pred spamom.
    Riešenie ZyWALL 1050 podporuje viaceré topológie privátnej siete, režim koncentrátora VPN a agregáciu virtuálne siete do zón s jednotnou bezpečnostnou politikou.

    Hlavné charakteristiky UTM

    Odborný názor

    Dmitrij Kostrov, projektový riaditeľ Riaditeľstva technologickej ochrany Podnikového centra MTS OJSC

    Rozsah UTM riešení sa týka najmä spoločností zaradených medzi malé a stredné podniky. Samotný koncept Unified Threat Management (UTM), ako samostatnú triedu zariadení na ochranu sieťových zdrojov, predstavila medzinárodná agentúra IDC, podľa ktorej UTM riešenia sú multifunkčné softvérové ​​a hardvérové ​​systémy, ktoré kombinujú funkcie rôznych zariadení. Zvyčajne medzi ne patrí firewall, VPN, systémy detekcie a prevencie prienikov do siete, ako aj antivírusové a antispamové brány a funkcie filtrovania adries URL.
    Na dosiahnutie skutočne účinnej ochrany musí byť zariadenie viacúrovňové, aktívne a integrované. Zároveň mnohí výrobcovia zabezpečovacích zariadení už majú pomerne široký sortiment produktov súvisiacich s UTM. Dostatočná jednoduchosť nasadenia systému, ako aj systém all-in-one robí trh s týmito zariadeniami pomerne atraktívny. Celkové náklady na vlastníctvo a návratnosť investícií pri implementácii týchto zariadení sa zdajú byť veľmi atraktívne.
    Ale toto riešenie UTM je ako „švajčiarsky nôž“ – existuje nástroj pre každú situáciu, ale na prerazenie diery do steny potrebujete skutočnú vŕtačku. Existuje tiež možnosť, že vznik ochrany pred novými útokmi, aktualizácia podpisov atď. nebude taká rýchla, na rozdiel od podpory jednotlivých zariadení v „klasickej“ schéme ochrany podnikovej siete. Zostáva tiež problém jediného bodu zlyhania.

    V počiatočnom štádiu vývoja sieťových technológií boli škody spôsobené vírusmi a inými typmi počítačových útokov malé, pretože závislosť svetovej ekonomiky od informačných technológií bola malá. V súčasnosti, v kontexte značnej závislosti podnikania od elektronických prostriedkov prístupu a výmeny informácií a neustále rastúceho počtu útokov, sa škody spôsobené najmenšími útokmi vedúcimi k strate počítačového času odhadujú na milióny dolárov a celková ročné škody na svetovej ekonomike dosahujú desiatky miliárd dolárov.

    Informácie spracovávané v podnikových sieťach sú obzvlášť zraniteľné, čo uľahčuje:

    • zvýšenie objemu informácií spracovávaných, prenášaných a uchovávaných v počítačoch;
    • koncentrácia informácií rôznej úrovne dôležitosti a dôvernosti v databázach;
    • rozšírenie prístupu okruhu používateľov k informáciám uloženým v databázach ak zdrojom počítačovej siete;
    • zvýšenie počtu vzdialených úloh;
    • rozsiahle používanie globálneho internetu a rôznych komunikačných kanálov;
    • automatizácia výmeny informácií medzi používateľskými počítačmi.

    Analýza najbežnejších hrozieb, ktorým sú vystavené moderné káblové podnikové siete, ukazuje, že zdroje hrozieb sa môžu líšiť od neoprávnených prienikov útočníkov až po počítačové vírusy, pričom veľmi významnou bezpečnostnou hrozbou je ľudská chyba. Je potrebné vziať do úvahy, že zdroje bezpečnostných hrozieb môžu byť umiestnené tak vo vnútri SNŠ - vnútorné zdroje, ako aj mimo neho - externých zdrojov. Toto rozdelenie je úplne opodstatnené, pretože pre rovnakú hrozbu (napríklad krádež) sú protiopatrenia pre vonkajšie a vnútorné zdroje odlišné. Poznatky o možných hrozbách, ako aj o zraniteľnostiach CIS je potrebné selektovať najviac účinnými prostriedkami zabezpečenie bezpečnosti.

    Najčastejšími a najnebezpečnejšími (z hľadiska výšky škôd) sú neúmyselné chyby používateľov, operátorov a správcov systémov obsluhujúcich CIS. Niekedy takéto chyby vedú k priamemu poškodeniu (nesprávne zadané údaje, chyba v programe, ktorá spôsobila zastavenie alebo kolaps systému) a niekedy vytvárajú slabiny, ktoré môžu útočníci zneužiť (zvyčajne ide o administratívne chyby).

    Podľa amerického Národného inštitútu pre štandardy a technológie (NIST) je 55 % porušení bezpečnosti IP výsledkom neúmyselných chýb. Práca v globálnom informačnom systéme robí tento faktor dosť relevantným a zdrojom škody môžu byť činy používateľov organizácie aj používateľov globálnej siete, čo je obzvlášť nebezpečné. Na obr. Obrázok 2.4 zobrazuje koláčový graf znázorňujúci štatistické údaje o zdrojoch narušenia bezpečnosti v CIS.

    Krádeže a falšovanie sú z hľadiska škôd na druhom mieste. Vo väčšine vyšetrovaných prípadov sa ukázalo, že páchateľmi boli zamestnanci organizácií na plný úväzok, ktorí dobre poznali rozvrh práce a ochranné opatrenia. Prítomnosť výkonného informačného kanála komunikácie s globálnymi sieťami pri absencii riadnej kontroly nad jeho prevádzkou môže takéto aktivity ďalej uľahčiť.

    Nečestné

    Útoky zvonku

    Urazený

    Používateľské a personálne chyby

    4 % vírusov

    Ryža. 2.4. Zdroje narušenia bezpečnosti

    zamestnancov

    Problémy

    fyzické

    bezpečnosť

    Urazení zamestnanci, aj bývalí, poznajú postupy v organizácii a dokážu veľmi efektívne spôsobiť škodu. Preto pri prepustení zamestnanca musia byť jeho prístupové práva k informačným zdrojom odobraté.

    Úmyselné pokusy o získanie neoprávneného prístupu prostredníctvom externej komunikácie predstavujú približne 10 % všetkých možných porušení. Hoci sa toto číslo nemusí zdať významné, skúsenosti s internetom ukazujú, že takmer každý internetový server je niekoľkokrát denne vystavený pokusom o prienik. Testy Agentúry na ochranu informačných systémov (USA) ukázali, že 88 % počítačov má slabé stránky z hľadiska informačnej bezpečnosti, ktoré možno aktívne využiť na získanie neoprávneného prístupu. Samostatne by sa mali zvážiť prípady vzdialeného prístupu k informačným štruktúram organizácie.

    Pred budovaním bezpečnostnej politiky je potrebné posúdiť riziká, ktorým je vystavené počítačové prostredie organizácie a prijať vhodné opatrenia. Je zrejmé, že náklady organizácie na monitorovanie a prevenciu bezpečnostných hrozieb by nemali presiahnuť očakávané straty.

    Poskytnuté štatistiky môžu povedať administratíve a personálu organizácie, kam by sa malo zamerať úsilie na efektívne zníženie bezpečnostných hrozieb pre podnikovú sieť a systém. Samozrejme, je potrebné riešiť otázky fyzickej bezpečnosti a opatrenia na zníženie negatívneho dopadu na bezpečnosť ľudských chýb, no zároveň je potrebné venovať najvážnejšiu pozornosť riešeniu problémov bezpečnosti siete, aby sa predišlo útokom na podnikové siete a systému zvonku aj zvnútra systému.

    Dnes sme sa v našom blogu rozhodli dotknúť bezpečnostných aspektov podnikových sietí. A Michail Lyubimov, technický riaditeľ LWCOM, nám s tým pomôže.

    Prečo je táto téma bezpečnosti siete v modernom svete mimoriadne dôležitá?

    Vzhľadom na takmer univerzálnu dostupnosť širokopásmového internetu sa väčšina akcií na zariadeniach vykonáva cez sieť, takže pre 99 % moderných hrozieb je sieť prenosom, prostredníctvom ktorého je hrozba doručená od zdroja k cieľu. Šírenie škodlivého kódu je samozrejme možné pomocou vymeniteľné médiá, Ale túto metódu sa v súčasnosti používa čoraz menej a väčšina spoločností sa už dávno naučila takéto hrozby riešiť.

    Čo je dátová sieť?

    Nakreslíme si najprv architektúru klasickej firemnej dátovej siete v zjednodušenej a zrozumiteľnej forme.

    Sieť na prenos údajov začína prepínačom prístupovej vrstvy. K tomuto prepínaču sú priamo pripojené pracoviská: počítače, notebooky, tlačiarne, multifunkčné a rôzne iné zariadenia, napr. bezdrôtové body prístup. V súlade s tým môžete mať veľa zariadení, ktoré sa môžu pripojiť k sieti na úplne iných miestach (poschodia alebo dokonca samostatné budovy).

    Typicky je firemná dátová sieť vybudovaná pomocou „hviezdnej“ topológie, takže vzájomnú interakciu všetkých segmentov bude zabezpečovať vybavenie na úrovni jadra siete. Napríklad je možné použiť rovnaký prepínač, len zvyčajne vo výkonnejšej a funkčnejšej verzii v porovnaní s tými, ktoré sa používajú na úrovni prístupu.

    Servery a úložné systémy sú zvyčajne konsolidované na jednom mieste a z pohľadu dátových sietí môžu byť napojené buď priamo na jadro zariadenia, alebo môžu mať na tieto účely vyhradený určitý segment prístupových zariadení.

    Ďalej tu máme vybavenie na prepojenie s externými dátovými sieťami (napríklad Internet). Na tieto účely spoločnosti zvyčajne používajú také zariadenia, ako sú smerovače, brány firewall a rôzne druhy proxy serverov. Používajú sa tiež na organizáciu komunikácie s distribuovanými kanceláriami spoločnosti a na pripojenie vzdialených zamestnancov.

    Toto je architektúra lokálnej siete, ktorá je ľahko pochopiteľná a spoločná pre modernú realitu.

    Aká klasifikácia hrozieb dnes existuje?

    Definujme si hlavné ciele a vektory útokov v rámci sieťovej komunikácie.

    Najčastejším a najjednoduchším cieľom útoku je používateľské zariadenie. Škodlivý softvér možno týmto smerom jednoducho distribuovať prostredníctvom obsahu na webových zdrojoch alebo prostredníctvom e-mailu.

    V budúcnosti môže útočník po získaní prístupu k pracovnej stanici používateľa ukradnúť dôverné údaje alebo vyvinúť útok proti iným používateľom alebo iným zariadeniam v podnikovej sieti.

    Ďalším možným cieľom útoku sú samozrejme servery. Jedným z najznámejších typov útokov na publikované zdroje sú DoS a DDoS útoky, ktoré slúžia na narušenie stabilnej prevádzky zdrojov alebo ich úplné zlyhanie.

    Útoky môžu smerovať aj z externých sietí na konkrétne publikované aplikácie, napríklad webové zdroje, servery DNS, email. Útoky môžu smerovať aj zo siete – z počítača infikovaného používateľa alebo od útočníka pripojeného k sieti na aplikácie, ako sú zdieľania súborov alebo databázy.



    Existuje aj kategória selektívnych útokov a jedným z najnebezpečnejších je útok na samotnú sieť, teda na prístup k nej. Útočník, ktorý získal prístup k sieti, môže spustiť nasledujúci útok prakticky na akékoľvek zariadenie, ktoré je k nej pripojené, ako aj tajne získať prístup k akýmkoľvek informáciám. Najdôležitejšie je, že úspešný útok tohto druhu je dosť ťažké odhaliť a nedá sa liečiť štandardné prostriedky. To v skutočnosti máte Nový užívateľ alebo v horšom prípade administrátor, o ktorom nič neviete.

    Ďalším cieľom útočníka môžu byť komunikačné kanály. Malo by byť zrejmé, že úspešný útok na komunikačné kanály vám umožňuje nielen čítať informácie prenášané cez ne, ale je vo svojich dôsledkoch identický s útokom na sieť, keď útočník môže získať prístup ku všetkým zdrojom lokálnej počítačovej siete.

    Ako zorganizovať kompetentnú a spoľahlivú ochranu prenosu údajov?

    Na úvod vám môžeme predstaviť globálne postupy a odporúčania pre organizáciu ochrany podnikovej dátovej siete, konkrétne sadu nástrojov, ktoré vám umožnia vyhnúť sa väčšine existujúcich hrozieb s minimálnym úsilím, takzvaným bezpečným minimom.

    V tejto súvislosti je potrebné zaviesť pojem „obvod zabezpečenia siete“, pretože Čím bližšie máte kontrolu k možnému zdroju hrozby, tým viac znížite počet metód útoku dostupných pre útočníka. V tomto prípade musí existovať obvod pre vonkajšie aj vnútorné pripojenia.

    V prvom rade odporúčame zabezpečiť rozhranie s verejnými sieťami, pretože práve z nich pochádza najväčšie množstvo hrozieb. V súčasnosti existuje množstvo špecializovaných nástrojov na zabezpečenie siete navrhnutých špeciálne na bezpečnú organizáciu pripojení na internet.

    Na ich označenie sa bežne používajú pojmy ako NGFW (firewall novej generácie) a UTM (Unified Threat Management). Tieto zariadenia nielen kombinujú funkčnosť klasického routera, firewallu a proxy servera, ale aj poskytujú doplnkové služby zabezpečenie, ako napríklad: filtrovanie URL a obsahu, antivírus, atď. Zároveň zariadenia často využívajú cloudové systémy na skenovanie obsahu, čo vám umožňuje rýchlo a efektívne kontrolovať všetky prenášané dáta, či neobsahujú hrozby. Hlavná je ale možnosť spätného reportovania o identifikovaných hrozbách, teda identifikovať hrozby v prípadoch, keď infikovaný obsah už bol prenesený k používateľovi, no výrobca dostal informáciu o škodlivosti tohto softvéru neskôr.

    Veci ako kontrola návštevnosti HTTPS a automatická analýza aplikácií vám umožňujú kontrolovať nielen prístup na konkrétne stránky, ale aj povoliť/zakázať prevádzku aplikácií, ako sú: Skype, Team Viewer a mnoho ďalších, a ako viete, väčšina z nich HTTP a HTTPS protokoly a štandardné sieťové nástroje jednoducho nedokážu ovládať svoju činnosť.

    Okrem toho v rámci jediné zariadenie môžete tiež získať systém prevencie narušenia, ktorý je zodpovedný za zastavenie útokov zameraných na publikované zdroje. Dodatočne si môžete zaobstarať aj VPN server pre bezpečnú vzdialenú prácu zamestnancov a prepájanie pobočiek, antispam, systém kontroly botnetov, sandbox a pod. To všetko robí z takéhoto zariadenia skutočne jednotný bezpečnostný nástroj siete.

    Ak vaša spoločnosť takéto riešenia ešte nevyužíva, potom vrelo odporúčame začať s ich využívaním práve teraz, pretože čas na ich efektivitu už nadišiel a môžeme s istotou povedať, že takéto zariadenia preukázali svoju skutočnú schopnosť bojovať veľké množstvo hrozieb, ktoré pred 5 rokmi neexistovali. V tom čase také veci práve vstúpili na trh, mali veľa problémov a boli dosť drahé a málo výkonné.

    Ako si vybrať firewall novej generácie?

    Teraz je na trhu obrovské množstvo sieťových zariadení s deklarovanou podobnou funkcionalitou, no skutočne účinnú ochranu dokáže poskytnúť len máloktoré. Vysvetľuje sa to tým, že len obmedzený počet výrobcov má financie a reálne ich investuje do nonstop vývoja aktuálnych hrozieb, t.j. neustále aktualizovať databázy potenciálne nebezpečných zdrojov, poskytovať nepretržitú podporu riešeniam atď.

    Mnoho partnerov sa vám bude snažiť predať riešenia, ktorých predaj je pre nich výhodný, takže cena riešenia nie vždy zodpovedá jeho skutočnej schopnosti čeliť hrozbám. Osobne odporúčam pri výbere zariadenia použiť materiály z nezávislých analytických centier, napríklad správy NSS Labs. Podľa mňa sú presnejšie a nezaujatejšie.

    Okrem hrozieb zvonku môžu byť vaše zdroje napadnuté aj zvnútra. Takzvané “bezpečné minimum”, ktoré by malo byť použité vo vašej lokálnej sieti je jej segmentácia do VLAN, t.j. virtuálne privátne siete. Okrem segmentácie je medzi nimi povinné uplatňovať prístupové politiky, aspoň pomocou prostriedkov štandardného zoznamu prístupov (ACL), pretože jednoducho mať VLAN v boji proti moderným hrozbám prakticky nič nedáva.

    Ako samostatné odporúčanie načrtnem vhodnosť použitia riadenia prístupu priamo z portu zariadenia. Je však potrebné pamätať na perimeter siete, t.j. Čím bližšie k chráneným službám použijete zásady, tým lepšie. V ideálnom prípade by takéto politiky mali byť implementované na prístupových prepínačoch. V takýchto prípadoch sa odporúča použiť 4 ako najmenšiu bezpečnostnú politiku jednoduché pravidlá:

    • ponechajte všetky nepoužívané porty prepínača administratívne deaktivované;
    • nepoužívajte 1. VLAN;
    • používať hárky filtrovania MAC na prístupových prepínačoch;
    • použite kontrolu protokolu ARP.
    Vynikajúcim riešením by bolo použitie rovnakých firewallov so systémami prevencie vniknutia pozdĺž cesty prenosu dát a tiež architektonicky využitie demilitarizovaných zón. Autentizáciu pripojeného zariadenia je najlepšie implementovať pomocou protokolu 802.1x, s využitím rôznych AAA systémov (autentifikačné, autorizačné a účtovné systémy) pre centralizované riadenie prístupu do siete. Typicky sa tieto riešenia označujú spoločným pojmom medzi výrobcami NAC (Network Access Control). Príkladom takéhoto komerčného systému je Cisco ISE.



    Útočníci môžu tiež zaútočiť na kanály. Na ochranu kanálov by sa malo použiť silné šifrovanie. Veľa ľudí to zanedbáva a potom dopláca na následky. Nechránené kanály nie sú len informáciami dostupnými pre krádež, ale aj možnosťou napadnutia takmer každého podnikových zdrojov. Naši zákazníci mali vo svojej praxi značný počet precedensov, keď sa útoky vykonávali na firemnú telefóniu organizovaním komunikácie cez nezabezpečené kanály prenosu dát medzi centrálou a vzdialenou pobočkou (napríklad jednoducho pomocou GRE tunelov). Spoločnosti dostali šialené účty!

    Čo nám môžete povedať o bezdrôtových sieťach a BYOD?

    Téma práce na diaľku, bezdrôtové siete a používanie vlastných zariadení by som rád zdôraznil samostatne. Podľa mojich skúseností sú tieto tri veci jednou z najväčších potenciálnych bezpečnostných dier vo vašej spoločnosti. No zároveň sú jednou z najväčších konkurenčných výhod.

    Pre stručné priblíženie problematiky odporúčam buď úplne zakázať používanie bezdrôtových sietí, prácu na diaľku, či prácu cez vlastné mobilné zariadenia, citovať firemné pravidlá, alebo tieto služby poskytovať z bezpečnostného hľadiska čo najdôkladnejšie, najmä preto, že moderné riešenia poskytujú príležitosť urobiť to in v tom najlepšom.

    Pokiaľ ide o prácu na diaľku, môžu vám pomôcť rovnaké brány firewall novej generácie alebo zariadenia UTM. Naša prax ukazuje, že existuje množstvo stabilných riešení (vrátane Cisco, Checkpoint, Fortinet, Citrix), ktoré vám umožňujú pracovať s rôznymi klientskymi zariadeniami a zároveň poskytujú najvyššie štandardy na identifikáciu vzdialeného zamestnanca. Ide napríklad o používanie certifikátov, dvojfaktorovú autentifikáciu, jednorazové heslá doručené prostredníctvom SMS alebo vygenerované pomocou špeciálneho kľúča. Môžete tiež sledovať softvér nainštalovaný na počítači, z ktorého sa pokúša o prístup, napríklad kvôli inštalácii príslušných aktualizácií alebo spustených antivírusoch.

    Bezpečnosť Wi-Fi je téma, ktorá si zaslúži vlastný článok. V tomto príspevku sa pokúsim poskytnúť najdôležitejšie odporúčania. Ak budujete firemné Wi-Fi, určite zvážte všetky možné bezpečnostné aspekty s tým spojené.

    Mimochodom, Wi-Fi je úplne samostatný zdroj príjmov našej spoločnosti. Zaoberáme sa nimi profesionálne: projekty vybavenia nákupných centier a obchodných centier, biznis centier, skladov bezdrôtovým zariadením vrátane využitia moderných riešení ako je polohovanie prebiehajú v nonstop režime. A podľa výsledkov našich rozhlasových prieskumov v každej druhej kancelárii a sklade nájdeme aspoň jeden domáce Wi-Fi router, ktorý samotní zamestnanci pripojili k sieti. Zvyčajne to robia pre svoje pohodlie pri práci, napríklad ísť do fajčiarskej miestnosti s notebookom alebo sa voľne pohybovať v miestnosti. Je zrejmé, že na takéto smerovače neboli aplikované žiadne firemné bezpečnostné pravidlá a heslá boli distribuované známym kolegom, potom kolegom kolegov, potom hosťom, ktorí prišli na kávu, a v dôsledku toho mal takmer každý prístup do firemnej siete , pričom to bolo úplne nekontrolované.

    Samozrejme, stojí za to chrániť sieť pred pripojením takéhoto zariadenia. Hlavné spôsoby, ako to urobiť, môžu byť: použitie autorizácie na portoch, filtrovanie podľa MAC atď. Z hľadiska Wi-Fi by sa mali pre sieť opäť používať silné kryptografické algoritmy a podnikové autentifikačné metódy. Mali by ste však pochopiť, že nie všetky metódy podnikovej autentifikácie sú rovnako užitočné. Napríklad zariadenia so systémom Android v niektorých verziách softvéru môžu štandardne ignorovať verejný certifikát siete Wi-Fi, čím umožňujú útoky Evil twin. Ak sa použije metóda autentifikácie, ako napríklad EAP GTC, potom sa kľúč prenáša v čistom texte a môže byť pri tomto útoku úplne zachytený. V podnikových sieťach odporúčame používať iba autentifikáciu certifikátom, t.j. Toto sú metódy TLS, ale majte na pamäti, že výrazne zvyšuje zaťaženie správcov siete.

    Existuje ďalší spôsob: ak je vzdialená práca implementovaná v podnikovej sieti, môžete sa pripojiť cez Wi-Fi sieť zariadenia sú nútené používať aj klienta VPN. To znamená, že prideľte segment siete Wi-Fi pôvodne nedôveryhodnej oblasti a nakoniec získate dobrú pracovnú možnosť s minimalizáciou nákladov na správu siete.

    Výrobcovia podnikových Wi-Fi riešení, ako sú Cisco, Ruckus, čo je teraz Brocade, Aruba, čo je teraz HPE, okrem toho štandardné riešenia pre organizovanie Wi-Fi poskytujú celý rad služieb pre automatické monitorovanie bezpečnosti bezdrôtového prostredia. To znamená, že veci ako WIPS (Wireless Intrusion Prevention System) im celkom dobre fungujú. Títo výrobcovia implementovali bezdrôtové senzory, ktoré dokážu monitorovať celé spektrum frekvencií, čím umožňujú monitorovanie v automatický režim dosť vážne hrozby.

    Teraz sa dotknime tém ako BYOD (Bring your own device) a MDM (Mobile device management). Potenciálnym zdrojom problémov je samozrejme každé mobilné zariadenie, ktoré uchováva firemné dáta alebo má prístup do firemnej siete. Téma bezpečnosti pre takéto zariadenia sa týka nielen bezpečného prístupu do firemnej siete, ale aj centralizovanej správy politík pre mobilné zariadenia: smartfóny, tablety, notebooky používané mimo organizácie. Táto téma je aktuálna už veľmi dlho, no až teraz sa na trhu objavili skutočne fungujúce riešenia, ktoré umožňujú spravovať pestrú flotilu mobilných zariadení.

    Žiaľ, v tomto príspevku o nich nebude možné hovoriť, no vedzte, že riešenia existujú a v poslednom roku zažívame boom v implementácii MDM riešení od Microsoftu a MobileIron.

    Hovorili ste o „minimálnej bezpečnosti“, čo je potom „maximálna bezpečnosť“?

    Svojho času bol na internete populárny obrázok: odporúčal nainštalovať firewally od známych výrobcov jeden po druhom na ochranu siete. V žiadnom prípade vás nenabádame, aby ste urobili to isté, ale predsa len je tu kus pravdy. Bude mimoriadne užitočné mať sieťové zariadenie s analýzou vírusových podpisov napríklad od SOFOS a na pracoviskách už nainštalovať antivírus od Kaspersky Lab. Dostávame tak dva systémy ochrany pred škodlivým kódom, ktoré sa navzájom nerušia.

    Existuje množstvo špecializovaných nástrojov informačnej bezpečnosti:

    DLP. Trh ponúka špecializované nástroje informačnej bezpečnosti, teda vyvinuté a zamerané na riešenie konkrétnej hrozby. V súčasnosti sú populárne systémy DLP (Data Loss Prevention) alebo systémy prevencie úniku dát. Pracujú ako na úrovni siete, integrujú sa do prostredia prenosu dát, tak priamo na aplikačných serveroch, pracovných staniciach a mobilných zariadeniach.

    Trochu sa vzďaľujeme od sieťovej témy, ale hrozba úniku dát bude vždy existovať. Tieto riešenia sa stávajú relevantnými najmä pre spoločnosti, kde strata dát so sebou nesie obchodné riziká a dôsledky spojené s reputáciou. Len pred 5 rokmi bola implementácia systémov DLP trochu ťažká z dôvodu ich zložitosti a potreby vykonať proces vývoja pre každý konkrétny prípad. Preto kvôli ich nákladom mnohé spoločnosti od týchto riešení upustili alebo napísali svoje vlastné. V súčasnosti sú trhové systémy dostatočne vyspelé, takže všetky potrebné bezpečnostné funkcie je možné získať priamo z krabice.

    Na ruskom trhu sú komerčné systémy zastúpené najmä výrobcom Infowatch (nižšie je obrázok od tohto výrobcu, ako prezentujú svoje riešenie vo veľkej spoločnosti) a pomerne známy MacAfee.

    WAF. Vzhľadom na rozvoj služieb internetového obchodu, a to je internetové bankovníctvo, elektronické peniaze, elektronický obchod, poisťovacie služby atď., špecializované nástroje na ochranu webových zdrojov sú v poslednej dobe žiadané. Konkrétne WAF – Web Application Firewall.

    Toto zariadenie vám umožňuje odraziť útoky zamerané na zraniteľné miesta samotnej stránky. Okrem selektívnych DoS útokov, keď je stránka zahltená legitímnymi požiadavkami, to môžu byť útoky SQL injection, Cross site skriptovanie atď. Predtým takéto zariadenia nakupovali najmä banky, ale neboli žiadané zo strany iných zákazníkov a stáli veľa peňazí. Napríklad náklady na fungujúce riešenie začínali na 100 000 dolároch. Teraz trh ponúka veľké množstvo riešení od známych výrobcov (Fortinet, Citrix, Positive Technologies), od ktorých môžete získať fungujúce riešenie na ochranu vašich webových stránok za celkom rozumné peniaze (3-5 krát menej ako predtým uvedená suma ).

    Audit. Organizácie, najmä tie, ktoré obhajujú svoju vlastnú bezpečnosť, implementujú nástroje automatického auditu. Tieto riešenia sú drahé, ale umožňujú preniesť množstvo správcovských funkcií do oblasti automatizácie, ktorá je pre veľké podniky mimoriadne žiadaná. Takéto riešenia neustále skenujú sieť a kontrolujú všetky nainštalované operačné systémy a aplikácie pre známe bezpečnostné diery, včasnosť aktualizácií a súlad s firemnými politikami. Asi najznámejším riešením v tejto oblasti nielen v Rusku, ale na celom svete sú produkty od Positive Technologies.

    SIEM. Podobne ako pri riešeniach SIEM. Ide o systémy určené na zisťovanie núdzových situácií, ktoré sa špecificky týkajú udalostí súvisiacich s bezpečnosťou. Dokonca aj štandardná sada niekoľkých brán firewall, desiatok aplikačných serverov a tisícok desktopov môže generovať desaťtisíce upozornení denne. Ak máte veľkú spoločnosť a máte desiatky okrajových zariadení, pochopte údaje, ktoré od nich dostanete manuálny mód Stáva sa to jednoducho nemožné. Automatizácia kontroly zozbieraných protokolov súčasne zo všetkých zariadení umožňuje správcom a pracovníkom informačnej bezpečnosti okamžite konať. SIEM riešenia od Arcsight (súčasť produktov HPE) a Q-RADAR (súčasť produktov IBM) sú na trhu pomerne známe.

    A nakoniec: čo môžete poradiť tým, ktorí sa vážne zaoberajú organizáciou ochrany svojich IT zdrojov?

    Samozrejme, pri organizovaní IT bezpečnosti pre podnik netreba zabúdať na administratívne predpisy. Používatelia a správcovia by si mali uvedomiť, že nájdené flash disky nemožno použiť v počítači, rovnako ako nemôžu sledovať pochybné odkazy v e-mailoch alebo otvárať pochybné prílohy. Je veľmi dôležité povedať a vysvetliť, ktoré odkazy a prílohy nie sú overené. V skutočnosti nie každý chápe, že nie je potrebné ukladať heslá na nálepky nalepené na monitore alebo telefóne, že sa musíte naučiť čítať upozornenia, ktoré aplikácie píšu používateľovi atď. Mali by ste používateľom vysvetliť, čo je bezpečnostný certifikát a čo znamenajú správy s ním spojené. Vo všeobecnosti je potrebné brať do úvahy nielen technickú stránku problematiky, ale aj vštepovať zamestnancom kultúru využívania firemných IT zdrojov.
    Dúfam, že tento skvelý príspevok bol pre vás zaujímavý a užitočný.