• hjem
  •  > 
  • Hjælpeprogrammer
  •  > 
  • UTM-klasse netværkssikkerhedssystemer. Trusler og sårbarheder ved kablede virksomhedsnetværk Hvordan man sikrer sikkerheden på et virksomhedsnetværk

UTM-klasse netværkssikkerhedssystemer. Trusler og sårbarheder ved kablede virksomhedsnetværk Hvordan man sikrer sikkerheden på et virksomhedsnetværk

Informationssystemer, hvor datatransmissionsfaciliteter tilhører én virksomhed og kun bruges til denne virksomheds behov, kaldes normalt et virksomhedsnetværk - et virksomhedscomputernetværk (CN). CS er et internt privat netværk i en organisation, der kombinerer denne organisations computer-, kommunikations- og informationsressourcer og er beregnet til overførsel af elektroniske data, som kan være enhver information. Således kan vi på baggrund af ovenstående sige, at inden for CS er der defineret en særlig politik, der beskriver hardware og software, regler for at få brugere adgang til netværksressourcer, netværksstyringsregler, kontrol med ressourceanvendelse og videreudvikling af netværket. Et virksomhedsnetværk er et netværk af en individuel organisation.

En noget lignende definition kan formuleres ud fra konceptet om et virksomhedsnetværk givet i arbejdet af Olifer V.G. og Olifer N.D. "Computernetværk: principper, teknologier, protokoller": enhver organisation er en samling af interagerende elementer (divisioner), som hver kan have sin egen struktur. Elementerne hænger sammen funktionelt, dvs. de udfører visse typer arbejde inden for rammerne af en enkelt forretningsproces, samt information, udveksling af dokumenter, fax, skriftlige og mundtlige ordrer mv. Derudover interagerer disse elementer med eksterne systemer, og deres interaktion kan også være både informativ og funktionel. Og denne situation gælder for næsten alle organisationer, uanset hvilken type aktivitet de er engageret i - for en statslig institution, bank, industrivirksomhed, kommerciel virksomhed osv.

Et sådant generelt syn på organisationen giver os mulighed for at formulere nogle overordnede principper for konstruktion af virksomhedsinformationssystemer, dvs. informationssystemer i hele organisationen.

Et virksomhedsnetværk er et system, der giver informationsoverførsel mellem forskellige applikationer, der bruges i virksomhedens system. Et virksomhedsnetværk er ethvert netværk, der opererer over TCP/IP-protokollen og bruger, såvel som serviceapplikationer, der leverer data til netværksbrugere. For eksempel kan en virksomhed oprette en webserver til at offentliggøre meddelelser, produktionsplaner og andre officielle dokumenter. Medarbejdere får adgang til de nødvendige dokumenter ved hjælp af webbrowserværktøjer.

Webservere på et virksomhedsnetværk kan give brugere tjenester svarende til internettjenester, såsom arbejde med hypertekstsider (indeholder tekst, hyperlinks, grafik og lyd), leverer de nødvendige ressourcer til anmodninger fra webklienter og adgang til databaser. I denne vejledning omtales alle udgivelsestjenester som "internettjenester", uanset hvor de bruges (på internettet eller på et virksomhedsnetværk).

Et virksomhedsnetværk er som udgangspunkt geografisk fordelt, dvs. forener kontorer, afdelinger og andre strukturer beliggende i betydelig afstand fra hinanden. Principperne for, hvordan et virksomhedsnetværk er opbygget, er ret forskellige fra dem, der bruges, når man opretter et lokalt netværk. Denne begrænsning er fundamental, og når man designer et virksomhedsnetværk, bør alle foranstaltninger træffes for at minimere mængden af ​​transmitterede data. Ellers bør virksomhedens netværk ikke pålægge begrænsninger for, hvilke applikationer og hvordan de behandler informationer, der overføres over det. Et karakteristisk træk ved et sådant netværk er, at det driver udstyr fra en række forskellige producenter og generationer, samt heterogen software, der ikke i første omgang er orienteret mod fælles databehandling.

For at forbinde fjernbrugere til virksomhedens netværk er den enkleste og mest overkommelige mulighed at bruge telefonkommunikation. ISDN-netværk kan bruges, hvor det er muligt. For at forbinde netværksknuder bruges i de fleste tilfælde globale datanetværk. Selv hvor det er muligt at lægge dedikerede linjer (for eksempel inden for samme by), gør brugen af ​​pakkekoblingsteknologier det muligt at reducere antallet af nødvendige kommunikationskanaler og, hvad der er vigtigt, sikre systemets kompatibilitet med eksisterende globale netværk.

Det er berettiget at forbinde dit virksomhedsnetværk til internettet, hvis du har brug for adgang til relevante tjenester. I mange værker er der en mening om tilslutning til internettet: Det er kun værd at bruge internettet som et dataoverførselsmedium, når andre metoder ikke er tilgængelige, og økonomiske overvejelser opvejer kravene til pålidelighed og sikkerhed. Hvis du kun vil bruge internettet som en informationskilde, er det bedre at bruge dial-on-demand-teknologi, dvs. denne forbindelsesmetode, når en forbindelse til en internetnode kun etableres på dit initiativ og i den tid, du har brug for. Dette reducerer dramatisk risikoen for uautoriseret adgang til dit netværk udefra.

For at overføre data inden for et virksomhedsnetværk er det også værd at bruge virtuelle kanaler for pakkekoblingsnetværk. De vigtigste fordele ved denne tilgang er alsidighed, fleksibilitet, sikkerhed

Som et resultat af at studere strukturen af ​​informationsnetværk (IS) og databehandlingsteknologi, udvikles konceptet for informationssikkerhed for IS. Konceptet afspejler følgende hovedpunkter:

  • 1) Organisering af organisationens netværk
  • 2) eksisterende trusler mod informationssikkerheden, muligheden for deres implementering og den forventede skade fra denne implementering;
  • 3) organisering af informationslagring i IS;
  • 4) organisering af informationsbehandling;
  • 5) regulering af personaleadgang til denne eller hin information;
  • 6) personaleansvar for at sikre sikkerheden.

Ved at udvikle dette emne, baseret på begrebet IS-informationssikkerhed givet ovenfor, foreslås en sikkerhedsordning, hvis struktur skal opfylde følgende betingelser:

Beskyttelse mod uautoriseret indtrængen i virksomhedens netværk og mulighed for informationslækage via kommunikationskanaler.

Afgrænsning af informationsstrømme mellem netværkssegmenter.

Beskyttelse af kritiske netværksressourcer.

Kryptografisk beskyttelse af informationsressourcer.

For en detaljeret overvejelse af ovenstående sikkerhedsbetingelser er det tilrådeligt at give en udtalelse: For at beskytte mod uautoriseret indtrængning og informationslækage foreslås det at bruge firewalls eller firewalls. Faktisk er en firewall en gateway, der udfører funktionerne til at beskytte et netværk mod uautoriseret adgang udefra (for eksempel fra et andet netværk).

Der er tre typer firewalls:

Application level gateway En applikationsniveau gateway kaldes ofte en proxyserver - den fungerer som datarelæ for et begrænset antal brugerapplikationer. Det vil sige, at hvis gatewayen ikke understøtter en bestemt applikation, leveres den tilsvarende tjeneste ikke, og data af den tilsvarende type kan ikke passere gennem firewallen.

Filtrerende router. Filter router. Mere præcist er det en router, hvis yderligere funktioner inkluderer pakkefiltrerende router. Bruges på pakkekoblede netværk i datagramtilstand. Det vil sige i de teknologier til transmission af information på kommunikationsnetværk, hvor signalplanet (foreløbig etablering af en forbindelse mellem UI og UE) er fraværende (f.eks. IP V 4). I dette tilfælde er beslutningen om at sende en indgående datapakke over netværket baseret på værdierne af dets transportlags headerfelter. Firewalls af denne type er derfor typisk implementeret som en liste over regler, der anvendes på værdierne af transportlags header-felter.

Skift lag-gateway. Switching level gateway - beskyttelse implementeres i kontrolplanet (på signalniveauet) ved at tillade eller forbyde visse forbindelser.

En særlig plads gives til kryptografisk beskyttelse af informationsressourcer i virksomhedsnetværk. Da kryptering er en af ​​de mest pålidelige måder at beskytte data mod uautoriseret adgang. Et særligt træk ved brugen af ​​kryptografiske værktøjer er streng lovgivning. I øjeblikket er de i virksomhedsnetværk kun installeret på de arbejdsstationer, hvor information af en meget høj grad af betydning er lagret.

Så ifølge klassificeringen af ​​midler til kryptografisk beskyttelse af informationsressourcer i virksomhedsnetværk er de opdelt i:

Enkeltnøgle-kryptosystemer kaldes ofte traditionelle, symmetriske eller enkeltnøgle-kryptosystemer. Brugeren opretter en åben besked, hvis elementer er tegn i et endeligt alfabet. En krypteringsnøgle genereres for at kryptere den åbne besked. En krypteret besked genereres ved hjælp af en krypteringsalgoritme

Ovenstående model sørger for, at krypteringsnøglen genereres på samme sted som selve meddelelsen. En anden løsning til at oprette en nøgle er dog mulig - krypteringsnøglen er oprettet af en tredjepart (nøgledistributionscenter), som begge brugere har tillid til. I dette tilfælde er tredjeparten ansvarlig for at levere nøglen til begge brugere. Generelt set modsiger denne løsning selve essensen af ​​kryptografi - at sikre hemmeligholdelsen af ​​transmitterede brugeroplysninger.

Enkeltnøgle-kryptosystemer bruger principperne om substitution (erstatning), permutation (transposition) og sammensætning. Substitution erstatter individuelle tegn i en åben besked med andre tegn. Kryptering ved hjælp af permutationsprincippet indebærer at ændre rækkefølgen af ​​tegn i en klar besked. For at øge pålideligheden af ​​krypteringen kan en krypteret besked modtaget ved hjælp af en bestemt chiffer krypteres igen med en anden chiffer. De siger, at der i dette tilfælde blev brugt en kompositorisk tilgang. Derfor kan symmetriske (enkeltnøgle) kryptosystemer klassificeres i systemer, der bruger substitutions-, permutations- og sammensætningscifre.

Offentlig nøgle kryptosystem. Dette sker kun, hvis brugere bruger forskellige nøgler KO og KZ ved kryptering og dekryptering. Dette kryptosystem kaldes asymmetrisk, to-nøgle eller offentlig nøgle.

Modtageren af ​​meddelelsen (bruger 2) genererer et relateret nøglepar:

KO er en offentlig nøgle, der er offentligt tilgængelig og dermed tilgængelig for afsenderen af ​​beskeden (bruger 1);

KS er en hemmelig, personlig nøgle, som kun forbliver kendt af modtageren af ​​beskeden (bruger 1).

Bruger 1, der har krypteringsnøglen KO, bruger en bestemt krypteringsalgoritme til at generere chiffertekst.

Bruger 2, der ejer den hemmelige nøgle Kс, har mulighed for at udføre den modsatte handling.

I dette tilfælde forbereder bruger 1 en besked til bruger 2 og krypterer før afsendelse denne besked ved at bruge den private nøgle KS. Bruger 2 kan dekryptere denne meddelelse ved hjælp af den offentlige nøgle KO. Da beskeden var krypteret med afsenderens personlige nøgle, kan den fungere som en digital signatur. Derudover er det i dette tilfælde umuligt at ændre meddelelsen uden adgang til den personlige nøgle for bruger 1, så meddelelsen løser også problemet med at identificere afsender og dataintegritet.

Til sidst vil jeg gerne sige, at ved at installere kryptografiske sikkerhedsforanstaltninger er det muligt pålideligt at beskytte arbejdspladsen for en medarbejder i en organisation, der direkte arbejder med information, der er af særlig betydning for denne organisations eksistens, mod uautoriseret adgang.

Det er præcis resultatet givet af en undersøgelse blandt mere end 1.000 ledere af it-afdelinger i store og mellemstore europæiske virksomheder, bestilt af Intel Corporation. Formålet med undersøgelsen var at identificere det problem, som er mest bekymrende for brancheeksperter. Svaret var ret forventet; mere end halvdelen af ​​de adspurgte nævnte problemet med netværkssikkerhed, et problem, der kræver en øjeblikkelig løsning. Andre undersøgelsesresultater er også ret forventede. For eksempel fører netværkssikkerhedsfaktoren blandt andre problemer inden for informationsteknologi; dens betydning er steget med 15 % sammenlignet med situationen for fem år siden.
Ifølge undersøgelsens resultater bruger højt kvalificerede it-specialister over 30 % af deres tid på at løse sikkerhedsproblemer. Situationen i store virksomheder (med over 500 ansatte) er endnu mere alarmerende - omkring en fjerdedel af de adspurgte bruger halvdelen af ​​deres tid på at løse disse problemer.

Balance mellem trusler og beskyttelse

Ak, spørgsmålet om netværkssikkerhed er uløseligt forbundet med de grundlæggende teknologier, der bruges i moderne telekommunikation. Det skete bare sådan, at når man udviklede en familie af IP-protokoller, blev pålideligheden af ​​netværket som helhed prioriteret. På det tidspunkt, hvor disse protokoller dukkede op, blev netværkssikkerheden sikret på helt andre måder, som simpelthen var urealistiske at bruge i forbindelse med det globale netværk. Du kan højlydt klage over udviklernes kortsynethed, men det er næsten umuligt at ændre situationen radikalt. Nu du skal bare være i stand til at beskytte dig selv mod potentielle trusler.
Hovedprincippet i denne færdighed bør være balance mellem potentielle trusler mod netværkssikkerhed og det nødvendige beskyttelsesniveau. Der skal sikres sammenlignelighed mellem sikkerhedsomkostninger og omkostningerne ved mulig skade fra realiserede trusler.
For moderne store og mellemstore virksomheder er informations- og telekommunikationsteknologier blevet grundlaget for at drive forretning. Derfor viste de sig at være de mest følsomme over for virkningerne af trusler. Jo større og mere komplekst netværket er, jo større indsats kræver det at beskytte det. Desuden er omkostningerne ved at skabe trusler størrelsesordener mindre end omkostningerne ved at neutralisere dem. Denne situation tvinger virksomheder til nøje at afveje konsekvenserne af mulige risici fra forskellige trusler og vælge passende metoder til beskyttelse mod de farligste.
I øjeblikket kommer de største trusler mod virksomhedens infrastruktur fra handlinger relateret til uautoriseret adgang til interne ressourcer og blokering af den normale drift af netværket. Der er et ret stort antal af sådanne trusler, men hver af dem er baseret på en kombination af tekniske og menneskelige faktorer. For eksempel kan indtrængen af ​​et ondsindet program i et virksomhedsnetværk ske ikke kun som et resultat af netværksadministratorens forsømmelse af sikkerhedsregler, men også på grund af den overdrevne nysgerrighed hos en virksomhedsmedarbejder, der beslutter sig for at drage fordel af et fristende link fra spam post. Derfor skal du ikke håbe, at selv de bedste tekniske løsninger inden for sikkerhed bliver et vidundermiddel mod alle dårligdomme.

UTM klasse løsninger

Sikkerhed er altid et relativt begreb. Hvis der er for meget af det, så bliver det mærkbart sværere at bruge selve systemet, som vi skal beskytte. Derfor bliver et rimeligt kompromis det første valg til at sikre netværkssikkerhed. For mellemstore virksomheder efter russiske standarder kan et sådant valg godt blive hjulpet af klassebeslutninger UTM (Unified Threat Management eller United Threat Management), er placeret som multifunktionelle netværks- og informationssikkerhedsenheder. I deres kerne er disse løsninger software- og hardwaresystemer, der kombinerer funktionerne fra forskellige enheder: en firewall, et indtrængningsdetektion og -forebyggelsessystem (IPS) samt funktionerne i en antivirus-gateway (AV). Disse komplekser har ofte til opgave at løse yderligere opgaver, såsom routing, switching eller understøttelse af VPN-netværk.
Ofte tilbyder UTM-løsningsudbydere løsninger til små virksomheder. Måske er denne tilgang delvist berettiget. Men alligevel er det både nemmere og billigere for små virksomheder i vores land at bruge sikkerhedstjenesten fra deres internetudbyder.
Som enhver universalløsning har UTM-udstyr sine fordele og ulemper. Den første omfatter omkostnings- og tidsbesparelser for implementering sammenlignet med at organisere beskyttelse på et lignende niveau fra separate sikkerhedsenheder. UTM er også en præ-afbalanceret og testet løsning, der nemt kan løse en lang række sikkerhedsproblemer. Endelig er løsninger i denne klasse ikke så krævende på kvalifikationsniveauet for teknisk personale. Enhver specialist kan håndtere deres opsætning, styring og vedligeholdelse.
Den største ulempe ved UTM er det faktum, at enhver funktionalitet i en universalløsning ofte er mindre effektiv end den samme funktionalitet i en specialiseret løsning. Derfor foretrækker sikkerhedsspecialister, når der kræves høj ydeevne eller høj grad af sikkerhed, at bruge løsninger baseret på integration af individuelle produkter.
På trods af denne ulempe bliver UTM-løsninger efterspurgt af mange organisationer, der adskiller sig meget i omfang og type aktivitet. Ifølge Rainbow Technologies blev sådanne løsninger implementeret med succes, for eksempel for at beskytte serveren på en af ​​onlinebutikkerne med husholdningsapparater, som var genstand for regelmæssige DDoS-angreb. UTM-løsningen gjorde det også muligt at reducere mængden af ​​spam betydeligt i postsystemet i en af ​​bilbedrifterne. Udover at løse lokale problemer har vi erfaring med at bygge sikkerhedssystemer baseret på UTM-løsninger til et distribueret netværk, der dækker hovedkontoret for en bryggerivirksomhed og dens filialer.

UTM-producenter og deres produkter

Det russiske marked for udstyr i UTM-klassen er kun dannet af forslag fra udenlandske producenter. Desværre har ingen af ​​de indenlandske producenter endnu været i stand til at tilbyde deres egne løsninger inden for denne udstyrsklasse. Undtagelsen er Eset NOD32 Firewall-softwareløsningen, som ifølge virksomheden er skabt af russiske udviklere.
Som allerede nævnt kan UTM-løsninger på det russiske marked hovedsageligt være af interesse for mellemstore virksomheder, hvis virksomhedsnetværk har op til 100-150 job. Ved udvælgelsen af ​​UTM-udstyr, der skulle præsenteres i anmeldelsen, var det vigtigste udvælgelseskriterium dets ydeevne i forskellige driftstilstande, hvilket kunne sikre en behagelig brugeroplevelse. Producenter angiver ofte ydeevnespecifikationer for tilstande Firewall, IPS Intrusion Prevention og AV Virus Protection.

Løsning Check Point Hedder UTM-1 Edge og er en samlet sikkerhedsenhed, der kombinerer en firewall, et system til forebyggelse af indtrængen, en antivirus-gateway samt VPN- og fjernadgangsværktøjer. Firewallen, der er inkluderet i løsningskontrollerne, fungerer med en lang række applikationer, protokoller og tjenester, og den har også en mekanisme til at blokere trafik, der tydeligvis ikke passer ind i kategorien af ​​forretningsapplikationer. For eksempel instant messaging (IM) og peer-to-peer (P2P) trafik. Antivirus-gatewayen giver dig mulighed for at overvåge ondsindet kode i e-mail-beskeder, FTP- og HTTP-trafik. I dette tilfælde er der ingen begrænsninger for størrelsen af ​​filer, og dekomprimering af arkivfiler udføres "on the fly".
UTM-1 Edge-løsningen har avancerede funktioner til at arbejde i VPN-netværk. OSPF dynamisk routing og VPN-klientforbindelser understøttes. UTM-1 Edge W-modellen fås med et indbygget IEEE 802.11b/g WiFi-adgangspunkt.
Når store udrulninger er påkrævet, integreres UTM-1 Edge problemfrit med Check Point SMART for i høj grad at forenkle sikkerhedsstyringen.

Cisco Company lægger traditionelt større vægt på netværkssikkerhedsproblemer og tilbyder en bred vifte af nødvendige enheder. Til gennemgang besluttede vi at vælge modellen Cisco ASA 5510, som er fokuseret på at sikre sikkerheden af ​​virksomhedens netværks perimeter. Dette udstyr er en del af ASA 5500-serien, som inkluderer modulære UTM-klassebeskyttelsessystemer. Denne tilgang giver dig mulighed for at tilpasse sikkerhedssystemet til de særlige forhold ved funktionen af ​​netværket i en bestemt virksomhed.
Cisco ASA 5510 kommer i fire hovedsæt - en firewall, VPN-værktøjer, et indtrængningsforebyggelsessystem samt antivirus- og antispamværktøjer. Løsningen omfatter yderligere komponenter, såsom Security Manager-systemet til at skabe en administrationsinfrastruktur til et omfattende virksomhedsnetværk og Cisco MARS-systemet, designet til at overvåge netværksmiljøet og reagere på sikkerhedsbrud i realtid.

slovakisk Eset firma leverer softwarepakken Eset NOD32 Firewall UTM-klasse, som ud over virksomhedens firewall-funktioner inkluderer Eset NOD32 antivirusbeskyttelsessystemet, e-mail (anti-spam) og webtrafikfiltreringsværktøjer, IDS- og IPS-netværksangrebsdetektering og -forebyggelsessystemer. Løsningen understøtter oprettelsen af ​​VPN-netværk. Dette kompleks er bygget på en serverplatform, der kører Linux. Softwaredelen af ​​enheden er udviklet indenlandsk virksomhed Leta IT, kontrolleret af det russiske repræsentationskontor Eset.
Denne løsning giver dig mulighed for at overvåge netværkstrafikken i realtid og understøtter indholdsfiltrering efter kategorier af webressourcer. Giver beskyttelse mod DDoS-angreb og blokerer portscanningsforsøg. Eset NOD32 Firewall-løsningen inkluderer understøttelse af DNS-servere, DHCP og kontrol over ændringer i kanalbåndbredde. Trafikken af ​​SMTP- og POP3-mail-protokoller kontrolleres.
Denne løsning inkluderer også muligheden for at oprette distribuerede virksomhedsnetværk ved hjælp af VPN-forbindelser. Samtidig understøttes forskellige former for netværksaggregering, autentificering og krypteringsalgoritmer.

Fortinet selskab tilbyder en hel familie af enheder FortiGate UTM-klasse, der positionerer sine løsninger som i stand til at yde netværksbeskyttelse, mens de opretholder et højt niveau af ydeevne samt pålidelig og gennemsigtig drift af virksomhedens informationssystemer i realtid. Til gennemgang valgte vi model FortiGate-224B, som har til formål at beskytte omkredsen af ​​et virksomhedsnetværk med 150 - 200 brugere.
FortiGate-224B-udstyr inkluderer firewall-funktionalitet, VPN-server, webtrafikfiltrering, systemer til forebyggelse af indtrængen samt anti-virus og anti-spam beskyttelse. Denne model har indbygget Layer 2 LAN-switch og WAN-grænseflader, hvilket eliminerer behovet for eksterne routing- og switching-enheder. Til dette formål understøttes routing ved hjælp af RIP-, OSPF- og BGP-protokollerne samt brugergodkendelsesprotokoller før levering af netværkstjenester.

SonicWALL Company tilbyder et bredt udvalg af UTM-enheder, hvorfra løsningen er inkluderet i denne anmeldelse NSA 240. Dette udstyr er juniormodellen i linjen, rettet mod brug som et sikkerhedssystem til virksomhedens netværk af mellemstore virksomheder og filialer af store virksomheder.
Denne linje er baseret på brugen af ​​alle midler til beskyttelse mod potentielle trusler. Disse er en firewall, et system til beskyttelse mod indtrængen, antivirus- og antispyware-gateways. Der er filtrering af webtrafik efter 56 kategorier af websteder.
Som et af højdepunkterne i sin løsning bemærker SonicWALL teknologien til dyb scanning og analyse af indgående trafik. For at undgå ydeevneforringelse bruger denne teknologi parallel databehandling på en multiprocessorkerne.
Dette udstyr understøtter VPN, har avancerede routing-funktioner og understøtter forskellige netværksprotokoller. Løsningen fra SonicWALL er også i stand til at give et højt sikkerhedsniveau ved servicering af VoIP-trafik ved hjælp af SIP- og H.323-protokollerne.

Fra produktlinjen WatchGuard selskab løsning blev valgt til gennemgang Firebox X550e, der er positioneret som et system med avanceret funktionalitet til sikring af netværkssikkerhed og er rettet mod brug i små og mellemstore virksomheders netværk.
UTM-klasseløsningerne fra denne producent er baseret på princippet om beskyttelse mod blandede netværksangreb. For at opnå dette understøtter udstyret en firewall, et angrebsforebyggelsessystem, antivirus- og anti-spam-gateways, webressourcefiltrering samt et anti-spyware-system.
Dette udstyr bruger princippet om fælles beskyttelse, ifølge hvilket netværkstrafik, der kontrolleres af et bestemt kriterium på et beskyttelsesniveau, ikke vil blive kontrolleret af det samme kriterium på et andet niveau. Denne tilgang giver mulighed for høj udstyrsydelse.
En anden fordel ved sin løsning kalder producenten support for Zero Day-teknologi, som sikrer sikkerhedsuafhængighed fra tilstedeværelsen af ​​signaturer. Denne funktion er vigtig, når nye typer trusler dukker op, som endnu ikke er blevet effektivt imødegået. Typisk varer "sårbarhedens vindue" fra flere timer til flere dage. Når du bruger Zero Day-teknologi, reduceres sandsynligheden for negative konsekvenser fra sårbarhedsvinduet mærkbart.

ZyXEL Company tilbyder sin UTM-klasse firewall-løsning, rettet mod brug i virksomhedsnetværk med op til 500 brugere. Det her ZyWALL 1050 løsning designet til at bygge et netværkssikkerhedssystem, inklusive fuld virusbeskyttelse, indtrængenforebyggelse og understøttelse af virtuelle private netværk. Enheden har fem Gigabit Ethernet-porte, som kan konfigureres til brug som WAN, LAN, DMZ og WLAN interfaces afhængigt af netværkskonfigurationen.
Enheden understøtter transmission af VoIP-applikationstrafik via SIP- og H.323-protokoller på firewall- og NAT-niveau, samt transmission af pakketelefonitrafik i VPN-tunneler. Samtidig sikres funktionen af ​​mekanismer til at forhindre angreb og trusler for alle typer trafik, herunder VoIP-trafik, driften af ​​et antivirussystem med en fuld signaturdatabase, indholdsfiltrering for 60 webstedskategorier og spambeskyttelse.
ZyWALL 1050-løsningen understøtter forskellige private netværkstopologier, arbejder i VPN-koncentratortilstand og kombinerer virtuelle netværk i zoner med ensartede sikkerhedspolitikker.

Hovedkarakteristika ved UTM

Ekspertudtalelse

Dmitry Kostrov, projektdirektør for direktoratet for teknologisk beskyttelse af MTS OJSCs virksomhedscenter

Omfanget af UTM-løsninger gælder hovedsageligt for virksomheder, der er klassificeret som små og mellemstore virksomheder. Selve konceptet Unified Threat Management (UTM), som en separat klasse af udstyr til beskyttelse af netværksressourcer, blev introduceret af det internationale bureau IDC, ifølge hvilket UTM-løsninger er multifunktionelle software- og hardwaresystemer, der kombinerer funktionerne fra forskellige enheder. Typisk omfatter disse en firewall, VPN, netværksindtrængningsdetektion og -forebyggelsessystemer samt antivirus- og anti-spam-gateway og URL-filtreringsfunktioner.
For at opnå en virkelig effektiv beskyttelse skal enheden være multi-level, aktiv og integreret. Samtidig har mange producenter af sikkerhedsudstyr allerede et ret bredt udvalg af produkter relateret til UTM. Den tilstrækkelige enkelhed af systemimplementering såvel som alt-i-én-systemet gør markedet for disse enheder ret attraktivt. De samlede ejeromkostninger og investeringsafkast ved implementering af disse enheder virker meget attraktive.
Men denne UTM-løsning er som en "schweizerkniv" - der er et værktøj til enhver situation, men for at slå hul i væggen skal du bruge en rigtig boremaskine. Der er også mulighed for, at fremkomsten af ​​beskyttelse mod nye angreb, opdatering af signaturer mv. vil ikke være så hurtigt, i modsætning til understøttelsen af ​​individuelle enheder i den "klassiske" virksomhedsnetværksbeskyttelsesordning. Der er også stadig problemet med et enkelt point of failure.

I dag i vores blog besluttede vi at berøre sikkerhedsaspekterne af virksomhedsnetværk. Og Mikhail Lyubimov, teknisk direktør for LWCOM, vil hjælpe os med dette.

Hvorfor er dette emne om netværkssikkerhed ekstremt relevant i den moderne verden?

På grund af den næsten universelle tilgængelighed af bredbåndsinternet udføres de fleste handlinger på enheder gennem netværket, så for 99 % af moderne trusler er netværket den transport, hvorigennem truslen leveres fra kilden til målet. Selvfølgelig er det muligt at sprede ondsindet kode ved hjælp af flytbare medier, men denne metode bruges nu mindre og mindre, og de fleste virksomheder har længe lært at håndtere sådanne trusler.

Hvad er et datanetværk?

Lad os først tegne arkitekturen af ​​et klassisk virksomhedsdatanetværk i en forenklet og forståelig form.

Datatransmissionsnetværket begynder med adgangslagsswitchen. Arbejdspladser er forbundet direkte til denne switch: computere, bærbare computere, printere, multifunktionelle og forskellige andre enheder, for eksempel trådløse adgangspunkter. Derfor kan du have en masse udstyr; det kan oprette forbindelse til netværket på helt andre steder (etager eller endda separate bygninger).

Typisk er et virksomhedsdatanetværk bygget ved hjælp af en "stjerne" topologi, så interaktionen mellem alle segmenter med hinanden vil blive sikret af netværkskerneniveauudstyr. For eksempel kan den samme switch bruges, kun normalt i en mere kraftfuld og funktionel version sammenlignet med dem, der bruges på adgangsniveauet.

Servere og lagringssystemer er sædvanligvis konsolideret på ét sted og kan fra et datanetværks synspunkt enten forbindes direkte til kerneudstyret eller kan have et bestemt segment af adgangsudstyr dedikeret til disse formål.

Dernæst har vi udstyr til interface med eksterne datanetværk (f.eks. internettet). Til disse formål bruger virksomheder typisk enheder som routere, firewalls og forskellige slags proxyservere. De bruges også til at organisere kommunikation med distribuerede virksomhedskontorer og til at forbinde eksterne medarbejdere.

Dette er arkitekturen i et lokalt netværk, der er let at forstå og fælles for moderne virkeligheder.

Hvilken klassificering af trusler findes i dag?

Lad os definere hovedmålene og angrebsvektorerne inden for netværkskommunikation.

Det mest almindelige og enkleste angrebsmål er brugerenheden. Ondsindet software kan nemt distribueres i denne retning gennem indhold på webressourcer eller via e-mail.

I fremtiden kan angriberen, efter at have fået adgang til brugerens arbejdsstation, enten stjæle fortrolige data eller udvikle et angreb mod andre brugere eller andre enheder på virksomhedens netværk.

Det næste mulige mål for angreb er naturligvis servere. En af de mest kendte typer angreb på publicerede ressourcer er DoS- og DDoS-angreb, som bruges til at forstyrre den stabile drift af ressourcer eller fuldstændigt svigte dem.

Angreb kan også rettes fra eksterne netværk til specifikke offentliggjorte applikationer, for eksempel webressourcer, DNS-servere, e-mail. Angreb kan også rettes inde fra netværket - fra en inficeret brugers computer eller fra en angriber, der er tilsluttet netværket, til applikationer såsom fildelinger eller databaser.



Der er også en kategori af selektive angreb, og en af ​​de farligste er et angreb på selve netværket, altså på adgangen til det. En angriber, der har fået adgang til et netværk, kan iværksætte følgende angreb på praktisk talt enhver enhed, der er tilsluttet det, samt hemmeligt få adgang til enhver information. Vigtigst er det, at et vellykket angreb af denne art er ret svært at opdage, og det kan ikke behandles med standardmidler. Det vil sige, at du faktisk har en ny bruger eller endnu værre en administrator, som du intet ved om.

Et andet mål for angriberen kan være kommunikationskanaler. Det skal forstås, at et vellykket angreb på kommunikationskanaler ikke kun giver dig mulighed for at læse information transmitteret over dem, men også være identisk med hensyn til et angreb på et netværk, når en angriber kan få adgang til alle ressourcer i et lokalt computernetværk.

Hvordan organiserer man kompetent og pålidelig datatransmissionsbeskyttelse?

Til at begynde med kan vi præsentere globale praksisser og anbefalinger til at organisere beskyttelsen af ​​et virksomhedsdatanetværk, nemlig det sæt værktøjer, der giver dig mulighed for at undgå de fleste eksisterende trusler med minimal indsats, det såkaldte sikre minimum.

I denne sammenhæng er det nødvendigt at introducere udtrykket "netværkssikkerhedsperimeter", fordi Jo tættere du kontrollerer den mulige kilde til truslen, jo mere reducerer du antallet af angrebsmetoder, der er tilgængelige for en angriber. I dette tilfælde skal omkredsen eksistere for både eksterne og interne forbindelser.

Først og fremmest anbefaler vi at sikre grænsefladen med offentlige netværk, fordi det største antal trusler kommer fra dem. I øjeblikket er der en række specialiserede netværkssikkerhedsværktøjer designet specifikt til sikker organisering af forbindelser til internettet.

Begreber som NGFW (Next-generation firewall) og UTM (Unified Threat Management) er meget brugt til at henvise til dem. Disse enheder kombinerer ikke kun funktionaliteten fra en klassisk router, firewall og proxyserver, men leverer også yderligere sikkerhedstjenester, såsom URL- og indholdsfiltrering, antivirus osv. Desuden bruger enhederne ofte cloud-baserede indholdsverifikationssystemer, som gør det muligt dig til hurtigt og effektivt at scanne alle overførte data for trusler. Men det vigtigste er muligheden for at rapportere om identificerede trusler i retrospekt, det vil sige at identificere trusler i tilfælde, hvor inficeret indhold allerede er blevet overført til brugeren, men producenten modtog information om ondsindetheden af ​​denne software senere.

Ting som inspektion af HTTPS-trafik og automatisk analyse af applikationer giver dig mulighed for ikke kun at kontrollere adgangen til specifikke websteder, men også tillade/forbyde driften af ​​applikationer såsom: Skype, Team Viewer og mange andre, og som du ved, de fleste af dem har kørt i lang tid HTTP- og HTTPS-protokoller og standardnetværksværktøjer kan simpelthen ikke kontrollere deres drift.

Udover dette kan du inden for en enkelt enhed også få et indbrudsforebyggelsessystem, som er ansvarligt for at stoppe angreb rettet mod offentliggjorte ressourcer. Du kan også få en VPN-server til sikkert fjernarbejde af medarbejdere og forbindende filialer, anti-spam, botnet-kontrolsystem, sandkasse osv. Alt dette gør sådan en enhed til et virkeligt samlet netværkssikkerhedsværktøj.

Hvis din virksomhed endnu ikke bruger sådanne løsninger, så anbefaler vi stærkt at begynde at bruge dem lige nu, da tiden for deres effektivitet allerede er kommet, og vi kan med tillid sige, at sådanne enheder har bevist deres reelle evne til at håndtere store antal trusler, hvilket endnu ikke har været tilfældet for 5 år siden. På det tidspunkt var sådanne ting lige kommet på markedet, havde mange problemer og var ret dyre og lavtydende.

Hvordan vælger man næste generations firewall?

Nu er der et stort antal netværksenheder på markedet med erklæret lignende funktionalitet, men kun få kan give en virkelig effektiv beskyttelse. Dette forklares med, at kun et begrænset antal producenter har midlerne og faktisk investerer dem i nonstop udvikling af aktuelle trusler, dvs. konstant opdatere databaser over potentielt farlige ressourcer, yde uafbrudt support til løsninger mv.

Mange partnere vil forsøge at sælge dig løsninger, der er rentable for dem at sælge, så prisen på en løsning svarer ikke altid til dens reelle evne til at imødegå trusler. Personligt anbefaler jeg at henvende sig til materialer fra uafhængige analytiske centre, for eksempel NSS Labs-rapporter, for at vælge en enhed. Efter min mening er de mere nøjagtige og upartiske.

Ud over trusler udefra kan dine ressourcer også angribes indefra. Det såkaldte "sikre minimum", der bør bruges i dit lokale netværk, er dets segmentering i VLAN'er, dvs. virtuelle private netværk. Ud over segmentering er det obligatorisk at anvende adgangspolitikker mellem dem, i det mindste ved hjælp af standard adgangsliste (ACL), fordi blot at have et VLAN i kampen mod moderne trusler giver praktisk talt ingenting.

Som en separat anbefaling vil jeg skitsere ønskeligheden af ​​at bruge adgangskontrol direkte fra enhedsporten. Det er dog nødvendigt at huske netværkets omkreds, dvs. Jo tættere på de beskyttede tjenester du anvender politikkerne, jo bedre. Ideelt set bør sådanne politikker implementeres på adgangskontakter. I sådanne tilfælde anbefales det at anvende 4 enkle regler som de mest minimale sikkerhedspolitikker:

  • hold alle ubrugte switch-porte administrativt deaktiveret;
  • brug ikke 1. VLAN;
  • brug MAC-filtreringsark på adgangskontakter;
  • brug ARP-protokolinspektion.
En glimrende løsning ville være at bruge de samme firewalls med systemer til forebyggelse af indtrængen langs datatransmissionsvejen og også arkitektonisk bruge demilitariserede zoner. Det er bedst at implementere godkendelse af den tilsluttede enhed ved hjælp af 802.1x-protokollen ved hjælp af forskellige AAA-systemer (godkendelses-, autorisations- og regnskabssystemer) til centraliseret netværksadgangskontrol. Disse løsninger omtales typisk med den almindelige betegnelse blandt producenterne NAC (Network Access Control). Et eksempel på et sådant kommercielt system er Cisco ISE.



Angribere kan også iværksætte angreb på kanaler. Stærk kryptering bør bruges til at beskytte kanaler. Mange mennesker forsømmer dette og betaler derefter konsekvenserne. Ubeskyttede kanaler er ikke kun information tilgængelig for tyveri, men også muligheden for at angribe næsten alle virksomhedens ressourcer. Vores kunder har haft et betydeligt antal præcedenser i deres praksis, når angreb blev udført på virksomhedstelefoni ved at organisere kommunikation gennem usikrede dataoverførselskanaler mellem et centralt og fjernt kontor (f.eks. ved blot at bruge GRE-tunneler). Virksomheder modtog skøre regninger!

Hvad kan du fortælle os om trådløse netværk og BYOD?

Jeg vil gerne fremhæve emnet fjernarbejde, trådløse netværk og brug af dine egne enheder separat. Efter min erfaring er disse tre ting et af de største potentielle sikkerhedshuller i din virksomhed. Men samtidig er de en af ​​de største konkurrencefordele.

For at tage en kort tilgang til problemet, anbefaler jeg, at du enten helt forbyder brugen af ​​trådløse netværk, fjernarbejde eller arbejder gennem dine egne mobile enheder, citerer virksomhedens regler eller leverer disse tjenester så grundigt som muligt ud fra et sikkerhedssynspunkt, især da moderne løsninger giver mulighed for at gøre dette er bedst.

Med hensyn til fjernarbejde kan de samme Next Generation Firewalls eller UTM-enheder hjælpe dig. Vores praksis viser, at der er en række stabile løsninger (inklusive Cisco, Checkpoint, Fortinet, Citrix), der giver dig mulighed for at arbejde med en række forskellige klientenheder, samtidig med at de leverer de højeste standarder for at identificere en ekstern medarbejder. For eksempel brug af certifikater, to-faktor autentificering, engangsadgangskoder leveret via SMS eller genereret ved hjælp af en speciel nøgle. Du kan også overvåge den software, der er installeret på den computer, hvorfra adgangsforsøget foretages, for eksempel for installation af passende opdateringer eller kørsel af antivirus.

Wi-Fi-sikkerhed er et emne, der fortjener sin egen artikel. I dette indlæg vil jeg forsøge at give de vigtigste anbefalinger. Hvis du bygger virksomhedens Wi-Fi, skal du sørge for at overveje alle mulige sikkerhedsaspekter forbundet med det.

Forresten er Wi-Fi en helt separat indtægtskilde for vores virksomhed. Vi håndterer dem professionelt: projekter til at udstyre indkøbscentre og indkøbscentre, forretningscentre, lagre med trådløst udstyr, herunder brug af moderne løsninger såsom positionering, udføres i nonstop-tilstand. Og ifølge resultaterne af vores radioundersøgelser finder vi i hvert andet kontor og hvert andet lager mindst én hjemme-Wi-Fi-router, som var forbundet til netværket af medarbejderne selv. Normalt gør de dette for deres egen bekvemmelighed for arbejdet, for eksempel for at gå til rygeværelset med en bærbar computer eller for at bevæge sig frit i rummet. Det er klart, at der ikke blev anvendt virksomhedssikkerhedsregler på sådanne routere, og adgangskoder blev distribueret til velkendte kolleger, derefter til kolleger af kolleger, derefter til gæster, der kom til kaffe, og som et resultat havde næsten alle adgang til virksomhedens netværk , mens det var fuldstændig ukontrolleret.

Selvfølgelig er det værd at beskytte netværket mod at forbinde sådant udstyr. De vigtigste måder at gøre dette på kan være: at bruge autorisation på porte, filtrering efter MAC osv. Igen, fra et Wi-Fi-synspunkt, bør stærke kryptografiske algoritmer og virksomhedsgodkendelsesmetoder bruges til netværket. Men du bør forstå, at ikke alle virksomhedsgodkendelsesmetoder er lige nyttige. For eksempel kan Android-enheder i nogle softwareudgivelser ignorere det offentlige certifikat for et Wi-Fi-netværk som standard, og derved gøre Evil tvillingeangreb mulige. Hvis der bruges en godkendelsesmetode, såsom EAP GTC, så transmitteres nøglen i klartekst og kan opsnappes fuldstændigt i dette angreb. Vi anbefaler kun at bruge certifikatgodkendelse i virksomhedsnetværk, dvs. Dette er TLS-metoder, men husk på, at det øger belastningen på netværksadministratorer markant.

Der er en anden måde: Hvis fjernarbejde er implementeret i virksomhedens netværk, så kan du tvinge enheder, der er tilsluttet via Wi-Fi, til også at bruge en VPN-klient. Det vil sige, alloker et Wi-Fi-netværkssegment til et oprindeligt upålidt område, og i sidste ende får du en god arbejdsmulighed med minimering af omkostningerne til netværksadministration.

Producenter af Wi-Fi-løsninger til virksomheder, såsom Cisco, Ruckus, som nu er Brocade, Aruba, som nu er HPE, leverer foruden standard Wi-Fi-løsninger en lang række tjenester til automatisk overvågning af sikkerheden i det trådløse miljø . Det vil sige, at ting som WIPS (Wireless Intrusion Prevention System) fungerer ganske godt for dem. Disse producenter har implementeret trådløse sensorer, der kan overvåge hele spektret af frekvenser, og derved give dem mulighed for automatisk at overvåge ganske alvorlige trusler.

Lad os nu berøre emner som BYOD (Bring your own device) og MDM (Mobile device management). Selvfølgelig er enhver mobilenhed, der gemmer virksomhedsdata eller har adgang til virksomhedens netværk, en potentiel kilde til problemer. Emnet for sikkerhed for sådanne enheder vedrører ikke kun sikker adgang til virksomhedens netværk, men også centraliseret styring af politikker for mobile enheder: smartphones, tablets, bærbare computere, der bruges uden for organisationen. Dette emne har været relevant i meget lang tid, men først nu er der dukket virkelig fungerende løsninger på markedet, der giver dig mulighed for at administrere en mangfoldig flåde af mobilt udstyr.

Desværre vil det ikke være muligt at tale om dem i dette indlæg, men ved at der findes løsninger, og i det sidste år har vi oplevet et boom i implementeringen af ​​MDM-løsninger fra Microsoft og MobileIron.

Du talte om "minimumssikkerhed", hvad er så "maksimal sikkerhed"?

På et tidspunkt var der et populært billede på internettet: det anbefalede at installere firewalls fra kendte producenter en efter en for at beskytte netværket. Vi opfordrer dig på ingen måde til at gøre det samme, men ikke desto mindre er der en vis sandhed her. Det vil være yderst nyttigt at have en netværksenhed med virussignaturanalyse, for eksempel fra SOFOS, og allerede at installere et antivirus fra Kaspersky Lab på dine arbejdspladser. Dermed får vi to beskyttelsessystemer mod ondsindet kode, der ikke forstyrrer hinanden.

Der er en række specialiserede informationssikkerhedsværktøjer:

DLP. Markedet tilbyder specialiserede informationssikkerhedsværktøjer, det vil sige udviklet og rettet mod at løse en specifik trussel. I øjeblikket er DLP (Data Loss Prevention) eller datalækageforebyggelsessystemer ved at blive populære. De arbejder både på netværksniveau og integreres i datatransmissionsmiljøet og direkte på applikationsservere, arbejdsstationer og mobile enheder.

Vi bevæger os noget væk fra netværksemnet, men truslen om datalækage vil altid eksistere. Disse løsninger er især ved at blive relevante for virksomheder, hvor tab af data har kommercielle risici og omdømmemæssige risici og konsekvenser. For bare 5 år siden var implementeringen af ​​DLP-systemer noget vanskelig på grund af deres kompleksitet og behovet for at gennemføre en udviklingsproces for hver konkret sag. Derfor, på grund af deres omkostninger, opgav mange virksomheder disse løsninger eller skrev deres egne. I øjeblikket er markedssystemerne tilstrækkeligt modne, så al den nødvendige sikkerhedsfunktionalitet kan fås lige ud af kassen.

På det russiske marked er kommercielle systemer hovedsageligt repræsenteret af producenten Infowatch (nedenfor er et billede fra denne producent om, hvordan de præsenterer deres løsning i en stor virksomhed) og den ret velkendte MacAfee.

WAF. På grund af udviklingen af ​​internethandelstjenester, såsom internetbank, elektroniske penge, e-handel, forsikringstjenester osv., er specialiserede værktøjer til beskyttelse af webressourcer for nylig blevet efterspurgte. Nemlig WAF - Web Application Firewall.

Denne enhed giver dig mulighed for at afvise angreb rettet mod sårbarheder på selve webstedet. Ud over selektive DoS-angreb, når et websted undertrykkes af legitime anmodninger, kan disse være SQL-injektionsangreb, Cross-site scripting osv. Tidligere blev sådanne enheder hovedsageligt købt af banker, og de var ikke efterspurgte fra andre kunder, og de koster mange penge. For eksempel startede prisen på en fungerende løsning ved $100.000. Nu tilbyder markedet et stort antal løsninger fra kendte producenter (Fortinet, Citrix, Positive Technologies), hvorfra du kan få en fungerende løsning til at beskytte din hjemmeside for ganske rimelige penge (3-5 gange mindre end det tidligere angivne beløb) ).

Revidere. Organisationer, især dem, der går ind for deres egen sikkerhed, implementerer automatiserede revisionsværktøjer. Disse løsninger er dyre, men de gør det muligt at overføre en række administratorfunktioner til automatiseringsområdet, som er ekstremt efterspurgt for store virksomheder. Sådanne løsninger scanner konstant netværket og reviderer alle installerede operativsystemer og applikationer for kendte sikkerhedshuller, rettidighed af opdateringer og overholdelse af virksomhedens politikker. Sandsynligvis de mest berømte løsninger på dette område ikke kun i Rusland, men i hele verden er produkter fra Positive Technologies.

SIEM. Svarende til SIEM-løsninger. Disse er systemer designet til at detektere nødsituationer relateret specifikt til sikkerhedsrelaterede hændelser. Selv et standardsæt med et par firewalls, et dusin applikationsservere og tusindvis af desktops kan generere titusindvis af advarsler om dagen. Hvis du har en stor virksomhed, og du har snesevis af edge-enheder, så bliver det simpelthen umuligt at forstå de data, der modtages fra dem manuelt. Automatisering af kontrollen af ​​indsamlede logfiler samtidigt fra alle enheder giver administratorer og informationssikkerhedsansatte mulighed for at handle med det samme. SIEM-løsninger fra Arcsight (en del af HPE-produkter) og Q-RADAR (en del af IBM-produkter) er ganske velkendte på markedet.

Og endelig: Hvilket råd kan du give til dem, der seriøst er engageret i at organisere beskyttelsen af ​​deres it-ressourcer?

Når man organiserer IT-sikkerhed for en virksomhed, skal man selvfølgelig ikke glemme administrative bestemmelser. Brugere og administratorer skal være opmærksomme på, at fundne flashdrev ikke kan bruges på en computer, ligesom de ikke kan følge tvivlsomme links i e-mails eller åbne tvivlsomme vedhæftede filer. Det er meget vigtigt at fortælle og forklare, hvilke links og vedhæftede filer der ikke er bekræftet. I virkeligheden er det ikke alle, der forstår, at der ikke er behov for at gemme adgangskoder på sedler klistret til skærmen eller telefonen, at du skal lære at læse de advarsler, som applikationer skriver til brugeren osv. Du bør forklare brugerne, hvad et sikkerhedscertifikat er, og hvad de meddelelser, der er knyttet til det, betyder. Generelt er det nødvendigt at tage højde for ikke kun den tekniske side af problemet, men også at indgyde en kultur for at bruge virksomhedens IT-ressourcer af medarbejderne.
Jeg håber, du fandt dette fantastiske indlæg interessant og nyttigt.

Metoder til at beskytte information i en virksomhed, såvel som metoder til at opnå dem, ændrer sig konstant. Nye tilbud fra virksomheder, der leverer informationssikkerhedstjenester, dukker jævnligt op. Selvfølgelig er der ingen vidundermiddel, men der er flere grundlæggende trin i opbygningen af ​​sikkerhed for et virksomhedsinformationssystem, som du bestemt skal være opmærksom på.

Mange kender sikkert begrebet dybdegående beskyttelse mod hacking af et informationsnetværk. Dens hovedidé er at bruge flere niveauer af forsvar. Dette vil som minimum minimere skaden forbundet med en mulig krænkelse af dit informationssystems sikkerhedsomkreds.
Dernæst vil vi overveje generelle aspekter af computersikkerhed og også oprette en tjekliste, der tjener som grundlag for opbygning af grundlæggende beskyttelse for et virksomhedsinformationssystem.

1. Firewall (firewall, firewall)

En firewall eller firewall er den første forsvarslinje, der byder ubudne gæster velkommen.
I henhold til niveauet for adgangskontrol skelnes følgende typer firewalls:

  • I det simpleste tilfælde filtreres netværkspakker efter fastlagte regler, dvs. baseret på kilde- og destinationsadresser på netværkspakker, netværksportnumre;
  • En firewall, der fungerer på sessionsniveau (stateful). Den overvåger aktive forbindelser og kasserer forfalskede pakker, der overtræder TCP/IP-specifikationer;
  • En firewall, der fungerer på applikationsniveau. Udfører filtrering baseret på analyse af applikationsdata transmitteret i pakken.

Øget opmærksomhed på netværkssikkerhed og udviklingen af ​​e-handel har ført til, at et stigende antal brugere bruger forbindelseskryptering (SSL, VPN) for at beskytte sig selv. Dette gør det ret vanskeligt at analysere trafik, der passerer gennem firewalls. Som du måske gætter, bruges de samme teknologier af malware-udviklere. Vira, der bruger trafikkryptering, er nærmest blevet umulig at skelne fra legitim brugertrafik.

2. Virtuelle private netværk (VPN)

Situationer, hvor en medarbejder har brug for adgang til virksomhedens ressourcer fra offentlige steder (Wi-Fi i en lufthavn eller hotel) eller hjemmefra (dine medarbejderes hjemmenetværk kontrolleres ikke af dine administratorer), er særligt farlige for virksomhedsoplysninger. For at beskytte dem skal du blot bruge krypterede VPN-tunneler. Der er ikke tale om nogen direkte adgang til Remote Desktop (RDP) uden kryptering. Det samme gælder brugen af ​​tredjepartssoftware: Teamviewer, Aammy Admin mv. for at få adgang til arbejdsnetværket. Trafik gennem disse programmer er krypteret, men passerer gennem serverne hos udviklerne af denne software, som er uden for din kontrol.

Ulemper ved VPN'er omfatter den relative kompleksitet af implementeringen, ekstra omkostninger til autentificeringsnøgler og øget internetbåndbredde. Godkendelsesnøgler kan også blive kompromitteret. Stjålne mobile enheder fra en virksomhed eller ansatte (bærbare computere, tablets, smartphones) med forudkonfigurerede VPN-forbindelsesparametre kan blive et potentielt hul for uautoriseret adgang til virksomhedens ressourcer.

3. Intrusion detection and prevention systems (IDS, IPS)

Et indtrængen detektionssystem (IDS - engelsk: Intrusion Detection System) er et software- eller hardwareværktøj designet til at opdage fakta om uautoriseret adgang til et computersystem (netværk) eller uautoriseret kontrol af et sådant system. I det enkleste tilfælde hjælper et sådant system med at registrere scanning af dit systems netværksporte eller forsøg på at logge ind på serveren. I det første tilfælde indikerer dette indledende rekognoscering af angriberen, og i det andet et forsøg på at hacke din server. Du kan også opdage angreb, der har til formål at eskalere systemprivilegier, uautoriseret adgang til vigtige filer og skadelig software. Avancerede netværksswitches giver dig mulighed for at tilslutte et indbrudsdetektionssystem ved hjælp af portspejling eller gennem trafikhaner.

Et system til forebyggelse af indtrængen (IPS) er et software- eller hardwaresikkerhedssystem, der aktivt blokerer indtrængen, efterhånden som de opdages. Hvis der opdages et indtrængen, kan mistænkelig netværkstrafik automatisk blokeres og en meddelelse sendes til administratoren med det samme.

4. Antivirusbeskyttelse

Antivirussoftware er den primære forsvarslinje for de fleste moderne virksomheder. Ifølge analysefirmaet Gartner udgjorde mængden af ​​antivirussoftwaremarkedet ved udgangen af ​​2012 19,14 milliarder dollars. Hovedforbrugerne er segmentet mellemstore og små virksomheder.

Først og fremmest er antivirusbeskyttelse rettet mod klientenheder og arbejdsstationer. Forretningsversioner af antivirus inkluderer centraliserede administrationsfunktioner til overførsel af antivirusdatabaseopdateringer til klientenheder samt muligheden for centralt at konfigurere sikkerhedspolitikker. Udvalget af antivirusvirksomheder omfatter specialiserede løsninger til servere.
I betragtning af at de fleste malware-infektioner opstår som et resultat af brugerhandlinger, tilbyder antiviruspakker omfattende beskyttelsesmuligheder. For eksempel beskyttelse af e-mail-programmer, chats, kontrol af websteder, der er besøgt af brugere. Derudover inkluderer antiviruspakker i stigende grad en software-firewall, proaktive forsvarsmekanismer og spamfiltreringsmekanismer.

5. Hvidlister

Hvad er "hvide lister"? Der er to hovedtilgange til informationssikkerhed. Den første tilgang antager, at operativsystemet som standard tillader lancering af alle applikationer, hvis de ikke tidligere er sortlistet. Den anden tilgang antager tværtimod, at kun de programmer, der tidligere har været inkluderet i "hvidlisten", får lov til at køre, og alle andre programmer er blokeret som standard. Den anden tilgang til sikkerhed er naturligvis mere at foretrække i erhvervslivet. Hvidlister kan oprettes enten ved hjælp af indbyggede operativsystemværktøjer eller ved hjælp af tredjepartssoftware. Antivirussoftware tilbyder ofte denne funktion. De fleste antivirusprogrammer, der tilbyder hvidlistefiltrering, gør det muligt at fuldføre den indledende opsætning meget hurtigt med minimal brugeropmærksomhed.

Der kan dog opstå situationer, hvor hvidlistede programfilafhængigheder ikke blev identificeret korrekt af dig eller din antivirussoftware. Dette vil få applikationen til at gå ned eller ikke installeres korrekt. Derudover er hvidlister magtesløse over for angreb, der udnytter sårbarheder i dokumentbehandling af hvidlistede programmer. Du bør også være opmærksom på det svageste led i enhver beskyttelse: medarbejderne selv kan i en fart ignorere antivirussoftwareadvarslen og tilføje ondsindet software til hvidlisten.

6. Spamfiltrering

Spam-mails bruges ofte til at udføre phishing-angreb, som bruges til at introducere en trojaner eller anden malware i et virksomhedsnetværk. Brugere, der behandler store mængder e-mail hver dag, er mere modtagelige for phishing-e-mails. Derfor er opgaven for virksomhedens it-afdeling at filtrere så meget spam som muligt fra det generelle e-mail-flow.

Grundlæggende metoder til spamfiltrering:

  • Specialiserede udbydere af spamfiltreringstjenester;
  • Spamfiltreringssoftware på dine egne mailservere;
  • Specialiserede hardwareløsninger implementeret i et virksomhedsdatacenter.

7. Holde softwaren opdateret

Rettidige softwareopdateringer og anvendelse af aktuelle sikkerhedsrettelser er et vigtigt element i at beskytte et virksomhedsnetværk mod uautoriseret adgang. Softwareproducenter giver som udgangspunkt ikke fuldstændige oplysninger om et nyopdaget sikkerhedshul. En generel beskrivelse af sårbarheden er dog nok til, at hackere kan skrive software til at udnytte denne sårbarhed bogstaveligt talt inden for et par timer efter offentliggørelsen af ​​beskrivelsen af ​​et nyt hul og en patch til det.
Faktisk er dette et ret stort problem for små og mellemstore virksomheder, da de normalt bruger en bred vifte af softwareprodukter fra forskellige producenter. Ofte bliver opdateringer af hele softwareflåden ikke givet tilstrækkelig opmærksomhed, og dette er praktisk talt et åbent vindue i virksomhedens sikkerhedssystem. I øjeblikket opdateres en stor mængde software uafhængigt fra producentens servere, og dette eliminerer en del af problemet. Hvorfor skilles? Fordi producentens servere kan blive hacket, og under dække af legitime opdateringer vil du modtage den seneste malware. Producenter selv udgiver nogle gange opdateringer, der forstyrrer den normale drift af deres software. Dette er uacceptabelt i kritiske områder af virksomheden. For at forhindre sådanne hændelser skal alle modtagne opdateringer for det første anvendes umiddelbart efter deres udgivelse, og for det andet skal de testes grundigt før anvendelse.

8. Fysisk sikkerhed

Den fysiske sikkerhed i et virksomhedsnetværk er en af ​​de vigtigste faktorer, som ikke kan overvurderes. Ved at have fysisk adgang til en netværksenhed vil en angriber i de fleste tilfælde nemt få adgang til dit netværk. For eksempel hvis der er fysisk adgang til switchen, og netværket ikke filtrerer MAC-adresser. Selvom MAC-filtrering ikke vil redde dig i dette tilfælde. Et andet problem er tyveri eller forsømmelse af harddiske efter udskiftning i en server eller anden enhed. I betragtning af, at adgangskoder, der findes der, kan dekrypteres, bør serverskabe og rum eller bokse med udstyr altid være sikkert beskyttet mod uautoriseret adgang.

Vi har kun berørt nogle af de mest almindelige sikkerhedsaspekter. Det er også vigtigt at være opmærksom på brugeruddannelse, periodiske uafhængige og oprettelse og håndhævelse af en pålidelig informationssikkerhedspolitik.
Bemærk venligst, at beskyttelse af dit virksomhedsnetværk er et komplekst emne, der konstant ændrer sig. Du skal være sikker på, at virksomheden ikke er afhængig af kun en eller to forsvarslinjer. Forsøg altid at følge med i den seneste information og nyeste løsninger på informationssikkerhedsmarkedet.

Udnyt pålidelig beskyttelse af dit virksomhedsnetværk som en del af "computervedligeholdelse for organisationer"-tjenesten i Novosibirsk.

Trusler og sårbarheder ved kablede virksomhedsnetværk

I den indledende fase af udviklingen af ​​netværksteknologier var skaderne fra virus og andre typer computerangreb lille, da verdensøkonomiens afhængighed af informationsteknologi var lille. I øjeblikket, i forbindelse med erhvervslivets betydelige afhængighed af elektroniske midler til adgang og udveksling af information og det konstant voksende antal angreb, anslås skaderne fra de mest mindre angreb, der fører til tab af computertid, i millioner af dollars, og den samlede årlige skade på den globale økonomi beløber sig til titusinder af milliarder af dollars.

Oplysninger, der behandles på virksomhedens netværk er særligt sårbare, hvilket lettes af:
øge mængden af ​​information, der behandles, transmitteres og lagres på computere;
koncentration af information på forskellige niveauer af betydning og fortrolighed i databaser;
Udvidelse af adgang for en kreds af brugere til information lagret i databaser og til computernetværksressourcer;
øge antallet af fjernjob;
udbredt brug af det globale internet og forskellige kommunikationskanaler;
automatisering af informationsudveksling mellem brugercomputere.

En analyse af de mest almindelige trusler, som moderne kablede virksomhedsnetværk er udsat for, viser, at kilderne til trusler kan variere fra uautoriserede indtrængen fra angribere til computervirus, mens menneskelige fejl er en meget væsentlig sikkerhedstrussel. Det er nødvendigt at tage højde for, at kilder til sikkerhedstrusler kan være placeret både inde i CIS - interne kilder og uden for det - eksterne kilder. Denne opdeling er fuldstændig berettiget, fordi for den samme trussel (for eksempel tyveri) er modforanstaltningerne for eksterne og interne kilder forskellige. Viden om mulige trusler såvel som sårbarhederne i CIS er nødvendig for at vælge de mest effektive sikkerhedsforanstaltninger.

De mest hyppige og farlige (med hensyn til mængden af ​​skade) er utilsigtede fejl fra brugere, operatører og systemadministratorer, der servicerer CIS. Nogle gange fører sådanne fejl til direkte skade (forkert indtastede data, en fejl i et program, der får systemet til at stoppe eller kollapse), og nogle gange skaber de svagheder, som kan udnyttes af angribere (disse er normalt administrative fejl).

Ifølge US National Institute of Standards and Technology (NIST) er 55 % af IP-sikkerhedsbrud resultatet af utilsigtede fejl. At arbejde i en global IP gør denne faktor ret relevant, og kilden til skade kan være både handlinger fra organisationens brugere og brugere af det globale netværk, hvilket er særligt farligt. I fig. Figur 2.4 viser et cirkeldiagram, der illustrerer statistiske data om kilderne til sikkerhedsbrud i CIS.

Tyveri og dokumentfalsk er på andenpladsen, hvad angår skader. I de fleste af de undersøgte sager viste gerningsmændene sig at være fuldtidsansatte i organisationer, som var godt bekendt med arbejdsplanen og beskyttelsesforanstaltningerne. Tilstedeværelsen af ​​en stærk informationskanal for kommunikation med globale netværk i mangel af ordentlig kontrol over dens drift kan yderligere lette sådanne aktiviteter.

Ris. 2.4. Kilder til sikkerhedsbrud

Fornærmede medarbejdere, selv tidligere, er fortrolige med procedurerne i organisationen og er i stand til at forårsage skade meget effektivt. Når en medarbejder afskediges, skal dennes adgangsret til informationsressourcer derfor tilbagekaldes.

Forsætlige forsøg på at opnå uautoriseret adgang gennem ekstern kommunikation udgør omkring 10 % af alle mulige overtrædelser. Selvom denne værdi ikke virker så væsentlig, viser erfaringer på internettet, at næsten hver internetserver er genstand for indtrængningsforsøg flere gange om dagen. Test fra Information Systems Protection Agency (USA) viste, at 88 % af computere har svagheder med hensyn til informationssikkerhed, som aktivt kan bruges til at opnå uautoriseret adgang. Separat bør tilfælde af fjernadgang til organisationers informationsstrukturer overvejes.

Inden der opbygges en sikkerhedspolitik, er det nødvendigt at vurdere de risici, som organisationens computermiljø er udsat for, og træffe passende handlinger. Det er indlysende, at organisationens omkostninger til overvågning og forebyggelse af sikkerhedstrusler ikke bør overstige de forventede tab.

De leverede statistikker kan fortælle administrationen og personalet i en organisation, hvor indsatsen bør rettes for effektivt at reducere sikkerhedstrusler mod virksomhedens netværk og system. Selvfølgelig er det nødvendigt at tage fat på fysiske sikkerhedsproblemer og foranstaltninger for at reducere den negative indvirkning på sikkerheden af ​​menneskelige fejl, men samtidig er det nødvendigt at være mest opmærksom på at løse netværkssikkerhedsproblemer for at forhindre angreb på virksomheden. netværk og system, både udefra og inde fra systemet.