Kivshenko Alexey, 1880

Denne artikel indeholder en oversigt fem muligheder for at løse problemet med at organisere adgang til tjenester virksomhedens netværk fra internettet. Gennemgangen giver en analyse af muligheder for sikkerhed og gennemførlighed, som vil hjælpe både nybegyndere og mere erfarne specialister med at forstå essensen af ​​problemet, opdatere og systematisere deres viden. Materialerne i artiklen kan bruges til at begrunde dine designbeslutninger.

Når vi overvejer mulighederne, lad os som eksempel tage netværket, hvor du vil udgive:

1. Corporate mail server(Web-mail).
2. Enterprise terminal server (RDP).
3. Ekstranettjeneste for modparter (Web-API).

Mulighed 1: Fladt netværk

I denne mulighed er alle noder i virksomhedens netværk indeholdt i ét netværk, der er fælles for alle ("Internt netværk"), inden for hvilket kommunikation mellem dem ikke er begrænset. Netværket er forbundet til internettet gennem en grænserouter/firewall (herefter benævnt IFW).

Værter får adgang til internettet via NAT og adgang til tjenester fra internettet via portvideresendelse.

Fordele ved muligheden:

1. Minimumskrav til funktionalitet IFW(kan gøres på næsten enhver router, selv en hjemmerouter).
2. Minimumskrav til viden for den specialist, der implementerer muligheden.

Ulemper ved muligheden:

1. Minimumsniveau af sikkerhed. I tilfælde af et hack, hvor den indtrængende får kontrol over en af ​​serverne offentliggjort på internettet, bliver alle andre noder og kommunikationskanaler i virksomhedens netværk tilgængelige for ham for yderligere angreb.

Analogi til det virkelige liv
Et sådant netværk kan sammenlignes med en virksomhed, hvor personale og kunder er i ét fællesrum (åbent rum)


hrmaximum.ru

Mulighed 2. DMZ

For at eliminere den tidligere nævnte ulempe placeres netværksknuder, der er tilgængelige fra internettet, i et specielt udpeget segment - en demilitariseret zone (DMZ). DMZ er organiseret ved hjælp af firewalls, adskille det fra internettet ( IFW) og fra det interne netværk ( DFW).


I dette tilfælde ser firewall-filtreringsreglerne således ud:

1. Fra det interne netværk kan du oprette forbindelser til DMZ og til WAN ( Bredt område netværk).
2. Fra DMZ kan du oprette forbindelser til WAN.
3. Fra WAN kan du oprette forbindelser til DMZ.
4. Det er forbudt at starte forbindelser fra WAN og DMZ til det interne netværk.

Fordele ved muligheden:

1. Øget netværkssikkerhed mod hacking individuelle ydelser. Selvom en af ​​serverne er hacket, vil den indtrængende ikke være i stand til at få adgang til ressourcer på det interne netværk (f.eks. netværksprintere, videoovervågningssystemer osv.).

Ulemper ved muligheden:

1. At flytte servere til DMZ i sig selv øger ikke deres sikkerhed.
2. Der kræves en ekstra firewall for at adskille DMZ'en fra det interne netværk.

Analogi til det virkelige liv
Denne version af netværksarkitekturen ligner organiseringen af ​​arbejds- og klientområder i en virksomhed, hvor klienter kun kan være i klientområdet, og personale kan være i både klient- og arbejdsområdet. DMZ-segmentet er netop en analog af klientzonen.


autobam.ru

Mulighed 3. Opdeling af tjenester i Front-End og Back-End

Som tidligere nævnt forbedrer placeringen af ​​en server i en DMZ på ingen måde sikkerheden af ​​selve tjenesten. En af mulighederne for at rette op på situationen er at opdele tjenestens funktionalitet i to dele: Front-End og Back-End. Desuden er hver del placeret på en separat server, mellem hvilken netværksinteraktion er organiseret. Front-end-servere, som implementerer funktionaliteten af ​​interaktion med klienter placeret på internettet, placeres i DMZ, og back-end-servere, som implementerer den resterende funktionalitet, efterlades på det interne netværk. For interaktion mellem dem på DFW oprette regler, der tillader initiering af forbindelser fra Front-End til Back-End.

Som et eksempel, overvej en virksomhed Post service, der betjener klienter både fra netværket og fra internettet. Klienter indefra bruger POP3/SMTP, og klienter fra internettet arbejder via webgrænsefladen. Typisk vælger virksomheder på implementeringsstadiet den enkleste metode til at implementere tjenesten og placerer alle dens komponenter på én server. Derefter, som behovet for at sikre informationssikkerhed, funktionaliteten af ​​tjenesten er opdelt i dele, og den del, der er ansvarlig for at betjene klienter fra internettet (Front-End), overføres til en separat server, som via netværket interagerer med den server, der implementerer den resterende funktionalitet (Tilbage). -Ende). I dette tilfælde er Front-Enden placeret i DMZ'en, og Back-Enden forbliver i det interne segment. Til kommunikation mellem Front-End og Back-End on DFW oprette en regel, der tillader initiering af forbindelser fra Front-End til Back-End.

Fordele ved muligheden:

1. Generelt kan angreb rettet mod den beskyttede tjeneste "snuble" over Front-Enden, hvilket vil neutralisere eller væsentligt reducere mulig skade. For eksempel vil angreb som TCP SYN Flood eller langsom http-læsning rettet mod en tjeneste føre til, at Front-End-serveren kan blive utilgængelig, mens Back-Enden vil fortsætte med at fungere normalt og betjene brugere.
2. Generelt har Back-End-serveren muligvis ikke adgang til internettet, hvilket, hvis den bliver hacket (f.eks. ved at køre ondsindet kode lokalt), vil gøre det vanskeligt at fjernstyre den fra internettet.
3. Front-End er velegnet til hosting af en firewall på applikationsniveau (f.eks. webapplikationsfirewall) eller et indtrængningsforebyggelsessystem (IPS, f.eks. snort).

Ulemper ved muligheden:

1. Til kommunikation mellem Front-End og Back-End on DFW der oprettes en regel, der tillader initiering af en forbindelse fra DMZ til det interne netværk, hvilket skaber trusler forbundet med brugen af ​​denne regel fra andre knudepunkter i DMZ (for eksempel gennem implementering af IP-spoofing-angreb, ARP-forgiftning, etc.)
2. Ikke alle tjenester kan opdeles i Front-End og Back-End.
3. Virksomheden skal implementere forretningsprocesser til opdatering af firewallregler.
4. Virksomheden skal implementere mekanismer til at beskytte mod angreb fra ubudne gæster, der har fået adgang til en server i DMZ.

Noter

1. I I virkeligheden selv uden at opdele servere i Front-End og Back-End, har servere fra DMZ meget ofte brug for at få adgang til servere placeret på det interne netværk, så de angivne ulemper ved denne mulighed vil også være sande for den tidligere overvejede mulighed.
2. Hvis vi overvejer beskyttelsen af ​​applikationer, der kører via webgrænsefladen, så selvom serveren ikke understøtter adskillelsen af ​​funktioner i front-end og back-end, brugen af ​​en http reverse proxy-server (f.eks. nginx) som en Front-End vil minimere de risici, der er forbundet med angreb for lammelsesangreb. For eksempel kan SYN-oversvømmelsesangreb gøre http omvendt proxy utilgængelig, mens Back-End fortsætter med at arbejde.

Analogi til det virkelige liv
Denne mulighed ligner i det væsentlige tilrettelæggelsen af ​​arbejdet, hvor assistenter - sekretærer - bruges til højt belastede arbejdere. Så vil Back-Enden være analogen til en travl medarbejder, og Front-Enden vil være analogen til en sekretær.


mln.kz

Mulighed 4: Sikker DMZ

DMZ er en del af netværket, der er tilgængeligt fra internettet, og som følge heraf underlagt den maksimale risiko for kompromittering af værten. Designet af DMZ'en og de tilgange, der anvendes i den, bør give maksimal overlevelsesevne under forhold, hvor den indtrængende har fået kontrol over en af ​​knudepunkterne i DMZ'en. Som mulige angreb, lad os overveje angreb, som næsten alle informationssystemer, der opererer med standardindstillinger, er modtagelige for:

Beskyttelse mod DHCP-angreb

På trods af at DHCP er beregnet til at automatisere konfigurationen af ​​IP-adresser til arbejdsstationer, er der i nogle virksomheder tilfælde, hvor IP-adresser til servere udstedes gennem DHCP, men det er en ret dårlig praksis. Derfor, for at beskytte mod Rogue DHCP Server, DHCP sult, anbefales det at deaktivere DHCP fuldstændigt i DMZ.

Beskyttelse mod MAC oversvømmelsesangreb

For at beskytte mod MAC-oversvømmelse er switch-porte konfigureret til at begrænse den maksimale intensitet af broadcast-trafik (da disse angreb normalt genererer broadcast-trafik). Angreb relateret til brugen af ​​specifikke (unicast) netværksadresser, vil blive blokeret af MAC-filtrering, som vi dækkede tidligere.

Beskyttelse mod UDP-oversvømmelsesangreb

Beskyttelse mod denne type angreb svarer til beskyttelse mod MAC-oversvømmelse, bortset fra at filtrering udføres på IP (L3) niveau.

Beskyttelse mod TCP SYN oversvømmelsesangreb

For at beskytte mod dette angreb er følgende muligheder mulige:

1. Beskyttelse ved netværksknuden ved hjælp af TCP SYN Cookie-teknologi.
2. Beskyttelse på firewallniveau (med forbehold for undernetværk af DMZ) ved at begrænse intensiteten af ​​trafik, der indeholder TCP SYN-anmodninger.

Beskyttelse mod angreb på netværkstjenester og webapplikationer

Der er ingen universel løsning på dette problem, men etableret praksis er at implementere processer til håndtering af softwaresårbarhed (identifikation, installation af patches osv., for eksempel), samt brug af indtrængen detektion og forebyggelsessystemer (IDS/IPS).

Beskyttelse mod autentificering omgå angreb

Hvad angår den tidligere sag universal løsning der er ikke noget sådant problem.
Normalt, i tilfælde af et stort antal mislykkede godkendelsesforsøg, blokeres konti for at undgå at gætte godkendelsesdata (f.eks. en adgangskode). Men denne tilgang er ret kontroversiel, og her er hvorfor.
For det første kan den indtrængende foretage udvælgelsen af ​​autentificeringsoplysninger med en intensitet, der ikke fører til blokering af konti (der er tilfælde, hvor adgangskoden blev valgt over flere måneder med et interval mellem forsøg på flere ti minutter).
For det andet kan denne funktion bruges til lammelsesangreb, hvor angriberen bevidst vil foretage et stort antal godkendelsesforsøg for at blokere konti.
Mest effektiv mulighed mod angreb af denne klasse vil være brugen af ​​IDS/IPS-systemer, som, når de detekterer forsøg på at gætte adgangskoden, vil blokere ikke kontoen, men kilden, hvorfra dette gættes opstår (for eksempel blokere IP-adressen på den indtrængende).

Den endelige liste over beskyttelsesforanstaltninger for denne mulighed:

1. DMZ er opdelt i IP-undernet med et separat undernet for hver node.
2. IP-adresser tildeles manuelt af administratorer. DHCP bruges ikke.
3. På de netværksgrænseflader, som DMZ-noder er tilsluttet, aktiveres MAC- og IP-filtrering, begrænsninger på intensiteten af ​​broadcast-trafik og trafik indeholdende TCP SYN-anmodninger.
4. Automatisk forhandling af porttyper er deaktiveret på switches, og brugen af ​​native VLAN er forbudt.
5. En TCP SYN-cookie er konfigureret på DMZ-noder og interne netværksservere, som disse noder forbinder til.
6. Softwaresårbarhedsstyring implementeres for DMZ-noder (og helst resten af ​​netværket).
7. IDS/IPS indtrængningsdetektion og -forebyggelsessystemer er ved at blive implementeret i DMZ-segmentet.

Fordele ved muligheden:

1. Høj grad af sikkerhed.

Ulemper ved muligheden:

1. Øgede krav til udstyrs funktionalitet.
2. Lønomkostninger til implementering og support.

Analogi til det virkelige liv
Hvis vi tidligere sammenlignede DMZ med et klientområde udstyret med sofaer og ottomaner, så vil en sikker DMZ være mere som et pansret kasseapparat.


valmax.com.ua

Mulighed 5. Tilslut tilbage

Beskyttelsesforanstaltningerne i den tidligere version var baseret på det faktum, at der var en enhed på netværket (switch / router / firewall), der var i stand til at implementere dem. Men i praksis, for eksempel, når du bruger virtuel infrastruktur (virtuelle switches har ofte meget begrænsede muligheder), en sådan enhed findes muligvis ikke.

Under disse forhold bliver mange af de tidligere diskuterede angreb tilgængelige for overtræderen, hvoraf de farligste vil være:

• angreb, der giver dig mulighed for at opsnappe og ændre trafik (ARP-forgiftning, CAM-tabeloverløb + TCP-sessionkapring osv.);
• angreb relateret til udnyttelse af sårbarheder i interne netværksservere, hvortil forbindelser kan initieres fra DMZ (hvilket er muligt ved at omgå filtreringsregler DFW på grund af IP- og MAC-spoofing).

Den næste vigtige egenskab, som vi ikke tidligere har overvejet, men som ikke holder op med at være mindre vigtig, er, at automatiserede arbejdsstationer (AWS) af brugere også kan være en kilde (f.eks. når de er inficeret med virus eller trojanske heste) til skadelige effekter på servere.

Vi står således over for opgaven med at beskytte det interne netværks servere mod angreb fra den indtrængende både fra DMZ og fra det interne netværk (infektion af arbejdsstationen med en trojaner kan fortolkes som handlinger fra den indtrængende fra det interne netværk ).

Den fremgangsmåde, der foreslås nedenfor, er rettet mod at reducere antallet af kanaler, hvorigennem en indtrængende kan angribe servere, og der er mindst to sådanne kanaler. Den første er reglen om DFW, der giver adgang til den interne netværksserver fra DMZ'en (selv om den er begrænset af IP-adresser), og den anden er åben på serveren netværksport, hvor der forventes forbindelsesanmodninger.

Du kan lukke disse kanaler, hvis den interne netværksserver selv bygger forbindelser til serveren i DMZ'en og gør dette ved hjælp af kryptografisk sikre netværksprotokoller. Så bliver der ingen åben port, ingen regler vedr DFW.

Men problemet er, at almindelige servertjenester ikke ved, hvordan man arbejder på denne måde, og for at implementere denne tilgang er det nødvendigt at bruge netværkstunneling, implementeret f.eks. bruger SSH eller VPN, og i tunnelerne tillade forbindelser fra serveren i DMZ til den interne netværksserver.

Det generelle skema for driften af ​​denne mulighed er som følger:

1. En SSH/VPN-server er installeret på serveren i DMZ, og en SSH/VPN-klient er installeret på serveren i det interne netværk.
2. Den interne netværksserver igangsætter konstruktionen af ​​en netværkstunnel til serveren i DMZ'en. Tunnelen er bygget med gensidig autentificering af klient og server.
3. Serveren fra DMZ'en, i den konstruerede tunnel, initierer en forbindelse til serveren i det interne netværk, hvorigennem de beskyttede data overføres.
4. En lokal firewall er konfigureret på den interne netværksserver til at filtrere trafik, der passerer gennem tunnelen.

Brug af denne mulighed i praksis har vist, at det er praktisk at bygge netværkstunneller ved hjælp af OpenVPN, da det har følgende vigtige egenskaber:

• Cross-platform. Du kan organisere kommunikation på servere med forskellige operativsystemer.
• Mulighed for at bygge tunneler med gensidig autentificering af klient og server.
• Mulighed for at bruge certificeret kryptografi.

Ved første øjekast kan det se ud til, at denne ordning er unødvendigt kompliceret, og at da du stadig skal installere en lokal firewall på den interne netværksserver, ville det være nemmere at få serveren fra DMZ til, som sædvanligt, at oprette forbindelse til det interne netværk server, men gør det ved en krypteret forbindelse. Denne mulighed vil faktisk løse mange problemer, men den vil ikke være i stand til at give det vigtigste - beskyttelse mod angreb på interne netværksservers sårbarheder udført ved at omgå firewallen ved hjælp af IP- og MAC-spoofing.

Fordele ved muligheden:

1. Arkitektonisk reduktion af antallet af angrebsvektorer på den beskyttede interne netværksserver.
2. Sikring af sikkerhed i fravær af netværkstrafikfiltrering.
3. Beskyttelse af data transmitteret over netværket mod uautoriseret visning og modifikation.
4. Evnen til selektivt at øge sikkerhedsniveauet for tjenester.
5. Mulighed for implementering dobbeltkredsløbssystem beskyttelse, hvor det første kredsløb leveres ved hjælp af firewalling, og det andet er organiseret på basis af denne mulighed.

Ulemper ved muligheden:

1. Implementering og vedligeholdelse af denne beskyttelsesmulighed kræver ekstra arbejdsomkostninger.
2. Inkompatibel med netværkssystemer indbrudsdetektion og -forebyggelse (IDS/IPS).
3. Yderligere computerbelastning på servere.

Analogi til det virkelige liv
Hovedbetydningen af ​​denne mulighed er, at den betroede person etablerer en forbindelse med den ikke betroede person, hvilket svarer til situationen, når bankerne ved udstedelse af lån selv ringer den potentielle låntager tilbage for at tjekke dataene. Tilføj tags

Trusler og sårbarheder ved kablede virksomhedsnetværk

På indledende fase Med udviklingen af ​​netværksteknologier var skaderne fra virus og andre typer computerangreb lille, da verdensøkonomiens afhængighed af informationsteknologi var lille. I øjeblikket i betragtning af virksomhedens betydelige afhængighed af elektroniske midler adgang til og udveksling af information og et stadigt stigende antal angreb, skaderne fra de mest mindre angreb, der fører til tab af computertid, anslås i millioner af dollars, og den samlede årlige skade på den globale økonomi beløber sig til titusindvis af milliarder af dollars. .

Oplysninger, der behandles på virksomhedens netværk er særligt sårbare, hvilket lettes af:
øge mængden af ​​information, der behandles, transmitteres og lagres på computere;
koncentration af information på forskellige niveauer af betydning og fortrolighed i databaser;
Udvidelse af adgang for en kreds af brugere til information lagret i databaser og til computernetværksressourcer;
øge antallet af fjernjob;
bred brug global Internet netværk og forskellige kommunikationskanaler;
automatisering af informationsudveksling mellem brugercomputere.

En analyse af de mest almindelige trusler, som moderne kablede virksomhedsnetværk er udsat for, viser, at kilderne til trusler kan variere fra uautoriserede indtrængen fra angribere til computervirus, hvor menneskelige fejl er en meget væsentlig sikkerhedstrussel. Det er nødvendigt at tage højde for, at kilder til sikkerhedstrusler kan være placeret både inde i CIS - interne kilder og uden for det - eksterne kilder. Denne opdeling er helt berettiget, fordi for den samme trussel (for eksempel tyveri), modforanstaltninger til eksterne og interne kilder er forskellige. Viden om mulige trusler såvel som sårbarhederne i CIS er nødvendigt for at vælge det meste effektive midler at sikre sikkerhed.

De mest hyppige og farlige (med hensyn til mængden af ​​skade) er utilsigtede fejl fra brugere, operatører og systemadministratorer, der servicerer CIS. Nogle gange fører sådanne fejl til direkte skade (forkert indtastede data, en fejl i programmet, der fik systemet til at stoppe eller kollapse), og nogle gange skaber de svage punkter, som kan bruges af angribere (disse er normalt administrative fejl).

Ifølge US National Institute of Standards and Technology (NIST) er 55 % af IP-sikkerhedsbrud resultatet af utilsigtede fejl. At arbejde i en global IP gør denne faktor ret relevant, og kilden til skade kan være både handlinger fra organisationens brugere og brugere af det globale netværk, hvilket er særligt farligt. I fig. Figur 2.4 viser et cirkeldiagram, der illustrerer statistiske data om kilderne til sikkerhedsbrud i CIS.

Tyveri og dokumentfalsk er på andenpladsen, hvad angår skader. I de fleste af de undersøgte sager viste gerningsmændene sig at være fuldtidsansatte i organisationer, som var godt bekendt med arbejdsplanen og beskyttelsesforanstaltningerne. Tilstedeværelsen af ​​en stærk informationskanal for kommunikation med globale netværk i mangel af ordentlig kontrol over dens drift kan yderligere lette sådanne aktiviteter.

Ris. 2.4. Kilder til sikkerhedsbrud

Fornærmede medarbejdere, selv tidligere, er fortrolige med procedurerne i organisationen og er i stand til at forårsage skade meget effektivt. Når en medarbejder afskediges, skal dennes adgangsret til informationsressourcer derfor tilbagekaldes.

Forsætlige forsøg på at opnå uautoriseret adgang gennem ekstern kommunikation udgør omkring 10 % af alle mulige overtrædelser. Selvom denne værdi ikke virker så væsentlig, viser erfaringer på internettet, at næsten hver internetserver er genstand for indtrængningsforsøg flere gange om dagen. Forsvarsstyrelsens test informationssystemer(USA) viste, at 88% af computere har svagheder med hensyn til informationssikkerhed, som aktivt kan bruges til at opnå uautoriseret adgang. Separat bør tilfælde af fjernadgang til organisationers informationsstrukturer overvejes.

Inden der opbygges en sikkerhedspolitik, er det nødvendigt at vurdere de risici, som organisationens computermiljø er udsat for, og træffe passende handlinger. Det er indlysende, at organisationens omkostninger til overvågning og forebyggelse af sikkerhedstrusler ikke bør overstige de forventede tab.

De leverede statistikker kan fortælle administrationen og personalet i en organisation, hvor indsatsen bør rettes for effektivt at reducere sikkerhedstrusler mod virksomhedens netværk og system. Selvfølgelig skal vi håndtere problemer fysisk sikkerhed og foranstaltninger til at reducere den negative indvirkning på sikkerheden af ​​menneskelige fejl, men samtidig er det nødvendigt at være mest alvorlig opmærksom på at løse problemer netværkssikkerhed at forhindre angreb på virksomhedens netværk og system både udefra og inde fra systemet.

I et forsøg på at sikre en virksomheds levedygtighed fokuserer sikkerhedsteams deres opmærksomhed på at beskytte netværkets perimeter - de tjenester, der er tilgængelige fra internettet. Billedet af en mørk angriber, der er klar til at angribe en virksomheds offentliggjorte tjenester fra hvor som helst i verden, skræmmer virksomhedsejere alvorligt. Men hvor retfærdigt er dette, i betragtning af at den mest værdifulde information ikke er placeret i omkredsen af ​​organisationen, men i dybet af dens virksomhedsnetværk? Hvordan vurderer man proportionaliteten af ​​infrastruktursikkerhed mod eksterne og interne angreb?

"Et skib i en havn er sikkert, men det er ikke det, skibe er bygget til"

Følelsen af ​​tryghed er bedragerisk

I forhold til total informatisering og globalisering stiller erhvervslivet nye krav til virksomhedens netværk, fleksibilitet og uafhængighed af virksomhedens ressourcer i forhold til slutbrugerne: medarbejdere og partnere kommer i forgrunden. Af denne grund er nutidens virksomhedsnetværk meget langt fra det traditionelle koncept for isolation (på trods af at de oprindeligt blev karakteriseret som sådan).

Forestil dig et kontor: vægge beskytter mod omverdenen, skillevægge og vægge opdeler det samlede areal i mindre specialiserede zoner: køkken, bibliotek, servicerum, arbejdspladser osv. Overgangen fra zone til zone sker visse steder - i døråbninger, og, om nødvendigt kontrolleret der yderligere midler: videokameraer, adgangskontrolsystemer, smilende vagter... Når vi kommer ind i sådan et rum, føler vi os trygge, der er en følelse af tillid og velvilje. Det er dog værd at erkende, at denne følelse kun er en psykologisk effekt med udgangspunkt i ”sikkerhedens teater”, når formålet med aktiviteterne angives at være øget tryghed, men faktisk kun dannes en mening om dens eksistens. Når alt kommer til alt, hvis en angriber virkelig vil gøre noget, vil det at være på kontoret ikke blive en uoverstigelig vanskelighed, og måske endda tværtimod, vil der være yderligere muligheder.

Det samme sker i virksomhedens netværk. Under forhold, hvor det er muligt at være inde i et virksomhedsnetværk, er klassiske tilgange til at sikre sikkerhed utilstrækkelige. Faktum er, at beskyttelsesmetoder er baseret på den interne trusselsmodel og har til formål at imødegå medarbejdere, der ved et uheld eller bevidst, men uden de rette kvalifikationer, kan overtræde sikkerhedspolitikken. Men hvad nu hvis der er en dygtig hacker indeni? Omkostningerne ved at overvinde en organisations netværksperimeter på det underjordiske marked har en næsten fast pris for hver organisation og overstiger i gennemsnit ikke 500 USD. For eksempel er følgende prisliste vist i Dells sorte marked for hacking-tjenester fra april 2016:

Som et resultat kan du købe et firmapostkassehack, hvorfra kontoen højst sandsynligt vil matche alle andre virksomhedsydelser virksomheder på grund af det udbredte princip om Single Sign-on-autorisation. Eller køb polymorfe vira, der ikke kan spores af antivirus, og brug phishing-e-mails til at inficere uforsigtige brugere og derved tage kontrol over en computer inde i virksomhedens netværk. For velbeskyttede netværksperimetre bruges manglerne ved den menneskelige bevidsthed, for eksempel ved at købe nye identifikationsdokumenter og indhente data om en organisationsmedarbejders arbejde og personlige liv gennem rækkefølgen af ​​cyberspionage, man kan bruge social engineering og opnå fortrolige oplysninger.

Vores erfaring med at udføre penetrationstest viser, at den ydre perimeter er penetreret i 83 % af tilfældene, og i 54 % kræver dette ikke højt kvalificeret uddannelse. Samtidig er cirka hver femte virksomhedsmedarbejder ifølge statistikker klar til bevidst at sælge deres legitimationsoplysninger, inklusive dem til fjernadgang, og derved i høj grad forenkle indtrængning af netværkets omkreds. Under sådanne forhold bliver interne og eksterne angribere ude af skel, hvilket skaber en ny udfordring for virksomhedens netværks sikkerhed.

At tage kritiske data og ikke beskytte dem

Inden for virksomhedens netværk er login til alle systemer kontrolleret og kun tilgængelig for allerede verificerede brugere. Men netop denne kontrol viser sig at være det tidligere nævnte sædvanlige "sikkerhedsteater", da den virkelige tilstand ser meget dyster ud, og dette bekræftes af statistikker over sårbarheder i virksomhedernes informationssystemer. Her er nogle af de største ulemper ved virksomhedsnetværk.

• Ordbog adgangskoder

Mærkeligt nok er brugen af ​​svage adgangskoder typisk ikke kun for almindeligt firmapersonale, men også for it-administratorer selv. For eksempel beholder tjenester og udstyr ofte standardadgangskoder, der er angivet af producenten, eller den samme grundlæggende kombination bruges til alle enheder. For eksempel er en af ​​de mest populære kombinationer Konto admin med adgangskode admin eller adgangskode. Korte adgangskoder bestående af små bogstaver Det latinske alfabet og simple numeriske adgangskoder som f.eks. 123456. Således kan du hurtigt brute force en adgangskode, finde den rigtige kombination og få adgang til virksomhedens ressourcer.

• Lagring af kritisk information i netværket i klar form

Lad os forestille os en situation: en angriber har fået adgang til det interne netværk; der kan være to scenarier for udviklingen af ​​begivenheder. I det første tilfælde opbevares oplysningerne i åben form, og virksomheden løber straks alvorlige risici. I et andet tilfælde er dataene på netværket krypteret, nøglen gemt et andet sted – og virksomheden har chancen og tiden til at modstå angriberen og redde vigtige dokumenter fra tyveri.

• Brug af forældede versioner af operativsystemer og deres komponenter

Hver gang en opdatering er tilgængelig, frigives den på samme tid teknisk dokument, som i detaljer beskriver, hvilke mangler og fejl der er rettet i ny version. Hvis et sikkerhedsrelateret problem er blevet opdaget, begynder angribere aktivt at undersøge dette emne, find relaterede fejl og på dette grundlag udvikle hacking-værktøjer.

Op til 50 % af virksomhederne opdaterer enten ikke deres software eller gør det for sent. I begyndelsen af ​​2016 led Royal Melbourne Hospital af computere, der kørte under Windows kontrol XP. Efter først at have landet på patologiafdelingens computer spredte virussen sig hurtigt over netværket og blokerede det automatiserede arbejde på hele hospitalet i nogen tid.

• Brug af egenudviklede forretningsapplikationer uden sikkerhedskontrol

Hovedopgaven egen udvikling- funktionel ydeevne. Sådanne applikationer har en lav sikkerhedstærskel og frigives ofte under forhold med knaphed på ressourcer og korrekt support fra producenten. Produktet fungerer faktisk, udfører opgaver, men det er samtidig meget nemt at hacke og få adgang til de nødvendige data.

• Mangel på effektiv antivirusbeskyttelse og andre sikkerhedsforanstaltninger

Det menes, at det, der er skjult for det ydre øje, er beskyttet, det vil sige, at det interne netværk så at sige er sikkert. Sikkerhedsvagter overvåger nøje den ydre omkreds, og hvis den er så godt bevogtet, så kommer en hacker ikke ind i den indre. Men faktisk implementerer virksomheder i 88 % af tilfældene ikke processer til registrering af sårbarhed, der er ingen indtrængenforebyggelsessystemer og ingen centraliseret lagring af sikkerhedshændelser. Samlet set sikrer dette ikke effektivt et virksomhedsnetværks sikkerhed.

Samtidig har information, der er gemt inden for virksomhedens netværk høj grad betydning for virksomhedens drift: kundegrundlag i CRM-systemer og fakturering, kritiske forretningsindikatorer i ERP, forretningskommunikation i mail, dokumentflow indeholdt i portaler og filressourcer mv.

Grænsen mellem et virksomheds- og offentligt netværk er blevet så udvisket, at det er blevet meget vanskeligt og dyrt at kontrollere dets sikkerhed fuldt ud. De bruger trods alt næsten aldrig modforanstaltninger mod tyveri eller handel med konti, uagtsomhed netværksadministrator, trusler implementeret gennem social engineering osv. Hvad tvinger angribere til at bruge netop disse teknikker til at overvinde ekstern beskyttelse og komme tættere på sårbar infrastruktur med mere værdifuld information.

Løsningen kan være begrebet informationssikkerhed, hvor sikkerheden af ​​de interne og eksterne netværk er sikret ud fra en enkelt trusselmodel, og med sandsynlighed for at transformere en type angriber til en anden.

Angribere versus forsvarere - hvem vinder?

Informationssikkerhed som stat er kun mulig i tilfældet med den undvigende Joe - på grund af hans ubrugelighed. Konfrontationen mellem angribere og forsvarere sker på fundamentalt forskellige planer. Angribere drager fordel af at krænke oplysningernes fortrolighed, tilgængelighed eller integritet, og jo mere effektivt og effektivt deres arbejde er, jo mere kan de drage fordel af det. Forsvarere har overhovedet ikke gavn af sikkerhedsprocessen; ethvert trin er en investering, der ikke kan refunderes. Derfor er risikobaseret sikkerhedsstyring blevet udbredt, hvor forsvarernes opmærksomhed er fokuseret på de dyreste (ud fra et skadevurderingssynspunkt) risici med de laveste omkostninger til at dække dem. Risici med en dækningsomkostning, der er højere end for den beskyttede ressource, accepteres eller forsikres bevidst. Målet med denne tilgang er at øge omkostningerne ved at overvinde organisationens svageste sikkerhedspunkt så meget som muligt, så kritiske tjenester skal være godt beskyttet, uanset hvor ressourcen er placeret - inde i netværket eller på netværkets perimeter.

Den risikobaserede tilgang er kun en nødvendig foranstaltning, der tillader begrebet informationssikkerhed at eksistere i den virkelige verden. Faktisk sætter det forsvarerne i en vanskelig position: de spiller deres spil som sorte og reagerer kun på nye faktiske trusler.

I dag i vores blog besluttede vi at berøre sikkerhedsaspekterne af virksomhedsnetværk. Og Mikhail Lyubimov, teknisk direktør for LWCOM, vil hjælpe os med dette.

Hvorfor er dette emne om netværkssikkerhed ekstremt relevant i den moderne verden?

På grund af den næsten universelle tilgængelighed af bredbåndsinternet udføres de fleste handlinger på enheder gennem netværket, så for 99 % af moderne trusler er netværket den transport, hvorigennem truslen leveres fra kilden til målet. Selvfølgelig er det muligt at sprede ondsindet kode ved hjælp af flytbare medier, men denne metode bruges nu mindre og mindre, og de fleste virksomheder har længe lært at håndtere sådanne trusler.

Hvad er et datanetværk?

Lad os først tegne arkitekturen af ​​et klassisk virksomhedsdatanetværk i en forenklet og forståelig form.

Datatransmissionsnetværket begynder med adgangslagsswitchen. Arbejdspladser er forbundet direkte til denne switch: computere, bærbare computere, printere, multifunktionelle og forskellige andre enheder, f.eks. trådløse punkter adgang. Derfor kan du have en masse udstyr; det kan oprette forbindelse til netværket på helt andre steder (etager eller endda separate bygninger).

Typisk er et virksomhedsdatanetværk bygget ved hjælp af en "stjerne" topologi, så interaktionen mellem alle segmenter med hinanden vil blive sikret af netværkskerneniveauudstyr. For eksempel kan den samme switch bruges, kun normalt i en mere kraftfuld og funktionel version sammenlignet med dem, der bruges på adgangsniveauet.

Servere og lagringssystemer er sædvanligvis konsolideret på ét sted og kan fra et datanetværks synspunkt enten forbindes direkte til kerneudstyret eller kan have et bestemt segment af adgangsudstyr dedikeret til disse formål.

Dernæst har vi udstyr til interface med eksterne datanetværk (f.eks. internettet). Til disse formål bruger virksomheder typisk enheder som routere, firewalls og forskellige slags proxyservere. De bruges også til at organisere kommunikation med distribuerede virksomhedskontorer og til at forbinde eksterne medarbejdere.

Dette er arkitekturen i et lokalt netværk, der er let at forstå og fælles for moderne virkeligheder.

Hvilken klassificering af trusler findes i dag?

Lad os definere hovedmålene og angrebsvektorerne inden for netværkskommunikation.

Det mest almindelige og enkleste angrebsmål er brugerenheden. Ondsindet software det er nemt at distribuere i denne retning gennem indhold på webressourcer eller via e-mail.

I fremtiden kan angriberen, efter at have fået adgang til brugerens arbejdsstation, enten stjæle fortrolige data eller udvikle et angreb mod andre brugere eller andre enheder på virksomhedens netværk.

Det næste mulige mål for angreb er naturligvis servere. En af de mest kendte typer angreb på offentliggjorte ressourcer er DoS og DDoS-angreb, som bruges til at forstyrre den stabile drift af ressourcer eller deres fuldstændige fejl.

Angreb kan også rettes fra eksterne netværk til specifikke offentliggjorte applikationer, for eksempel webressourcer, DNS-servere, e-mail. Angreb kan også rettes inde fra netværket - fra en inficeret brugers computer eller fra en angriber, der er tilsluttet netværket, til applikationer såsom fildelinger eller databaser.

Der er også en kategori af selektive angreb, og en af ​​de farligste er et angreb på selve netværket, altså på adgangen til det. En angriber, der har fået adgang til et netværk, kan iværksætte følgende angreb på praktisk talt enhver enhed, der er tilsluttet det, samt hemmeligt få adgang til enhver information. Det vigtigste er, at et vellykket angreb af denne art er ret svært at opdage, og det kan ikke behandles standard midler. Det vil sige, at du faktisk har Ny bruger eller værre, en administrator, du ikke ved noget om.

Et andet mål for angriberen kan være kommunikationskanaler. Det skal forstås, at et vellykket angreb på kommunikationskanaler ikke kun giver dig mulighed for at læse information transmitteret over dem, men også være identisk med hensyn til et angreb på et netværk, når en angriber kan få adgang til alle ressourcer i et lokalt computernetværk.

Hvordan tilrettelægges kompetent og pålidelig beskyttelse dataoverførsel?

Til at begynde med kan vi præsentere globale praksisser og anbefalinger til at organisere beskyttelsen af ​​et virksomhedsdatanetværk, nemlig det sæt værktøjer, der giver dig mulighed for at undgå de fleste eksisterende trusler med minimal indsats, det såkaldte sikre minimum.

I denne sammenhæng er det nødvendigt at introducere udtrykket "netværkssikkerhedsperimeter", fordi jo tættere på mulig kilde trusler, du kontrollerer, jo mere reducerer du antallet af angrebsmetoder, der er tilgængelige for en angriber. I dette tilfælde skal omkredsen eksistere for både eksterne og interne forbindelser.

Først og fremmest anbefaler vi at sikre grænsefladen med offentlige netværk, fordi største antal trusler stammer fra dem. I øjeblikket er der en række specialiserede netværkssikkerhedsværktøjer designet specifikt til sikker organisering af forbindelser til internettet.

Begreber som NGFW (Next-generation firewall) og UTM (Unified Threat Management) er meget brugt til at henvise til dem. Disse enheder kombinerer ikke kun funktionaliteten fra en klassisk router, firewall og proxyserver, men giver også yderligere tjenester sikkerhed, såsom URL- og indholdsfiltrering, antivirus osv. I dette tilfælde bruger enheder ofte skysystemer indholdskontrol, som giver dig mulighed for hurtigt og effektivt at tjekke alle overførte data for trusler. Men det vigtigste er muligheden for at rapportere om identificerede trusler i retrospekt, det vil sige at identificere trusler i tilfælde, hvor inficeret indhold allerede er blevet overført til brugeren, men producenten modtog information om ondsindetheden af ​​denne software senere.

Ting som inspektion af HTTPS-trafik og automatisk analyse af applikationer giver dig mulighed for ikke kun at kontrollere adgangen til specifikke websteder, men også tillade/forbyde driften af ​​applikationer såsom: Skype, Team Viewer og mange andre, og som du ved, de fleste af dem har kørt i lang tid HTTP protokoller både HTTPS og standard netværk betyder deres arbejde kan simpelthen ikke kontrolleres.

Udover dette kan du inden for en enkelt enhed også få et indbrudsforebyggelsessystem, som er ansvarligt for at stoppe angreb rettet mod offentliggjorte ressourcer. Du kan også få en VPN-server til sikkert fjernarbejde af medarbejdere og forbindende filialer, anti-spam, botnet-kontrolsystem, sandkasse osv. Alt dette gør sådan en enhed til et virkeligt samlet netværkssikkerhedsværktøj.

Hvis din virksomhed endnu ikke bruger sådanne løsninger, så anbefaler vi stærkt at begynde at bruge dem lige nu, da tiden for deres effektivitet allerede er kommet, og vi kan med tillid sige, at sådanne enheder har bevist deres reelle evne til at håndtere store antal trusler, hvilket endnu ikke har været tilfældet for 5 år siden. På det tidspunkt var sådanne ting lige kommet på markedet, havde mange problemer og var ret dyre og lavtydende.

Hvordan vælger man næste generations firewall?

Nu er der et stort antal netværksenheder på markedet med erklæret lignende funktionalitet, men virkelig effektiv beskyttelse Kun få er i stand til at yde. Dette forklares med, at kun et begrænset antal producenter har midlerne og faktisk investerer dem i nonstop udvikling af aktuelle trusler, dvs. konstant opdatere databaser over potentielt farlige ressourcer, yde uafbrudt support til løsninger mv.

Mange partnere vil forsøge at sælge dig løsninger, der er rentable for dem at sælge, så prisen på en løsning svarer ikke altid til dens reelle evne til at imødegå trusler. Personligt anbefaler jeg at henvende sig til materialer fra uafhængige analytiske centre, for eksempel NSS Labs-rapporter, for at vælge en enhed. Efter min mening er de mere nøjagtige og upartiske.

Ud over trusler udefra kan dine ressourcer også angribes indefra. Det såkaldte "sikre minimum", der bør bruges i dit lokale netværk, er dets segmentering i VLAN'er, dvs. virtuelle private netværk. Ud over segmentering er det obligatorisk at anvende adgangspolitikker mellem dem, i det mindste ved hjælp af standard adgangsliste (ACL), fordi blot at have et VLAN i kampen mod moderne trusler giver praktisk talt ingenting.

Som en separat anbefaling vil jeg skitsere ønskeligheden af ​​at bruge adgangskontrol direkte fra enhedsporten. Det er dog nødvendigt at huske netværkets omkreds, dvs. Jo tættere på de beskyttede tjenester du anvender politikkerne, jo bedre. Ideelt set bør sådanne politikker implementeres på adgangskontakter. I sådanne tilfælde anbefales det at anvende 4 enkle regler som de mest minimale sikkerhedspolitikker:

• hold alle ubrugte switch-porte administrativt deaktiveret;
• brug ikke 1. VLAN;
• brug MAC-filtreringsark på adgangskontakter;
• brug ARP-protokolinspektion.

Fantastisk løsning vil bruge de samme firewalls med systemer til forebyggelse af indtrængen langs datatransmissionsvejen, og vil også arkitektonisk bruge demilitariserede zoner. Det er bedst at implementere godkendelse af den tilsluttede enhed ved hjælp af 802.1x-protokollen ved hjælp af forskellige AAA-systemer (godkendelses-, autorisations- og regnskabssystemer) til centraliseret netværksadgangskontrol. Disse løsninger omtales typisk med den almindelige betegnelse blandt producenterne NAC (Network Access Control). Et eksempel på et sådant kommercielt system er Cisco ISE.

Angribere kan også iværksætte angreb på kanaler. Stærk kryptering bør bruges til at beskytte kanaler. Mange mennesker forsømmer dette og betaler derefter konsekvenserne. Ubeskyttede kanaler er ikke kun information tilgængelig for tyveri, men også muligheden for at angribe næsten alle virksomhedens ressourcer. Vores kunder har haft et betydeligt antal præcedenser i deres praksis, når der blev udført angreb på firmatelefoni ved at organisere kommunikation gennem usikrede dataoverførselskanaler mellem det centrale og det eksterne kontor (f.eks. blot ved at bruge GRE-tunneler). Virksomheder modtog skøre regninger!

Hvad kan du fortælle os om trådløse netværk og BYOD?

Emne fjernarbejde, trådløse netværk og brug egne enheder Jeg vil gerne fremhæve særskilt. Efter min erfaring er disse tre ting et af de største potentielle sikkerhedshuller i din virksomhed. Men samtidig er de en af ​​de største konkurrencefordele.

For at tage en kort tilgang til problemet, anbefaler jeg, at du enten helt forbyder brugen af ​​trådløse netværk, fjernarbejde eller arbejder gennem dine egne mobile enheder, citerer virksomhedens regler eller leverer disse tjenester så grundigt som muligt ud fra et sikkerhedssynspunkt, især da moderne løsninger giver mulighed for at gøre dette er bedst.

Med hensyn til fjernarbejde kan de samme hjælpe dig Næste generation Firewalls eller UTM-enheder. Vores praksis viser, at der er en række stabile løsninger (dette inkluderer Cisco, Checkpoint, Fortinet, Citrix), som giver dig mulighed for at arbejde med en række forskellige klientenheder, og samtidig sikre de højeste standarder for fjernmedarbejderidentifikation. For eksempel brug af certifikater, to-faktor autentificering, engangsadgangskoder leveret via SMS eller genereret ved hjælp af en speciel nøgle. Du kan også overvåge den software, der er installeret på den computer, hvorfra adgangsforsøget foretages, for eksempel for installation af passende opdateringer eller kørsel af antivirus.

Wi-Fi-sikkerhed er et emne, der fortjener sin egen artikel. I dette indlæg vil jeg forsøge at give de vigtigste anbefalinger. Hvis du bygger virksomhedens Wi-Fi, skal du sørge for at overveje alle mulige sikkerhedsaspekter forbundet med det.

Forresten er Wi-Fi en helt separat indtægtskilde for vores virksomhed. Vi håndterer dem professionelt: projekter til at udstyre indkøbscentre og indkøbscentre, forretningscentre, lagre med trådløst udstyr, herunder brug af moderne løsninger såsom positionering, udføres i nonstop-tilstand. Og ifølge resultaterne af vores radioundersøgelser finder vi i hvert andet kontor og hvert andet lager mindst én hjemme-Wi-Fi-router, som var forbundet til netværket af medarbejderne selv. Normalt gør de dette for deres egen bekvemmelighed for arbejdet, for eksempel for at gå til rygeværelset med en bærbar computer eller for at bevæge sig frit i rummet. Det er klart, at der ikke blev anvendt virksomhedssikkerhedsregler på sådanne routere, og adgangskoder blev distribueret til velkendte kolleger, derefter til kolleger af kolleger, derefter til gæster, der kom til kaffe, og som et resultat havde næsten alle adgang til virksomhedens netværk , mens det var fuldstændig ukontrolleret.

Selvfølgelig er det værd at beskytte netværket mod at forbinde sådant udstyr. De vigtigste måder at gøre dette på kan være: at bruge autorisation på porte, filtrering efter MAC osv. Igen, fra et Wi-Fi synspunkt, bør du bruge stærke kryptografiske algoritmer og virksomhedsgodkendelsesmetoder. Men du bør forstå, at ikke alle virksomhedsgodkendelsesmetoder er lige nyttige. For eksempel kan Android-enheder i nogle softwareudgivelser ignorere det offentlige certifikat for et Wi-Fi-netværk som standard, og derved gøre Evil tvillingeangreb mulige. Hvis der bruges en godkendelsesmetode, såsom EAP GTC, så transmitteres nøglen i klartekst og kan opsnappes fuldstændigt i dette angreb. Vi anbefaler kun at bruge certifikatgodkendelse i virksomhedsnetværk, dvs. Dette er TLS-metoder, men husk på, at det øger belastningen på netværksadministratorer markant.

Der er en anden måde: hvis virksomhedens netværk har fjernt arbejde, så kan du tvinge enheder, der er tilsluttet via et Wi-Fi-netværk, til også at bruge en VPN-klient. Det vil sige, alloker et Wi-Fi-netværkssegment til et oprindeligt upålidt område, og i sidste ende får du en god arbejdsmulighed med minimering af omkostningerne til netværksadministration.

Producenter af virksomheds Wi-Fi-løsninger, såsom Cisco, Ruckus, som nu er Brocade, Aruba, som nu er HPE, derudover standardløsninger til at organisere Wi-Fi, leverer en lang række tjenester til automatisk overvågning af sikkerheden i det trådløse miljø. Det vil sige, at ting som WIPS (Wireless Intrusion Prevention System) fungerer ganske godt for dem. Disse producenter har implementeret trådløse sensorer, der kan overvåge hele spektret af frekvenser, og derved give dem mulighed for automatisk at overvåge ganske alvorlige trusler.

Lad os nu berøre emner som BYOD (Bring your own device) og MDM (Mobile device management). Selvfølgelig er enhver mobil enhed, der gemmer virksomhedsdata eller har adgang til et virksomhedsnetværk potentiel kilde problemer. Emnet sikkerhed for sådanne enheder vedrører ikke kun sikker adgang til virksomhedens netværk, men også centraliseret styring af politikker for mobile enheder: smartphones, tablets, bærbare computere brugt uden for organisationen. Dette emne har været relevant i meget lang tid, men først nu er der dukket virkelig fungerende løsninger på markedet, der giver dig mulighed for at administrere en mangfoldig flåde af mobilt udstyr.

Desværre vil det ikke være muligt at tale om dem i dette indlæg, men ved, at der er løsninger i Sidste år Vi oplever et boom i indførelse af MDM-løsninger fra Microsoft og MobileIron.

Du talte om "minimumssikkerhed", hvad er så "maksimal sikkerhed"?

På et tidspunkt var der et populært billede på internettet: det anbefalede at installere den ene firewall efter den anden for at beskytte netværket. kendte producenter. Vi opfordrer dig på ingen måde til at gøre det samme, men ikke desto mindre er der en vis sandhed her. Det vil være yderst nyttigt at have netværksenhed med analyse af virussignaturer, for eksempel fra SOFOS, og på arbejdspladser allerede installere et antivirus fra Kaspersky Lab. Dermed får vi to beskyttelsessystemer mod ondsindet kode, der ikke forstyrrer hinanden.

Der er en række specialiserede informationssikkerhedsværktøjer:

DLP. Markedet tilbyder specialiserede informationssikkerhedsværktøjer, det vil sige udviklet og rettet mod at løse en specifik trussel. I øjeblikket er DLP (Data Loss Prevention) eller datalækageforebyggelsessystemer ved at blive populære. De arbejder både på netværksniveau, integreret i datatransmissionsmiljøet og direkte på applikationsservere, arbejdsstationer, mobile enheder.

Vi bevæger os noget væk fra netværksemnet, men truslen om datalækage vil altid eksistere. Disse løsninger er især ved at blive relevante for virksomheder, hvor tab af data har kommercielle risici og omdømmemæssige risici og konsekvenser. 5 år siden introduktion DLP systemer var noget vanskeligt på grund af deres kompleksitet og behovet for at udføre udviklingsprocessen for hver enkelt sag. Derfor, på grund af deres omkostninger, opgav mange virksomheder disse løsninger eller skrev deres egne. I øjeblikket er markedssystemerne tilstrækkeligt modne, så al den nødvendige sikkerhedsfunktionalitet kan fås lige ud af kassen.

På russisk marked kommercielle systemer er hovedsageligt repræsenteret af producenten Infowatch (nedenfor er et billede fra denne producent om hvordan de præsenterer deres løsning i en stor virksomhed) og den ret velkendte MacAfee.

WAF. På grund af udviklingen af ​​internethandelstjenester, såsom internetbank, elektroniske penge, e-handel, forsikringstjenester osv., er specialiserede værktøjer til beskyttelse af webressourcer for nylig blevet efterspurgte. Nemlig WAF - Web Application Firewall.

Denne enhed giver dig mulighed for at afvise angreb rettet mod sårbarheder på selve webstedet. Ud over selektive DoS-angreb, når et websted er overvældet af legitime anmodninger, kan disse være SQL-injektionsangreb, Cross site scripting osv. Tidligere blev sådanne enheder hovedsageligt købt af banker, men de var ikke efterspurgte fra andre kunder, og de kostede mange penge. For eksempel startede prisen på en fungerende løsning ved $100.000. Nu tilbyder markedet et stort antal løsninger fra kendte producenter (Fortinet, Citrix, Positive Technologies), hvorfra du kan få en fungerende løsning til at beskytte din hjemmeside for ganske rimelige penge (3-5 gange mindre end det tidligere angivne beløb) ).

Revidere. Organisationer, især dem, der går ind for deres egen sikkerhed, implementerer automatiserede revisionsværktøjer. Disse løsninger er dyre, men de gør det muligt at overføre en række administratorfunktioner til automatiseringsområdet, som er ekstremt efterspurgt for store virksomheder. Sådanne løsninger scanner konstant netværket og reviderer alle installerede operativsystemer og applikationer for kendte sikkerhedshuller, rettidighed af opdateringer og overholdelse af virksomhedens politikker. Sandsynligvis de mest berømte løsninger på dette område ikke kun i Rusland, men i hele verden er produkter fra Positive Technologies.

SIEM. Svarende til SIEM-løsninger. Disse er systemer designet til at detektere nødsituationer relateret specifikt til sikkerhedsrelaterede hændelser. Selv et standardsæt med et par firewalls, et dusin applikationsservere og tusindvis af desktops kan generere titusindvis af advarsler om dagen. Hvis du har en stor virksomhed, og du har snesevis af edge-enheder, så bliver det simpelthen umuligt at forstå de data, der modtages fra dem manuelt. Automatisering af kontrollen af ​​indsamlede logfiler samtidigt fra alle enheder giver administratorer og informationssikkerhedsansatte mulighed for at handle med det samme. SIEM-løsninger fra Arcsight (en del af HPE-produkter) og Q-RADAR (en del af IBM-produkter) er ganske velkendte på markedet.

Og endelig: Hvilket råd kan du give til dem, der seriøst er engageret i at organisere beskyttelsen af ​​deres it-ressourcer?

Når man organiserer IT-sikkerhed for en virksomhed, skal man selvfølgelig ikke glemme administrative bestemmelser. Brugere og administratorer skal være opmærksomme på, at fundne flashdrev ikke kan bruges på en computer, ligesom de ikke kan følge tvivlsomme links i e-mails eller åbne tvivlsomme vedhæftede filer. Det er meget vigtigt at fortælle og forklare, hvilke links og vedhæftede filer der ikke er bekræftet. I virkeligheden er det ikke alle, der forstår, at der ikke er behov for at gemme adgangskoder på sedler klistret til skærmen eller telefonen, at du skal lære at læse de advarsler, som applikationer skriver til brugeren osv. Du bør forklare brugerne, hvad et sikkerhedscertifikat er, og hvad de meddelelser, der er knyttet til det, betyder. Generelt er det nødvendigt at tage højde for ikke kun den tekniske side af problemet, men også at indgyde en kultur for at bruge virksomhedens IT-ressourcer af medarbejderne.
Jeg håber, du fandt dette fantastiske indlæg interessant og nyttigt.

Informationssystemer, hvor datatransmissionsfaciliteter tilhører én virksomhed og kun bruges til denne virksomheds behov, kaldes normalt et virksomhedsnetværk - et virksomhedscomputernetværk (CN). CS er et internt privat netværk i en organisation, der kombinerer denne organisations computer-, kommunikations- og informationsressourcer og er beregnet til overførsel af elektroniske data, som kan være enhver information. Således kan vi på baggrund af ovenstående sige, at inden for CS er der defineret en særlig politik, der beskriver hardwaren og software, regler for at få brugere adgang til netværksressourcer, netværksstyringsregler, kontrol med ressourceanvendelse og videre udvikling netværk. Et virksomhedsnetværk er et netværk af en individuel organisation.

En noget lignende definition kan formuleres ud fra konceptet om et virksomhedsnetværk givet i arbejdet af Olifer V.G. og Olifer N.D. “ Computernetværk: principper, teknologier, protokoller”: enhver organisation er et sæt af interagerende elementer (opdelinger), som hver kan have sin egen struktur. Elementerne hænger sammen funktionelt, dvs. de udfører visse typer arbejde inden for rammerne af en enkelt forretningsproces, samt information, udveksling af dokumenter, fax, skriftlige og mundtlige ordrer mv. Derudover interagerer disse elementer med eksterne systemer, og deres interaktion kan også være både informativ og funktionel. Og denne situation gælder for næsten alle organisationer, uanset hvilken type aktivitet de er engageret i - for en statslig institution, bank, industrivirksomhed, kommerciel virksomhed osv.

Et sådant generelt syn på organisationen giver os mulighed for at formulere nogle overordnede principper for konstruktion af virksomhedsinformationssystemer, dvs. informationssystemer i hele organisationen.

Et virksomhedsnetværk er et system, der sikrer overførsel af information mellem forskellige applikationer bruges i virksomhedens system. Et virksomhedsnetværk er ethvert netværk, der opererer over TCP/IP-protokollen og bruger, såvel som serviceapplikationer, der leverer data til netværksbrugere. For eksempel kan en virksomhed oprette Webserver til udgivelse af meddelelser, produktionsplaner og andre officielle dokumenter. Medarbejdere får adgang til de nødvendige dokumenter ved hjælp af webbrowserværktøjer.

Webservere på et virksomhedsnetværk kan give brugere tjenester svarende til internettjenester, for eksempel arbejde med hypertekstsider (indeholdende tekst, hyperlinks, grafiske billeder og lydoptagelser), der giver de nødvendige ressourcer til anmodninger fra webklienter, samt adgang til databaser. I denne vejledning omtales alle udgivelsestjenester som "internettjenester", uanset hvor de bruges (på internettet eller på et virksomhedsnetværk).

Et virksomhedsnetværk er som udgangspunkt geografisk fordelt, dvs. forener kontorer, afdelinger og andre strukturer beliggende i betydelig afstand fra hinanden. Principperne for, hvordan et virksomhedsnetværk er opbygget, er ret forskellige fra dem, der bruges, når man opretter et lokalt netværk. Denne begrænsning er fundamental, og når man designer et virksomhedsnetværk, bør alle foranstaltninger træffes for at minimere mængden af ​​transmitterede data. Ellers bør virksomhedens netværk ikke pålægge begrænsninger for, hvilke applikationer og hvordan de behandler informationer, der overføres over det. Karakteristisk træk et sådant netværk er, at udstyret af de fleste forskellige producenter og generationer, samt heterogen software, der i første omgang ikke er fokuseret på fælles databehandling.

At forbinde fjernbrugere til virksomhedens netværk på den enkleste og mest bekvemme måde overkommelig mulighed er brugen telefonisk kommunikation. ISDN-netværk kan bruges, hvor det er muligt. For at forbinde netværksknuder bruges i de fleste tilfælde globale datanetværk. Selv hvor det er muligt at lægge dedikerede linjer (for eksempel inden for samme by), gør brugen af ​​pakkekoblingsteknologier det muligt at reducere antallet af nødvendige kommunikationskanaler og, hvad der er vigtigt, sikre systemets kompatibilitet med eksisterende globale netværk.

Det er berettiget at forbinde dit virksomhedsnetværk til internettet, hvis du har brug for adgang til relevante tjenester. I mange værker er der en mening om tilslutning til internettet: Det er kun værd at bruge internettet som et dataoverførselsmedium, når andre metoder ikke er tilgængelige, og økonomiske overvejelser opvejer kravene til pålidelighed og sikkerhed. Hvis du kun vil bruge internettet som en informationskilde, er det bedre at bruge dial-on-demand-teknologi, dvs. denne forbindelsesmetode, når en forbindelse til en internetnode kun etableres på dit initiativ og i den tid, du har brug for. Dette reducerer dramatisk risikoen for uautoriseret adgang til dit netværk udefra.

For at overføre data inden for et virksomhedsnetværk er det også værd at bruge virtuelle kanaler for pakkekoblingsnetværk. De vigtigste fordele ved denne tilgang er alsidighed, fleksibilitet, sikkerhed

Som et resultat af at studere strukturen af ​​informationsnetværk (IS) og databehandlingsteknologi udvikles begrebet IS informationssikkerhed. Konceptet afspejler følgende hovedpunkter:

• 1) Organisering af organisationens netværk
• 2) eksisterende trusler informationssikkerhed, muligheden for deres implementering og den forventede skade fra denne implementering;
• 3) organisering af informationslagring i IS;
• 4) organisering af informationsbehandling;
• 5) regulering af personaleadgang til denne eller hin information;
• 6) personaleansvar for at sikre sikkerheden.

Ved at udvikle dette emne, baseret på begrebet IS-informationssikkerhed givet ovenfor, foreslås en sikkerhedsordning, hvis struktur skal opfylde følgende betingelser:

Beskyttelse mod uautoriseret indtrængen i virksomhedens netværk og mulighed for informationslækage via kommunikationskanaler.

Afgrænsning af informationsstrømme mellem netværkssegmenter.

Beskyttelse af kritiske netværksressourcer.

Kryptografisk beskyttelse af informationsressourcer.

For en detaljeret overvejelse af ovenstående sikkerhedsbetingelser er det tilrådeligt at give en udtalelse: For at beskytte mod uautoriseret indtrængning og informationslækage foreslås det at bruge firewalls eller firewalls. Faktisk er en firewall en gateway, der udfører funktionerne til at beskytte et netværk mod uautoriseret adgang udefra (for eksempel fra et andet netværk).

Der er tre typer firewalls:

Application level gateway En applikationsniveau gateway kaldes ofte en proxyserver - den fungerer som datarelæ for et begrænset antal brugerapplikationer. Det vil sige, at hvis gatewayen ikke understøtter en bestemt applikation, leveres den tilsvarende tjeneste ikke, og data af den tilsvarende type kan ikke passere gennem firewallen.

Filtrerende router. Filter router. Mere præcist er det en router, hvis yderligere funktioner inkluderer pakkefiltrerende router. Bruges på pakkekoblede netværk i datagramtilstand. Det vil sige i de teknologier til transmission af information på kommunikationsnetværk, hvor signalplanet (foreløbig etablering af en forbindelse mellem UI og UE) er fraværende (f.eks. IP V 4). I dette tilfælde er beslutningen om at sende en indgående datapakke over netværket baseret på værdierne af dets transportlags headerfelter. Firewalls af denne type er derfor typisk implementeret som en liste over regler, der anvendes på værdierne af transportlags header-felter.

Skift lag-gateway. Switching level gateway - beskyttelse implementeres i kontrolplanet (på signalniveauet) ved at tillade eller forbyde visse forbindelser.

En særlig plads gives til kryptografisk beskyttelse af informationsressourcer i virksomhedsnetværk. Da kryptering er en af ​​de mest pålidelige måder at beskytte data mod uautoriseret adgang. Et særligt træk ved brugen af ​​kryptografiske værktøjer er streng lovgivning. I øjeblikket er de i virksomhedsnetværk kun installeret på de arbejdsstationer, hvor information af en meget høj grad af betydning er lagret.

Så ifølge klassificeringen af ​​midler til kryptografisk beskyttelse af informationsressourcer i virksomhedsnetværk er de opdelt i:

Enkeltnøgle-kryptosystemer kaldes ofte traditionelle, symmetriske eller enkeltnøgle-kryptosystemer. Brugeren opretter en åben besked, hvis elementer er tegn i et endeligt alfabet. En krypteringsnøgle genereres for at kryptere den åbne besked. En krypteret besked genereres ved hjælp af en krypteringsalgoritme

Ovenstående model sørger for, at krypteringsnøglen genereres på samme sted som selve meddelelsen. En anden løsning til at oprette en nøgle er dog mulig - krypteringsnøglen er oprettet af en tredjepart (nøgledistributionscenter), som begge brugere har tillid til. I dette tilfælde er tredjeparten ansvarlig for at levere nøglen til begge brugere. Generelt set modsiger denne løsning selve essensen af ​​kryptografi - at sikre hemmeligholdelse overførte oplysninger brugere.

Enkeltnøgle-kryptosystemer bruger principperne om substitution (erstatning), permutation (transposition) og sammensætning. Substitution erstatter individuelle tegn i en åben besked med andre tegn. Kryptering ved hjælp af permutationsprincippet indebærer at ændre rækkefølgen af ​​tegn i en klar besked. For at øge pålideligheden af ​​krypteringen kan en krypteret besked modtaget ved hjælp af en bestemt chiffer krypteres igen med en anden chiffer. De siger, at der i dette tilfælde blev brugt en kompositorisk tilgang. Derfor kan symmetriske (enkeltnøgle) kryptosystemer klassificeres i systemer, der bruger substitutions-, permutations- og sammensætningscifre.

Offentlig nøgle kryptosystem. Dette sker kun, hvis brugere bruger forskellige nøgler KO og KZ ved kryptering og dekryptering. Dette kryptosystem kaldes asymmetrisk, to-nøgle eller offentlig nøgle.

Modtageren af ​​meddelelsen (bruger 2) genererer et relateret nøglepar:

KO - offentlig nøgle, som er offentligt tilgængelig og dermed tilgængelig for afsenderen af ​​beskeden (bruger 1);

KS er en hemmelig, personlig nøgle, som kun forbliver kendt af modtageren af ​​beskeden (bruger 1).

Bruger 1, der har krypteringsnøglen KO, bruger en bestemt krypteringsalgoritme til at generere chiffertekst.

Bruger 2, der ejer den hemmelige nøgle Kс, har mulighed for at udføre den modsatte handling.

I dette tilfælde forbereder bruger 1 en besked til bruger 2 og krypterer før afsendelse denne besked ved at bruge den private nøgle KS. Bruger 2 kan dekryptere denne meddelelse ved hjælp af den offentlige nøgle KO. Da beskeden var krypteret med afsenderens personlige nøgle, kan den fungere som digital signatur. Derudover er det i dette tilfælde umuligt at ændre meddelelsen uden adgang til den personlige nøgle for bruger 1, så meddelelsen løser også problemet med at identificere afsender og dataintegritet.

Til sidst vil jeg gerne sige, at ved at installere kryptografiske sikkerhedsforanstaltninger kan du pålideligt beskytte arbejdsplads en medarbejder i en organisation, der direkte arbejder med information, der er af særlig betydning for denne organisations eksistens, fra uautoriseret adgang.