Легенды и мифы сетевой безопасности

Легенды и мифы сетевой безопасности

Сотрудники бизнес-подразделений часто недооценивают значимость или не совсем верно понимают роль подразделения информационных технологий в деятельности организации.

Зачастую это выражается в непростых взаимоотношениях: со стороны бизнеса ИТ воспринимаются как постоянные риски и инвестиции без возможности прозрачно оценить их эффективность, то есть скорее даже не инвестиции, а затраты.

Еще сложнее обстоят дела с информационной безопасностью. Главные причины — высокие темпы усложнения информационных систем и увеличение числа различных приложений и необходимых средств защиты. К тому же понимание задач, решаемых специалистами информационной безопасности, обычно приходит только в те моменты, когда очевиден уже нанесенный ущерб. Хорошо, когда ущерб незначителен, но возможны и критические ситуации, создающие реальную угрозу деятельности компании.

Одной из важнейших задач в области обеспечения информационной безопасности является защита корпоративной сети передачи данных. Со стороны бизнеса сложился устойчивый стереотип, что это быстро и просто. В этой связи в процессе утверждения относительно дорогостоящего проекта внедрения комплекса средств защиты корпоративной сети сотрудникам ИТ-подразделения часто приходится развеивать самые разнообразные мифы.

Миф 1. Защита сети — это межсетевой экран

«Моя сеть защищена, так как у меня стоит межсетевой экран». Такое мнение возникает из-за непонимания технологий взлома и защиты корпоративных сетей. Межсетевой экран — средство защиты наподобие контрольно-пропускного пункта (КПП), работающего по системе смарт-карт без идентификации личности. Современные межсетевые экраны, именуемые next-generation firewall, также включают в себя функцию, которую можно сравнить с технологией идентификации личности на КПП, когда природа трафика и его легитимность не проверяются.

Легенды и мифы сетевой безопасности

Это выглядит, как если бы сомнительного вида мужчина с маской на лице и оружием в руках пытался пройти КПП стратегического объекта на основании наличия у него пропуска, принадлежащего женщине-бухгалтеру. Согласитесь, достаточно комичная, но в то же время и очень опасная с точки зрения безопасности ситуация.

Важно понимать, что обеспечение сетевой безопасности не сводится только к использованию межсетевого экрана. Сетевая безопасность должна обязательно включать в себя систему обнаружения и предотвращения вторжений, систему защиты от интернет-угроз (фильтрация веб-трафика, поточный антивирус, email-фильтрация), защиту от DDoS, в некоторых
случаях важно использование технологий эмуляции или «песочниц» наподобие McAfee ATD (Advanced Threat Detection) и др.

Миф 2. Защитил периметр — спи спокойно

Распространенное мнение о том, что в сетях главное — защитить периметр от угроз извне, и все проблемы разом уйдут, ошибочно. Сеть должна быть устойчива и к атакам изнутри. Во-первых, нельзя забывать о существовании инсайдеров. Во-вторых, угроза может возникнуть на локальной станции путем ее заражения через сменные носители. В-третьих, уязвимость целевой системы может способствовать ее взлому через легитимные, относительно внешнего периметра, действия.

Меры безопасности достаточно просты:

  • • сетевая защита на уровне хостов (хостовые IDS/ IPS-системы);
  • • NAC (network access control) — контроль доступа внутренних устройств к сети (такие системы позволяют запретить подключаться к сети устройствам, которые не соответствуют политикам безопасности);
  • • безопасный Wi-Fi (важный элемент безопасности, так как беспроводные сети достаточно легкая нажива для злоумышленников);
  • • разделение внутренних сетей на подсети.

Миф 3. Шифрование каналов гарантирует их защиту

Шифрование каналов передачи данных — важная составляющая безопасности сети. Однако эффективность этой меры напрямую зависит от способов аутентификации и обмена ключевой информацией. Если речь идет об удаленном подключении сотрудников к корпоративной сети, то необходимо использовать технологии многофакторной аутентификации, в том числе на базе OTP (one time password), использовать надежные протоколы шифрования (ГОСТ или AES) и стойкие ключи (желательно 256 бит). То есть сам факт применения шифрования еще не гарантирует защиты канала, необходимо использовать правильные параметры.

Миф 4. Если меня еще не взломали — значит, и не взломают

В книге Насима Талеба «Черный лебедь» описывается важность учета редких событий. Согласно книге, многие века ученые считали, что лебеди бывают только белые, а затем им встретился один-единственный черный лебедь. Появление одного черного лебедя прервало вековую убежденность, основанную на эмпирических наблюдениях. Так и в информационной безопасности: уверенность в защищенности, основанная на отсутствии взломов, зачастую оказывается ложной и приводит к необходимости «платить двойную цену» за беспечность.

Легенды и мифы сетевой безопасности

Риск оказаться взломанным каждую минуту растет. Почему?

Во-первых, технические средства взлома совершенствуются с каждым годом, вместе с тем выявляются новые уязвимости в системах безопасности.

Во-вторых, когда защищенность крупных компаний растет, злоумышленники переключают свое внимание на средние, а потом и вовсе на мелкие компании. В среде специалистов по ИБ существует замечательная поговорка: «Если вас еще не взломали, то это не значит, что вы хорошо защищены, это значит лишь то, что до вас еще не дошла очередь».

Поэтому, какова бы ни была система защиты, ее необходимо постоянно совершенствовать и, самое важное, воспринимать обеспечение ИБ как непрерывный процесс, в который должны быть вовлечены все сотрудники, активы и бизнес-процессы. Ведь ощущение уверенности в том, что сеть не скомпрометирована, может быть ложным.

Миф 5. Если все работает — значит, меня еще не взломали

Видимое функционирование корпоративной сети в штатном режиме еще не означает, что сеть не взломана. Из трех составляющих обеспечения информационной безопасности (конфиденциальность, целостность, доступность) только одна влияет на функционал сети — доступность. С другой стороны, кража конфиденциальной информации или нарушение ее целостности могут быть и не обнаружены. Почему?

Чтобы «увидеть» нарушение, необходимо обеспечить сбор событий с сетевых (и не только) устройств, их анализ и корреляцию. За эти функции отвечают SIEM (security information and event management). Помимо корреляции событий, современные SIEM-системы позволяют анализировать сетевые потоки на предмет аномалий.

Следующей важной функцией является контроль утечек конфиденциальной информации — DLP (data loss/leak prevention/protection). Это решение напрямую не относится к теме защиты сети, однако позволяет выявить ряд нарушений (как преднамеренных, так и случайных) и впоследствии эффективно им противостоять.

Необходимым и достаточным условием возникновения и успешного существования описанных мифов является непонимание со стороны бизнеса функций, выполняемых корпоративным отделом И Б. Бизнес должен отчетливо осознавать, что корпоративная сеть является «транспортом» не только для законопослушных пассажиров — новых контрактов, маркетинговых или финансовых отчетов, общения с клиентами и пр., — но и для «злоумышленников». Защита от последних позволяет создать здоровую ИТ-инфраструктуру организации и обеспечить эффективную деятельность компании в целом.

ВКонтакте
OK
Telegram
WhatsApp
Viber

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *