Проблемы и ошибки        21.06.2020   

Введение в сетевую безопасность. Актуальные вопросы безопасности корпоративных сетей передачи данных

Сразу отметим, что системы защиты, которая 100% даст результат на всех предприятиях, к сожалению, не существует. Ведь с каждым днём появляются всё новые способы обхода и взлома сети (будь она или домашняя). Однако тот факт, что многоуровневая защита - все же лучший вариант для обеспечения безопасности корпоративной сети, остается по-прежнему неизменным.

И в данной статье мы разберем пять наиболее надежных методов защиты информации в компьютерных системах и сетях, а также рассмотрим уровни защиты компьютера в корпоративной сети.

Однако сразу оговоримся, что наилучшим способом защиты данных в сети является бдительность ее пользователей. Все сотрудники компании, вне зависимости от рабочих обязанностей, должны понимать, и главное - следовать всем правилам информационной безопасности. Любое постороннее устройство (будь то телефон, флешка или же диск) не должно подключаться к корпоративной сети.

Кроме того, руководству компании следует регулярно проводить беседы и проверки по технике безопасности, ведь если сотрудники халатно относятся к безопасности корпоративной сети, то никакая защита ей не поможет.

Защита корпоративной сети от несанкционированного доступа

  1. 1. Итак, в первую очередь необходимо обеспечить физическую безопасность сети. Т.е доступ во все серверные шкафы и комнаты должен быть предоставлен строго ограниченному числу пользователей. Утилизация жестких дисков и внешних носителей, должна проходить под жесточайшим контролем. Ведь получив доступ к данным, злоумышленники легко смогут расшифровать пароли.
  2. 2. Первой «линией обороны» корпоративной сети выступает межсетевой экран, который обеспечит защиту от несанкционированного удалённого доступа. В то же время он обеспечит «невидимость» информации о структуре сети.

В число основных схем межсетевого экрана можно отнести:

  • - использование в его роли фильтрующего маршрутизатора, который предназначен для блокировки и фильтрации исходящих и входящих потоков. Все устройства в защищённой сети имеет доступ в интернет, но обратный доступ к этим устройства из Интернета блокируется;
  • - экранированный шлюз, который фильтрует потенциально опасные протоколы, блокируя им доступ в систему.
  1. 3. Антивирусная защита является главным рубежом защиты корпоративной сети от внешних атак. Комплексная антивирусная защита минимизирует возможность проникновения в сеть «червей». В первую очередь необходимо защитить сервера, рабочие станции, и систему корпоративного чата.

На сегодняшний день одной из ведущих компаний по антивирусной защите в сети является «Лаборатория Касперского», которая предлагает такой комплекс защиты, как:

  • - контроль – это комплекс сигнатурных и облачных методов контроля за программами и устройствами и обеспечения шифрования данных;
  • - обеспечение защиты виртуальной среды с помощью установки «агента» на одном (или каждом) виртуальном хосте;
  • - защита «ЦОД» (центр обработки данных) – управление всей структурой защиты и единой централизованной консоли;
  • - защита от DDoS-атак, круглосуточный анализ трафика, предупреждение о возможных атаках и перенаправление трафика на «центр очистки».

Это только несколько примеров из целого комплекса защиты от «Лаборатории Касперского».

  1. 4. Защита . На сегодняшний день многие сотрудники компаний осуществляют рабочую деятельность удаленно (из дома), в связи с этим необходимо обеспечить максимальную защиту трафика, а реализовать это помогут шифрованные туннели VPN.

Одним из минусов привлечения «удалённых работников» является возможность потери (или кражи) устройства, с которого ведется работы и последующего получения доступа в корпоративную сеть третьим лицам.

  1. 5. Грамотная защита корпоративной почты и фильтрация спама.

Безопасность корпоративной почты

Компании, которые обрабатывают большое количество электронной почты, в первую очередь подвержены фишинг–атакам.

Основными способами фильтрация спама, являются:

  • - установка специализированного ПО (данные услуги так же предлагает «Лаборатория Касперского»);
  • - создание и постоянное пополнение «черных» списков ip-адресов устройств, с которых ведется спам-рассылка;
  • - анализ вложений письма (должен осуществляться анализ не только текстовой части, но и всех вложений - фото, видео и текстовых файлов);
  • - определение «массовости» письма: спам-письма обычно идентичны для всех рассылок, это и помогает отследить их антиспам-сканерам, таким как «GFI MailEssentials» и «Kaspersky Anti-spam».

Это основные аспекты защиты информации в корпоративной сети, которые работают, практически в каждой компании. Но выбор защиты зависит также от самой структуры корпоративной сети.

В попытках обеспечить жизнеспособность компании службы безопасности фокусируют свое внимание на защите сетевого периметра – сервисов, доступных из интернета. Образ мрачного злоумышленника, который готов нападать из любой точки мира на публикуемые сервисы компании, не на шутку пугает владельцев бизнеса. Но насколько это справедливо, учитывая, что наиболее ценная информация находится отнюдь не на периметре организации, а в недрах ее корпоративных сетей? Как оценить соразмерность защищенности инфраструктуры от атак внешних и внутренних?

«Корабль в порту - это безопасно, но не с этой целью корабли строятся»

Ощущение безопасности обманчиво

В условиях тотальной информатизации и глобализации бизнес предъявляет новые требования к корпоративным сетям, на первый план выходят гибкость и независимость корпоративных ресурсов по отношению к его конечным пользователям: сотрудникам и партнерам. По этой причине сегодняшние корпоративные сети весьма далеки от традиционного понятия изолированности (несмотря на то, что изначально они охарактеризовались именно так).

Представьте себе офис: стены защищают от внешнего мира, перегородки и стены делят общую площадь на более мелкие специализированные зоны: кухня, библиотека, служебные комнаты, рабочие места и т. д. Переход из зоны в зону происходит в определенных местах - в дверных проемах, и при необходимости там же контролируется дополнительными средствами: видеокамерами, системами контроля доступа, улыбчивыми охранниками… Заходя в такое помещение, мы чувствуем себя в безопасности, возникает ощущение доверия, доброжелательности. Однако стоит признать, что это ощущение - лишь психологический эффект, основанный на «театре безопасности», когда целью проводимых мероприятий заявляется повышение безопасности, но по факту лишь формируется мнение о ее наличии. Ведь если злоумышленник действительно захочет что-либо предпринять, то нахождение в офисе не станет непреодолимой трудностью, а возможно даже наоборот, найдутся дополнительные возможности.

То же самое происходит и в корпоративных сетях. В условиях, когда существует возможность нахождения внутри корпоративной сети, классические подходы к обеспечению безопасности оказываются недостаточными. Дело в том, что методы защиты строятся исходя из внутренней модели угроз и нацелены на противодействие сотрудникам, которые могут случайно или умышленно, но без должной квалификации, нарушить политику безопасности. Но что если внутри окажется квалифицированный хакер? Стоимость преодоления сетевого периметра организации на подпольном рынке имеет практически фиксированную цену для каждой организации и в среднем не превышает 500$. Так, например, в по черному рынку хакерских услуг компании Dell на апрель 2016 года показан следующий прейскурант:

В итоге, можно купить взлом корпоративного почтового ящика, аккаунт от которого скорее всего подойдет ко всем другим корпоративным сервисам компании из-за распространенного принципа Single Sign-on авторизации. Или приобрести не отслеживаемые для антивирусов полиморфные вирусы и с помощью фишинговой рассылки заразить неосторожных пользователей, тем самым завладев управлением компьютера внутри корпоративной сети. Для хорошо защищенных сетевых периметров используются недостатки человеческого сознания, так, например, купив новые идентификационные документы и получив данные о рабочей и личной жизни сотрудника организации через заказ кибершпионажа, можно использовать социальную инженерию и получить конфиденциальную информацию.

Наш опыт проведения тестов на проникновение показывает, что внешний периметр преодолевается в 83% случаев, и в 54% это не требует высококвалифицированной подготовки. При этом по статистике примерно каждый пятый сотрудник компании готов сознательно продать свои учетные данные, в том числе и от удаленного доступа, тем самым колоссально упрощая преодоление сетевого периметра. При таких условиях внутренний и внешний злоумышленники становятся неотличимыми, что создает новый вызов безопасности корпоративных сетей.

Взять критические данные и не защитить

Внутри корпоративной сети вход во все системы контролируется и доступен только для уже прошедших проверку пользователей. Но эта самая проверка оказывается упомянутым ранее обычным «театром безопасности», так как реальное положение дел выглядит очень мрачно, и это подтверждается статистикой уязвимостей корпоративных информационных систем . Вот некоторые основные недостатки корпоративных сетей.

  • Словарные пароли

Как ни странно, использование слабых паролей свойственно не только для рядового персонала компаний, но и для самих IT-администраторов. Так, например, зачастую в сервисах и оборудовании остаются пароли, установленные производителем по умолчанию, или для всех устройств используется одно и то же элементарное сочетание. Например, одно из самых популярных сочетаний - учетная запись admin с паролем admin или password. Также популярны короткие пароли, состоящие из строчных букв латинского алфавита, и простые численные пароли, такие как 123456. Таким образом, достаточно быстро можно выполнить перебор пароля, найти правильную комбинацию и получить доступ к корпоративным ресурсам.

  • Хранение критичной информации внутри сети в открытом виде

Представим ситуацию: злоумышленник получил доступ к внутренней сети, здесь может быть два варианта развития событий. В первом случае информация хранится в открытом виде, и компания сразу же несет серьезные риски. В другом случае данные в сети зашифрованы, ключ хранится в другом месте - и компания имеет шансы и время противостоять злоумышленнику и спасти важные документы от кражи.

  • Использование устаревших версий операционных систем и их компонентов

Каждый раз, когда появляется обновление, одновременно с этим выпускается технический документ, в котором подробно описывается, какие недочеты и ошибки были исправлены в новой версии. Если была обнаружена проблема, связанная с безопасностью, то злоумышленники начинают активно исследовать эту тему, находить связанные ошибки и на этой основе разрабатывать инструменты взлома.

До 50% компаний либо не обновляют используемые программы, либо делают это слишком поздно. В начале 2016 года Королевский госпиталь Мельбурна пострадал от того, что его компьютеры работали под управлением Windows XP. Первоначально попав на компьютер отделения патологии, вирус стремительно распространился по сети, заблокировав на некоторое время автоматизированную работу всего госпиталя.

  • Использование бизнес-приложений самостоятельной разработки без контроля защищенности

Основная задача собственной разработки - функциональная работоспособность. Подобные приложения имеют низкий порог защищенности, зачастую выпускаются в условиях дефицита ресурсов и должной поддержки от производителя. Продукт по факту работает, выполняет задачи, но при этом его очень просто взломать и получить доступ к необходимым данным.

  • Отсутствие эффективной антивирусной защиты и других средств защиты

Считается, что спрятанное от внешнего взора - защищенно, т. е. внутренняя сеть как бы находится в безопасности. Безопасники внимательно следят за внешним периметром, а если он так хорошо охраняется, то и во внутренний хакер не попадет. А по факту в 88% случаев в компаниях не реализованы процессы обнаружения уязвимостей, нет систем предотвращения вторжений и централизованного хранения событий безопасности. В совокупности это не позволяет эффективно обеспечивать безопасность корпоративной сети.

При этом информация, которая хранится внутри корпоративной сети, имеет высокую степень значимости для работы предприятия: клиентские базы в CRM-системах и биллинге, критичные показатели бизнеса в ERP, деловая коммуникация в почте, документооборот, содержащийся на порталах и файловых ресурсах, и т. п.

Граница между корпоративной и публичной сетью стала настолько размытой, что полностью контролировать ее безопасность стало очень сложно и дорого. Ведь практически никогда не используют контрмеры против воровства или торговли учетными записями, небрежности сетевого администратора, угроз, реализуемых через социальную инженерию, и пр. Что заставляет злоумышленников пользоваться именно этими приемами преодоления внешней защиты и приблизиться к уязвимой инфраструктуре с более ценными сведениями.

Выходом может стать концепция информационной безопасности, в которой безопасность внутренней и внешней сети обеспечивается исходя из единой модели угроз, и с вероятностью трансформации одного вида злоумышленника в другой.

Злоумышленники против защитников - чья возьмет?

Информационная безопасность как состояние возможна только в случае с неуловимым Джо - из-за его ненужности. Противоборство между злоумышленниками и защитниками происходит в принципиально разных плоскостях. Злоумышленники извлекают выгоду вследствие нарушения конфиденциальности, доступности или целостности информации, и чем эффективнее и результативнее их работа, тем большую выгоду они смогут получить. Защитники же не извлекают выгоды из процесса обеспечения безопасности вовсе, любой шаг - это невозвращаемая инвестиция. Именно поэтому получило распространение риск-ориентированное управление безопасностью, при котором внимание защитников фокусируется на наиболее дорогих (с точки зрения оценки ущерба) рисках с наименьшей ценой их перекрытия. Риски с ценой перекрытия выше, чем у охраняемого ресурса, осознанно принимаются или страхуются. Задача такого подхода в том, чтобы как можно больше повысить цену преодоления наименее слабой точки безопасности организации, поэтому критичные сервисы должны быть хорошо защищены вне зависимости от того, где располагается данный ресурс - внутри сети или на сетевом периметре.

Риск-ориентированный подход - лишь вынужденная мера, позволяющая существовать концепции информационной безопасности в реальном мире. По факту, она ставит защитников в затруднительную позицию: свою партию они играют черными, лишь отвечая на возникающие актуальные угрозы.

Если рассмотреть систему информационной безопасности любой крупной компании, то это не только антивирус, но и несколько других программ для защиты по всем направлениям. Время простых решений для ИТ-безопасности давно осталось позади.

Конечно, основой общей системы информационной безопасности для любой организации является защита стандартной рабочей станции от вирусов. И здесь необходимость использования антивируса остается неизменной.

Но требования к корпоративной защите в целом изменились. Компаниям необходимы полноценные комплексные решения, способные не только обеспечивать защиту от самых сложных современных угроз, но и играть на опережение.

"Все больше крупных компаний выстраивают систему безопасности по принципу эшелонированной защиты."

Причем раньше эшелоны выстраивались на различных элементах ИТ-инфраструктуры, а сейчас многоуровневая защита должна быть даже на отдельных элементах ИТ-среды, в первую очередь на рабочих станциях и серверах

С какими угрозами столкнулись компании в 2014

С точки зрения угроз, огромной проблемой информационной безопасности в последнее время стали целевые атаки на корпорации и правительственные структуры. Многие методики, которые хакеры раньше применяли в атаках на домашних пользователей, теперь стали использоваться и применительно к бизнесу.

Это и модифицированные банковские троянцы, которые нацелены на сотрудников финансовых отделов и бухгалтерий, и различные программы-шифровальщики, которые стали работать в рамках корпоративных информационных сетей, и использование методов социальной инженерии.

Кроме того, популярность получили сетевые черви, для удаления которых требуется остановка работы всей корпоративной сети. Если с подобной проблемой сталкиваются компании, имеющие большое количество филиальных офисов, расположенных в различных часовых поясах, то любая остановка работы сети неизбежно ведет к финансовым потерям.

Согласно результатам исследования, проведенного «Лабораторией Касперского» в 2014 году среди ИБ-специалистов, чаще всего российские компании сталкиваются с

  • вредоносным ПО,
  • нежелательной корреспонденцией (спамом),
  • попытками несанкционированного проникновения в систему фишингом.
  • уязвимостями в установленном ПО,
  • рисками, связанными с поведением сотрудников компании.

Проблема усугубляется еще и тем, что киберугрозы далеко не статичны: они множатся с каждым днем, становятся разнообразнее и сложнее. Чтобы яснее понимать текущую ситуацию в области информационной безопасности и те последствия, к которым может привести даже единичный компьютерный инцидент, представим все в цифрах и фактах, полученных на основе данных «Лаборатории Касперского» по анализу событий 2014 года.

Статистика киберугроз


Кстати, именно мобильные устройства сегодня продолжают оставаться отдельной «головной болью» для специалистов по ИБ. Использование личных смартфонов и планшетов в рабочих целях допустимо уже в большинстве организаций, однако надлежащее управление этими устройствами и включение их в общую систему информационной безопасности компании практикуется далеко не везде.

"Cогласно данным «Лаборатории Касперского», на платформу Android сегодня нацелено 99% вредоносного ПО, специализирующегося на мобильных устройствах."

Чтобы понять, откуда берется такое количество угроз, и представить, с какой скоростью они увеличиваются в числе, достаточно сказать, что ежедневно специалисты «Лаборатории Касперского» обрабатывают 325 тысяч образцов нового вредоносного ПО.

На компьютеры пользователей зловреды чаще всего попадают двумя способами:

  • через уязвимости в легальном ПО
  • при помощи методов социальной инженерии.

Разумеется, очень часто встречается сочетание этих двух приемов между собой, но злоумышленники не пренебрегают и другими уловками.

Отдельной угрозой для бизнеса являются таргетированные атаки, которые становятся все более частым явлением.

"Использование нелегального ПО, конечно же, еще больше увеличивает риски стать успешной целью для кибератаки, в первую очередь из-за наличия в нем большего количества уязвимостей."

Уязвимости рано или поздно появляются в любом программном обеспечении. Это могут быть ошибки при разработке программы, устаревание версий или отдельных элементов кода. Как бы то ни было, основной проблемой является не наличие уязвимости, а ее своевременное обнаружение и закрытие.

К слову, в последнее время, и 2014 год является ярким тому свидетельством, производители ПО начинают все активнее закрывать имеющиеся в их программах уязвимости. Однако брешей в приложениях все равно хватает, и киберпреступники активно их используют для проникновения в корпоративные сети.

В 2014 году 45% всех инцидентов, связанных с уязвимостями, были спровоцированы «дырами» в популярном ПО Oracle Java.

Кроме того, в прошедшем году случился своего рода переломный момент – была обнаружена уязвимость в распространенном протоколе шифрования OpenSSL, получившая название Heartbleed. Эта ошибка позволяла злоумышленнику читать содержимое памяти и перехватывать личные данные в системах, использующих уязвимые версии протокола.

OpenSSL широко используется для защиты данных, передаваемых через Интернет (в том числе информации, которой пользователь обменивается с веб-страницами, электронных писем, сообщений в интернет-мессенджерах), и данных, передаваемых по каналам VPN (Virtual Private Networks), поэтому потенциальный ущерб от этой уязвимости был огромным.Не исключено, что эту уязвимость злоумышленники могли использовать как старт для новых кампаний кибершпионажа.

Жертвы атак

Вообще в 2014 году число организаций, ставших жертвами целенаправленных кибератак и кампаний кибершпионажа, увеличилось почти в 2,5 раза. За прошедший год почти 4,5 тысячи организаций по меньшей мере в 55 странах, в том числе и в России, стали целью киберпреступников.

Кража данных произошла как минимум в 20 различных секторах экономики:

  • государственные,
  • телекоммуникационные,
  • энергетические,
  • исследовательские,
  • индустриальные,
  • здравоохранительные,
  • строительные и другие компании.

Киберпреступники получили доступ к такой информации:

  • пароли,
  • файлы,
  • геолокационная информация,
  • аудиоданные,
  • снимки экранов
  • снимки веб-камеры.

Скорее всего, в некоторых случаях эти атаки имели поддержку государственных структур, другие же с большей вероятностью осуществлялись профессиональными группировками кибернаемников.

В последние годы Глобальный центр исследований и анализа угроз «Лаборатории Касперского» отслеживал деятельность более 60 преступных групп, ответственных за кибератаки, проводимые по всему миру. Их участники говорят на разных языках: русском, китайском, немецком, испанском, арабском, персидском и других.

Последствия таргетированных операций и кампаний кибершпионажа всегда крайне серьезны. Они неминуемо заканчиваются взломом и заражением корпоративной сети, нарушением бизнес-процессов, утечкой конфиденциальной информации, в частности интеллектуальной собственности. В 2014 году 98% российских компаний столкнулись с теми или иными киберинцидентами, источники которых находились, как правило, вне самих предприятий.Кроме того, еще в 87% организаций были зафиксированы инциденты, обусловленные внутренними угрозами.

"Общая сумма ущерба для крупных компаний в среднем составила 20 миллионов рублей за каждый успешный пример кибератаки."

Чего опасаются компании и как все обстоит на самом деле

«Лаборатория Касперского» ежегодно проводит исследования с целью выяснить отношение ИТ-специалистов к вопросам информационной безопасности. Исследование 2014 года показало, что абсолютное большинство российских компаний, а точнее 91%, недооценивают количество существующего на сегодняшний день вредоносного ПО. Более того, они даже не предполагают, что число зловредов еще и постоянно увеличивается.



Любопытно, что 13% ИТ-специалистов заявили, что не переживают из-за внутренних угроз.

Возможно, это объясняется тем, что в ряде компаний не принято разделять киберугрозы на внешние и внутренние. Кроме того, среди российских руководителей служб ИТ и ИБ есть такие, которые все же предпочитают решать все проблемы с внутренними угрозами мерами запретов.

Однако если человеку что-то запрещено, это вовсе не означает, что он этого не делает. Поэтому любые политики безопасности, в том числе запрещение, требуют соответствующих инструментов контроля, которые позволят гарантировать соблюдение всех требований.

Что касается типов информации, которая интересует злоумышленников прежде всего, то, как показало исследование, представления компаний и реальное положение дел довольно сильно различаются.

Так, сами компании больше всего боятся потерять

  • информацию о клиентах,
  • финансовые и операционные данные,
  • интеллектуальную собственность.
Немного меньше бизнес переживает за
  • информацию по анализу деятельности конкурентов,
  • платежную информацию,
  • персональные данные сотрудников
  • данные о корпоративных счетах в банках.

"На деле же выходит, что киберпреступники чаще всего крадут внутреннюю операционную информацию компаний (в 58% случаев), однако защищать эти данные в первую очередь считают необходимым лишь 15% компаний."

Для безопасности не менее важно продумать не только технологии и системы, но и учесть человеческий фактор: понимание целей специалистами, которые систему выстраивают, и понимание ответственности сотрудниками, которые пользуются устройствами.

В последнее время злоумышленники все чаще опираются не только на технические средства, но и на слабости людей: используют методы социальной инженерии, которые помогают выудить практически любую информацию.

Сотрудники, унося данные на своем устройстве, должны понимать, что несут ровно ту же ответственность, как если бы они уносили бумажные копии документов с собой.

Персонал компании также должен хорошо знать, что любое современное технически сложное устройство содержит дефекты, которыми может воспользоваться злоумышленник. Но чтобы этими дефектами воспользоваться, злоумышленник должен получить доступ к устройству. Поэтому при скачивании почты, приложений, музыки и картинок, необходимо проверять репутацию источника.

Важно с осторожностью относиться к провокационным СМС и электронным письмам и проверять надежность источника, прежде чем открыть письмо и перейти по ссылке.

Для того, чтобы компания все-таки имела защиту от подобных случайных или намеренных действий сотрудников, ей стоит использовать модули для защиты данных от утечек.

"Компаниям необходимо регулярно вспоминать про работу с персоналом: начиная с повышения квалификации ИТ-сотрудников и заканчивая разъяснениями основных правил безопасной работы в Интернете, не важно, с каких устройств туда они выходят."

Так, «Лаборатория Касперского» в этом году выпустила новый модуль, в котором реализованы функции защиты от утечки данных -

Защита в облаке

Многие крупные компании так или иначе использую облако, в России чаще всего в варианте частного облака. Тут важно помнить, что, как и любая другая информационная система, созданная человеком, облачные сервисы содержат в себе потенциальные уязвимости, которые могут быть использованы вирусописателями.

Поэтому при организации доступа даже к своему облаку необходимо помнить о безопасности канала связи и о конечных устройствах, которые используются на стороне сотрудников. Не менее важны внутренние политики, регламентирующие, кто из сотрудников имеет доступ к данным в облаке, или информацию какого уровня секретности можно хранить в облаке и т.д. В компании должны быть сформированы прозрачные правила:

  • какие службы и сервисы будут работать из облака,
  • какие – на локальных ресурсах,
  • какую именно информацию стоит размещать в облаках,
  • какую необходимо хранить «у себя».

На основе статьи: Время «тяжелых» решений: безопасность в Enterprise сегменте.

Идентификация / аутентификация (ИА) операторов должна вы­полняться аппаратно до этапа загрузки ОС. Базы данных ИА долж­ны храниться в энергонезависимой памяти систем защиты инфор­мации (СЗИ), организованной так, чтобы доступ к ней средствами ПК был невозможен, т.е. энергонезависимая память должна быть размещена вне адресного пространства ПК.

Идентификация / аутентификация удаленных пользователей, как и в предыдущем случае, требует аппаратной реализации. Аутенти­фикация возможна различными способами, включая электронную цифровую подпись (ЭЦП). Обязательным становится требование «усиленной аутентификации», т.е. периодического повторения про­цедуры в процессе работы через интервалы времени, достаточно малые для того, чтобы при преодолении защиты злоумышленник не мог нанести ощутимого ущерба.

2. Защита технических средств от НСД

Средства защиты компьютеров от НСД можно разделить на электронные замки (ЭЗ) и аппаратные модули доверенной загрузки (АМДЗ). Основное их отличие - способ реализации контроля це­лостности. Электронные замки аппаратно выполняют процедуры И/А пользователя, используют внешнее ПО для выполнения про­цедур контроля целостности. АМДЗ аппаратно реализуют как функ­ции ЭЗ, так и функции контроля целостности и функции админи­стрирования.

Контроль целостности технического состава ПК и ЛВС. Кон­троль целостности технического состава ПЭВМ должен выполняться контроллером СЗИ до загрузки ОС. При этом должны контролиро­ваться все ресурсы, которые (потенциально) могут использоваться совместно, в том числе центральный процессор, системный BIOS, гибкие диски, жесткие диски и CD-ROM.

Целостность технического состава ЛВС должна обеспечиваться процедурой усиленной аутентификации сети. Процедура должна выполняться на этапе подключения проверенных ПК к сети и далее через заранее определенные администратором безопасности интер­валы времени.

Контроль целостности ОС, т.е. контроль целостности системных областей и файлов ОС должен выполняться контроллером до загруз­ки ОС для обеспечения чтения реальных данных. Так как в элек­тронном документообороте могут использоваться различные ОС, то встроенное в контроллер ПО должно обеспечивать обслуживание наиболее популярных файловых систем.

Контроль целостности прикладного программного обеспечения (ППО) и данных может выполняться как аппаратным, так и программным компонентом СЗИ.

3. Разграничение доступа к документам, ресурсам ПК и сети

Современные операционные системы все чаще содержат встро­енные средства разграничения доступа. Как правило, эти средства используют особенности конкретной файловой системы (ФС) и ос­нованы на атрибутах, связанных с одним из уровней API операци­онной системы. При этом неизбежно возникают следующие две проблемы.


Привязка к особенностям файловой системы. В современных опе­рационных сйстемах, как правило, используются не одна, а несколь­ко ФС - как новые, так и устаревшие. Обычно на новой ФС встро­енное в ОС разграничение доступа работает, а на старой - может и не работать, так как использует существенные отличия новой ФС.

Это обстоятельство обычно прямо не оговаривается в сертификате, что может ввести пользователя в заблуждение. Именно с целью обеспечения совместимости старые ФС в этом случае включаются в состав новых ОС.

Привязка к API операционной системы. Как правило, операцион­ные системы меняются сейчас очень быстро - раз в год-полтора. Не исключено, что будут меняться еще чаще. Если при этом атри­буты разграничения доступа отражают состав API, с переходом на современную версию ОС будет необходимо переделывать настройки системы безопасности, проводить переобучение персонала и т.д.

Таким образом, можно сформулировать общее требование - подсистема разграничения доступа должна быть наложенной на операционную систему и тем самым быть независимой от файловой системы. Разумеется, состав атрибутов должен быть достаточен для целей описания политики безопасности, причем описание должно осуществляться не в терминах API ОС, а в терминах, в которых привычно работать администраторам безопасности системы.

4. Защита электронных документов

Защита электронного обмена информацией включает два класса задач:

Обеспечение эквивалентности документа в течение его жиз­ненного цикла исходному ЭлД-эталону;

Обеспечение эквивалентности примененных электронных тех­нологий эталонным.

Назначение любой защиты - обеспечение стабильности задан­ных свойств защищаемого объекта во всех точках жизненного цик­ла. Защищенность объекта реализуется сопоставлением эталона (объекта в исходной точке пространства и времени) и результата (объекта в момент наблюдения). Например, в случае, если в точке наблюдения (получения ЭлД) имеется только весьма ограниченная контекстная информация об эталоне (содержании исходного ЭлД), но зато имеется полная информация о результате (наблюдаемом до­кументе), то это означает, что ЭлД должен включать в свой состав атрибуты, удостоверяющие соблюдение технических и технологиче­ских требований, а именно - неизменность сообщения на всех этапах изготовления и транспортировки документа. Одним из вари­антов атрибутов могут быть защитные коды аутентификации (ЗКА).

Защита документа при его создании. При создании документа должен аппаратно вырабатываться защитный код аутентификации. Запись копии электронного документа на внешние носители до вы­работки ЗКА должна быть исключена. Если ЭлД формируется опе­ратором, то ЗКА должен быть привязан к оператору. Если ЭлД по­рождается программным компонентом АС, то ЗКА должен выраба­тываться с привязкой к данному программному компоненту.

Защита документа при его передаче. Защита документа при его передаче по внешним (открытым) каналам связи должна выпол­няться на основе применения сертифицированных криптографиче­ских средств, в том числе с использованием электронно-цифровой подписи (ЭЦП) для каждого передаваемого документа. Возможен и другой вариант - с помощью ЭЦП подписывается пачка докумен­тов, а каждый отдельный документ заверяется другим аналогом собственноручной подписи (АСП), например ЗКА.

Защита документа при его обработке, хранении и исполнении. На этих этапах защита документа осуществляется применением двух ЗКА - входного и выходного для каждого этапа. При этом ЗКА должны вырабатываться аппаратно с привязкой ЗКА к процедуре обработки (этапу информационной технологии). Для поступившего документа (с ЗКА и ЭЦП) вырабатывается второй ЗКА и только за­тем снимается ЭЦП.

Защита документа при доступе к нему из внешней среды. Защита документа при доступе к нему из внешней среды включает два уже описанных механизма - идентификация/аутентификация удален­ных пользователей и разграничение доступа к документам, ресурсам ПК и сети.

5. Защита данных в каналах связи

Традиционно для защиты данных в канале связи применяют канальные шифраторы и передаются не только данные, но и управ­ляющие сигналы.

6. Защита информационных технологий

Несмотря на известное сходство, механизмы защиты собственно ЭлД как объекта (число, данные) и защита ЭлД как процесса (функция, вычислительная среда) радикально отличаются. При за­щите информационной технологии в отличие от защиты ЭлД досто­верно известны характеристики требуемой технологии-эталона, но имеются ограниченные сведения о выполнении этих требований фактически использованной технологией, т.е. результате. Единст­венным объектом, который может нести информацию о фактиче­ской технологии (как последовательности операций), является соб­ственно ЭлД, а точнее входящие в него атрибуты. Как и ранее, од­ним из видов этих атрибутов могут быть ЗКА. Эквивалентность технологий может быть установлена тем точнее, чем большее коли­чество функциональных операций привязывается к сообщению че­рез ЗКА. Механизмы при этом не отличаются от применяемых при защите ЭлД. Более того, можно считать, что наличие конкретного ЗКА характеризует наличие в технологическом процессе соответст­вующей операции, а значение ЗКА характеризует целостность со­общения на данном этапе технологического процесса.

7. Разграничение доступа к потокам данных

Для целей разграничения доступа к потокам данных применя­ются, как правило, маршрутизаторы, которые используют крипто­графические средства защиты. В таких случаях особое внимание уделяется ключевой системе и надежности хранения ключей. Требо­вания к доступу при разграничении потоков отличаются от таковых при разграничении доступа к файлам и каталогам. Здесь возможен только простейший механизм - доступ разрешен или запрещен.

Выполнение перечисленных требований обеспечивает достаточ­ный уровень защищенности электронных документов как важнейше­го вида сообщений, обрабатываемых в информационных системах.

В качестве технических средств защиты информации в настоя­щее время разработан аппаратный модуль доверенной загрузки (АМДЗ), обеспечивающий загрузку ОС вне зависимости от ее типа для пользователя, аутентифицированного защитным механизмом. Результаты разработки СЗИ НСД «Аккорд» (разработчик ОКБ САПР) серийно выпускаются и являются на сегодня самым извест­ным в России средством защиты компьютеров от несанкциониро­ванного доступа. При разработке была использована специфика прикладной области, отраженная в семействе аппаратных средств защиты информации в электронном документообороте, которые на различных уровнях используют коды аутентификации (КА). Рас­смотрим примеры использования аппаратных средств.

1. В контрольно-кассовых машинах (ККМ) КА используются как средства аутентификации чеков как одного из видов ЭлД. Каждая ККМ должна быть снабжена блоком интеллектуальной фискальной памяти (ФП), которая кроме функций накопления данных об ито­гах продаж выполняет еще ряд функций:

Обеспечивает защиту ПО ККМ и данных от НСД;

Вырабатывает коды аутентификации как ККМ, так и каждого чека;

Поддерживает типовой интерфейс взаимодействия с модулем налогового инспектора;

Обеспечивает съем фискальных данных для представления в налоговую инспекцию одновременно с балансом.

Разработанный блок ФП «Аккорд-ФП» выполнен на основе СЗИ «Аккорд». Он характеризуется следующими особенностями:

Функции СЗИ НСД интегрированы с функциями ФП;

В составе блока ФП выполнены также энергонезависимые ре­гистры ККМ;

Процедуры модуля налогового инспектора так же интегриро­ваны, как неотъемлемая часть в состав блока «Аккорд-ФП».

2. В системе контроля целостности и подтверждения достоверно­сти электронных документов (СКЦПД) в автоматизированной сис­теме федерального или регионального уровня принципиальным отли­чием является возможность защиты каждого отдельного документа. Эта система позволила обеспечить контроль, не увеличивая значи­тельно трафик. Основой для создания такой системы стал контрол­лер «Аккорд-С Б/КА» - высокопроизводительный сопроцессор безопасности, реализующий функции выработки/проверки кодов аутентификации.

Обеспечивает управление деятельностью СКЦПД в целом ре­гиональный информационно-вычислительный центр (РИВЦ), взаимодействуя при этом со всеми АРМ КА - АРМ операторов- участников, оснащенными программно-аппаратными комплексами «Аккорд-СБ/КА» (А-СБ/КА) и программными средствами СКЦПД. В состав РИВЦ должно входить два автоматизированных рабочих места - АРМ-К для изготовления ключей, АРМ-Р для подготовки рассыпки проверочных данных.

3. Применение кодов аутентификации в подсистемах технологиче­ской защиты информации ЭлД. Основой для реализации аппаратных средств защиты информации может служить «Аккорд СБ» и «Ак­корд АМДЗ» (в части средств защиты от несанкционированного доступа). Для защиты технологий используются коды аутентифика­ции. Коды аутентификации электронных документов в подсистеме технологической защиты информации формируются и проверяются на серверах кода аутентификации (СКА) с помощью ключевых таб­лиц (таблиц достоверности), хранящихся во внутренней памяти ус­тановленных в СКА сопроцессоров «Аккорд-СБ». Таблицы досто­верности, закрытые на ключах доставки, доставляются на СКА и загружаются во внутреннюю память сопроцессоров, где и происхо­дит их раскрытие. Ключи доставки формируются и регистрируются на специализированном автоматизированном рабочем месте АРМ-К и загружаются в сопроцессоры на начальном этапе в процессе их персонализации.

Опыт широкомасштабного практического применения более 100 ООО модулей аппаратных средств защиты типа «Аккорд» в ком­пьютерных системах различных организаций России и стран ближне­го зарубежья показывает, что ориентация на программно-аппаратное решение выбрано правильно, так как оно имеет большие возмож­ности для дальнейшего развития и совершенствования.

Выводы

Недооценка проблем, связанных с безопасностью информации, может приводить к огромному ущербу.

Рост компьютерной преступности вынуждает заботиться об ин­формационной безопасности.

Эксплуатация в российской практике однотипных массовых про­граммно-технических средств (например, IBM-совместимые пер­сональные компьютеры; операционные системы - Window, Unix, MS DOS, Netware и т.д.) создает в определенной мере условия для злоумышленников.

Стратегия построения системы защиты информации должна опираться на комплексные решения, на интеграцию информаци­онных технологий и систем защиты, на использование передовых методик и средств, на универсальные технологии защиты инфор­мации промышленного типа.

Вопросы для самоконтроля

1. Назовите виды угроз информации, дайте определение угрозы.

2. Какие существуют способы защиты информации?

3. Охарактеризуйте управление доступом как способ защиты ин­формации. Каковы его роль и значение?

4. В чем состоит назначение криптографических методов защиты информации? Перечислите их.

5. Дайте понятие аутентификации и цифровой подписи. В чем их сущность?

6. Обсудите проблемы защиты информации в сетях и возможности их разрешения.

7. Раскройте особенности стратегии защиты информации с исполь­зованием системного подхода, комплексных решений и принци­па интеграции в информационных технологиях.

8. Перечислите этапы создания систем защиты информации.

9. Какие мероприятия необходимы для реализации технической защиты технологий электронного документооборота?

10. В чем заключается суть мультипликативного подхода?

11. Какие процедуры необходимо выполнить, чтобы защитить сис­тему электронного документооборота?

12. Какие функции выполняет сетевой экран?

Тесты к гл. 5

Вставьте недостающие понятия и словосочетания.

1. События или действия, которые могут привести к несанкциони­рованному использованию, искажению или разрушению информации, называются...

2. Среди угроз безопасности информации следует выделить два вида: ...

3. Перечисленные виды противодействия угрозам безопасности ин­формации: препятствие, управление доступом, шифрование, регламента­ция, принуждение и побуждение относятся к... обеспечения безопас­ности информации.

4. Следующие способы противодействия угрозам безопасности: фи­зические, аппаратные, программные, организационные, законодатель­ные, морально-этические, физические относятся к... обеспечения без­опасности информации.


5. Криптографические методы защиты информации основаны на ее...

6. Присвоение пользователю уникального обозначения для подтвер­ждения его соответствия называется...

7. Установление подлинности пользователя для проверки его соот­ветствия называется...

8. Наибольшая угроза для корпоративных сетей связана:

а) с разнородностью информационных ресурсов и технологий;

б) с программно-техническим обеспечением;

в) со сбоями оборудования. Выберите правильные ответы.

9. Рациональный уровень информационной безопасности в корпо­ративных сетях в первую очередь выбирается исходя из соображений:

а) конкретизации методов защиты;

б) экономической целесообразности;

в) стратегии защиты.

10. Резидентная программа, постоянно находящаяся в памяти компью­тера и контролирующая операции, связанные с изменением информации на магнитных дисках, называется:

а) детектором;

в) сторожем;

г) ревизором.

11. Антивирусные средства предназначены:

а) для тестирования системы;

б) для защиты программы от вируса;

в) для проверки программ на наличие вируса и их лечение;

г) для мониторинга системы.

Способы защиты информации на предприятии, также как и способы ее добычи, постоянно меняются. Регулярно появляются новые предложения от компаний, предоставляющих услуги по защите информации. Панацеи конечно нет, но есть несколько базовых шагов построения защиты информационной системы предприятия, на которые вам обязательно нужно обратить внимание.

Многим наверняка знакома концепция глубокой защиты от взлома информационной сети. Основная ее идея состоит в том, чтобы использовать несколько уровней обороны. Это позволит, как минимум, минимизировать ущерб, связанный с возможным нарушением периметра безопасности вашей информационной системы.
Далее рассмотрим общие аспекты компьютерной безопасности, а также создадим некий чеклист, служащий в качестве основы для построения базовой защиты информационной системы предприятия.

1. Межсетевой экран (файрвол, брэндмауэр)

Брандмауэр или файрвол - это первая линия обороны, которая встречает непрошенных гостей.
По уровню контроля доступа выделяют следующие типы брэндмауэра:

  • В простейшем случае фильтрация сетевых пакетов происходит согласно установленных правил, т.е. на основе адресов источника и назначения сетевых пакетов, номеров сетевых портов;
  • Брэндмауэр, работающий на сеансовом уровне (stateful). Он отслеживает активные соединения и отбрасывает поддельные пакеты, нарушающие спецификации TCP/IP;
  • Файрвол, работающий на прикладном уровне. Производит фильтрацию на основе анализа данных приложения, передаваемых внутри пакета.

Повышенное внимание к сетевой безопасности и развитие электронной коммерции привело к тому, что все большее число пользователей используют для своей защиты шифрование соединений (SSL, VPN). Это достаточно сильно затрудняет анализ трафика проходящего через межсетевые экраны. Как можно догадаться, теми же технологиями пользуются разработчики вредоносного программного обеспечения. Вирусы, использующие шифрование трафика, стали практически не отличимы от легального трафика пользователей.

2. Виртуальные частные сети (VPN)

Ситуации, когда сотруднику необходим доступ к ресурсам компании из общественных мест (Wi-Fi в аэропорту или гостинице) или из дома (домашнюю сеть сотрудников не контролируют ваши администраторы), особенно опасны для корпоративной информации. Для их защиты просто необходимо использовать шифрованные туннели VPN. Ни о каком доступе к удаленному рабочему столу (RDP) напрямую без шифрования не может быть и речи. Это же касается использования стороннего ПО: Teamviewer, Aammy Admin и т.д. для доступа к рабочей сети. Трафик через эти программы шифруется, но проходит через неподконтрольные вам сервера разработчиков этого ПО.

К недостаткам VPN можно отнести относительную сложность развертывания, дополнительные расходы на ключи аутентификации и увеличение пропускной способности интернет канала. Ключи аутентификации также могут быть скомпрометированы. Украденные мобильные устройства компании или сотрудников (ноутбуки, планшеты, смартфоны) с предварительно настроенными параметрами подключения VPN могут стать потенциальной дырой для несанкционированного доступа к ресурсам компании.

3. Системы обнаружения и предотвращения вторжений (IDS, IPS)

Система обнаружения вторжений (IDS - англ.: Intrusion Detection System) - программное или аппаратное средство, предназначенное для выявления фактов неавторизованного доступа в компьютерную систему (сеть), либо несанкционированного управления такой системой. В простейшем случае такая система помогает обнаружить сканирование сетевых портов вашей системы или попытки войти на сервер. В первом случае это указывает на первоначальную разведку злоумышленником, а во втором попытки взлома вашего сервера. Также можно обнаружить атаки, направленные на повышение привилегий в системе, неавторизованный доступ к важным файлам, а также действия вредоносного программного обеспечения. Продвинутые сетевые коммутаторы позволяют подключить систему обнаружения вторжений, используя зеркалирование портов, или через ответвители трафика.

Система предотвращения вторжений (IPS - англ.: Intrusion Prevention System) -программная или аппаратная система обеспечения безопасности, активно блокирующая вторжения по мере их обнаружения. В случае обнаружения вторжения, подозрительный сетевой трафик может быть автоматически перекрыт, а уведомление об этом немедленно отправлено администратору.

4. Антивирусная защита

Антивирусное программное обеспечение является основным рубежом защиты для большинства современных предприятий. По данным исследовательской компании Gartner, объем рынка антивирусного ПО по итогам 2012 года составил $19,14 млрд. Основные потребители - сегмент среднего и малого бизнеса.

Прежде всего антивирусная защита нацелена на клиентские устройства и рабочие станции. Бизнес-версии антивирусов включают функции централизованного управления для передачи обновлений антивирусных баз клиентские устройства, а также возможность централизованной настройки политики безопасности. В ассортименте антивирусных компаний присутствуют специализированные решения для серверов.
Учитывая то, что большинство заражений вредоносным ПО происходит в результате действий пользователя, антивирусные пакеты предлагают комплексные варианты защиты. Например, защиту программ электронной почты, чатов, проверку посещаемых пользователями сайтов. Кроме того, антивирусные пакеты все чаще включают в себя программный брандмауэр, механизмы проактивной защиты, а также механизмы фильтрации спама.

5. Белые списки

Что из себя представляют "белые списки"? Существуют два основных подхода к информационной безопасности. Первый подход предполагает, что в операционной системе по умолчанию разрешен запуск любых приложений, если они ранее не внесены в "черный список". Второй подход, напротив, предполагает, что разрешен запуск только тех программ, которые заранее были внесены в "белый список", а все остальные программы по умолчанию блокируются. Второй подход к безопасности конечно более предпочтителен в корпоративном мире. Белые списки можно создать, как с помощью встроенных средств операционной системы , так и с помощью стороннего ПО. Антивирусное ПО часто предлагает данную функцию в своем составе. Большинство антивирусных приложений, предлагающих фильтрацию по белому списку, позволяют провести первоначальную настройку очень быстро, с минимальным вниманием со стороны пользователя.

Тем не менее, могут возникнуть ситуации, в которых зависимости файлов программы из белого списка не были правильно определены вами или антивирусным ПО. Это приведет к сбоям приложения или к неправильной его установке. Кроме того, белые списки бессильны против атак, использующих уязвимости обработки документов программами из белого списка. Также следует обратить внимание на самое слабое звено в любой защите: сами сотрудники в спешке могут проигнорировать предупреждение антивирусного ПО и добавить в белый список вредоносное программное обеспечение.

6. Фильтрация спама

Спам рассылки часто применяются для проведения фишинг атак, использующихся для внедрения троянца или другого вредоноса в корпоративную сеть. Пользователи, которые ежедневно обрабатывают большое количество электронной почты, более восприимчивы к фишинг-сообщениям. Поэтому задача ИТ-отдела компании - отфильтровать максимальное количество спама из общего потока электронной почты.

Основные способы фильтрации спама:

  • Специализированные поставщики сервисов фильтрации спама;
  • ПО для фильтрации спама на собственных почтовых серверах;
  • Специализированные хардварные решения, развернутые в корпоративном дата-центре.

7. Поддержка ПО в актуальном состоянии

Своевременное обновление программного обеспечения и применение актуальных заплаток безопасности - важный элемент защиты корпоративной сети от несанкционированного доступа. Производители ПО, как правило, не предоставляют полную информацию о новой найденной дыре в безопасности. Однако злоумышленникам хватает и общего описания уязвимости, чтобы буквально за пару часов после публикации описания новой дыры и заплатки к ней, написать программное обеспечение для эксплуатации этой уязвимости.
На самом деле это достаточно большая проблема для предприятий малого и среднего бизнеса, поскольку обычно используется широкий спектр программных продуктов разных производителей. Часто обновлениям всего парка ПО не уделяется должного внимания, а это практически открытое окно в системе безопасности предприятия. В настоящее время большое количество ПО самостоятельно обновляется с серверов производителя и это снимает часть проблемы. Почему часть? Потому что сервера производителя могут быть взломаны и, под видом легальных обновлений, вы получите свежее вредоносное ПО. А также и сами производители порой выпускают обновления, нарушающие нормальную работу своего ПО. На критически важных участках бизнеса это недопустимо. Для предотвращения подобных инцидентов все получаемые обновления, во-первых, должны быть применены сразу после их выпуска, во-вторых, перед применением они обязательно должны быть тщательно протестированы.

8. Физическая безопасность

Физическая безопасность корпоративной сети является одним из важнейших факторов, который сложно переоценить. Имея физический доступ к сетевому устройству злоумышленник, в большинстве случаев, легко получит доступ к вашей сети. Например, если есть физический доступ к коммутатору и в сети не производится фильтрация МАС-адресов. Хотя и фильтрация MAC в этом случае вас не спасет. Еще одной проблемой является кража или небрежное отношение к жестким дискам после замены в сервере или другом устройстве. Учитывая то, что найденные там пароли могут быть расшифрованы, серверные шкафы и комнаты или ящики с оборудованием должны быть всегда надежно ограждены от проникновения посторонних.

Мы затронули лишь некоторые из наиболее распространенных аспектов безопасности. Важно также обратить внимание на обучение пользователей, периодический независимый аудит информационной безопасности, создание и соблюдение надежной политики информационной безопасности.
Обратите внимание на то, что защита корпоративной сети является достаточно сложной темой, которая постоянно меняется. Вы должны быть уверены, что компания не зависит всего лишь от одного-двух рубежей защиты. Всегда старайтесь следить за актуальной информацией и свежими решениями на рынке информационной безопасности.

Воспользуйтесь надежной защитой корпоративной сети в рамкам услуги «обслуживание компьютеров организаций» в Новосибирске.



— обзор настольной игры Dungeon Raiders (Расхитители подземелий) « Предыдущая запись

— обзор настольной игры Dungeon Raiders (Расхитители подземелий)

Ошибка сценария: как убрать? Следующая запись »

Ошибка сценария: как убрать?

Рубрики
Последние записи
Страницы

© 2024 Триколор телевидение — trikolo.ru ·