Hrozby a zranitelnosti kabelových podnikových sítí

V počáteční fázi vývoje síťových technologií byly škody způsobené viry a jinými typy počítačových útoků malé, protože závislost světové ekonomiky na informačních technologiích byla malá. Dnes, v kontextu značné závislosti podnikání na elektronických prostředcích přístupu a výměny informací a stále rostoucím počtu útoků, se škody způsobené nejmenšími útoky vedoucími k plýtvání počítačovým časem odhadují na miliony dolarů a celková roční škody na světové ekonomice jsou desítky miliard dolarů.

Informace zpracovávané v podnikových sítích jsou obzvláště zranitelné, což usnadňuje:
zvýšení množství informací zpracovávaných, přenášených a ukládaných v počítačích;
koncentrace v databázích informací různé úrovně důležitosti a důvěrnosti;
rozšíření přístupu okruhu uživatelů k informacím uloženým v databázích a ke zdrojům počítačové sítě;
zvýšení počtu vzdálených pracovišť;
široké využívání globálního internetu a různých komunikačních kanálů;
automatizace výměny informací mezi počítači uživatelů.

Analýza nejběžnějších hrozeb, jimž jsou dnešní kabelové podnikové sítě vystaveny, ukazuje, že zdroje hrozeb mohou sahat od neoprávněných průniků po počítačové viry a lidská chyba je významnou bezpečnostní hrozbou. Je třeba si uvědomit, že zdroje bezpečnostních hrozeb mohou být umístěny jak uvnitř podnikového informačního systému – interní zdroje, tak mimo něj – externí zdroje. Toto rozdělení je zcela oprávněné, protože u stejné hrozby (například krádež) se způsoby protiakce pro vnější a vnitřní zdroje liší. Znalost možných hrozeb, ale i zranitelností podnikových informačních systémů je nezbytná pro výběr nejúčinnějších prostředků zajištění bezpečnosti.

Nejčastější a nejnebezpečnější (z hlediska výše škody) jsou neúmyslné chyby uživatelů, provozovatelů a systémových administrátorů obsluhujících podnikový informační systém. Někdy takové chyby vedou k přímému poškození (nesprávně zadaná data, chyba v programu, která způsobila zastavení nebo pád systému) a někdy vytvářejí slabá místa, která mohou útočníci zneužít (zpravidla se jedná o administrativní chyby).

Podle amerického Národního institutu pro standardy a technologie (NIST) je 55 % porušení zabezpečení IP způsobeno neúmyslnými chybami. Práce v globální IP činí tento faktor docela relevantním a zdrojem škod mohou být jak akce uživatelů organizace, tak uživatelů globální sítě, což je obzvláště nebezpečné. Na Obr. 2.4 je koláčový graf znázorňující statistiku zdrojů narušení bezpečnosti v podnikovém informačním systému.

Krádeže a podvody jsou z hlediska škod na druhém místě. Ve většině prověřovaných případů byli pachateli pracovníci organizací, kteří se dobře orientovali v pracovní době a ochranných opatřeních. Přítomnost výkonného informačního kanálu komunikace s globálními sítěmi při absenci řádné kontroly nad jeho prací může tyto činnosti dále usnadnit.

Rýže. 2.4. Zdroje narušení bezpečnosti

Uražení zaměstnanci, i bývalí, znají pořádek v organizaci a dokážou velmi účinně škodit. Proto by při propuštění zaměstnance měla být zrušena jeho práva na přístup k informačním zdrojům.

Úmyslné pokusy získat NSD prostřednictvím externí komunikace představují asi 10 % všech možných porušení. Ačkoli se toto číslo nezdá být tak významné, zkušenosti s internetem ukazují, že téměř každý internetový server je několikrát denně vystaven pokusům o narušení. Testy Agentury pro ochranu informačních systémů (USA) ukázaly, že 88 % počítačů má slabiny z hlediska informační bezpečnosti, které lze aktivně využít k získání NSD. Případy vzdáleného přístupu k informačním strukturám organizací by měly být posuzovány samostatně.

Před budováním bezpečnostní politiky je nutné vyhodnotit rizika pro výpočetní prostředí organizace a přijmout vhodná opatření. Je zřejmé, že náklady organizace na kontrolu a prevenci bezpečnostních hrozeb by neměly přesáhnout očekávané ztráty.

Tyto statistiky mohou administrativě a zaměstnancům organizace poskytnout vodítko, kam nasměrovat úsilí o účinné snížení hrozeb pro bezpečnost podnikové sítě a systému. Samozřejmě je nutné řešit otázky fyzické bezpečnosti a opatření ke snížení negativního dopadu na bezpečnost lidských chyb, ale zároveň je nutné věnovat nejvážnější pozornost řešení problémů síťové bezpečnosti, aby se předešlo útokům na podnikové sítě a systému, a to jak zvenčí, tak zevnitř systému.

Pokud vezmeme v úvahu systém informační bezpečnosti jakékoli velké společnosti, pak se nejedná pouze o antivirus, ale také o několik dalších programů pro ochranu ve všech směrech. Doba jednoduchých řešení bezpečnosti IT je dávno pryč.

Základem obecného systému zabezpečení informací pro každou organizaci je samozřejmě ochrana standardní pracovní stanice před viry. A zde nutnost použití antiviru zůstává nezměněna.

Ale obecně se změnily požadavky na podnikovou bezpečnost. Společnosti potřebují kompletní end-to-end řešení, která dokážou nejen ochránit před dnešními nejsložitějšími hrozbami, ale také si udržet náskok.

"Stále více velkých společností buduje bezpečnostní systém založený na principu obrany do hloubky."

Dřívější vrstvy byly navíc řazeny na různé prvky IT infrastruktury, ale nyní by víceúrovňová ochrana měla být i na jednotlivých prvcích IT prostředí, především na pracovních stanicích a serverech.

Jakým hrozbám čelily společnosti v roce 2014

Z hlediska hrozeb se v posledních letech staly obrovským problémem informační bezpečnosti cílené útoky na korporace a vládní struktury. Mnoho technik, které hackeři používali k útokům na domácí uživatele, se nyní aplikuje i na podniky.

Patří mezi ně upravené bankovní trojské koně, které se zaměřují na zaměstnance finančních oddělení a účetních oddělení, a různé ransomwarové programy, které začaly fungovat v rámci podnikových informačních sítí, a využití metod sociálního inženýrství.

Síťoví červi si navíc získali oblibu a pro jejich odstranění je nutné vypnout celou podnikovou síť. Pokud se s podobným problémem potýkají společnosti s velkým počtem poboček umístěných v různých časových pásmech, pak jakékoli přerušení sítě nevyhnutelně povede k finančním ztrátám.

Podle studie provedené společností Kaspersky Lab v roce 2014 mezi specialisty na informační bezpečnost se ruské společnosti nejčastěji potýkají s

• malware,
• nevyžádaná pošta (spam),
• pokusy o neoprávněný vstup do systému pomocí phishingu.
• zranitelnosti v nainstalovaném softwaru,
• rizika spojená s chováním zaměstnanců společnosti.

Problém zhoršuje skutečnost, že kybernetické hrozby zdaleka nejsou statické: každým dnem se množí, stávají se rozmanitějšími a složitějšími. Abychom lépe porozuměli současné situaci v oblasti informační bezpečnosti a důsledkům, ke kterým může vést i jediný počítačový incident, uveďme vše v číslech a faktech získaných na základě dat společnosti Kaspersky Lab o analýze událostí roku 2014. .

Statistiky kybernetických hrozeb

Mimochodem, jsou to mobilní zařízení, která i dnes zůstávají samostatnou „bolestí hlavy“ specialistů na informační bezpečnost. Používání osobních smartphonů a tabletů pro pracovní účely je již ve většině organizací přípustné, ale správná správa těchto zařízení a jejich začlenění do obecného informačního bezpečnostního systému společnosti není praktikováno všude.

"Podle údajů společnosti Kaspersky Lab se 99 % malwaru specializujícího se na mobilní zařízení aktuálně zaměřuje na platformu Android."

Abychom pochopili, odkud takové množství hrozeb pochází, a abychom si představili, jak rychle se jejich počet zvyšuje, stačí říci, že specialisté společnosti Kaspersky Lab zpracují každý den 325 000 vzorků nového malwaru.

Malware se do počítačů uživatelů obvykle dostává dvěma způsoby:

• prostřednictvím zranitelností v legálním softwaru
• pomocí metod sociálního inženýrství.

Velmi častá je samozřejmě kombinace těchto dvou technik, ale útočníci nezanedbávají ani další triky.

Samostatnou hrozbou pro podniky jsou cílené útoky, které jsou stále častější.

"Použití nelegálního softwaru samozřejmě dále zvyšuje rizika, že se stanete úspěšným cílem kybernetického útoku, především kvůli přítomnosti většího počtu zranitelností."

Chyby zabezpečení se dříve nebo později objeví v jakémkoli softwaru. Mohou to být chyby při vývoji programu, zastaralé verze nebo jednotlivé prvky kódu. Ať je to jak chce, hlavním problémem není přítomnost zranitelnosti, ale její včasné odhalení a uzavření.

Mimochodem, v poslední době, a rok 2014 je toho jasným důkazem, výrobci softwaru stále více začínají uzavírat zranitelnosti svých programů. V aplikacích je ale stále dost mezer a kyberzločinci je aktivně využívají k pronikání do firemních sítí.

V roce 2014 bylo 45 % všech incidentů zranitelnosti způsobeno dírami v oblíbeném softwaru Oracle Java.

V uplynulém roce navíc došlo k jakémusi zlomu – byla objevena zranitelnost v populárním šifrovacím protokolu OpenSSL s názvem Heartbleed. Tato chyba umožnila útočníkovi číst obsah paměti a zachytit osobní data v systémech používajících zranitelné verze protokolu.

OpenSSL se široce používá k ochraně dat přenášených přes internet (včetně informací, které si uživatel vyměňuje s webovými stránkami, e-maily, zprávami v internetových messengerech) a dat přenášených přes kanály VPN (Virtual Private Networks), proto potenciální škody způsobené touto zranitelností byly obrovské. Je možné, že útočníci by tuto zranitelnost mohli využít jako start pro nové kybernetické špionážní kampaně.

Oběti útoku

Obecně se v roce 2014 počet organizací, které se staly obětí cílených kybernetických útoků a kyberšpionážních kampaní, zvýšil téměř 2,5krát. Za poslední rok se terčem kyberzločinců stalo téměř 4,5 tisíce organizací v minimálně 55 zemích včetně Ruska.

Ke krádeži dat došlo v nejméně 20 různých odvětvích ekonomiky:

• Stát,
• telekomunikace,
• energie,
• výzkum,
• průmyslový,
• zdravotní péče,
• stavební a další firmy.

Kyberzločinci získali přístup k těmto informacím:

• hesla,
• soubory,
• geolokační informace,
• audio data,
• snímky obrazovky
• snímky z webové kamery.

S největší pravděpodobností byly v některých případech tyto útoky podporovány vládními agenturami, zatímco jiné byly spíše prováděny profesionálními skupinami kybernetických žoldáků.

V posledních letech Centrum globálního výzkumu a analýzy hrozeb společnosti Kaspersky Lab sledovalo aktivity více než 60 zločineckých skupin odpovědných za kybernetické útoky po celém světě. Jejich účastníci mluví různými jazyky: rusky, čínsky, německy, španělsky, arabsky, persky a dalšími.

Důsledky cílených operací a kampaní kybernetické špionáže jsou vždy vážné. Nevyhnutelně končí hackováním a infekcí podnikové sítě, narušením obchodních procesů, únikem důvěrných informací, zejména duševního vlastnictví. V roce 2014 čelilo 98 % ruských společností nějakému druhu kybernetických incidentů, jejichž zdroje se obvykle nacházely mimo samotné podniky, v dalších 87 % organizací došlo k incidentům způsobeným vnitřními hrozbami.

"Celková výše škod pro velké společnosti činila v průměru 20 milionů rublů za každý úspěšný příklad kybernetického útoku."

Čeho se společnosti bojí a jak se věci ve skutečnosti mají

Každý rok společnost Kaspersky Lab provádí průzkum s cílem zjistit postoj IT specialistů k otázkám bezpečnosti informací. Studie z roku 2014 ukázala, že naprostá většina ruských společností, lépe řečeno 91 %, podceňuje množství malwaru, který dnes existuje. Navíc ani nepředpokládají, že počet malwaru neustále roste.

Je zvláštní, že 13 % IT profesionálů uvedlo, že se vnitřních hrozeb neobávají.

Možná je to dáno tím, že v řadě firem není zvykem dělit kybernetické hrozby na vnější a vnitřní. Mezi ruskými manažery IT a informační bezpečnosti jsou navíc tací, kteří stále raději řeší všechny problémy s vnitřními hrozbami pomocí zákazů.

Pokud je však člověku něco zakázáno, vůbec to neznamená, že to nedělá. Proto jakákoli bezpečnostní politika, včetně zákazu, vyžaduje vhodné kontrolní nástroje, které zajistí splnění všech požadavků.

Pokud jde o typy informací, o které se útočníci primárně zajímají, studie ukázala, že vnímání společností a skutečný stav věcí se značně liší.

Ztráty se tedy nejvíce bojí samotné společnosti

• Informace o zákazníkovi,
• finanční a provozní údaje,
• duševní vlastnictví.

Trochu méně starostí s podnikáním

• informace o analýze aktivit konkurence,
• Informace o platbě,
• osobní údaje zaměstnanců
• údaje o firemních bankovních účtech.

"Ve skutečnosti se ukazuje, že kyberzločinci nejčastěji kradou interní provozní informace firem (v 58 % případů), ale pouze 15 % firem považuje za nutné tato data především chránit."

Pro bezpečnost je stejně důležité myslet nejen na technologie a systémy, ale také brát v úvahu lidský faktor: pochopení cílů ze strany specialistů, kteří systém staví, a pochopení odpovědnosti zaměstnanců, kteří používají zařízení.

Útočníci se v poslední době stále více spoléhají nejen na technické prostředky, ale také na slabiny lidí: využívají metody sociálního inženýrství, které pomáhají získat téměř jakékoli informace.

Zaměstnanci, kteří si odnášejí data na svém zařízení, by měli pochopit, že nesou přesně stejnou odpovědnost, jako kdyby si s sebou vzali papírové kopie dokumentů.

Zaměstnanci společnosti by si také měli dobře uvědomit, že každé moderní technicky složité zařízení obsahuje vady, které může útočník zneužít. Ale aby mohl útočník využít těchto defektů, musí získat přístup k zařízení. Při stahování pošty, aplikací, hudby a obrázků je proto nutné zkontrolovat reputaci zdroje.

Je důležité dávat si pozor na provokativní SMS a e-maily a před otevřením e-mailu a následným odkazem zkontrolovat důvěryhodnost zdroje.

Aby firma měla stále ochranu proti takovému náhodnému či úmyslnému jednání zaměstnanců, měla by využívat moduly na ochranu dat před úniky.

"Firmy musí pravidelně pamatovat na práci s personálem: počínaje zvyšováním kvalifikace zaměstnanců IT a konče vysvětlením základních pravidel pro bezpečnou práci na internetu bez ohledu na to, jaká zařízení tam používají."

Například letos společnost Kaspersky Lab vydala nový modul, který implementuje funkce ochrany proti úniku dat –

Cloudová ochrana

Mnoho velkých společností využívá cloud tak či onak, v Rusku nejčastěji ve formě privátního cloudu. Zde je důležité připomenout, že jako každý jiný informační systém vytvořený člověkem i cloudové služby obsahují potenciální zranitelnosti, které mohou tvůrci virů zneužít.

Proto při organizování přístupu i do vlastního cloudu je třeba pamatovat na zabezpečení komunikačního kanálu a na koncová zařízení, která jsou na straně zaměstnanců využívána. Neméně důležité jsou interní zásady, které upravují, kteří zaměstnanci mají přístup k datům v cloudu, nebo jaká úroveň utajení informací může být v cloudu uložena atd. Společnost musí formulovat transparentní pravidla:

• jaké služby a služby poběží z cloudu,
• co - na místních zdrojích,
• jaký druh informací by měl být umístěn v oblacích,
• co by se mělo uchovávat „doma“.

Na základě článku: Čas na „tvrdá“ rozhodnutí: bezpečnost v segmentu Enterprise.

Okamžitě si všimneme, že bohužel neexistuje žádný ochranný systém, který by ve všech podnicích poskytoval 100% výsledky. Koneckonců, každý den existuje více a více nových způsobů, jak obejít a hacknout síť (ať už je to domácí nebo domácí). Skutečnost, že vrstvené zabezpečení je stále nejlepší možností pro zabezpečení podnikové sítě, však zůstává nezměněna.

A v tomto článku budeme analyzovat pět nejspolehlivějších metod ochrany informací v počítačových systémech a sítích a také zvážíme úrovně ochrany počítače v podnikové síti.

Okamžitě však učiníme výhradu, že nejlepším způsobem ochrany dat v síti je ostražitost jejích uživatelů. Všichni zaměstnanci společnosti bez ohledu na své pracovní povinnosti musí rozumět a hlavně dodržovat všechna pravidla informační bezpečnosti. Žádné cizí zařízení (ať už je to telefon, flash disk nebo disk) by nemělo být připojeno k podnikové síti.

Vedení společnosti by navíc mělo pravidelně vést rozhovory a bezpečnostní kontroly, protože pokud jsou zaměstnanci nedbalí na zabezpečení podnikové sítě, pak mu žádná ochrana nepomůže.

Ochrana podnikové sítě před neoprávněným přístupem

1. 1. Takže v první řadě je potřeba zajistit fyzickou bezpečnost sítě. To znamená, že přístup do všech serverových skříní a místností by měl být poskytnut přísně omezenému počtu uživatelů. Likvidace pevných disků a externích médií musí probíhat pod nejpřísnější kontrolou. Po získání přístupu k datům mohou útočníci snadno dešifrovat hesla.
2. 2. První „obrannou linií“ podnikové sítě je firewall, který zajistí ochranu před neoprávněným vzdáleným přístupem. Zároveň zajistí „neviditelnost“ informací o struktuře sítě.

Mezi hlavní schémata brány firewall patří:

• - ve své roli používá filtrační směrovač, který je navržen tak, aby blokoval a filtroval odchozí a příchozí toky. Všechna zařízení v zabezpečené síti mají přístup k internetu, ale zpětný přístup k těmto zařízením z internetu je blokován;
• - stíněná brána, která filtruje potenciálně nebezpečné protokoly a blokuje jejich přístup do systému.

1. 3. Antivirová ochrana je hlavní linií obrany podnikové sítě před vnějšími útoky. Komplexní antivirová ochrana minimalizuje možnost vniknutí červů do sítě. V první řadě je nutné chránit servery, pracovní stanice a firemní chatovací systém.

Dnes je jednou z předních společností v oblasti antivirové ochrany v síti společnost Kaspersky Lab, která nabízí takový komplex ochrany jako:

• - kontrola je komplex podpisových a cloudových metod pro ovládání programů a zařízení a zajištění šifrování dat;
• - poskytování ochrany virtuálního prostředí instalací "agenta" na jeden (nebo každý) virtuální hostitel;
• - ochrana "datového centra" (data processing center) - správa celé struktury ochrany a jediné centralizované konzole;
• - ochrana proti DDoS útokům, nepřetržitá analýza provozu, varování před možnými útoky a přesměrování provozu do "úklidového centra".

To je jen několik příkladů z celého komplexu ochrany od společnosti Kaspersky Lab.

1. 4. Ochrana. Dnes mnoho zaměstnanců firem pracuje na dálku (z domova), v tomto ohledu je nutné zajistit maximální ochranu provozu a k realizaci pomohou šifrované VPN tunely.

Jednou z nevýhod přilákání „vzdálených pracovníků“ je možnost ztráty (nebo odcizení) zařízení, ze kterého se práce provádí, a následné získání přístupu do podnikové sítě třetím stranám.

1. 5. Kompetentní ochrana firemní pošty a filtrování spamu.

Zabezpečení firemních e-mailů

Společnosti, které zpracovávají velké množství e-mailů, jsou primárně náchylné k phishingovým útokům.

Hlavní způsoby filtrování spamu jsou:

• - instalace specializovaného softwaru (tyto služby nabízí také společnost Kaspersky Lab);
• - vytváření a neustálé doplňování „černých“ seznamů IP adres zařízení, ze kterých je rozesílání spamu řízeno;
• - analýza příloh e-mailů (analýza by měla být provedena nejen textové části, ale také všech příloh - fotografií, videí a textových souborů);
• - Určení "množství" zpráv: spamové zprávy jsou obvykle identické pro všechny e-maily, což pomáhá je sledovat antispamovými skenery, jako jsou "GFI MailEssentials" a "Kaspersky Anti-spam".

Toto jsou hlavní aspekty ochrany informací v podnikové síti, které fungují téměř v každé společnosti. Volba ochrany ale závisí také na samotné struktuře podnikové sítě.

Síťová a informační bezpečnost

Zabezpečení firemní sítě

Vysoké zabezpečení a dodržování předpisů jsou pro projekty podnikového nasazení nutností.

Aby podniky chránily své vlastní informační zdroje, implementují do infrastruktury řešení zabezpečení sítě, která zaručují bezpečnost sítě a obchodních dat na všech úrovních:

• firewall
• Sítě spravované VPN
• vyhledávat a blokovat pokusy o narušení sítě
• ochrana koncových bodů výměny provozu
• firemní antivirový systém.

Zabezpečení připojení

Pro zaměstnance na služebních cestách nebo pracující z domova se služba vzdáleného přístupu do firemní sítě stala pracovní nutností.

Stále více organizací umožňuje partnerům vzdálený přístup k jejich sítím, aby se snížily náklady na údržbu systému. Ochrana koncových bodů výměny provozu je proto jedním z nejdůležitějších úkolů zabezpečení firemní sítě.

Místa, kde se podniková síť připojuje k Internetu, jsou bezpečnostním perimetrem sítě. V těchto bodech se protíná příchozí a odchozí provoz. Provoz firemních uživatelů jde mimo síť a internetové požadavky od externích uživatelů o přístup k webovým a e-mailovým aplikacím vstupují do firemní sítě.

Vzhledem k tomu, že koncové body mají trvalé internetové připojení, které obvykle umožňuje externímu provozu vstupovat do podnikové sítě, je hlavním cílem škodlivých útoků.

Při budování podnikové sítě pro zabezpečení dat jsou brány firewall instalovány na hranicích sítě v bodech přístupu k internetu. Tato zařízení umožňují předcházet a blokovat externí hrozby při ukončování VPN tunelů (viz obr. 1).

Obr. 1 Bezpečnostní perimetr podnikové sítě

Sada integrovaných řešení bezpečného připojení od společnosti Cisco Systems udržuje vaše informace v soukromí. Síť prověřuje všechny koncové body a přístupové metody ve všech firemních sítích: LAN, WAN a bezdrátové mobilní sítě

Je zajištěna plná dostupnost služeb firewallu a VPN. Funkce brány firewall poskytují stavové filtrování na aplikační vrstvě pro příchozí a odchozí provoz, bezpečný odchozí přístup pro uživatele a síť DMZ pro servery, ke kterým je potřeba přistupovat z internetu.

Systémový integrátor IC „Telecom-Service“ buduje firemní bezpečnostní sítě založené na multifunkčních bezpečnostních zařízeních Cisco Systems, Juniper Networks a Huawei Technologies, která snižují počet požadovaných zařízení v síti.

Komplexní řešení zabezpečení podnikových sítí od společností Cisco Systems, Juniper Networks a Huawei Technologies mají řadu výhod, které jsou důležité pro efektivní podnikání:

• snížení IT rozpočtů na provoz a údržbu softwaru a hardwaru
• zvýšená flexibilita sítě
• snížení nákladů na implementaci
• nižší celkové náklady na vlastnictví
• zvýšená kontrola díky jednotnému řízení a zavedení bezpečnostních politik
• zvýšení zisku a zvýšení ukazatelů výkonnosti podniku
• snížení bezpečnostních hrozeb pro síť a úložiště
• aplikace účinných bezpečnostních politik a pravidel na koncových uzlech sítě: PC, PDA a servery
• zkrácení času na implementaci nových bezpečnostních řešení
• účinná prevence narušení sítě
• Integrace se softwarem jiných vývojářů v oblasti bezpečnosti a správy.
• komplexní řízení přístupu k síti

Bezpečnostní produkty Cisco na všech síťových vrstvách

Zabezpečení koncového bodu: Cisco Security Agent chrání počítače a servery před útoky červů.

Vestavěné firewally: PIX Security Appliance, moduly Catalyst 6500 Firewall Services Modules a sada funkcí firewallu chrání síť v síti a kolem ní.

Ochrana proti vniknutí do sítě: Senzory IPS 4200 Series, Catalyst 6500 IDS Service Modules (IDSM-2) nebo IOS IPS senzory identifikují, analyzují a blokují nežádoucí nežádoucí provoz.

Detekce a eliminace DDoS útoků: Cisco Traffic Anomaly Detector XT a Guard XT zajišťují normální provoz v případě útoků na přerušení služby. Služby Cisco Traffic Anomaly Detector Services a Cisco Guard poskytují silnou ochranu proti útokům DdoS na přepínače Catalyst řady 6500 a směrovače řady 7600.

Zabezpečení obsahu: Modul Access Router Content Engine chrání podnikové aplikace orientované na internet a zajišťuje bezchybné doručování webového obsahu.

Inteligentní služby správy sítě a zabezpečení: Vyhledá a zablokuje nežádoucí provoz a aplikace ve směrovačích a přepínačích Cisco.

Řízení a monitorování:

Produkty:

CiscoWorks VPN / řešení pro správu zabezpečení (VMS)

CiscoWorks Security Information Management System (SIMS) - systém správy informací o stavu zabezpečení

Vestavění správci zařízení: Cisco Router and Security Device Manager (SDM), PIX Device Manager (PDM), Adaptive Security Device Manager (ASDM) rychle a efektivně monitorují, monitorují bezpečnostní služby a síťovou aktivitu.

Technologie Cisco Network Admission Control (NAC).

Network Admission Control (NAC) je soubor technologií a řešení založených na celoodvětvové iniciativě pod patronací Cisco Systems.

NAC využívá síťovou infrastrukturu k vynucení bezpečnostních zásad na všech zařízeních, která chtějí získat přístup k síťovým zdrojům. To snižuje potenciální poškození sítě bezpečnostními hrozbami.

Zabezpečený vzdálený přístup k podnikové VPN pro zaměstnance a partnery zajišťují multifunkční bezpečnostní zařízení využívající protokoly SSL a IPsec VPN, vestavěné blokovací služby pro prevenci a prevenci narušení IPS.

Self-Defending Network – Cisco Self-Defending Network Strategy

Self-Defending Network je vyvíjející se budoucí strategií společnosti Cisco. Tato technologie vám umožňuje chránit podnikové procesy detekcí a předcházením útokům a přizpůsobením se interním a externím síťovým hrozbám.

Podniky mohou využít inteligenci síťových zdrojů, zefektivnit obchodní procesy a snížit náklady.

Cisco Security Management Pack

Cisco Security Management Pack je kolekce produktů a technologií navržených tak, aby poskytovaly škálovatelnou správu a prosazování bezpečnostních zásad pro sebeobranou síť Cisco.

Integrovaný produkt Cisco automatizuje úlohy správy zabezpečení pomocí klíčových komponent: manažera správy a Cisco Security MARS, systému monitorování, analýzy a odezvy.

Cisco Security Management Manager poskytuje jednoduché rozhraní pro konfiguraci firewallu, VPN a systémů prevence narušení (IPS) na bezpečnostních zařízeních, firewallech, směrovačích a přepínačích Cisco.

Přesně takový je výsledek průzkumu mezi více než 1000 vedoucími IT oddělení velkých a středních evropských společností, který si nechala vypracovat společnost Intel. Účelem průzkumu byla snaha identifikovat problém, který profesionály v oboru nejvíce znepokojuje. Odpověď byla vcelku očekávaná, více než polovina dotázaných jmenovala problém zabezpečení sítě, problém vyžadující okamžité řešení. Další výsledky průzkumu lze nazvat vcelku očekávanými. Například faktor bezpečnosti sítě vede mezi jinými problémy v oblasti informačních technologií; jeho význam vzrostl o 15 % ve srovnání se situací před pěti lety.
Podle výsledků průzkumu tráví vysoce kvalifikovaní IT specialisté přes 30 % svého času řešením přesně bezpečnostních problémů. Situace ve velkých firmách (s více než 500 zaměstnanci) je ještě alarmující – řešením těchto záležitostí věnuje zhruba čtvrtina respondentů polovinu svého času.

Vyvažování hrozeb a obrany

Problém zabezpečení sítě je bohužel neoddělitelně spojen se základními technologiemi používanými v moderních telekomunikacích. Stalo se tak, že při vývoji rodiny IP protokolů byla dána priorita spolehlivosti sítě jako celku. V době vzniku těchto protokolů bylo zabezpečení sítě zajišťováno zcela odlišnými způsoby, které jsou prostě nereálné pro použití v globální síti. Na krátkozrakost vývojářů si můžete hlasitě stěžovat, ale radikálně změnit situaci je téměř nemožné. Nyní stačí se umět bránit potenciálním hrozbám.
Hlavním principem této dovednosti by mělo být rovnováhu mezi potenciálními hrozbami pro zabezpečení sítě a potřebnou úrovní ochrany... Musí být zajištěna úměra mezi náklady na bezpečnost a náklady na potenciální škody z realizovaných hrozeb.
Pro moderní velký a střední podnik se informační a telekomunikační technologie staly základem podnikání. Proto se ukázaly jako nejcitlivější na dopad hrozeb. Čím větší a složitější je síť, tím větší úsilí vyžaduje její ochrana. Navíc náklady na vytváření hrozeb jsou řádově nižší než náklady na jejich neutralizaci. Tento stav nutí firmy pečlivě vážit důsledky možných rizik z různých hrozeb a volit vhodné způsoby ochrany před těmi nejnebezpečnějšími.
V současnosti jsou největší hrozbou pro podnikovou infrastrukturu akce spojené s neoprávněným přístupem k interním zdrojům a blokováním běžného provozu sítě. Takových hrozeb je celá řada, ale každá z nich je založena na kombinaci technických a lidských faktorů. Například k průniku škodlivého programu do firemní sítě může dojít nejen kvůli zanedbání bezpečnostních pravidel správcem sítě, ale také kvůli přílišné zvědavosti zaměstnance společnosti, který se rozhodne použít lákavý odkaz z mailového spamu. Neměli bychom proto doufat, že i ta nejlepší technická bezpečnostní řešení se stanou všelékem na všechny neduhy.

řešení třídy UTM

Bezpečnost je vždy relativní pojem. Pokud je toho příliš, pak se používání samotného systému, který se chystáme chránit, stává mnohem obtížnějším. Proto se rozumný kompromis stává první volbou v zabezpečení sítě. Středně velkým podnikům podle ruských standardů může taková volba pomoci při třídních rozhodnutích UTM (Unified Threat Management nebo United Threat Management), umístěné jako multifunkční zařízení pro síťovou a informační bezpečnost. V jádru jsou tato řešení hardwarové a softwarové systémy, které kombinují funkce různých zařízení: firewall, systémy detekce a prevence narušení sítě (IPS) a funkce antivirové brány (AV). Tyto komplexy jsou často zodpovědné za řešení dalších úkolů, například směrování, přepínání nebo podpora sítí VPN.
Poskytovatelé řešení UTM často nabízejí jejich použití v malých podnicích. Možná je tento přístup částečně oprávněný. Přesto je pro malé firmy u nás jednodušší a levnější využít bezpečnostní službu od svého poskytovatele internetu.
Jako každé univerzální řešení má zařízení UTM své klady a zápory.... To první lze přičíst úspoře peněz a času na realizaci ve srovnání s organizací ochrany podobné úrovně ze samostatných zabezpečovacích zařízení. UTM je také předem vyvážené a otestované řešení, které dokáže snadno vyřešit širokou škálu bezpečnostních problémů. Konečně řešení této třídy nejsou tak náročná na úroveň kvalifikace technického personálu. S jejich konfigurací, správou a údržbou si snadno poradí každý specialista.
Hlavní nevýhodou UTM je fakt, že jakákoliv funkcionalita univerzálního řešení je často méně efektivní než podobná funkcionalita specializovaného řešení. Proto, když je vyžadován vysoký výkon nebo vysoká bezpečnost, bezpečnostní profesionálové dávají přednost použití řešení založených na integraci samostatných produktů.
Navzdory této nevýhodě se však UTM řešení stávají poptávkou mnoha organizací, které se velmi liší rozsahem a typem činnosti. Podle Rainbow Technologies byla taková řešení úspěšně implementována například pro ochranu serveru jednoho z internetových obchodů s domácími spotřebiči, který byl vystaven pravidelným DDoS útokům. Řešení UTM také umožnilo výrazně snížit objem spamu v poštovním systému jednoho z automobilových holdingů. Kromě řešení lokálních problémů existují zkušenosti s budováním bezpečnostních systémů na bázi UTM řešení pro distribuovanou síť pokrývající centrálu pivovaru a jeho pobočky.

Výrobci UTM a jejich produkty

Ruský trh zařízení třídy UTM je tvořen pouze návrhy zahraničních výrobců. Bohužel žádný z tuzemských výrobců zatím nebyl schopen nabídnout vlastní řešení v této třídě zařízení. Výjimkou je softwarové řešení Eset NOD32 Firewall, které podle společnosti vytvořili ruští vývojáři.
Jak již bylo řečeno, na ruském trhu mohou být UTM řešení zajímavá především pro středně velké společnosti, v jejichž podnikové síti je až 100-150 pracovišť. Při výběru zařízení UTM pro prezentaci v recenzi byl hlavním kritériem výběru jeho výkon v různých režimech provozu, který by mohl poskytnout pohodlný uživatelský zážitek. Prodejci často specifikují výkonové specifikace pro Firewall, IPS Intrusion Prevention a AV Virus Protection.

Řešení Kontrolní bod nese jméno Hrana UTM-1 a je jednotným ochranným zařízením, které kombinuje firewall, systém prevence narušení, antivirovou bránu a také nástroje VPN a vzdáleného přístupu. Firewall obsažený v řešení řídí práci s velkým množstvím aplikací, protokolů a služeb a má také mechanismus blokování provozu, který zjevně nezapadá do kategorie podnikových aplikací. Například přenos rychlých zpráv (IM) a peer-to-peer (P2P). Antivirová brána umožňuje sledovat škodlivý kód v e-mailových zprávách, FTP a HTTP provozu. V tomto případě neexistují žádná omezení velikosti souborů a dekomprese archivních souborů se provádí za běhu.
UTM-1 Edge má pokročilé možnosti VPN. Podporuje dynamické směrování OSPF a připojení klienta VPN. UTM-1 Edge W je dodáván s vestavěným WiFi hotspotem IEEE 802.11b/g.
Když jsou vyžadována rozsáhlá nasazení, UTM-1 Edge se hladce integruje s Check Point SMART, aby se výrazně zjednodušila správa zabezpečení.

Cisco tradičně věnuje zvláštní pozornost otázkám zabezpečení sítě a nabízí širokou škálu potřebných zařízení. Pro recenzi jsme se rozhodli vybrat model Cisco ASA 5510, která je zaměřena na zajištění bezpečnosti perimetru podnikové sítě. Toto zařízení je součástí řady ASA 5500, která zahrnuje modulární ochranné systémy třídy UTM. Tento přístup umožňuje přizpůsobit bezpečnostní systém zvláštnostem fungování sítě konkrétního podniku.
Cisco ASA 5510 se dodává ve čtyřech základních balíčcích – firewall, VPN, prevence narušení a antivirus a antispam. Řešení zahrnuje další komponenty, jako je systém Security Manager, který tvoří infrastrukturu správy rozvětvené podnikové sítě, a systém Cisco MARS, určený k monitorování síťového prostředí a reakci na narušení bezpečnosti v reálném čase.

Slovák Společnost Eset softwarový balík zásob Firewall Eset NOD32 třídy UTM, zahrnující kromě funkcí podnikového firewallu také antivirový ochranný systém Eset NOD32, prostředky pro filtrování pošty (antispamu) a webového provozu, systémy pro detekci a prevenci síťových útoků IDS a IPS. Řešení podporuje vytváření sítí VPN. Tento komplex je postaven na bázi serverové platformy se systémem Linux. Je vyvinuta softwarová část zařízení tuzemská společnost Leta IT ovládané ruským zastoupením společnosti Eset.
Toto řešení umožňuje řídit síťový provoz v reálném čase, podporuje filtrování obsahu podle kategorií webových zdrojů. Poskytuje ochranu před útoky DDoS a blokuje pokusy o skenování portů. Řešení Eset NOD32 Firewall zahrnuje podporu DNS serverů, DHCP a správu šířky pásma. Sledován je provoz poštovních protokolů SMTP, POP3.
Toto řešení také zahrnuje schopnost vytvářet distribuované podnikové sítě pomocí připojení VPN. Zároveň jsou podporovány různé režimy kombinování sítí, autentizační a šifrovací algoritmy.

Společnost Fortinet nabízí celou rodinu zařízení FortiGate třídy UTM, umisťují svá řešení tak, aby byla schopna zajistit ochranu sítě při zachování vysoké úrovně výkonu a také spolehlivý a transparentní provoz podnikových informačních systémů v reálném čase. Pro recenzi jsme vybrali Model FortiGate-224B, který je určen k ochraně perimetru podnikové sítě se 150 - 200 uživateli.
Vybavení FortiGate-224B zahrnuje funkčnost firewallu, VPN serveru, filtrování webového provozu, systémy prevence narušení a také antivirovou a antispamovou ochranu. Tento model má vestavěný přepínač LAN na 2. vrstvě a rozhraní WAN, což eliminuje potřebu externích směrovacích a přepínacích zařízení. Za tímto účelem je podporováno směrování RIP, OSPF a BGP a také protokoly pro ověřování uživatelů před poskytováním síťových služeb.

Společnost SonicWALL nabízí širokou škálu UTM zařízení, ze kterých bylo řešení zařazeno do této recenze NSA 240... Toto zařízení je juniorským modelem v řadě zaměřeným na použití jako bezpečnostní systém pro podnikovou síť středního podniku a pobočky velkých společností.
Tato linie je založena na využití všech prostředků ochrany před potenciálními hrozbami. Jsou to brány firewall, systém ochrany proti vniknutí, antivirové a spywarové ochranné brány. K dispozici je filtrování webového provozu pro 56 kategorií stránek.
Jako jeden z vrcholů svého řešení uvádí společnost SonicWALL technologii hlubokého skenování a analýzy příchozího provozu. Aby nedošlo ke snížení výkonu, využívá tato technologie paralelní zpracování dat na víceprocesorovém jádře.
Toto zařízení podporuje VPN, má pokročilé možnosti směrování a podporuje různé síťové protokoly. Řešení od SonicWALL je také schopno poskytnout vysokou úroveň zabezpečení při obsluze VoIP provozu pomocí protokolů SIP a H.323.

Z produktové řady WatchGuardřešení bylo vybráno pro přezkoumání Firebox X550e, který je umístěn jako systém s pokročilou funkcionalitou pro zajištění síťové bezpečnosti a je zaměřen na použití v sítích malých a středních podniků.
UTM řešení od tohoto dodavatele jsou založena na principu ochrany proti smíšeným síťovým útokům. K tomu zařízení podporuje firewall, systém prevence útoků, antivirové a antispamové brány, filtrování webových zdrojů a také systém pro boj s spywarem.
Toto zařízení využívá princip společné ochrany, podle kterého síťový provoz kontrolovaný podle určitého kritéria na jedné úrovni ochrany není kontrolován stejným kritériem na jiné úrovni. Tento přístup umožňuje zajistit vysoký výkon zařízení.
Za další výhodu svého řešení výrobce nazývá podporu technologie Zero Day, která zajišťuje nezávislost zabezpečení na přítomnosti podpisů. Tato funkce je důležitá, když se objeví nové typy hrozeb, kterým dosud nebylo možné účinně čelit. Obvykle „okno zranitelnosti“ trvá několik hodin až několik dní. Při použití technologie Zero Day se znatelně snižuje pravděpodobnost negativních důsledků okna zranitelnosti.

ZyXEL nabízí své firewallové řešení třídy UTM pro použití v podnikových sítích až s 500 uživateli. to Řešení ZyWALL 1050 je určen pro vybudování systému zabezpečení sítě včetně plnohodnotné ochrany před viry, prevence narušení a podpory virtuálních privátních sítí. Zařízení má pět portů Gigabit Ethernet, které lze nakonfigurovat pro použití jako rozhraní WAN, LAN, DMZ a WLAN v závislosti na konfiguraci sítě.
Zařízení podporuje přenos provozu VoIP aplikací přes protokoly SIP a H.323 na úrovni firewallu a NAT a také přenos paketového telefonního provozu v tunelech VPN. Tím je zajištěno fungování mechanismů prevence útoků a hrozeb pro všechny typy provozu, včetně VoIP provozu, antivirového systému s plnou podpisovou základnou, filtrování obsahu na 60 kategoriích stránek a ochrany před spamem.
Řešení ZyWALL 1050 podporuje různé topologie privátních sítí, režim koncentrátoru VPN a zónování VPN s jednotnými bezpečnostními politikami.

Hlavní charakteristiky UTM

Názor odborníka

Dmitrij Kostrov, projektový ředitel Ředitelství technologické ochrany Podnikového centra MTS OJSC

Záběr UTM řešení sahá především do společností spřízněných s malými a středními podniky. Samotný koncept Unified Threat Management (UTM), jako samostatnou třídu zařízení pro ochranu síťových zdrojů, představila mezinárodní agentura IDC, podle které jsou UTM řešení multifunkčními softwarovými a hardwarovými systémy, které kombinují funkce různých zařízení. Obvykle se jedná o firewall, VPN, systémy detekce a prevence narušení sítě, stejně jako antivirové a antispamové brány a funkce filtrování URL.
Aby bylo dosaženo skutečně účinné ochrany, musí být zařízení vícevrstvé, aktivní a integrované. Mnoho výrobců ochranných pomůcek má přitom již poměrně širokou škálu produktů souvisejících s UTM. Dostatečná snadnost nasazení systémů a také získání systému „vše v jednom“ činí trh s těmito zařízeními poměrně atraktivní. Celkové náklady na vlastnictví a návratnost investic se u těchto zařízení jeví jako velmi atraktivní.
Ale toto řešení UTM je jako „švýcarský nůž“ – pro každou příležitost existuje nástroj, ale k proražení díry do zdi je potřeba pořádná vrtačka. Existuje také možnost, že vznik ochrany proti novým útokům, aktualizace signatur atp. nebude tak rychlý, na rozdíl od podpory jednotlivých zařízení, stojících v „klasickém“ schématu ochrany firemních sítí. Zůstává také problém jediného bodu selhání.