Как да защитите вашата корпоративна мрежа. Анализ на заплахите за мрежовата сигурност. Какво е мрежа за данни

В опит да гарантират жизнеспособността на една компания, услугите за сигурност се фокусират върху защитата на мрежовия периметър - услуги, достъпни от Интернет. Образът на мрачен нападател, който е готов да атакува публикуваните услуги на компанията от всяка точка на света, сериозно плаши собствениците на бизнес. Но колко справедливо е това, като се има предвид, че най-ценната информация в никакъв случай не се намира в периметъра на организацията, а в дълбините на нейната корпоративни мрежи? Как да оценим пропорционалността на защитата на инфраструктурата от външни и вътрешни атаки?

„Корабът в пристанището е безопасен, но корабите не са построени за тази цел“

Да се ​​чувстваш в безопасност е измамно

В условията на тотална информатизация и глобализация бизнесът поставя нови изисквания към корпоративните мрежи, гъвкавостта и независимостта на корпоративните ресурси по отношение на крайните им потребители: служители и партньори излизат на преден план. Поради тази причина днешните корпоративни мрежи са много далеч от традиционната представа за изолация (въпреки факта, че първоначално са били характеризирани като такива).

Представете си офис: стените предпазват от външен свят, преградите и стените разделят общата площ на по-малки специализирани зони: кухня, библиотека, сервизни помещения, работни места и др. Преходът от зона към зона се извършва на определени места - във вратите и, ако е необходимо, се контролира там допълнителни средства: видеокамери, системи за контрол на достъпа, усмихната охрана... Влизайки в такова помещение, ние се чувстваме сигурни, има чувство на доверие, добронамереност. Струва си обаче да се признае, че това чувство е само психологически ефект, основан на „театъра на сигурността“, когато целта на предприетите мерки е да се повиши сигурността, но всъщност се формира само мнение за неговото присъствие. В крайна сметка, ако нападателят наистина иска да направи нещо, тогава престоят в офиса няма да се превърне в непреодолима трудност и може би дори обратното, ще има допълнителни възможности.

Същото се случва и в корпоративните мрежи. В условия, когато има възможност да бъдете вътре в корпоративната мрежа, класическите подходи за сигурност са недостатъчни. Факт е, че методите за защита са изградени на базата на модел на вътрешна заплаха и са насочени към противодействие на служители, които могат случайно или умишлено, но без подходяща квалификация, да нарушат политиката за сигурност. Но какво ще стане, ако вътре е опитен хакер? Цената за преодоляване на мрежовия периметър на една организация в подземния пазар има почти фиксирана цена за всяка организация и не надвишава средно $500. Например черният пазар на Dell за хакерски услуги от април 2016 г. показва следната ценова листа:

В резултат на това можете да си купите корпоративен хак пощенска кутия, акаунтът от който най-вероятно е подходящ за всички други корпоративни услуги на компанията поради широко разпространения принцип на Single Sign-on авторизация. Или закупете непроследими за антивируси полиморфни вирусии използване на фишинг за заразяване на невнимателни потребители, като по този начин поема контрола върху компютър в корпоративната мрежа. За добре защитени мрежови периметри се използват недостатъците на човешкото съзнание, например чрез закупуване на нови документи за самоличност и получаване на данни за работата и личния живот на служител на организация чрез заповед за кибершпионаж, може да се използва социално инженерство и да се получи поверителна информация.

Нашият опит с тестовете за проникване показва, че външният периметър се преодолява в 83% от случаите, а в 54% не изисква висококвалифицирано обучение. В същото време, според статистиката, приблизително всеки пети служител на компанията е готов съзнателно да продаде пълномощията си, включително тези от отдалечен достъп, като по този начин значително опростява преодоляването на периметъра на мрежата. При такива условия вътрешните и външните нарушители стават неразличими, което създава ново предизвикателство за сигурността на корпоративните мрежи.

Вземете критични данни и не защитавайте

В корпоративната мрежа достъпът до всички системи е контролиран и достъпен само за вече автентифицирани потребители. Но точно тази проверка се оказва обичайният „театър на сигурността“, споменат по-рано, тъй като реалното състояние на нещата изглежда много мрачно и това се потвърждава от статистиката за уязвимостите на корпоративните информационни системи. Ето някои от основните недостатъци на корпоративните мрежи.

  • Речникови пароли

Колкото и да е странно, използването на слаби пароли е характерно не само за обикновения персонал на компанията, но и за самите ИТ администратори. Така например често в услугите и оборудването има пароли, зададени от производителя по подразбиране, или една и съща елементарна комбинация се използва за всички устройства. Например, една от най-популярните комбинации - Сметкаадминистратор с администраторска паролаили парола. Също така популярни са кратките пароли, състоящи се от малки латински букви и прости цифрови пароли, като 123456. По този начин можете бързо да промените парола, да намерите правилната комбинация и да получите достъп до корпоративни ресурси.

  • Съхранение на критична информация в мрежата в ясен текст

Нека си представим ситуация: нападател получи достъп до вътрешната мрежа, може да има два сценария за развитие на събитията. В първия случай информацията се съхранява в чист вид и компанията веднага носи сериозни рискове. В друг случай данните в мрежата са криптирани, ключът се съхранява на друго място - и компанията има шанс и време да устои на нападателя и да спаси важни документи от кражба.

Всеки път, когато се пусне актуализация, едновременно с това се пуска бяла книга, в която се описват какви грешки и грешки са коригирани в нова версия. Ако бъде открит проблем, свързан със сигурността, атакуващите започват активно да проучват тази тема, да откриват свързани грешки и да разработват хакерски инструменти въз основа на това.

До 50% от компаниите или не актуализират своя софтуер, или го правят твърде късно. В началото на 2016 г. Кралската болница в Мелбърн страда от факта, че нейните компютри работят под Windows контрол xp. Първоначално удряйки компютъра на отделението по патология, вирусът бързо се разпространява в мрежата, блокирайки автоматизираната работа на цялата болница за известно време.

  • Използване на собствено разработени бизнес приложения без контрол за сигурност

Основната задача на собственото ни развитие е функционалното представяне. Такива приложения имат нисък праг на сигурност и често се пускат в условия на недостиг на ресурси и подходяща поддръжка от производителя. Продуктът действително работи, изпълнява задачи, но в същото време е много лесно да го хакнете и да получите достъп до необходимите данни.

  • Липса на ефективна антивирусна защита и други средства за защита

Смята се, че това, което е скрито от външните очи, е защитено, тоест вътрешната мрежа е, така да се каже, безопасна. Охранителите следят внимателно външния периметър и ако той е толкова добре охраняван, тогава вътрешният хакер също няма да влезе в него. И всъщност в 88% от случаите компаниите не прилагат процеси за откриване на уязвимости, няма системи за предотвратяване на проникване и централизирано съхранение на събитията за сигурност. Взети заедно, това не гарантира ефективно сигурността на корпоративната мрежа.

В същото време информацията, съхранявана в рамките на корпоративната мрежа, е от голямо значение за работата на предприятието: клиентски бази в CRM системи и фактуриране, критични бизнес показатели в ERP, бизнес комуникация в пощата, документооборот, съдържащ се в портали и файлови ресурси и др. П.

Границата между корпоративните и публичните мрежи е станала толкова размита, че е станало много трудно и скъпо да се контролира напълно тяхната сигурност. В крайна сметка те почти никога не използват контрамерки срещу кражба или търговия с акаунти, небрежност на мрежов администратор, заплахи, реализирани чрез социално инженерство и т.н. Което кара атакуващите да използват точно тези методи за преодоляване на външна защита и да се доближат до уязвима инфраструктура с по-ценна информация .

Концепцията може да бъде изход информационна сигурност, при който сигурността на вътрешните и външните мрежи се осигурява на базата на единен модел на заплаха и с вероятност за трансформиране на един тип нападател в друг.

Нападатели срещу защитници - кой ще вземе?

Информационната сигурност като състояние е възможна само в случая с неуловимия Джо - поради неговата безполезност. Конфронтацията между нападатели и защитници се провежда на коренно различни равнини. Нападателите печелят, като нарушават поверителността, наличността или целостта на информацията и колкото по-ефективни и ефективни са те, толкова повече могат да пожънат. Защитниците изобщо не се възползват от процеса на сигурност, всяка стъпка е невъзвръщаема инвестиция. Ето защо е широко разпространено управлението на сигурността, базирано на риска, при което вниманието на защитниците е насочено към най-скъпите (по отношение на оценката на щетите) рискове с най-ниска цена на тяхното припокриване. Рисковете с цена на припокриване, по-висока от тази на защитения ресурс, са съзнателно приети или застраховани. Целта на този подход е да се максимизират разходите за преодоляване на най-слабата точка на сигурност на организацията, така че критичните услуги трябва да бъдат добре защитени, независимо дали този ресурс се намира вътре в мрежата или в периметъра на мрежата.

Базираният на риска подход е само необходима мярка, която позволява концепцията за информационна сигурност да съществува в реалния свят. Всъщност това поставя защитниците в трудна позиция: те играят играта си с черните, отговаряйки само на възникващи реални заплахи.

Ако разгледаме системата за информационна сигурност на всяка голяма компания, тогава това не е само антивирус, но и няколко други програми за защита във всички области. време прости решенияза ИТ сигурност отдавна е отминало.

Разбира се, в основата на цялостната система за информационна сигурност на всяка организация е защитата на стандарта работна станцияот вируси. И тук необходимостта от използване на антивирус остава непроменена.

Но изискванията за корпоративна защита като цяло се промениха. Компаниите се нуждаят от пълноценни решения от край до край, които могат не само да осигурят защита срещу най-сложните днешни заплахи, но и да останат пред кривата.

„Все повече и повече големи компании изграждат система за сигурност на принципа на защитата в дълбочина.

Освен това по-ранните ешелони бяха подредени върху различни елементи на ИТ инфраструктурата, но сега многостепенната защита трябва да бъде дори на отделни елементи на ИТ средата, предимно на работни станции и сървъри

Пред какви заплахи са изправени компаниите през 2014 г

По отношение на заплахите, огромно предизвикателство за информационната сигурност в напоследъкцеленасочени атаки срещу корпорации и държавни структури. Много от техниките, използвани от хакерите за атака на домашни потребители, сега се прилагат и в бизнеса.

Това са модифицирани банкови троянски коне, които са насочени към служители на финансови отдели и счетоводни отдели, както и различни програми за криптиране, които са започнали да работят в рамките на корпоративните информационни мрежи, и използването на методи за социално инженерство.

Освен това популярност придобиха мрежовите червеи, чието премахване изисква спиране на цялата корпоративна мрежа. Ако компании с голям брой клонове, разположени в различни часови зони, се сблъскат с подобен проблем, тогава всяко прекъсване на мрежата неизбежно ще доведе до финансови загуби.

Според резултатите от проучване, проведено от Kaspersky Lab през 2014 г. сред специалисти по информационна сигурност, руските компании най-често се сблъскват с

  • зловреден софтуер,
  • нежелана поща (спам),
  • опити за неоторизирано проникване в системата чрез фишинг.
  • уязвимости в инсталиран софтуер,
  • рисковете, свързани с поведението на служителите на компанията.

Проблемът се утежнява от факта, че киберзаплахите далеч не са статични: те се умножават всеки ден, стават все по-разнообразни и сложни. За да разберем по-добре текущата ситуация в областта на информационната сигурност и последствията, до които може да доведе дори един компютърен инцидент, ще представим всичко в цифри и факти, получени на базата на данните на Kaspersky Lab за анализа на събитията от 2014 г.

Статистика за кибернетични заплахи


Между другото точно мобилни устройстваднес продължават да бъдат отделно "главоболие" за специалистите по информационна сигурност. Използването на лични смартфони и таблети за работни цели вече е приемливо в повечето организации, но не навсякъде се практикува правилно управление на тези устройства и включването им в цялостната система за информационна сигурност на компанията.

„Според Kaspersky Lab 99% от специфичния за мобилни устройства зловреден софтуер е насочен към платформата Android днес.“

За да разберем откъде идват толкова много заплахи и да си представим колко бързо нараства броят им, достатъчно е да кажем, че всеки ден специалистите на Kaspersky Lab обработват 325 000 проби от нов зловреден софтуер.

Зловреден софтуер най-често влиза в компютрите на потребителите по два начина:

  • чрез уязвимости в законния софтуер
  • използвайки методите на социалното инженерство.

Разбира се, комбинацията от тези две техники е много често срещана, но нападателите не пренебрегват и други трикове.

Отделна заплаха за бизнеса са целенасочените атаки, които зачестяват.

„Използването на нелегален софтуер, разбира се, допълнително увеличава риска да станете успешна цел за кибератака, главно поради наличието на повече уязвимости в него.

Рано или късно във всеки софтуер се появяват уязвимости. Това може да са грешки в разработката на програмата, остаряване на версии или отделни елементи от кода. Както и да е, основният проблем не е наличието на уязвимост, а навременното му откриване и затваряне.

Между другото, напоследък, а 2014 г. е ясно доказателство за това, производителите на софтуер започват все повече да затварят уязвимостите в своите програми. Все още обаче има достатъчно пропуски в приложенията и киберпрестъпниците активно ги използват, за да проникнат в корпоративните мрежи.

През 2014 г. 45% от всички инциденти с уязвимост са причинени от дупки в популярния софтуер Oracle Java.

Освен това миналата година имаше нещо като повратна точка - беше открита уязвимост в широко разпространения протокол за криптиране OpenSSL, наречен Heartbleed. Тази грешка позволи на хакер да прочете съдържанието на паметта и да прихване лични данни в системи, използващи уязвими версии на протокола.

OpenSSL се използва широко за защита на данни, предавани по интернет (включително информация, която потребителят обменя с уеб страници, имейли, съобщения в интернет месинджъри) и данни, предавани по VPN (виртуални частни мрежи) канали, така че потенциалната вреда от тази уязвимост беше Възможно е нападателите да използват тази уязвимост като начало за нови кампании за кибершпионаж.

Жертви на нападения

Като цяло през 2014 г. броят на организациите, станали жертва на целеви кибератаки и кампании за кибершпионаж, се е увеличил почти 2,5 пъти. През последната година почти 4500 организации в най-малко 55 страни, включително Русия, са били атакувани от киберпрестъпници.

Кражба на данни е извършена в най-малко 20 различни сектора на икономиката:

  • държава,
  • телекомуникация,
  • енергия,
  • изследване,
  • индустриален,
  • здравеопазване,
  • строителни и други фирми.

Киберпрестъпниците са получили достъп до следната информация:

  • пароли,
  • файлове,
  • информация за местоположение,
  • аудио данни,
  • екранни снимки
  • снимки от уеб камера.

Най-вероятно в някои случаи тези атаки са били подкрепени от държавни структури, докато други е по-вероятно да бъдат извършени от професионални групи кибернаемници.

През последните години Центърът за изследване и анализ на глобалните заплахи на Kaspersky Lab проследи дейностите на повече от 60 престъпни групи, отговорни за кибератаки по целия свят. Участниците в тях говорят различни езици: руски, китайски, немски, испански, арабски, персийски и др.

Последствията от целенасочените операции и кампаниите за кибершпионаж винаги са изключително сериозни. Те неизбежно завършват с хакване и заразяване на корпоративната мрежа, нарушаване на бизнес процесите, изтичане на поверителна информация, по-специално на интелектуална собственост. През 2014 г. 98% от руските компании са се сблъскали с някакъв вид киберинциденти, чиито източници по правило са били извън самите предприятия.В допълнение, инциденти, причинени от вътрешни заплахи, са регистрирани в други 87% от организациите.

„Общата сума на щетите за големи компании е средно 20 милиона рубли за всеки успешен пример за кибератака.

От какво се страхуват компаниите и как стоят нещата в действителност

Kaspersky Lab ежегодно провежда проучване, за да установи отношението на ИТ специалистите към проблемите на информационната сигурност. Проучване от 2014 г. показа, че по-голямата част от руските компании, по-точно 91%, подценяват количеството зловреден софтуер, който съществува днес. Освен това те дори не предполагат, че броят на зловреден софтуер непрекъснато нараства.



Любопитно е, че 13% от ИТ специалистите казаха, че не се притесняват от вътрешни заплахи.

Може би това се дължи на факта, че в редица компании не е обичайно да се разделят киберзаплахите на външни и вътрешни. Освен това сред руските ръководители на службите за ИТ и информационна сигурност има такива, които все още предпочитат да решават всички проблеми с вътрешните заплахи със забрани.

Но ако нещо е забранено на човек, това изобщо не означава, че той не го прави. Следователно всяка политика за сигурност, включително забраната, изисква подходящ контрол, за да се гарантира, че всички изисквания са изпълнени.

Що се отнася до типовете информация, от които нападателите се интересуват основно, проучването показа, че възприятията на компаниите и реалното състояние на нещата са доста различни.

Така че самите компании най-много се страхуват от загуба

  • информация за клиента,
  • финансови и оперативни данни,
  • интелектуална собственост.
Малко по-малко притеснения за бизнеса
  • информация за анализ на конкурентите,
  • Информация за плащане,
  • лични данни на служителите
  • данни за корпоративни банкови сметки.

„Всъщност се оказва, че киберпрестъпниците най-често крадат вътрешна оперативна информация на компании (в 58% от случаите), но само 15% от компаниите считат за необходимо да защитят тези данни на първо място.“

За сигурността е също толкова важно да се обмислят не само технологиите и системите, но и да се вземе предвид човешкият фактор: разбиране на целите на специалистите, които изграждат системата, и разбиране на отговорността на служителите, които използват устройствата.

Напоследък нападателите все повече разчитат не само на технически средства, но и на слабостите на хората: те използват методи на социално инженерство, които помагат да се извлече почти всяка информация.

Служителите, които отнемат данни от устройството си, трябва да разберат, че носят точно същата отговорност, както ако са взели хартиени копия на документи със себе си.

Персоналът на компанията трябва също така да е наясно, че всяко съвременно технически сложно устройство съдържа дефекти, които нападателят може да използва. Но за да се възползва от тези дефекти, нападателят трябва да получи достъп до устройството. Следователно, когато изтегляте поща, приложения, музика и снимки, е необходимо да проверите репутацията на източника.

Важно е да внимавате с провокативни SMS и имейлии проверете надеждността на източника, преди да отворите имейла и да щракнете върху връзката.

За да има все пак една компания защита срещу подобни случайни или умишлени действия на служители, тя трябва да използва модули за защита на данните от течове.

„Компаниите трябва редовно да помнят за работата с персонала: като се започне от обучението на ИТ служителите и се завърши с изясняването на основните правила безопасна работав интернет, независимо от какви устройства влизат там."

Така тази година Kaspersky Lab пусна нов модул, който реализира функции за защита от изтичане на данни -

Облачна защита

Много големи компании използват облака по един или друг начин, в Русия най-често под формата на частен облак. Тук е важно да запомните, че както всяка друга информационна система, създадена от човека, облачни услугисъдържат потенциални уязвимости, който може да се използва от автори на вируси.

Ето защо, когато организирате достъп дори до собствения си облак, трябва да помните за сигурността на комуникационния канал и крайните устройства, които се използват от страна на служителите. Също толкова важни са вътрешните политики, които управляват кои служители имат достъп до данни в облака или какво ниво на секретност може да се съхранява в облака и т.н. Компанията трябва да има прозрачни правила:

  • какви услуги и услуги ще работят от облака,
  • които - на местни ресурси,
  • какъв вид информация трябва да бъде поставена в облаците,
  • какво трябва да държите "у дома".

Въз основа на статията: Време за "трудни" решения: сигурност в корпоративния сегмент.

Идентифицирането/удостоверяването (IA) на операторите трябва да се извърши хардуерно преди етапа на зареждане на ОС. Базите данни на IA трябва да се съхраняват в енергонезависимата памет на системите за сигурност на информацията (IPS), организирана по такъв начин, че достъпът до нея чрез компютър да е невъзможен, т.е. енергонезависимата памет трябва да се намира извън адресното пространство на компютъра.

Идентификация/удостоверяване отдалечени потребители, както и в предишния случай, изисква хардуерна реализация. Възможност за удостоверяване различни начини, включително електронен цифров подпис (EDS). Изискването за „строга автентификация“ става задължително, т.е. периодично повторение на процедурата в хода на работа на интервали от време, достатъчно малки, така че при преодоляване на защитата нападателят да не може да причини осезаеми щети.

2. защита технически средстваот НСД

Средствата за защита на компютрите от неоторизиран достъп могат да бъдат разделени на електронни брави (EL) и хардуерни надеждни модули за зареждане (AMDZ). Основната им разлика е начинът, по който се осъществява контролът на целостта. Електронните брави изпълняват потребителски I/A процедури в хардуера, използват външен софтуер за извършване на процедури за контрол на целостта. Хардуерът на AMDZ изпълнява както функциите на EZ, така и функциите за контрол на целостта и административни функции.

Контрол на целостта на техническия състав на PC и LAN. Контролът на целостта на техническия състав на компютъра трябва да се извършва от IPS контролера преди зареждане на операционната система. Всички ресурси, които могат (потенциално) да бъдат споделени, трябва да бъдат контролирани, включително процесор, системен BIOS, дискети, твърди дисковеи CD-ROM.

Целостта на техническия състав на LAN трябва да бъде осигурена чрез силна процедура за удостоверяване на мрежата. Процедурата трябва да се извърши на етапа на свързване на тестваните компютри към мрежата и след това на интервали, предварително определени от администратора по сигурността.

Контрол на целостта на ОС, т.е. контролът на целостта на системните области и файловете на операционната система трябва да се извърши от контролера преди зареждане на операционната система, за да се гарантира, че се четат реални данни. Тъй като в управлението на електронни документи могат да се използват различни операционни системи, софтуерът, вграден в контролера, трябва да осигурява обслужване на най-популярните файлови системи.

Контрол на целостта на приложен софтуер (APP) и данниможе да се изпълнява както от хардуерни, така и от софтуерни компоненти на IPS.

3. Разграничаване на достъпа до документи, компютърни и мрежови ресурси

Съвременните операционни системи все повече съдържат вградени инструменти за контрол на достъпа. По правило тези инструменти използват характеристиките на конкретен файлова система(FS) и се основават на атрибути, свързани с едно от нивата на API на операционната система. Това неизбежно поражда следните два проблема.


Обвързване с характеристиките на файловата система. В съвременните операционни системи по правило се използват не една, а няколко файлови системи - както нови, така и остарели. Обикновено контролът на достъпа, вграден в операционната система, работи на новата файлова система, но може да не работи на старата, тъй като използва значителни разлики в новата файлова система.

Това обстоятелство обикновено не е изрично посочено в сертификата, което може да подведе потребителя. Именно с цел осигуряване на съвместимост старите FS в този случай са включени в новата ОС.

Свързване към API на операционната система. По правило операционните системи сега се променят много бързо - веднъж на година и половина. Възможно е те да се сменят още по-често. Ако в същото време атрибутите за контрол на достъпа отразяват състава на API, с прехода към модерна версия на операционната система ще е необходимо да се преработят настройките на системата за сигурност, да се преквалифицира персонал и т.н.

По този начин можем да формулираме общо изискване - подсистемата за контрол на достъпа трябва да бъде наложена на операционната система и по този начин да бъде независима от файловата система. Разбира се, съставът на атрибутите трябва да е достатъчен за целите на описанието на политиката за сигурност и описанието трябва да се извършва не от гледна точка на API на ОС, а от гледна точка, в която администраторите на системната сигурност са свикнали да работят.

4.защита електронни документи

Защитата на електронния обмен на информация включва два класа задачи:

Осигуряване на еквивалентност на документа по време на неговия жизнен цикъл спрямо оригиналния EL стандарт;

Осигуряване на еквивалентност на прилаганите електронни технологии спрямо референтните.

Целта на всяка защита е да осигури стабилността на зададените свойства на защитения обект във всички точки от жизнения цикъл. Сигурността на даден обект се осъществява чрез сравняване на еталона (обекта в началната точка в пространството и времето) и резултата (обекта в момента на наблюдение). Например, ако в точката на наблюдение (получаване на ED) има само много ограничена контекстуална информация за стандарта (съдържанието на оригиналния ED), но има пълна информация за резултата (наблюдаван документ), тогава това означава че ED трябва да включва атрибути, удостоверяващи спазването на техническите и технологични изисквания, а именно неизменността на съобщението на всички етапи от производството и транспортирането на документа. Една опция за атрибути може да бъде кодовете за удостоверяване на сигурността (PAC).

Защита на документ, когато е създаден. Когато създавате документ, той трябва да бъде генериран хардуерно код за сигурностудостоверяване. Написване на копие на електронен документ до външен носителпреди да се изключи развитието на ACA. Ако ED се генерира от оператора, тогава ZKA трябва да бъде свързан с оператора. Ако ED се генерира от софтуерния компонент на AS, тогава ZKA трябва да се генерира по отношение на този софтуерен компонент.

Защита на документа при транспортиране. Защитата на документ по време на предаването му чрез външни (отворени) комуникационни канали трябва да се извършва въз основа на използването на сертифицирани криптографски средства, включително използването на електронни цифров подпис(EDS) за всеки прехвърлен документ. Възможен е и друг вариант - с помощта на EDS се подписва пакет от документи, като всеки отделен документ се удостоверява с друг аналог на саморъчен подпис (HSA), например ZKA.

Защита на документа при неговата обработка, съхранение и изпълнение. На тези етапи защитата на документа се осъществява с помощта на два ZKA - вход и изход за всеки етап. В този случай SKA трябва да се генерира хардуерно, като SKA е свързан с процедурата за обработка (етап на информационните технологии). За входящ документ (със ZKA и EDS) се генерира втора ZKA и едва тогава се премахва EDS.

Защита на документ при достъп до него от външна среда. Защитата на документ при достъп до него от външна среда включва два вече описани механизма – идентификация/автентификация на отдалечени потребители и контрол на достъпа до документи, компютърни и мрежови ресурси.

5. Защита на данните в комуникационните канали

Традиционно за защита на данните в комуникационния канал се използват канални скрамблери и се предават не само данни, но и управляващи сигнали.

6. защита информационни технологии

Въпреки добре познатата прилика, механизмите за защита на самия ЕД като обект (номер, данни) и защита на ЕД като процес (функция, изчислителна среда) са коренно различни. При защитата на информационните технологии, за разлика от защитата на ED, характеристиките на необходимата референтна технология са надеждно известни, но има ограничена информация за изпълнението на тези изисквания от реално използваната технология, т.е. резултат. Единственият обект, който може да носи информация за действителната технология (като последователност от операции) е самият ED или по-скоро атрибутите, включени в него. Както и преди, един от типовете на тези атрибути може да бъде ZKA. Еквивалентността на технологиите може да бъде установена толкова по-точно, колкото повече функционални операции са прикрепени към съобщението чрез ZKA. Механизмите в този случай не се различават от тези, използвани при защитата на ЕД. Освен това може да се счита, че наличието на конкретна SQA характеризира наличието на съответната операция в технологичния процес, а стойността на SQA характеризира целостта на съобщението на даден етап от процеса.

7. Разграничаване на достъпа до потоци от данни

За целите на ограничаване на достъпа до потоци от данни по правило се използват рутери, които използват криптографски средства за защита. В такива случаи се обръща специално внимание на ключовата система и надеждността на съхранението на ключовете. Изискванията за достъп за разделяне на потока са различни от тези за разделяне на файлове и директории. Тук е възможен само най-простият механизъм - достъпът е разрешен или отказан.

Изпълнението на изброените изисквания осигурява достатъчно ниво на сигурност на електронните документи като най-важен вид съобщения, обработвани в информационните системи.

Като техническо средство за защита на информацията, разработено в момента хардуерен модулНадеждно зареждане (AMDZ), което гарантира, че операционната система се зарежда, независимо от нейния тип, за потребител, удостоверен от защитния механизъм. Резултатите от разработката на IMS NSD "Akkord" (разработчик OKB CAD) се произвеждат масово и днес са най-известното в Русия средство за защита на компютри от неоторизиран достъп. При разработката е използвана спецификата на приложната област, отразена в фамилията хардуер за защита на информацията в електронния документооборот, които използват кодове за автентикация (CA) на различни нива. Помислете за примери за използване на хардуер.

1. В касовите апарати (KKM) KA се използват като средство за удостоверяване на чекове като един от видовете ELD. Всеки касов апарат трябва да бъде оборудван с интелигентна фискална памет (FP), която в допълнение към функциите за натрупване на данни за резултатите от продажбите изпълнява редица функции:

Осигурява защита на софтуера и данните на ККМ от неоторизиран достъп;

Генерира кодове за удостоверяване както за KKM, така и за всяка проверка;

Поддържа типичен интерфейс за взаимодействие с модула данъчен инспектор;

Осигурява премахване на фискални данни за подаване в данъчната служба едновременно с баланса.

Разработеният блок FP "Akkord-FP" е направен на базата на SZI "Akkord". Характеризира се със следните характеристики:

Функциите на СЗИ НСД са интегрирани с функциите на ФП;

Като част от FP блока се правят и енергонезависими KKM регистри;

Процедурите на модула за данъчен инспектор също са интегрирани като неразделна част от блока Accord-FP.

2. В системата за наблюдение на целостта и валидирането на електронни документи (SKCPD) в автоматизирана система на федерално или регионално ниво основната разлика е способността за защита на всеки отделен документ. Тази система позволява контрол без значително увеличаване на трафика. Основата за създаването на такава система беше контролерът "Akkord-S B / KA" - високопроизводителен защитен копроцесор, който изпълнява функциите за генериране / проверка на кодове за удостоверяване.

Регионалният информационно-изчислителен център (РИЦЦ) управлява дейността на СЦКЦ като цяло, като същевременно взаимодейства с всички работни станции на КА - работни станции оператор-участник, оборудвани с хардуерни и софтуерни системи Akkord-SB / KA (A-SB / KA) и софтуерни инструменти SKTSPD. Структурата на RICC трябва да включва две автоматизирани работни станции - ARM-K за изготвяне на ключове, ARM-R за подготовка на разпръснати данни за проверка.

3. Използване на кодове за автентикация в подсистемите на технологичната защита на информацията ЕЛ. Основата за внедряване на хардуерна информационна сигурност може да бъде "Akkord SB" и "Akkord AMDZ" (по отношение на защита срещу неоторизиран достъп). Кодовете за удостоверяване се използват за защита на технологиите. Кодовете за удостоверяване на електронни документи в подсистемата за технологична информационна сигурност се генерират и проверяват на сървърите за кодове за удостоверяване (ACS) с помощта на ключови таблици (таблици за надеждност), съхранявани във вътрешната памет на копроцесорите Akkord-SB, инсталирани в SCA. Таблиците за валидност, затворени на ключовете за доставка, се доставят до SKA и се зареждат в вътрешна паметкопроцесори, където се разкриват. Ключовете за доставка се генерират и регистрират на специализирана работна станция ARM-K и се зареждат в копроцесори в началния етап на процеса на тяхната персонализация.

Опит в голям мащаб практическо приложениеповече от 100 000 хардуерни модула за защита от типа "Акорд" в компютърни системи на различни организации в Русия и съседните страни показва, че фокусът върху софтуерното и хардуерното решение е избран правилно, тъй като има големи възможности за по-нататъшно развитие и усъвършенстване.

заключения

Подценяването на проблемите, свързани със сигурността на информацията, може да доведе до огромни щети.

Разрастването на компютърните престъпления ни принуждава да се грижим за информационната сигурност.

Експлоатацията в руската практика на същия тип масов софтуер и хардуер (например IBM-съвместими персонални компютри; операционни системи - Window, Unix, MS DOS, Netware и др.) До известна степен създава условия за нападателите.

Стратегията за изграждане на система за информационна сигурност трябва да се основава на интегрирани решения, на интеграция на информационни технологии и системи за сигурност, на използване на модерни методи и инструменти, на универсални индустриални технологии за информационна сигурност.

Въпроси за самоконтрол

1. Назовете видовете информационни заплахи, дефинирайте заплахата.

2. Какви са начините за защита на информацията?

3. Опишете контрола на достъпа като начин за защита на информацията. Каква е неговата роля и значение?

4. Каква е целта на криптографските методи за защита на информацията? Избройте ги.

5. Дайте концепцията за удостоверяване и цифров подпис. Каква е тяхната същност?

6. Обсъдете проблемите на информационната сигурност в мрежите и начините за тяхното разрешаване.

7. Разширете характеристиките на използването на стратегия за информационна сигурност системен подход, интегрирани решенияи принципа на интеграция в информационните технологии.

8. Избройте етапите на създаване на системи за информационна сигурност.

9. Какви дейности са необходими за изпълнение техническа защитатехнологии електронен документооборот?

10. Каква е същността на мултипликативния подход?

11. Какви процедури трябва да се следват за защита на системата за управление на електронни документи?

12. Какви функции изпълнява защитната стена?

Тестове за гл. 5

Попълнете липсващите термини и фрази.

1. Събития или действия, които могат да доведат до неразрешено използване, изкривяване или унищожаване на информация, се наричат...

2. Има два вида заплахи за информационната сигурност: ...

3. Изброените видове противодействие на заплахите за информационната сигурност: препятствие, контрол на достъпа, криптиране, регулиране, принуда и подбуждане се отнасят за ... осигуряване на информационна сигурност.

4. Следните начини за противодействие на заплахите за сигурността: физически, хардуерни, софтуерни, организационни, законодателни, морално-етични, физически са свързани с ... осигуряване сигурността на информацията.


5. Криптографските методи за защита на информацията се основават на...

6. Присвояването на уникално обозначение на потребител за потвърждаване на тяхното съответствие се нарича...

7. Удостоверяването на потребител за потвърждаване на неговата самоличност се нарича...

8. Най-голямата заплаха за корпоративните мрежи е свързана с:

а) с разнородност информационни ресурсии технологии;

б) със софтуер и хардуер;

в) с повреди на оборудването. Избери верния отговор.

9. Рационалното ниво на информационна сигурност в корпоративните мрежи се избира основно въз основа на следните съображения:

а) спецификация на методите за защита;

б) икономическа целесъобразност;

в) отбранителни стратегии.

10. Резидентна програма, която е постоянно разположена в паметта на компютъра и контролира операциите, свързани с промяна на информацията на магнитните дискове, се нарича:

а) детектор;

в) пазач;

г) одитор.

11. Антивирусните инструменти са предназначени:

а) за тестване на системата;

б) за защита на програмата от вирус;

в) за проверка на програмите за наличие на вирус и тяхното лечение;

г) за наблюдение на системата.

Днес в нашия блог решихме да се докоснем до аспектите на сигурността на корпоративните мрежи. И Михаил Любимов, технически директор на LWCOM, ще ни помогне в това.

Защо е тази тема мрежова сигурносте изключително актуален в днешния свят?

Поради почти повсеместната наличност на широколентов интернет, повечето действия на устройства се извършват през мрежата, така че за 99% от съвременните заплахи мрежата е транспортът, чрез който заплахата се доставя от източника до целта. Разбира се, разпространение зловреден кодвъзможно с сменяеми носители, Но този методсега се използва все по-малко и повечето компании отдавна са се научили да се справят с подобни заплахи.

Какво е мрежа за данни?

Нека първо начертаем архитектурата на класическа корпоративна мрежа за данни по опростен и разбираем начин.

Мрежата за предаване на данни започва от превключвателя за ниво на достъп. Работните станции са свързани директно към този комутатор: компютри, лаптопи, принтери, мултифункционални и различни други устройства, например безжични точки за достъп. Съответно можете да имате много оборудване, то може да се свърже към мрежата на напълно различни места (етаж или дори отделни сгради).

Обикновено корпоративната мрежа за предаване на данни е изградена върху звездна топология, така че взаимодействието на всички сегменти един с друг ще бъде осигурено от оборудване на ниво ядро ​​на мрежата. Например, може да се използва същия превключвател, но обикновено в по-продуктивна и функционална версия в сравнение с тези, използвани в слоя за достъп.

Сървърите и системите за съхранение на данни обикновено са консолидирани на едно място и, от гледна точка на мрежите за предаване на данни, те могат да бъдат свързани или директно към основното оборудване, или могат да имат сегмент от оборудване за достъп, разпределен за тази цел.

След това ни остава оборудване за интерфейс с външни мрежи за данни (например Интернет). Обикновено за тези цели компаниите използват такива устройства като рутери, защитни стени и различни видове прокси сървъри. Те се използват и за организиране на комуникация с разпределени офиси на компанията и за свързване на отдалечени служители.

Ето как архитектурата на локалната мрежа се оказа лесна за разбиране и обичайна за съвременните реалности.

Каква класификация на заплахите съществува днес?

Нека да дефинираме основните цели и вектори на атаки в рамките на мрежовото взаимодействие.

Най-често срещаната и проста цел на атака е потребителско устройство. Злонамерен софтуерлесно е да се разпространява в тази посока чрез съдържание в уеб ресурси или по пощата.

В бъдеще нападателят, след като получи достъп до работната станция на потребителя, може или да открадне поверителни данни, или да развие атака срещу други потребители или други устройства в корпоративната мрежа.

Следващата възможна цел за атака са, разбира се, сървърите. Някои от най-известните видове атаки срещу публикувани ресурси са DoS и DDoS атаки, които се използват за нарушаване на стабилната работа на ресурсите или пълната им повреда.

Освен това атаките могат да бъдат насочени от външни мрежи към конкретни публикувани приложения, като уеб ресурси, DNS сървъри, електронна поща. Освен това атаките могат да бъдат насочени от мрежата - от компютър на заразен потребител или от нападател, който се е свързал с мрежата, към приложения като споделяне на файлове или бази данни.



Има и категория селективни атаки, като една от най-опасните е атаката върху самата мрежа, тоест върху достъпа до нея. Нападателят, който е получил достъп до мрежата, може да организира следващата атака на практически всяко свързано към нея устройство, както и да получи скрит достъп до всяка информация. Най-важното е, че успешна атака от този вид е доста трудна за откриване и не може да бъде излекувана. стандартни средства. Това означава, че всъщност имате нов потребител или, по-лошо, администратор, за когото не знаете нищо.

Комуникационните канали също могат да бъдат цел на нападател. Трябва да се разбере, че успешната атака срещу комуникационните канали не само ви позволява да четете информацията, предавана по тях, но и да бъде идентична по последствия с атака в мрежа, когато нападателят може да получи достъп до всички ресурси на локална мрежа .

Как да организираме компетентна и надеждна защита на предаването на данни?

Като начало можем да представим глобални практики и препоръки за организиране на защитата на корпоративна мрежа за предаване на данни, а именно набор от инструменти, които ще ви позволят да избегнете повечето съществуващи заплахи с минимални усилия, така нареченият безопасен минимум.

В този контекст е необходимо да се въведе понятието „периметър за сигурност на мрежата“, т.к колкото по-близо до възможен източник на заплаха упражнявате контрол, толкова повече намалявате броя на методите за атака, достъпни за нападателя. В този случай периметърът трябва да съществува както за външни, така и за вътрешни връзки.

На първо място, препоръчваме да защитите връзката с публичните мрежи, тъй като най-много заплахи идват от тях. В момента има редица специализирани инструменти за мрежова сигурност, предназначени само за сигурна организация на връзка с Интернет.

За обозначаването им широко се използват термини като NGFW (защитна стена от следващо поколение) и UTM (унифицирано управление на заплахите). Тези устройства не само комбинират функционалността на класически рутер, защитна стена и прокси сървър, но също така предоставят допълнителни услуги за сигурност, като филтриране на URL адреси и съдържание, антивирусна програма и др. В същото време устройствата често използват базирани на облак системи за проверка на съдържанието, което ви позволява бързо и ефективно да проверявате всички предавани данни за заплахи. Но най-важното е възможността да се съобщава за открити заплахи в ретроспекция, тоест да се идентифицират заплахи в случаите, когато заразеното съдържание вече е прехвърлено на потребителя, но производителят е получил информация за вредността на този софтуер по-късно.

Неща като проверка на HTTPS трафика и автоматичен анализ на приложения ви позволяват да контролирате не само достъпа до конкретни сайтове, но също така разрешавате/блокирате работата на такива приложения като: Skype, Team Viewer и много други, и както знаете, повечето от тях са били работещи по HTTP и HTTPS протоколи и стандартните мрежови инструменти не могат просто да контролират тяхната работа.

В допълнение към това, в рамките на едно устройство можете да получите и система за предотвратяване на проникване, която е отговорна за спирането на атаки, насочени към публикувани ресурси. Можете също така допълнително да получите VPN сървър за сигурна отдалечена работа на служителите и свързване на клонове, анти-спам, система за контрол на ботнет, пясъчник и др. Всичко това прави такова устройство наистина унифициран инструмент за мрежова сигурност.

Ако вашата компания все още не използва такива решения, тогава горещо ви препоръчваме да започнете да ги използвате още сега, тъй като времето за тяхната ефективност вече е дошло и можем да кажем с увереност, че подобни устройствадоказаха реалната си способност да се справят с голям брой заплахи, което не беше дори преди 5 години. Тогава такива неща просто излязоха на пазара, имаха много проблеми и бяха доста скъпи и нископроизводителни.

Но как да изберем защитна стена от следващо поколение?

Сега на пазара има огромен брой мрежови устройства с декларирана подобна функционалност, но само няколко могат да осигурят наистина ефективна защита. Това се обяснява с факта, че само ограничен брой производители разполагат със средства и реално инвестират в непрекъснато проучване на реални заплахи, т.е. постоянно актуализиране на бази данни с потенциално опасни ресурси, осигуряване на непрекъсната поддръжка за решения и т.н.

Много партньори ще се опитат да ви продадат решения, които са изгодни за тях да продават, така че цената на решението не винаги съответства на неговата реална способност да устои на заплахи. Лично аз препоръчвам да се обърнете към материалите на независими аналитични центрове, например доклади на NSS Labs, за да изберете устройство. Според мен те са по-точни и безпристрастни.

Освен заплахи отвън, вашите ресурси могат да бъдат атакувани и отвътре. Така нареченият "безопасен минимум", който трябва да се използва във вашата локална мрежа, е нейното сегментиране във VLAN, т.е. виртуални частни мрежи. В допълнение към сегментирането е необходимо задължителното прилагане на политики за достъп между тях, най-малкото с помощта на стандартни инструменти за списък за достъп (ACL), защото самото наличие на VLAN в борбата срещу съвременните заплахи не дава практически нищо.

Като отделна препоръка ще посоча желателността да се използва контрол на достъпа директно от порта на устройството. Необходимо е обаче да се помни за периметъра на мрежата, т.е. колкото по-близо прилагате политики към защитени услуги, толкова по-добре. В идеалния случай тези правила трябва да бъдат въведени на превключватели за достъп. В такива случаи, като най-минимални политики за сигурност, се препоръчва прилагането на 4 прости правила:

  • поддържайте всички неизползвани портове на комутатора административно деактивирани;
  • не използвайте 1-ви VLAN;
  • използвайте MAC филтриращи списъци на комутатори за достъп;
  • използвайте проверка на ARP протокола.
Отлично решение би било да се приложи същото защитни стенисъс системи за предотвратяване на проникване, както и архитектурно използване на демилитаризирани зони. Най-добре е да приложите удостоверяване на свързаното устройство с помощта на протокол 802.1x, като използвате различни AAA системи (системи за удостоверяване, авторизация и отчитане) за централизиран контрол на достъпа до мрежата. Обикновено тези решения се наричат ​​сред производителите с общия термин NAC (контрол на достъпа до мрежата). Пример за такава търговска система е Cisco ISE.



Освен това нападателите могат да атакуват канали. За защита на каналите трябва да се използва силно криптиране. Мнозина го пренебрегват и след това плащат последствията. Незащитените канали са не само налична информация за кражба, но и възможността за атака на почти всички корпоративни ресурси. Нашите клиенти на практика имаха значителен брой прецеденти, когато бяха извършени атаки върху корпоративната телефония чрез организиране на комуникация чрез незащитени канали за предаване на данни между централните и отдалечените офиси (например просто чрез GRE тунели). Фирмите получиха просто луди сметки!

Какво можете да ни кажете за безжичните мрежи и BYOD?

предмет дистанционна работа, безжични мрежии използването на собствени устройства, бих искал да отделя отделно. Според моя опит тези три неща са едни от най-големите потенциални пропуски в сигурността във вашата компания. Но те са и едно от най-големите конкурентни предимства.

Накратко, препоръчвам или напълно да забраните използването на безжични мрежи, дистанционна работа или работа през собствените си мобилни устройства, мотивирайки това с корпоративни правила, или предоставяйки тези услуги като добре развити по отношение на сигурността, особено след като съвременните решения осигуряват възможност за това е в в най-добрия си вид.

По отношение на дистанционната работа същите защитни стени от следващо поколение или UTM устройства могат да ви помогнат. Нашата практика показва, че има редица стабилни решения (включително Cisco, Checkpoint, Fortinet, Citrix), които ви позволяват да работите с различни клиентски устройства, като същевременно осигурявате най-високи стандарти за идентифициране на отдалечен служител. Например използването на сертификати, двуфакторна автентификация, еднократни пароли, доставени чрез SMS или генерирани на специален ключ. Можете също така да контролирате софтуера, инсталиран на компютъра, от който се прави опит за достъп, например по отношение на инсталирането на подходящи актуализации или стартиране на антивируси.

Сигурността на Wi-Fi е тема, която заслужава отделна статия. В тази публикация ще се опитам да дам най-важните препоръки. Ако изграждате корпоративен Wi-Fi, не забравяйте да преминете през всички възможни аспекти на сигурността, свързани с него.

Между другото, Wi-Fi е цял отделен елемент от приходите за нашата компания. Ние се занимаваме с тях професионално: проекти за оборудване на търговски центрове и търговски центрове, бизнес центрове, складове с безжично оборудване, включително използването на съвременни решения като позициониране, се изпълняват в нашия нон-стоп режим. И според резултатите от нашите радио проучвания, намираме поне едно домашно радио във всеки втори офис и склад. WiFi рутер, които са били свързани към мрежата от самите служители. Обикновено те правят това за собствено удобство на работа, например, за да отидат в стаята за пушачи с лаптоп или да се движат свободно в стаята. Ясно е, че на такива рутери не са били прилагани правила за корпоративна сигурност и паролите са били раздавани на добре познати колеги, след това на колеги на колеги, след това на гости на кафе и в резултат на това почти всеки е имал достъп до корпоративната мрежа, докато тя беше напълно неконтролирано.

Разбира се, струва си да защитите мрежата от свързване на такова оборудване. Основните начини за това могат да бъдат: използване на оторизация на портове, филтриране по MAC и т.н. Отново, от гледна точка на Wi-Fi, трябва да използвате силен криптографски алгоритмии корпоративни методи за удостоверяване. Но трябва да се разбере, че не всички корпоративни методи за удостоверяване са еднакво полезни. Например, устройства с Android в някои версии на софтуера може по подразбиране да игнорират публичния сертификат на Wi-Fi мрежа, като по този начин позволяват атаки от клас близнак Evil. Ако се използва метод за удостоверяване, като EAP GTC, тогава ключът се предава в ясен текст и може да бъде напълно прихванат при определената атака. Препоръчваме да използвате само удостоверяване със сертификат в корпоративни мрежи, т.е. това са TLS методи, но имайте предвид, че това значително увеличава тежестта върху мрежовите администратори.

Има и друг начин: ако отдалечената работа е внедрена в корпоративната мрежа, тогава можете да се свържете чрез wifi мрежаустройства, за да принудите да използвате и VPN клиента. Тоест, разпределете сегмент от Wi-Fi мрежа към първоначално ненадеждна област и в резултат на това ще получите добра работеща опция с минимизиране на разходите за управление на мрежата.

Производителите на корпоративни Wi-Fi решения, като Cisco, Ruckus, което сега е Brocade, Aruba, което сега е HPE, в допълнение към стандартните Wi-Fi решения, предоставят цял ​​набор от услуги за автоматично наблюдение на сигурността на безжичната среда . Тоест неща като WIPS (Wireless Intrusion Prevention System) им работят доста добре. Тези производители са внедрили безжични сензори, които могат да наблюдават целия спектър от честоти, като по този начин ви позволяват да проследявате автоматичен режимдоста сериозна заплаха.

Сега нека се докоснем до теми като BYOD (Bring your own device – Донесете своето устройство) и MDM (Mobile device management – ​​Управление на мобилно устройство). Разбира се, всяко мобилно устройство, което съхранява корпоративни данни или има достъп до корпоративната мрежа, е потенциален източник на проблеми. Темата за сигурността на такива устройства се отнася не само за защитен достъп до корпоративната мрежа, но и за централизирано управление на политиките на мобилни устройства: смартфони, таблети, лаптопи, използвани извън организацията. Тази тема е актуална от много дълго време, но едва сега на пазара се появиха наистина работещи решения, които ви позволяват да управлявате разнообразен парк от мобилно оборудване.

За съжаление няма да е възможно да говорим за тях в рамките на тази публикация, но знайте, че има решения и през последната година преживяхме бум в внедряването на MDM решения от Microsoft и MobileIron.

Говорихте за „минимална сигурност“, какво тогава е „максимална сигурност“?

По едно време една снимка беше популярна в Интернет: беше препоръчано да се инсталират защитни стени от известни производители един по един, за да се защити мрежата. Ние по никакъв начин не ви насърчаваме да правите същото, но въпреки това има известна истина в това. Ще бъде изключително полезно да имате мрежово устройство с анализ на вирусни подписи, например от SOFOS, и вече да инсталирате антивирусна програма от Kaspersky Lab на работното място. Така получаваме две системи за защита срещу зловреден код, които не си пречат една на друга.

Има редица специализирани инструменти за защита на информацията:

DLP.На пазара има специализирани инструменти за информационна сигурност, тоест разработени и насочени към решаване на конкретна заплаха. В момента DLP (Data Loss Prevention) системи или предотвратяване на изтичане на данни стават популярни. Те работят като мрежов слой, интегриране в средата за предаване на данни, както и директно на приложни сървъри, работни станции, мобилни устройства.

Донякъде се отдалечаваме от мрежовите теми, но заплахата от изтичане на данни винаги ще съществува. По-специално, тези решения стават подходящи за компании, където загубата на данни носи търговски и репутационни рискове и последствия. Още преди 5 години въвеждането на DLP системите беше доста трудно поради тяхната сложност и необходимостта от процес на разработка за всеки конкретен случай. Следователно, поради тяхната цена, много компании изоставиха тези решения или написаха свои собствени. Понастоящем пазарните системи са достатъчно зрели, че цялата необходима функционалност за сигурност може да бъде получена направо от кутията.

На руския пазар търговските системи са представени главно от Infowatch (по-долу има снимка от този производител, показваща как представят своето решение в голяма компания) и доста добре познатия MacAfee.

WAF.С оглед на развитието на услугите за интернет търговия, а това са интернет банкиране, електронни пари, електронна търговия, застрахователни услуги и др., напоследък се търсят специализирани инструменти за защита на уеб ресурси. А именно WAF - защитна стена за уеб приложения.

Това устройство ви позволява да отблъснете атаки, насочени към уязвимостите на самия сайт. В допълнение към селективните DoS атаки, когато даден сайт е потиснат от легитимни заявки, това могат да бъдат атаки чрез SQL инжектиране, кръстосано мястоскриптове и т.н. Преди това такива устройства се купуваха предимно от банки, докато други клиенти не ги изискваха и струваха много. големи пари. Например, цената на работещо решение започва от $100 000. Сега на пазара има голям брой решения от известни производители (Fortinet, Citrix, Positive Technologies), от които можете да получите работещо решение за защита на вашия сайт за доста разумни пари (3-5 пъти по-малко от предишните посочената сума).

одит.Организациите, особено защитаващи собствената си сигурност, внедряват инструменти за автоматизиран одит. Тези решения са скъпи, но ви позволяват да преместите редица администраторски функции в областта на автоматизацията, която е изключително търсена за големите предприятия. Такива решения непрекъснато сканират мрежата и проверяват всички инсталирани операционни системи и приложения за известни пропуски в сигурността, навременни актуализации, съответствие с корпоративните политики. Вероятно най-известните решения в тази област не само в Русия, но и в целия свят са продуктите на Positive Technologies.

SIEM.Подобно на SIEM решения. Това са системи, предназначени да откриват извънредни ситуации, свързани конкретно със събития, свързани със сигурността. Дори стандартен набор от няколко защитни стени, дузина сървъри за приложения и хиляди настолни компютри може да генерира десетки хиляди предупреждения на ден. Ако имате голяма компания и имате десетки крайни устройства, тогава разберете данните, получени от тях ръчно управлениестава просто невъзможно. Автоматизирането на контрола на събраните регистрационни файлове едновременно от всички устройства позволява на администраторите и служителите по информационна сигурност да действат незабавно. SIEM решенията на Arсight (част от продуктите на HPE) и Q-RADAR (част от продуктите на IBM) са доста добре познати на пазара.

И накрая: какво можете да посъветвате на тези, които са сериозно ангажирани с организирането на защитата на своите ИТ ресурси?

Разбира се, когато организирате ИТ сигурността на предприятието, не трябва да забравяте за административните разпоредби. Потребителите и администраторите трябва да знаят, че намерените флаш устройства не могат да се използват на компютър, точно както не можете да следвате съмнителни връзки в имейли или да отваряте съмнителни прикачени файлове. Много е важно да кажете и обясните кои връзки и прикачени файлове са непроверени. Всъщност не всеки разбира, че не е необходимо да съхранявате пароли върху стикери, залепени на монитор или телефон, че трябва да се научите как да четете предупреждения, които се изписват на потребителя на приложението и т.н. Обяснете на потребителите какво е сертификат за сигурност и какво означават съобщенията, свързани с него. Като цяло е необходимо да се вземе предвид не само техническата страна на въпроса, но и да се внуши култура на използване на корпоративни ИТ ресурси от служителите.
Надявам се, че сте намерили тази страхотна публикация за интересна и полезна.

Начините за защита на информацията в едно предприятие, както и начините за нейното извличане, непрекъснато се променят. Редовно се появяват нови оферти от компании, предоставящи услуги за информационна сигурност. Разбира се, панацея няма, но има няколко основни стъпки в изграждането на защитата на една корпоративна информационна система, на които определено трябва да обърнете внимание.

Много от вас вероятно са запознати с концепцията за защита в дълбочина срещу хакване. информационна мрежа. Основната му идея е да използва няколко нива на защита. Това поне ще минимизира щетите, свързани с евентуално нарушаване на периметъра на сигурност на вашата информационна система.
Нека да разгледаме общите аспекти. компютърна сигурност, както и да създаде определен контролен списък, който служи като основа за изграждане на основната защита на корпоративната информационна система.

1. Защитна стена (защитна стена, защитна стена)

Защитната стена или защитната стена е първата линия на защита, която среща нарушителите.
Според нивото на контрол на достъпа се разграничават следните видове защитни стени:

  • В най-простия случай мрежовите пакети се филтрират според установените правила, т.е. въз основа на адреси на източник и местоназначение на мрежови пакети, номера на мрежови портове;
  • Защитна стена, работеща на ниво сесия (състояние). Той следи активните връзки и премахва фалшиви пакети, които нарушават TCP/IP спецификациите;
  • Защитна стена, работеща на приложния слой. Извършва филтриране въз основа на анализ на данните на приложението, предадени в пакета.

Повишеното внимание към мрежовата сигурност и развитието на електронната търговия доведе до факта, че всички Повече ▼потребителите използват криптиране на връзки (SSL, VPN) за тяхната защита. Това значително усложнява анализа на трафика, преминаващ през защитните стени. Както можете да предположите, разработчиците на зловреден софтуер използват същите технологии. Вирусите, които използват криптиране на трафика, са станали почти неразличими от легитимния потребителски трафик.

2. Виртуални частни мрежи (VPN)

Ситуации, когато служител се нуждае от достъп до фирмени ресурси от обществени места (Wi-Fi на летището или в хотела) или от дома ( домашна мрежаслужителите не се контролират от вашите администратори) са особено опасни за корпоративната информация. За да ги защитите, просто трябва да използвате криптирани VPN тунели. Всеки достъп до отдалечен работен плот (RDP) директно без криптиране е изключен. Същото важи и за използването на софтуер на трети страни: Teamviewer, Aammy Admin и др. влизам работеща мрежа. Трафикът през тези програми е криптиран, но преминава през сървърите на разработчиците на този софтуер, които не са под ваш контрол.

Недостатъците на VPN включват относителната сложност на внедряването, допълнителни разходи за ключове за удостоверяване и повишена честотна лентаинтернет канал. Ключовете за удостоверяване също могат да бъдат компрометирани. Откраднатите мобилни устройства на компанията или служители (лаптопи, таблети, смартфони) с предварително конфигурирани настройки за VPN връзка могат да се превърнат в потенциална дупка за неоторизиран достъп до фирмените ресурси.

3. Системи за откриване и предотвратяване на проникване (IDS, IPS)

Система за откриване на проникване (IDS - английски: Intrusion Detection System) - софтуер или хардуерпредназначени за откриване на факти за неоторизиран достъп до компютърна система(мрежа) или неоторизиран контрол на такава система. В най-простия случай такава система помага за откриване на сканиране на мрежови портове на вашата система или опити за влизане в сървъра. В първия случай това показва първоначално разузнаване на нападателя, а във втория случай опити за хакване на вашия сървър. Можете също така да откриете атаки, насочени към повишаване на привилегиите в системата, неоторизиран достъп до важни файлове, както и действията на злонамерен софтуер. Усъвършенстваните мрежови превключватели ви позволяват да свържете система за откриване на проникване, като използвате дублиране на портове или чрез кранове за трафик.

Системата за предотвратяване на проникване (IPS) е софтуерна или хардуерна система за сигурност, която активно блокира прониквания, когато бъдат открити. Ако бъде открито проникване, подозрителният мрежов трафик може да бъде автоматично блокиран и незабавно се изпраща известие за това до администратора.

4. Антивирусна защита

Антивирусният софтуер е основната линия на защита за повечето модерни предприятия. Според изследователската компания Gartner размерът на пазара на антивирусен софтуер през 2012 г. възлиза на $19,14 млрд. Основните потребители са сегментът на средния и малък бизнес.

Преди всичко антивирусна защитанасочени към клиентски устройства и работни станции. Бизнес версиите на антивирусите включват функции за централизирано управление за прехвърляне на актуализации на антивирусна база данни към клиентски устройства, както и възможност за централно конфигуриране на политики за сигурност. Гамата от антивирусни компании включва специализирани решения за сървъри.
Като се има предвид, че повечето инфекции със зловреден софтуер са резултат от действия на потребителя, антивирусните пакети предлагат всеобхватни опции за защита. Например защита на програми за електронна поща, чатове, проверка на сайтове, посещавани от потребители. Освен това антивирусните пакети все повече включват софтуерна защитна стена, проактивни защитни механизми и механизми за филтриране на спам.

5. Бели списъци

Какво представляват "белите списъци"? Има два основни подхода към информационната сигурност. Първият подход предполага, че по подразбиране на операционната система е разрешено да изпълнява всякакви приложения, ако те не са в черния списък. Вторият подход, напротив, предполага, че само онези програми, които преди това са били включени в "белия списък", имат право да работят, а всички останали програми са блокирани по подразбиране. Вторият подход към сигурността, разбира се, е по-предпочитан в корпоративния свят. Белите списъци могат да се създават както с помощта на вградените инструменти на операционната система, така и с помощта на софтуер на трети страни. Антивирусният софтуер често предлага тази функцияв състава си. Повечето антивирусни приложения, които предлагат филтриране в бели списъци, ви позволяват първоначалната настройкамного бързо, с минимално внимание от страна на потребителя.

Възможно е обаче да има ситуации, при които зависимостите на програмните файлове в белия списък не са идентифицирани правилно от вас или от антивирусния софтуер. Това ще доведе до срив на приложението или неправилно инсталиране. В допълнение, белите списъци са безсилни срещу атаки, които използват уязвимости при обработката на документи от програми в белия списък. Трябва също да обърнете внимание на най-слабото звено във всяка защита: самите служители, бързайки, могат да пренебрегнат предупреждението на антивирусния софтуер и да поставят злонамерен софтуер в белия списък.

6. Филтриране на спам

Спам съобщенията често се използват за извършване на фишинг атаки, които се използват за въвеждане на троянски кон или друг зловреден софтуер в корпоративна мрежа. Потребителите, които обработват голямо количество имейли на дневна база, са по-податливи на фишинг имейли. Затова задачата на IT отдела на компанията е да филтрира максимална сумаспам от общ имейл трафик.

Основните начини за филтриране на спам:

  • Специализирани доставчици на услуги за филтриране на спам;
  • Софтуер за филтриране на спам на собствени пощенски сървъри;
  • Специализирани хардуерни решения, внедрени в корпоративен център за данни.

7. Актуална софтуерна поддръжка

Навременните софтуерни актуализации и прилагането на актуални корекции за сигурност са важен елемент в защитата на корпоративната мрежа от неоторизиран достъп. Доставчиците на софтуер обикновено не предоставят пълна информация за новооткрита дупка в сигурността. Общо описание на уязвимостта обаче е достатъчно за нападателите да напишат софтуер, който да използва тази уязвимост само няколко часа след публикуването на описанието на нова дупка и корекция за нея.
Всъщност това е доста проблем за малкия и среден бизнес, тъй като широка гама от софтуерни продукти различни производители. Често на актуализациите на целия софтуерен парк не се обръща нужното внимание и това е на практика отворен прозорецв системата за сигурност на предприятието. В момента голям брой софтуери се актуализират от сървърите на производителя и това премахва част от проблема. Защо част? Тъй като сървърите на производителя могат да бъдат хакнати и под прикритието на легални актуализации ще получите пресен зловреден софтуер. Освен това самите производители понякога пускат актуализации, които нарушават нормална работавашия софтуер. Това е недопустимо в критични области на бизнеса. За да се предотвратят подобни инциденти, всички получени актуализации, първо, трябва да бъдат приложени веднага след пускането им, и второ, те трябва да бъдат щателно тествани преди прилагане.

8. Физическа охрана

Физическата сигурност на корпоративната мрежа е един от критични факторикоето е трудно да се надцени. Имайки физически достъпДа се мрежово устройствонападателят в повечето случаи лесно ще получи достъп до вашата мрежа. Например, ако има физически достъп до комутатора и мрежата не филтрира MAC адреси. Въпреки че MAC филтрирането няма да ви спаси в този случай. Друг проблем е кражбата или пренебрегването на твърди дискове след подмяна в сървър или друго устройство. Като се има предвид, че паролите, открити там, могат да бъдат декриптирани, сървърните шкафове и стаите или кутиите с оборудване трябва винаги да бъдат надеждно защитени от нарушители.

Докоснахме само някои от най-често срещаните аспекти на сигурността. Също така е важно да се обърне внимание на обучението на потребителите, периодичните независими одити на информационната сигурност и създаването и прилагането на стабилна политика за информационна сигурност.
Моля, имайте предвид, че защитата на корпоративна мрежа е доста сложна тема, която непрекъснато се променя. Трябва да сте сигурни, че компанията не зависи само от една или две линии на защита. Винаги се старайте да следите актуална информация и свежи решения на пазара за информационна сигурност.

Възползвайте се от надеждната защита на корпоративната мрежа като част от услугата "поддръжка на компютри за организации" в Новосибирск.