Давно прошли те времена, когда документ под грифом «секретно», положенный в сейф, считался информационной безопасностью. Сегодня инфомация приобрела иной вид, но вместе с ним и множество способов ее похищения. А нужная инфомация в ненужных руках может привести к необратимым последствиям для бизнеса или репутации.
До не давних пор информация в большинстве случаев была централизирована и контроль доступа к ней осуществлялся относительно просто. Но технологии развиваются, предоставляя нам все новые возможности. Использование информации становится более распределенным, высокая мобильность сотрудников, а так же возможность быть на связи в разных уголках планеты создают дополнитеьные угрозы для передаваемой информации. Увеличение производительности современной компьютерной техники, не только позволяет разрабатывать сложные программы обработки графики или увеличивать пропускную способность сетевых устройств, но и создавать технологически совершенные средства атаки.
Рассматривая тему безопасности нужно отталкиваться от возможных угоз которые могут негативно повлиять на вашу информационную систему. Поэтому предлагаю предварительно разделить типы угроз на внешние и внутренние. Границой между этими типами угроз является периметр сети. Все преднамеренные атаки осуществляющиеся сотрудниками или гостями компании изнутри локальной сети являются внутренними. Остальные атаки – внешние. Нельзя выделить какой тип атаки более опасен, т.к. злоумышленники используют все возможные средства для достижения своих целей, поэтому комплексная защита на всех уровнях позволит достичь максимальной безопасности информационной системы.
Под воздействие внешних атак ежедневно попадают тысячи компаний, сканируются порты, засылаются «черви», вирусы, проводятся DDOS атаки. Даже банальный просмотр логов фаервола который стоит у вас на периметре сети покажет, что попытки атак идут непрерывно. Но эти атаки не направлены на одну компанию, они ищут слабое звено в сети, для дальнейшего более детального анализа и соответственно уже направленной атаки. Поэтому при наличии достаточно мощного фаервола, такого, например, как Cisco ASA, Juniper или Checkpoint и квалифицированной его настройке, вы обеспечите себя безболезненным существованием в этом небезопасном информационном мире.
Cisco ASA 5500 (Adaptive Security Appliance) – устройство адаптивной защиты, способное выполнять функции
межсетевого экрана, VPN концентратора, IPS, антивируса, антиспама, фильтра URL и содержимого контента. Устройства Cisco ASA может быть укомплектовано модулями типов AIP-SSM (Advanced Inspection and Prevention Security Services Module) или CSC-SSM (Content Security and Control Security Services Module ), а для самой младшей модели ASA 5505 предусмотрен модуль AIP SSC-5 (Advanced Inspection and Prevention Security Services Card). SSM модули не истощают ресурсы CPU устройства адаптивной защиты, поскольку имеют собственные процессор и память. К примеру, модуль ASA-SSM-AIP-20-K9 имеет на борту 2.4 GHz Pentium 4 и 2.0 GB оперативной памяти. Две основные функции, выполняемые CSC-SSM модулем: контроль контента (антиспам, блокировка запросов по ключевым словам, URL фильтр, антифишинг) и защита от вредоносного ПО (антивирус от Trend Micro). Обновление антивирусной базы , списка потенциально опасных сайтов и спам-листов требует приобретения лицензии. Модуль AIP-SSM предоставляет потребителю мощный функционал IPS с возможностью создавать собственные сигнатуры или править существующие. Особого внимания заслуживает Web-интерфейс управления устройством адаптивной защиты ASDM (Adaptive Security Device Manager), поставляемый в коробке с устройством. С помощью ASDM можно не только управлять всеми настройками устройства, но и мониторить его состояние, а также фиксировать попытки атак.
Не менее интересными являются устройства от компании Juniper Netscreen серии SSG. Если сравнивать характеристики младших моделей от Cisco и Juniper, то можно прийти к выводу, что SSG 5 и ASA 5505 близки по производительности и функционалу. А для того чтобы получить весьма актуальные на сегодняшний день сервисы антиспама, антивируса, IPS и URL-фильтра не нужно покупать дорогостоящих дополнительных модулей. Достаточно приобрести лицензию, зарегистрировать устройство на сайте производителя, получить ключи на обновления и произвести настройки. У устройства есть свой весьма удобный и интуитивный web-интерфейс управления, но мониторинг, к примеру, попыток просканировать порты, возможен с помощью логов в текстовом виде. Cisco ASDM помимо логов еще предоставляет базовую информацию об угрозах в графическом виде, чего нет в Netscreen SSG. Juniper SSG также доступен в исполнении с встроенным Wi-Fi модулем, чем не могут похвастаться межсетевые экраны Cisco ASA.
Принципиально другой подход в обнаружении и предотвращении внутренних сетевых атак предлагает компания Hewlett-Packard. Тандем коммутаторов HP Procurve с программным обеспечением ProCurve Network Immunity Manager позволяет фиксировать и реагировать на аномалии в локальной сети, не основываясь на базы сигнатур атак, которые нужно было бы постоянно обновлять. К примеру, если с персонального компьютера оператора идет TCP-flood или скрытный DNS-туннель для незаметного хищения информации, коммутатор ProCurve сигнализирует Immunity Manager серверу об аномалии, а последний, в свою очередь, производит действия в соответствии с заранее заданными политиками реагирования. Коммутатор автоматически может поместить подозрительный хост в карантинный VLAN, ограничить полосу пропускания, заблокировать порт или дистанционно зеркалировать подозрительный трафик на устройство IDS/IPS/UTM, например, в модуль ProCurve TMS zl. Графическое представление статистики по угрозам, создание табличных отчетов с детализацией по сетям, нарушителям и предупреждениям, уведомления по электронной почте – лишь часть функционала. ProCurve Immunity является одним из модулей программного обеспечения для управления сетевыми устройствами ProCurve Manager.
Если же ваша компания стала объектам целенаправленной атаки, то здесь в первую очередь внимание нужно обращать на бизнес критические объекты - максимально их защищать и резервировать. Например, в преддверии нестабильного политического состоянии компания Техэксперт, разработала проект для известной юридической компании Magisters. Который заключался в построении резервного центра обработки данных за пределами Украины. И в случае рейдерской атаки все сотрудники имею возможность автономно работать из дому с удаленным ЦОДом без потерь информации, которая в области юриспруденции очень критична. Так же в портфеле проектов компании Техэксперт есть пример реализации проекта по обеспечению доступности онлайн аукциона торговли нефтепродуктами в случае падения основного интернет канала. Учитывая, что даже десятиминутная задержка в торгах приводит к многомиллионным убыткам и недополученной прибыли – время и надежность переключения на резервный канал были основными критериями успешности запланированного проекта. В данном проекте использовали оборудование Cisco ISR, которое было настроено таким образом, что в случае падения основного интернет канала, оборудование автоматически переключалось на альтернативный канал связи, расположенный за пределами города.
В процессе резервирования интернет каналов компании так же следует учесть, что покупая два канала у разных провайдеров нет гарантии, что они идут в разных колодцах и при очередных работах экскаватора поблизости не перебьют одновременно оба. Поэтому я бы рекомендовал использовать в качестве альтернативного интернет канала технологию Wi-Max, которая обеспечивает беспроводной, синхронный канал развивающий скорость до 40 Мбит/сек при любых погодных условиях. То что интернет каналы будут использовать разные среды передачи данных обеспечит вашей компании дополнительную надежность резервирования.
Если рассматривать внутренние атаки, то борьба с ними на много сложнее. В первую очередь это связано, с тем, что сотрудникам компании нужно работать с информацией, иначе бизнес остановится, но в тоже время нельзя допустить распространение ценной информации за пределы компании. В данном случае идеальным вариантом решения проблемы будет продукт Cisco Security Agent, который обеспечивает сбережения данных в пределах компании и не позволяет их вынести наружу. Cisco Security Agent может отслеживать практически все процессы системы, работу ядра, доступа к реестру, исполняемые коды, сетевые интерфейсы, доступ к файлам и папкам, содержанием буфера clipboard, доступ к дисковым накопителям, USB флешками и.т.д. На основе преднастроенных производителем или администратором системы политик CSA блокирует несанкционированные действия. CSA может быть установлен как на рабочую станцию под управлением Windows, Linux, Solaris так и на серверную систему. Структура CSA проста: есть Management Server с базой SQL c которого устанавливаются агенты на удаленные системы. Таким образом, обеспечивается полное взаимодействие агента и сервера. CSA имеет встроенный антивирус ClamAV.
Но здесь есть обратная сторона медали, внедряя данное решение, вы показываете, что не доверяете своим сотрудникам, и соответственно лояльность с их стороны будет падать. Поэтому, в каждом конкретном случае, для обеспечения оптимальной информационной безопасности проводится предварительный аудит, который оценивает потребность в том или ином продукте и позволяет защитить наиболее уязвимые и ценные ресурсы компании, без ущерба производительности и тотального ограничения в правах своих сотрудников, предоставляя им комфортные условия работы. Более детально о правильном построении информационной безопасности в своей компании и наиболее актуальных средствах защиты вы сможете услышать, посетив семинар по информационной безопасности, который будет проводить компания Техэксперт.
Перед построением неприступной защиты своей компании следует провести анализ и взвесить все «за» и «против». В первую очередь следует описать политики безопасности опираясь на основные бизнес задачи компании, если они еще не описаны. На основании этих данных нужно определить самые востребованные сервисы и ресурсы. После чего выяснить возможные угрозы и выбрать решения, которые будут обеспечивать надежную защиту. Казалось бы ничего сложного, но есть еще один очень важный фактор – социальный. Люди, которые будут настраивать и управлять вашей системой защиты, имеют полный доступ ко всей информации и могут в любой момент этим воспользоваться, поэтому в интересах любого руководителя компании поддерживать хорошие отношения с сотрудниками ИТ отдела и обеспечивать соответствующие условия труда, что бы у них не возникало мыслей о совершении противозаконных поступков.
В завершении предлагаю рассмотреть практическую оценку рисков информационной безопасности, что бы наглядно доказать потребность в построении защищенной сети. Формально риск – это соотношение двух параметров: размер ущерба и вероятность его нанесения. Значит риск информационной безопасности – это вероятность того, что в результате реализации угрозы будет нанесен тот или иной уровень ущерба. Следует помнить, что невозможно успешно оценить важность сервиса для компании и величину потенциального ущерба без привлечения тех, кто понимает суть использования данного сервиса. К примеру, для определения размера ущерба достаточно поставить несколько вопросов сотрудникам работающих с той или иной информацией: что произойдет если:
- информация станет доступна широкому кругу людей и конкурентам?
- злоумышленник внесет изменения в данную информацию?
- если данные будут недоступны в течении определенного времени?
Проанализировав ответы можно уже иметь некоторое представление о возможных рисках и делать соответствующие выводы.
Описанные в данной статье факторы, а так же много других заставляют нас неоднократно вспоминать о технологиях защиты, которые всеми силами пытаются технологически соответствовать существующим угрозам, и дают понять, что информационная безопасность – это не разовое мероприятие, а динамическая, развивающаяся система, со своим жизненным циклом. Идеальной системы информационной безопасности не существует, но приминение современных технологий защиты убедит злоумышленников обойти вас стороной и заняться поиском более доступных и уязвимых компаний.