Інциденти, пов'язані з несанкціонованим проникненням в корпоративну мережу, колись були сферою відповідальності ІТ-директора, потім - директора з безпеки, а сьогодні - вже генерального. Для ради директорів стало нормою вимагати від топ-менеджерів звіту про те, які передбачені заходи захисту від складних атак і витоків даних, а також про способи усунення негативних наслідків, якщо проникнення в інфраструктуру все-таки відбудеться.
Сьогодні питання захисту мережі від несанкціонованого доступу придбали для компаній особливу значимість. Необхідно оцінити відповідні ризики і розробити ефективні рішення, щоб бути готовими до інцидентів, які, як багато хто вже зрозуміли, неминучі. Тим часом традиційних стратегій безпеки, орієнтованих на захист периметра, вже недостатньо - необхідно впроваджувати спеціалізовані внутрішні міжсегментні мережеві екрани (Internal Segmentation Firewall, ISFW).
Захист периметру НЕДОСТАТНЬО
Ще не так давно доступ в Інтернет з локальної мережі був під суворим контролем. Найчастіше в типовій корпоративної мережі було всього два дублюючих один одного каналу зовні, а весь вхідний і вихідний трафік проходив через одну точку. Така схема дозволяла відгородитися від Інтернету брандмауером на периметрі, які захищали від усього лихого глобальної мережі. Але сьогодні все сильно змінилося. Через стрімке зростання різноманітності комп'ютерних пристроїв, поширення практики BYOD, впровадження хмарних технологій і Інтернету речей настільки ж просто обмежити фронт атаки вже не вдається - один лише міжмережевий екран, розміщений на периметрі, не справляється з такою складною задачею. Загрози еволюціонують і множаться, і мережеві захисні механізми теж повинні постійно адаптуватися до цієї нової реальності.
Сьогодні в компаніях витрачають на мережеву безпеку більше, ніж будь-коли, але чому ж несанкціоновані проникнення як і раніше відбуваються? Традиційно основна частина цих інвестицій спрямовується в центр обробки даних і ядро мережі, де зазвичай розміщена велика частина важливих корпоративних даних. Але атаки удосконалюються. Зловмисники вже не зосереджують всю свою енергію і ресурси тільки на зломі центру обробки даних - значні зусилля прикладаються для компрометації кінцевих точок і інших систем поза магістральної мережі, в результаті чого зломщик краде ідентифікаційні дані користувача і з їх допомогою починає просуватися вглиб мережі. При цьому вивчаються і картографують пристрої та системи, що знаходяться в безпосередній близькості від початкової точки входу, шукаються способи скомпрометувати інші системи, підвищити рівень привілеї, скористатися незакритими уразливими, впровадити шкідливі програми і викрасти дані. Зібравши і проаналізувавши інформацію, атакуючий шукає спосіб «втекти з награбованим» так, щоб його не помітили.
Що відбувається, якщо злочинець потрапляє всередину мережі? Судячи за даними з різних джерел, сьогодні на виявлення проникнення і знешкодження атаки йде досить багато часу. При цьому бізнесу можуть бути нанесені мільйонні збитки, пов'язані з експертизою, усуненням наслідків, юридичними послугами, впровадженням нових захисних засобів і т. Д. І це тільки грошові втрати - можливий ще й серйозний удар по репутації бренду.
Чому традиційних міжмережевих екранів вже недостатньо? Атакуючі застосовують все більше хитрощів для подолання захисту периметра, але в багатьох випадках цього навіть і не потрібно. Як уже згадувалося, є маса способів проникнути в мережу в обхід такого захисту.
Сьогодні для ефективної стратегії безпеки потрібні, крім іншого, внутрішні захисні механізми. Моніторинг внутрішнього трафіку зараз, мабуть, не менш важливий, ніж контроль трафіку, що надходить з Інтернету. Отже, що сьогодні можна зробити для зміцнення мережевого захисту?
ВНУТРІШНІЙ міжсегментного ЕКРАН
Ефективна стратегія захисту вимагає поділу мережі на сегменти, наприклад, що відповідають різним відділам. Зокрема, розробникам ПО не потрібен доступ до бухгалтерських систем, а кадровому відділу, швидше за все, не знадобляться фінансові.
«Ешелонована оборона» - не новий термін, на багатьох підприємствах вона застосовується в тій чи іншій формі, коли безліч засобів безпеки розміщуються по всій мережі в розрахунку на виявлення інциденту на будь-якому етапі атаки. Межсегментний мережевий екран розширює концепцію ешелонованої оборони, дозволяючи ізолювати один від одного ділянки мережі і виявляти нетиповий трафік.
Більшість рішень для захисту периметра не розраховані на перевірку вихідного трафіку. Системи старого зразка побудовані з урахуванням того, що відбувається всередині мережі за визначенням не несе небезпеки, тому вони фокусуються на захист внутрішніх ресурсів від зовнішніх загроз. А міжмережеві екрани, які забезпечують певний рівень перевірки вихідного трафіку, часто не здатні впоратися з підвищеним навантаженням, оскільки їх продуктивність для цього недостатня.
Як саме ISFW виявляє аномалії, непідвладні міжмережевий екран для периметра? Важливо розуміти, що ISFW не в змозі розпізнати те, що система не може визначити на периметрі. ISFW повинен надавати авторизованим користувачам доступ до дозволених для них ресурсів і або сповільнювати, або повністю забороняти підключення до інших сегментів мережі. Таким чином, якщо кінцеве пристрій співробітника бухгалтерії буде скомпрометовано, у зломщика не повинно бути можливості дістатися по мережі до систем, керуючих касовими апаратами або додатками електронної комерції.
ISFW повинен розпізнавати спроби доступу до систем, що виходять за рамки нормальної активності користувачів, відправляти відповідні попередження, а також мати можливість ідентифікувати і блокувати загрози, які виходять від шкідливого ПО, ботнетів і інших джерел зловмисної активності в разі подолання ними захисних механізмів на периметрі.
Наприклад, ботнет ZeroAccess відомий своєю «балакучістю». Він безперервно зондує мережу в пошуках інших ботів, щоб через них отримати команди від операторів. ISFW, діючий поблизу кінцевого пристрою, через яке відбулося зараження, зможе розпізнати сторонній «розмова» і попередити фахівців з безпеки швидше, ніж це вдалося б спеціальному комплексу для захисту периметра.
ISFW найкраще розміщувати максимально близько до рівня доступу (якщо виходити з трирівневої ієрархічної моделі мережі) - так можна отримати максимально простий доступ до мережевих ресурсів і основної частини внутрішнього трафіку. Якщо розмістити ISFW на всіх висхідних каналах, що зв'язують рівень доступу з рівнем розподілу і ядром мережі, то буде видно практично весь внутрішній трафік.
ISFW можна впровадити швидко, якщо включити його в мережу як комутатор або, як іноді кажуть, в режимі «віртуального кабелю» (virtual wire). Таким чином, вдасться уникнути складнощів, які виникають при конфігуруванні традиційних комплексів захисту периметра - не потрібно перенастроювати IP-адреси, шлюзи і т. П., При цьому ви отримуєте глибокий огляд трафіку всередині мережі.
ЯК ВИБРАТИ ISFW
До недавнього часу компанії вважали за краще не ускладнювати свою інфраструктуру додатковими рівнями захисту на кшталт ISFW. Але, згідно зі статистикою, зараз до 75% вхідного і вихідного трафіку центру обробки даних доводиться на частку його інфраструктури. Міжмережеві екрани, у яких рівні пропускної здатності, потужності і щільності портів досить великі, щоб контролювати такий обсяг внутрішнього трафіку, раніше або були відсутні, або коштували непомірно дорого. Якщо додати до цього витрати на впровадження і додаткове навантаження на фахівців, що відповідають за без пасность, стає зрозуміло, чому підприємства вважають за краще уникати подібних впроваджень.
Можливо, найважливішим фактором при виборі ISFW є продуктивність. Сьогодні навіть в бездротових мережах реальна пропускна здатність досягає гігабітних значень, а для настільних ПК гигабитная швидкість вже правило, а не виняток. Тому від ISFW потрібні відповідні щільність портів і швидкодія. Швидкість реакції інфраструктури безпеки повинна відповідати реальній швидкості передачі даних - для користувачів будь-яке зниження продуктивності неприйнятно. Тому, наприклад, недоцільно перепрофілювати для виконання нових завдань вже наявний або списаний міжмережевий екран, оскільки це лише сприяє появі нових вузьких місць.
Ще один важливий фактор - складність інтеграції з існуючою інфраструктурою безпеки. Чи потрібно навчати персонал використанню ISFW? Чи можна задіяти вже наявні навички і знання, отримані під час роботи з пристроями захисту периметра? Крім того, слід врахувати витрати при розгортанні рішення. Чи є можливість впровадити ISFW швидко і недорого? Наскільки процес впровадження ISFW може перешкодити роботі мережі?
ВИСНОВОК
Сегментація мережі - не нова ідея. Однак традиційні моделі сегментації покладалися на неефективні підходи. Для досвідченого атакуючого подібні заходи - не більше ніж черговий «лежачий поліцейський». Щоб зупинити порушника, потрібні серйозні дорожні перешкоди. Завдяки високій швидкодії сучасних міжмережевих екранів можна реалізувати нові стратегії сегментації, що захищають мережу не тільки від зовнішніх загроз, а й від внутрішніх. Сучасні високопродуктивні ISFW дозволяють вибудувати ефективну стратегію внутрішнього розбиття мережі, що забезпечує захист важливих ресурсів без зниження працездатності підприємства і без створення перешкод бізнесу.
Олександр Мормуш - менеджер по роботі з партнерами, Fortinet. З ним можна зв'язатися за адресою: [email protected] .
Безпека зсередини: нові стратегії захисту від злому
Сьогодні в компаніях витрачають на мережеву безпеку більше, ніж будь-коли, але чому ж несанкціоновані проникнення як і раніше відбуваються?Що відбувається, якщо злочинець потрапляє всередину мережі?
Чому традиційних міжмережевих екранів вже недостатньо?
Отже, що сьогодні можна зробити для зміцнення мережевого захисту?
Як саме ISFW виявляє аномалії, непідвладні міжмережевий екран для периметра?
Чи потрібно навчати персонал використанню ISFW?
Чи можна задіяти вже наявні навички і знання, отримані під час роботи з пристроями захисту периметра?
Чи є можливість впровадити ISFW швидко і недорого?
Наскільки процес впровадження ISFW може перешкодити роботі мережі?
