Uma introdução à segurança de rede. Questões atuais de segurança de redes corporativas de transmissão de dados

Ameaças e vulnerabilidades de redes corporativas com fio

No estágio inicial de desenvolvimento das tecnologias de rede, os danos causados ​​por vírus e outros tipos de ataques a computadores eram pequenos, já que a dependência da economia mundial da tecnologia da informação era pequena. Hoje, no contexto de uma dependência significativa das empresas de meios eletrônicos de acesso e troca de informações e um número cada vez maior de ataques, os danos dos menores ataques que levam à perda de tempo do computador são estimados em milhões de dólares, e o total o dano anual à economia mundial é de dezenas de bilhões de dólares.

As informações processadas em redes corporativas são especialmente vulneráveis, o que é facilitado por:
aumento da quantidade de informações processadas, transmitidas e armazenadas em computadores;
concentração em bancos de dados de informações de diversos níveis de importância e sigilo;
ampliar o acesso do círculo de usuários às informações armazenadas nas bases de dados e aos recursos da rede de computadores;
um aumento no número de locais de trabalho remotos;
uso generalizado da Internet global e vários canais de comunicação;
automação da troca de informações entre os computadores dos usuários.

A análise das ameaças mais comuns às quais as redes corporativas com fio de hoje estão expostas mostra que as fontes de ameaças podem variar de intrusões não autorizadas a vírus de computador, e o erro humano é uma ameaça significativa à segurança. Deve-se ter em mente que as fontes de ameaças à segurança podem estar localizadas tanto dentro do sistema de informação corporativo - fontes internas, quanto fora dele - fontes externas. Essa divisão é bastante justificada porque, para a mesma ameaça (por exemplo, roubo), os métodos de contra-ação para fontes externas e internas são diferentes. O conhecimento das possíveis ameaças, bem como das vulnerabilidades dos sistemas de informação corporativos, é necessário para selecionar os meios mais eficazes de garantir a segurança.

Os mais frequentes e perigosos (em termos de quantidade de danos) são erros não intencionais de usuários, operadores e administradores de sistema que atendem ao sistema de informações corporativo. Às vezes, esses erros levam a danos diretos (dados inseridos incorretamente, um erro no programa que fez o sistema parar ou travar), e às vezes eles criam fraquezas que podem ser exploradas por invasores (geralmente são erros administrativos).

De acordo com o Instituto Nacional de Padrões e Tecnologia dos Estados Unidos (NIST), 55% das violações de segurança de IP são causadas por erros não intencionais. Trabalhar no IP global torna esse fator bastante relevante, e a fonte de danos pode ser tanto as ações dos usuários da organização quanto os usuários da rede global, o que é especialmente perigoso. Na fig. 2.4 é um gráfico de pizza que ilustra estatísticas sobre as fontes de violações de segurança no sistema de informações corporativas.

Roubo e fraude estão em segundo lugar em termos de danos. Na maioria dos casos investigados, os perpetradores eram funcionários das organizações, que conheciam bem os horários de trabalho e as medidas de proteção. A presença de um poderoso canal de comunicação de informações com redes globais, na ausência de controle adequado sobre seu trabalho, pode facilitar ainda mais essas atividades.

Arroz. 2.4. Fontes de violações de segurança

Funcionários ofendidos, mesmo ex-funcionários, estão familiarizados com a ordem na organização e são capazes de causar danos de forma muito eficaz. Portanto, com a demissão de um funcionário, seus direitos de acesso aos recursos de informação devem ser cancelados.

As tentativas deliberadas de obter NSD por meio de comunicações externas representam cerca de 10% de todas as violações possíveis. Embora esse número não pareça tão significativo, a experiência com a Internet mostra que quase todos os servidores da Internet são submetidos a tentativas de intrusão várias vezes ao dia. Testes da Agência de Proteção de Sistemas de Informação (EUA) mostraram que 88% dos computadores apresentam fragilidades em termos de segurança da informação, que podem ser ativamente utilizadas para obter NSD. Convém que os casos de acesso remoto às estruturas de informação das organizações sejam considerados separadamente.

Antes de construir uma política de segurança, é necessário avaliar os riscos para o ambiente de computação da organização e tomar as medidas adequadas. É óbvio que os custos de uma organização para controlar e prevenir ameaças à segurança não devem exceder as perdas esperadas.

Essas estatísticas podem fornecer orientação para a administração e a equipe da organização onde direcionar esforços para reduzir efetivamente as ameaças à segurança da rede e do sistema corporativo. Claro, é necessário abordar questões de segurança física e medidas para reduzir o impacto negativo sobre a segurança de erros humanos, mas, ao mesmo tempo, é necessário prestar a mais séria atenção à resolução de problemas de segurança de rede para evitar ataques ao ambiente corporativo rede e do sistema, tanto de fora como de dentro do sistema.


Se considerarmos o sistema de segurança da informação de qualquer grande empresa, então este não é apenas um antivírus, mas também vários outros programas de proteção em todas as direções. O tempo para soluções simples de segurança de TI já passou.

Obviamente, a base de um sistema geral de segurança da informação para qualquer organização é a proteção de uma estação de trabalho padrão contra vírus. E aqui a necessidade de usar um antivírus permanece inalterada.

Mas os requisitos de segurança corporativa em geral mudaram. As empresas precisam de soluções completas de ponta a ponta que possam não apenas proteger contra as ameaças mais complexas da atualidade, mas também ficar à frente da curva.

"Cada vez mais empresas de grande porte estão construindo um sistema de segurança baseado no princípio de defesa em profundidade."

Além disso, os escalões anteriores foram alinhados em vários elementos da infraestrutura de TI, mas agora a proteção multinível deve ser até mesmo em elementos individuais do ambiente de TI, principalmente em estações de trabalho e servidores.

Quais ameaças enfrentaram as empresas em 2014

Em termos de ameaças, os ataques direcionados a corporações e estruturas governamentais se tornaram um grande problema de segurança da informação nos últimos anos. Muitas das técnicas que os hackers usaram para atacar usuários domésticos agora estão sendo aplicadas também a empresas.

São cavalos de Troia bancários modificados que visam funcionários de departamentos financeiros e departamentos de contabilidade e vários programas de ransomware que começaram a funcionar em redes de informações corporativas e o uso de métodos de engenharia social.

Além disso, os worms de rede ganharam popularidade e, para removê-los, toda a rede corporativa deve ser desligada. Se um problema semelhante for enfrentado por empresas com um grande número de filiais localizadas em fusos horários diferentes, qualquer interrupção da rede inevitavelmente levará a perdas financeiras.

De acordo com um estudo realizado pela Kaspersky Lab em 2014 entre especialistas em segurança da informação, na maioria das vezes as empresas russas se deparam com

  • malware,
  • correio indesejado (spam),
  • tentativas de entrada não autorizada no sistema por phishing.
  • vulnerabilidades no software instalado,
  • riscos associados ao comportamento dos funcionários da empresa.

O problema é agravado pelo fato de que as ameaças cibernéticas estão longe de ser estáticas: elas se multiplicam a cada dia, tornam-se mais diversas e complexas. Para entender melhor a situação atual no campo da segurança da informação e as consequências a que até mesmo um único incidente de computador pode levar, vamos apresentar tudo em números e fatos obtidos com base nos dados da Kaspersky Lab sobre a análise dos eventos de 2014 .

Estatísticas de ameaças cibernéticas


A propósito, são os dispositivos móveis que continuam a ser uma "dor de cabeça" separada para os especialistas em segurança da informação hoje. O uso de smartphones e tablets pessoais para fins de trabalho já é permitido na maioria das organizações, porém, o gerenciamento adequado desses dispositivos e sua inclusão no sistema geral de segurança da informação de uma empresa não é praticado em todos os lugares.

"De acordo com a Kaspersky Lab, 99% do malware especializado em dispositivos móveis é direcionado à plataforma Android hoje."

Para entender de onde vêm tantas ameaças e imaginar com que rapidez seu número está aumentando, é suficiente dizer que todos os dias os especialistas da Kaspersky Lab processam 325.000 amostras de novos malwares.

O malware geralmente atinge os computadores dos usuários de duas maneiras:

  • por meio de vulnerabilidades em software legal
  • usando métodos de engenharia social.

Obviamente, uma combinação dessas duas técnicas é muito comum, mas os invasores também não negligenciam os outros truques.

Os ataques direcionados, que estão se tornando mais comuns, são uma ameaça separada para as empresas.

"O uso de software ilegal, é claro, aumenta ainda mais os riscos de se tornar um alvo bem-sucedido para um ataque cibernético, principalmente devido à presença de mais vulnerabilidades nele."

Vulnerabilidades mais cedo ou mais tarde aparecem em qualquer software. Podem ser erros durante o desenvolvimento do programa, versões obsoletas ou elementos de código individuais. Seja como for, o principal problema não é a presença de uma vulnerabilidade, mas sua detecção e fechamento oportunos.

A propósito, recentemente e 2014 é uma prova vívida disso, os fornecedores de software estão cada vez mais começando a eliminar as vulnerabilidades em seus programas. No entanto, ainda existem lacunas suficientes nos aplicativos, e os cibercriminosos os usam ativamente para penetrar nas redes corporativas.

Em 2014, 45% de todos os incidentes de vulnerabilidade foram causados ​​por falhas no popular software Oracle Java.

Além disso, no ano passado, houve uma espécie de ponto de inflexão - uma vulnerabilidade foi descoberta no popular protocolo de criptografia OpenSSL, chamado Heartbleed. Este bug permitia que um invasor lesse o conteúdo da memória e interceptasse dados pessoais em sistemas usando versões vulneráveis ​​do protocolo.

OpenSSL é amplamente utilizado para proteger dados transmitidos pela Internet (incluindo informações que o usuário troca com páginas da web, e-mails, mensagens em mensageiros da Internet) e dados transmitidos por canais VPN (Redes Privadas Virtuais), portanto, o dano potencial desta vulnerabilidade foi enorme É possível que os invasores usem esta vulnerabilidade como um começo para novas campanhas de espionagem cibernética.

Vítimas de ataque

Em geral, em 2014, o número de organizações que se tornaram vítimas de ataques cibernéticos direcionados e campanhas de espionagem cibernética aumentou quase 2,5 vezes. No ano passado, quase 4,5 mil organizações em pelo menos 55 países, incluindo a Rússia, se tornaram o alvo dos cibercriminosos.

O roubo de dados ocorreu em pelo menos 20 setores diferentes da economia:

  • Estado,
  • telecomunicação,
  • energia,
  • pesquisar,
  • industrial,
  • cuidados de saúde,
  • construção e outras empresas.

Os cibercriminosos obtiveram acesso a essas informações:

  • senhas,
  • arquivos,
  • informações de geolocalização,
  • dados de áudio,
  • screenshots
  • instantâneos da webcam.

Muito provavelmente, em alguns casos, esses ataques foram apoiados por agências governamentais, enquanto outros foram mais provavelmente realizados por grupos profissionais de mercenários cibernéticos.

Nos últimos anos, o Centro de Análise e Pesquisa de Ameaças Globais da Kaspersky Lab rastreou as atividades de mais de 60 grupos criminosos responsáveis ​​por ataques cibernéticos em todo o mundo. Seus participantes falam línguas diferentes: russo, chinês, alemão, espanhol, árabe, persa e outros.

As consequências de operações direcionadas e campanhas de espionagem cibernética são sempre graves. Eles inevitavelmente terminam em hacking e infecção da rede corporativa, interrupção dos processos de negócios, vazamento de informações confidenciais, em particular propriedade intelectual. Em 2014, 98% das empresas russas enfrentaram algum tipo de incidente cibernético, cujas fontes geralmente estavam localizadas fora das próprias empresas, e em outros 87% das organizações houve incidentes causados ​​por ameaças internas.

"A quantidade total de danos para grandes empresas foi em média de 20 milhões de rublos para cada exemplo bem-sucedido de ataque cibernético."

O que as empresas temem e como as coisas realmente são

Todos os anos, a Kaspersky Lab realiza pesquisas para descobrir a atitude dos especialistas de TI em relação às questões de segurança da informação. Um estudo de 2014 mostrou que a grande maioria das empresas russas, ou melhor, 91%, subestima a quantidade de malware que existe hoje. Além disso, eles nem mesmo presumem que o número de malware está aumentando constantemente.



Curiosamente, 13% dos profissionais de TI disseram que não estavam preocupados com ameaças internas.

Talvez isso se deva ao fato de que em várias empresas não é comum separar as ameaças cibernéticas em externas e internas. Além disso, existem aqueles entre os gerentes de TI e de segurança da informação russos que ainda preferem resolver todos os problemas com ameaças internas por meio de proibições.

No entanto, se algo é proibido a uma pessoa, isso não significa de forma alguma que ela não o faça. Portanto, qualquer política de segurança, incluindo proibição, requer ferramentas de controle adequadas para garantir que todos os requisitos sejam atendidos.

Quanto aos tipos de informação em que os cibercriminosos estão principalmente interessados, o estudo mostrou que as percepções das empresas e a situação real são bastante diferentes.

Portanto, as próprias empresas têm mais medo de perder

  • Informação ao Cliente,
  • dados financeiros e operacionais,
  • propriedade intelectual.
Um pouco menos de preocupação para os negócios
  • informações sobre a análise das atividades dos concorrentes,
  • Informação de pagamento,
  • dados pessoais de funcionários
  • dados sobre contas bancárias corporativas.

"Na verdade, os cibercriminosos costumam roubar informações operacionais internas das empresas (em 58% dos casos), mas apenas 15% das empresas consideram necessário proteger esses dados em primeiro lugar."

Para a segurança, é igualmente importante pensar não apenas em tecnologias e sistemas, mas também levar em consideração o fator humano: a compreensão das metas pelos especialistas que constroem o sistema e a compreensão da responsabilidade dos funcionários que a utilizam. os dispositivos.

Recentemente, os invasores estão confiando cada vez mais não apenas em meios técnicos, mas também nas fraquezas das pessoas: eles usam métodos de engenharia social que ajudam a extrair quase todas as informações.

Os funcionários, ao retirar dados de seus dispositivos, devem compreender que têm exatamente a mesma responsabilidade que se levassem consigo cópias em papel de documentos.

A equipe da empresa também deve estar ciente de que qualquer dispositivo moderno e tecnicamente complexo contém defeitos que podem ser explorados por um invasor. Mas, para tirar proveito desses defeitos, um invasor deve obter acesso ao dispositivo. Portanto, ao baixar e-mails, aplicativos, músicas e fotos, é necessário verificar a reputação da fonte.

É importante ter cuidado com SMS e e-mails provocativos e verificar a credibilidade da fonte antes de abrir um e-mail e seguir um link.

Para que a empresa ainda tenha proteção contra tais ações acidentais ou intencionais dos funcionários, ela deve utilizar módulos para proteger os dados contra vazamentos.

"As empresas precisam se lembrar regularmente sobre como trabalhar com pessoal: começando com a melhoria das qualificações dos funcionários de TI e terminando com explicações sobre as regras básicas para trabalhar com segurança na Internet, não importa quais dispositivos eles usem lá."

Por exemplo, este ano, a Kaspersky Lab lançou um novo módulo que implementa funções de proteção contra vazamento de dados -

Proteção na nuvem

Muitas grandes empresas usam a nuvem de uma forma ou de outra, na Rússia, mais frequentemente na forma de uma nuvem privada. É importante lembrar aqui que, como qualquer outro sistema de informação feito por humanos, os serviços em nuvem contêm vulnerabilidades potenciais que podem ser exploradas por criadores de vírus.

Portanto, ao organizar o acesso até mesmo à sua própria nuvem, você precisa se lembrar da segurança do canal de comunicação e dos dispositivos finais que são usados ​​por parte dos funcionários. Igualmente importantes são as políticas internas que regem quais funcionários têm acesso aos dados na nuvem, ou qual nível de sigilo das informações pode ser armazenado na nuvem, etc. A empresa deve ter regras transparentes:

  • quais serviços e serviços serão executados na nuvem,
  • o quê - em recursos locais,
  • que tipo de informação deve ser colocada nas nuvens,
  • o que deve ser guardado "em casa".

Baseado no artigo: Tempo para decisões "duras": segurança no segmento Enterprise.

De imediato, notamos que não existe um sistema de proteção que dê 100% de resultados em todas as empresas. Afinal, a cada dia surgem mais e mais novas maneiras de contornar e hackear a rede (seja em casa ou em casa). No entanto, o fato de que a segurança em camadas ainda é a melhor opção para proteger uma rede corporativa permanece o mesmo.

E neste artigo iremos analisar os cinco métodos mais confiáveis ​​de proteção de informações em sistemas e redes de computadores, e também considerar os níveis de proteção de computadores em uma rede corporativa.

No entanto, iremos imediatamente fazer uma reserva de que a melhor forma de proteger os dados na rede é a vigilância dos seus utilizadores. Todos os funcionários da empresa, independentemente de suas funções, devem compreender e, o mais importante, seguir todas as regras de segurança da informação. Qualquer dispositivo estranho (seja um telefone, unidade flash ou disco) não deve ser conectado à rede corporativa.

Além disso, a administração da empresa deve conduzir regularmente conversas e verificações de segurança, porque se os funcionários forem negligentes com a segurança da rede corporativa, nenhuma proteção irá ajudá-lo.

Protegendo a rede corporativa de acesso não autorizado

  1. 1. Portanto, em primeiro lugar, é necessário garantir a segurança física da rede. Ou seja, o acesso a todos os gabinetes e salas do servidor deve ser fornecido a um número estritamente limitado de usuários. O descarte de discos rígidos e mídias externas deve ocorrer sob o mais estrito controle. Depois de obter acesso aos dados, os invasores podem facilmente descriptografar as senhas.
  2. 2. A primeira "linha de defesa" de uma rede corporativa é um firewall, que fornecerá proteção contra acesso remoto não autorizado. Ao mesmo tempo, irá garantir a “invisibilidade” das informações sobre a estrutura da rede.

Os principais esquemas de firewall incluem:

  • - usando um roteador de filtragem em sua função, que é projetado para bloquear e filtrar os fluxos de entrada e saída. Todos os dispositivos da rede protegida têm acesso à Internet, mas o acesso de retorno a esses dispositivos da Internet é bloqueado;
  • - um gateway blindado que filtra protocolos potencialmente perigosos, bloqueando seu acesso ao sistema.
  1. 3. A proteção antivírus é a principal linha de defesa da rede corporativa contra ataques externos. A proteção antivírus abrangente minimiza a possibilidade de entrada de worms na rede. Em primeiro lugar, é necessário proteger servidores, estações de trabalho e o sistema de chat corporativo.

Hoje, uma das empresas líderes em proteção antivírus na rede é a Kaspersky Lab, que oferece um complexo de proteção como:

  • - o controle é um complexo de métodos de assinatura e nuvem para controlar programas e dispositivos e garantir a criptografia de dados;
  • - fornecer proteção do ambiente virtual instalando o "agente" em um (ou cada) host virtual;
  • - proteção do “data center” (centro de processamento de dados) - gerenciamento de toda a estrutura de proteção e um único console centralizado;
  • - proteção contra ataques DDoS, análise de tráfego 24 horas por dia, aviso de possíveis ataques e redirecionamento de tráfego para a "central de limpeza".

Estes são apenas alguns exemplos de todo o complexo de proteção da Kaspersky Lab.

  1. 4. Proteção. Hoje, muitos funcionários da empresa trabalham remotamente (de casa), neste sentido, é necessário garantir a máxima proteção do tráfego, e os túneis VPN criptografados ajudarão a implementá-la.

Uma das desvantagens de atrair "trabalhadores remotos" é a possibilidade de perder (ou roubar) o dispositivo com o qual o trabalho é realizado e, posteriormente, obter acesso à rede corporativa para terceiros.

  1. 5. Proteção competente de correio corporativo e filtragem de spam.

Segurança de email corporativo

As empresas que processam grandes quantidades de e-mail são principalmente suscetíveis a ataques de phishing.

As principais formas de filtrar spam são:

  • - instalação de software especializado (esses serviços também são oferecidos pela Kaspersky Lab);
  • - criação e reposição constante de listas "negras" de endereços IP de dispositivos a partir dos quais o envio de spam é conduzido;
  • - análise de anexos de e-mail (a análise deve ser realizada não só da parte do texto, mas também de todos os anexos - fotos, vídeos e arquivos de texto);
  • - Determinação da "massa" das mensagens: as mensagens de spam geralmente são idênticas para todas as correspondências, o que ajuda a rastreá-las em verificadores anti-spam, como "GFI MailEssentials" e "Kaspersky Anti-spam".

Esses são os principais aspectos da proteção de informações em uma rede corporativa, que funcionam em quase todas as empresas. Mas a escolha da proteção também depende da própria estrutura da rede corporativa.

Segurança de rede e informação

Protegendo a rede corporativa

Alta segurança e conformidade regulamentar são essenciais para projetos de implantação empresarial.

Para proteger seus próprios recursos de informação, as empresas estão implementando soluções de segurança de rede na infraestrutura que garantem a segurança da rede e dos dados de negócios em todos os níveis:

  • firewall
  • Redes VPN gerenciadas
  • pesquisar e bloquear tentativas de intrusão na rede
  • proteção de pontos finais de troca de tráfego
  • sistema antivírus corporativo.

Segurança de conexão

Para funcionários em viagens de negócios ou trabalhando em casa, o serviço de acesso remoto à rede corporativa tornou-se uma necessidade de trabalho.

Mais e mais organizações estão permitindo que os parceiros acessem remotamente suas redes para reduzir os custos de manutenção do sistema. Portanto, proteger os terminais de troca de tráfego é uma das tarefas mais importantes para proteger a rede de uma empresa.

Os locais onde a rede corporativa se conecta à Internet são o perímetro de segurança da rede. O tráfego de entrada e saída se cruza nesses pontos. O tráfego de usuários corporativos sai da rede e as solicitações da Internet de usuários externos para acessar aplicativos da Web e de e-mail entram na rede da empresa.

Como os terminais têm uma conexão persistente com a Internet, que normalmente permite que o tráfego externo entre na rede corporativa, é o principal alvo de ataques maliciosos.

Ao construir uma rede de segurança de dados corporativos, firewalls são instalados nos limites da rede nos pontos de acesso à Internet. Esses dispositivos permitem que você evite e bloqueie ameaças externas ao encerrar túneis VPN (consulte a Fig. 1).


Fig. 1 O perímetro de segurança da rede corporativa

Um conjunto de soluções integradas de conectividade segura da Cisco Systems mantém suas informações privadas. A rede examina todos os terminais e métodos de acesso em todas as redes da empresa: LAN, WAN e rede móvel sem fio

A disponibilidade total dos serviços de firewall e VPN é garantida. Os recursos de firewall fornecem filtragem de camada de aplicativo com monitoração de estado para tráfego de entrada e saída, acesso de saída seguro para usuários e rede DMZ para servidores que precisam ser acessados ​​da Internet.

O integrador de sistemas do IC “Telecom-Service” constrói redes de segurança corporativa baseadas em dispositivos de segurança multifuncionais Cisco Systems, Juniper Networks e Huawei Technologies, que permitem reduzir o número de dispositivos necessários na rede.

As soluções de segurança de rede corporativa ponta a ponta da Cisco Systems, Juniper Networks e Huawei Technologies têm uma série de vantagens que são importantes para negócios eficazes:

  • redução dos orçamentos de TI para operação e manutenção de software e hardware
  • maior flexibilidade de rede
  • redução dos custos de implementação
  • menor custo total de propriedade
  • maior controle por meio do gerenciamento unificado e da introdução de políticas de segurança
  • aumento nos lucros e aumento nos indicadores de desempenho da empresa
  • reduzindo ameaças de segurança para a rede e armazenamento
  • aplicação de políticas e regras de segurança eficazes nos nós finais da rede: PCs, PDAs e servidores
  • reduzindo o tempo para implementar novas soluções de segurança
  • prevenção de intrusão de rede eficaz
  • integração com software de outros desenvolvedores na área de segurança e gerenciamento.
  • controle abrangente de acesso à rede

Produtos de segurança da Cisco em todas as camadas de rede

Segurança de endpoint: O Cisco Security Agent protege computadores e servidores de ataques de worm.

Firewalls integrados: o PIX Security Appliance, Catalyst 6500 Firewall Services Module e conjunto de recursos de firewall protegem a rede dentro e ao redor da rede.

Proteção contra invasão de rede: Os sensores da série IPS 4200, Catalyst 6500 IDS Service Modules (IDSM-2) ou sensores IOS IPS identificam, analisam e bloqueiam o tráfego malicioso indesejado.

Detecção e eliminação de ataques DDoS: O Cisco Traffic Anomaly Detector XT e o Guard XT garantem a operação normal no caso de ataques de interrupção do serviço. Os Cisco Traffic Anomaly Detector Services e os módulos Cisco Guard oferecem forte proteção contra ataques DdoS nos switches da série Catalyst 6500 e roteadores da série 7600.

Segurança de conteúdo: O módulo Access Router Content Engine protege os aplicativos de negócios voltados para a Internet e garante a entrega livre de erros de conteúdo da web.

Serviços de administração de rede e segurança inteligentes: Localiza e bloqueia tráfego e aplicativos indesejados em roteadores e switches Cisco.

Gestão e monitoramento:

Produtos:

  • CiscoWorks VPN / solução de gerenciamento de segurança (VMS)
  • CiscoWorks Security Information Management System (SIMS) - sistema de gerenciamento de informações de status de segurança
    • Gerenciadores de dispositivos integrados: Cisco Router e Security Device Manager (SDM), PIX Device Manager (PDM), Adaptive Security Device Manager (ASDM), monitoram de forma rápida e eficiente, monitoram os serviços de segurança e a atividade da rede.

    Tecnologia Cisco Network Admission Control (NAC)

    O Network Admission Control (NAC) é um conjunto de tecnologias e soluções baseadas em uma iniciativa de toda a indústria sob o patrocínio da Cisco Systems.

    O NAC usa a infraestrutura de rede para aplicar políticas de segurança em todos os dispositivos que buscam acessar recursos de rede. Isso reduz o dano potencial à rede por ameaças à segurança.

    O acesso remoto seguro à VPN corporativa para funcionários e parceiros é fornecido por dispositivos de segurança multifuncionais usando protocolos SSL e IPsec VPN, serviços de bloqueio integrados para prevenir e prevenir intrusões de IPS.

    Rede de autodefesa - Estratégia de rede de autodefesa da Cisco

    A rede de autodefesa é a estratégia futura em evolução da Cisco. A tecnologia permite proteger os processos de negócios de uma empresa, detectando e prevenindo ataques, adaptando-se às ameaças internas e externas da rede.

    As empresas podem alavancar a inteligência dos recursos de rede, otimizar processos de negócios e reduzir custos.

    Cisco Security Management Pack

    O Cisco Security Management Pack é uma coleção de produtos e tecnologias projetados para fornecer administração escalável e aplicação de políticas de segurança para uma rede Cisco de autodefesa.

    O produto Cisco integrado automatiza as tarefas de gerenciamento de segurança usando componentes-chave: o gerenciador de gerenciamento e o Cisco Security MARS, um sistema de monitoramento, análise e resposta.

    O Cisco Security Management Manager fornece uma interface simples para configurar firewall, VPN e sistemas de prevenção de intrusão (IPS) em dispositivos de segurança Cisco, firewalls, roteadores e switches.

    Este é exatamente o resultado de uma pesquisa com mais de 1000 chefes de departamentos de TI de grandes e médias empresas europeias, encomendada pela Intel. O objetivo da pesquisa foi o desejo de identificar o problema que mais preocupa os profissionais do setor. A resposta era bastante esperada, mais da metade dos entrevistados apontou o problema da segurança da rede, um problema que requer solução imediata. Outros resultados da pesquisa podem ser considerados bastante esperados. Por exemplo, o fator de segurança de rede lidera, entre outros problemas, no campo da tecnologia da informação; sua importância aumentou 15% em relação à situação que existia há cinco anos.
    De acordo com os resultados da pesquisa, especialistas de TI altamente qualificados gastam mais de 30% do seu tempo resolvendo problemas de segurança. A situação em grandes empresas (com mais de 500 funcionários) é ainda mais alarmante - cerca de um quarto dos entrevistados gasta metade do tempo resolvendo esses problemas.

    Equilibrando Ameaças e Defesa

    Infelizmente, o problema de segurança de rede está intimamente ligado às tecnologias fundamentais usadas nas telecomunicações modernas. Acontece que, ao desenvolver uma família de protocolos IP, a prioridade foi dada à confiabilidade da rede como um todo. Na época do surgimento desses protocolos, a segurança da rede era fornecida de maneiras completamente diferentes, que são simplesmente irrealistas para uso em uma rede global. Você pode reclamar ruidosamente da miopia dos desenvolvedores, mas é quase impossível mudar radicalmente a situação. Agora você só precisa ser capaz de se defender contra ameaças potenciais.
    O princípio principal desta habilidade deve ser equilíbrio entre ameaças potenciais à segurança da rede e o nível de proteção necessário... Uma comensuração deve ser assegurada entre o custo da segurança e o custo do dano potencial de ameaças realizadas.
    Para uma grande e média empresa moderna, as tecnologias da informação e das telecomunicações tornaram-se a base para fazer negócios. Portanto, eles se revelaram os mais sensíveis ao impacto das ameaças. Quanto maior e mais complexa for a rede, mais esforços serão necessários para protegê-la. Além disso, o custo de criar ameaças é muito menor do que o custo de neutralizá-las. Esse estado de coisas obriga as empresas a pesar cuidadosamente as consequências dos possíveis riscos de várias ameaças e a escolher os métodos apropriados de proteção contra as mais perigosas.
    Atualmente, as maiores ameaças à infraestrutura corporativa são as ações associadas ao acesso não autorizado aos recursos internos e ao bloqueio do funcionamento normal da rede. Existem muitas dessas ameaças, mas cada uma delas se baseia em uma combinação de fatores técnicos e humanos. Por exemplo, a penetração de um programa malicioso em uma rede corporativa pode ocorrer não apenas devido ao desrespeito do administrador da rede pelas regras de segurança, mas também devido à curiosidade excessiva de um funcionário da empresa que decide usar um link tentador de spam de e-mail. Portanto, não se deve esperar que mesmo as melhores soluções técnicas de segurança se tornem uma panacéia para todos os males.

    Soluções de classe UTM

    A segurança é sempre um conceito relativo. Se houver muito, então o uso do próprio sistema, que vamos proteger, torna-se muito mais difícil. Portanto, um compromisso razoável torna-se a primeira escolha em segurança de rede. Para empresas de médio porte pelos padrões russos, tal escolha pode muito bem ajudar a tomar decisões de classe UTM (Unified Threat Management ou United Threat Management), posicionados como dispositivos multifuncionais para rede e segurança da informação. Em seu núcleo, essas soluções são sistemas de hardware e software que combinam as funções de diferentes dispositivos: um firewall, sistemas de detecção e prevenção de intrusão de rede (IPS) e funções de gateway antivírus (AV). Freqüentemente, esses complexos são responsáveis ​​por resolver tarefas adicionais, por exemplo, roteamento, comutação ou suporte a redes VPN.
    Freqüentemente, os provedores de soluções UTM se oferecem para usá-los em pequenas empresas. Talvez essa abordagem seja parcialmente justificada. Ainda assim, é mais fácil e mais barato para as pequenas empresas em nosso país usar um serviço de segurança de seu provedor de Internet.
    Como qualquer solução universal, o equipamento UTM tem seus prós e contras.... O primeiro pode ser atribuído à economia de tempo e dinheiro para implementação em comparação com a organização de proteção de um nível semelhante de dispositivos de segurança separados. O UTM também é uma solução pré-balanceada e testada que pode resolver facilmente uma ampla gama de problemas de segurança. Finalmente, as soluções desta classe não são tão exigentes no nível de qualificação do pessoal técnico. Qualquer especialista pode lidar facilmente com sua configuração, gerenciamento e manutenção.
    A principal desvantagem do UTM é o fato de que qualquer funcionalidade de uma solução universal costuma ser menos eficaz do que a funcionalidade semelhante de uma solução especializada. É por isso que quando alto desempenho ou alta segurança é necessário, os profissionais de segurança preferem usar soluções baseadas na integração de produtos separados.
    No entanto, apesar dessa desvantagem, as soluções UTM estão se tornando exigidas por muitas organizações que são muito diferentes em escala e tipo de atividade. De acordo com a Rainbow Technologies, tais soluções foram implementadas com sucesso, por exemplo, para proteger o servidor de uma das lojas de eletrodomésticos na Internet, que estava sujeita a ataques regulares de DDoS. Além disso, a solução UTM permitiu reduzir significativamente o volume de spam no sistema de correio de uma das caravanas. Além de solucionar problemas locais, há experiência na construção de sistemas de segurança baseados em soluções UTM para uma rede distribuída que cobre a central da cervejaria e suas filiais.

    Fabricantes de UTM e seus produtos

    O mercado russo de equipamentos de classe UTM é formado apenas por propostas de fabricantes estrangeiros. Infelizmente, nenhum dos fabricantes nacionais foi ainda capaz de oferecer suas próprias soluções nesta classe de equipamento. A exceção fica por conta da solução de software Eset NOD32 Firewall, que, segundo a empresa, foi criada por desenvolvedores russos.
    Como já observado, no mercado russo, as soluções UTM podem ser de interesse principalmente para empresas de médio porte, na rede corporativa das quais existem até 100-150 locais de trabalho. Ao selecionar o equipamento UTM para apresentação na análise, o principal critério de seleção foi o seu desempenho em vários modos de operação, o que poderia proporcionar uma experiência confortável ao usuário. Freqüentemente, os fornecedores especificam especificações de desempenho para Firewall, Prevenção de intrusão IPS e Proteção antivírus AV.

    Solução Ponto de verificação leva o nome UTM-1 Edge e é um dispositivo de proteção unificado que combina um firewall, um sistema de prevenção de intrusões, um gateway antivírus, bem como VPN e ferramentas de acesso remoto. O firewall incluído na solução controla o trabalho com um grande número de aplicativos, protocolos e serviços, e também possui um mecanismo de bloqueio de tráfego que claramente não se enquadra na categoria de aplicativos de negócios. Por exemplo, tráfego de mensagens instantâneas (IM) e ponto a ponto (P2P). O gateway antivírus permite rastrear códigos maliciosos em mensagens de e-mail e tráfego de FTP e HTTP. Ao mesmo tempo, não há restrições quanto ao tamanho dos arquivos e a descompactação dos arquivos compactados é realizada "em tempo real".
    O UTM-1 Edge possui recursos VPN avançados. Suporta roteamento OSPF dinâmico e conectividade de cliente VPN. O UTM-1 Edge W vem com um ponto de acesso WiFi IEEE 802.11b / g integrado.
    Quando implantações em grande escala são necessárias, o UTM-1 Edge se integra perfeitamente ao Check Point SMART para simplificar bastante o gerenciamento de segurança.

    Cisco tradicionalmente presta atenção especial às questões de segurança de rede e oferece uma ampla gama de dispositivos necessários. Para a revisão, decidimos escolher um modelo Cisco ASA 5510, que tem como objetivo garantir a segurança do perímetro da rede corporativa. Este equipamento faz parte da série ASA 5500, que inclui sistemas de proteção modular da classe UTM. Esta abordagem permite adaptar o sistema de segurança às peculiaridades de funcionamento da rede de uma determinada empresa.
    O Cisco ASA 5510 vem em quatro pacotes básicos - firewall, VPN, prevenção de intrusão e antivírus e anti-spam. A solução inclui componentes adicionais, como o sistema Security Manager para formar a infraestrutura de gerenciamento da rede corporativa ramificada e o sistema Cisco MARS, projetado para monitorar o ambiente de rede e responder às violações de segurança em tempo real.

    Eslovaco Empresa Eset pacote de software de suprimentos Firewall Eset NOD32 classe UTM, incluindo, além das funções de firewall corporativo, um sistema de proteção antivírus Eset NOD32, meios de filtragem de e-mail (antispam) e tráfego web, sistemas de detecção e prevenção de ataques à rede IDS e IPS. A solução suporta a criação de redes VPN. Este complexo é construído com base em uma plataforma de servidor rodando Linux. A parte do software do dispositivo é desenvolvida empresa nacional Leta IT controlada pelo escritório de representação russo da Eset.
    Esta solução permite controlar o tráfego da rede em tempo real, suporta filtragem de conteúdo por categorias de recursos web. Oferece proteção contra ataques DDoS e bloqueia tentativas de varredura de portas. A solução Eset NOD32 Firewall inclui suporte para servidores DNS, DHCP e gerenciamento de largura de banda. O tráfego dos protocolos de correio SMTP, POP3 é monitorado.
    Além disso, esta solução inclui a capacidade de criar redes corporativas distribuídas usando conexões VPN. Ao mesmo tempo, vários modos de combinação de redes, algoritmos de autenticação e criptografia são suportados.

    Empresa Fortinet oferece toda uma família de dispositivos FortiGate classe UTM, posicionando suas soluções como capazes de garantir a proteção da rede ao mesmo tempo em que mantém um alto nível de desempenho, bem como a operação confiável e transparente dos sistemas de informação da empresa em tempo real. Para a revisão, escolhemos Modelo FortiGate-224B, que foi projetado para proteger o perímetro de uma rede corporativa com 150 a 200 usuários.
    O equipamento FortiGate-224B inclui a funcionalidade de um firewall, servidor VPN, filtragem de tráfego da web, sistemas de prevenção de intrusão, bem como proteção antivírus e anti-spam. Este modelo possui switch LAN Layer 2 integrado e interfaces WAN, eliminando a necessidade de roteamento externo e dispositivos de switch. Para isso, o roteamento RIP, OSPF e BGP é suportado, bem como os protocolos de autenticação do usuário antes de fornecer serviços de rede.

    Empresa SonicWALL oferece uma ampla gama de dispositivos UTM, dos quais a solução foi incluída nesta análise NSA 240... Este equipamento é o modelo júnior da linha, voltado para a utilização como sistema de segurança para uma rede corporativa de uma empresa de médio porte e filiais de grandes empresas.
    Esta linha baseia-se na utilização de todos os meios de proteção contra potenciais ameaças. São firewall, sistema de proteção contra intrusão, antivírus e gateways de proteção contra spyware. Existe uma filtragem de tráfego da web para 56 categorias de sites.
    Como um dos destaques de sua solução, a empresa SonicWALL destaca a tecnologia de varredura profunda e análise do tráfego de entrada. Para evitar a degradação do desempenho, esta tecnologia usa processamento de dados paralelo em um núcleo de multiprocessador.
    Este equipamento oferece suporte a VPN, possui recursos de roteamento avançados e oferece suporte a vários protocolos de rede. Além disso, a solução da SonicWALL é capaz de fornecer um alto nível de segurança ao atender o tráfego VoIP usando os protocolos SIP e H.323.

    Da linha de produtos Vigia a solução foi escolhida para a revisão Firebox X550e, que se posiciona como um sistema com funcionalidades avançadas para garantir a segurança da rede e tem como foco o uso em redes de pequenas e médias empresas.
    As soluções UTM deste fornecedor são baseadas no princípio de proteção contra ataques de rede mista. Para isso, o equipamento suporta firewall, sistema de prevenção de ataques, gateways antivírus e anti-spam, filtragem de recursos web, além de sistema de combate a spyware.
    Este equipamento utiliza o princípio da proteção conjunta, segundo o qual o tráfego de rede verificado de acordo com um determinado critério em um nível de proteção não é verificado pelo mesmo critério em outro nível. Essa abordagem permite garantir o alto desempenho do equipamento.
    Outra vantagem de sua solução, a fabricante solicita suporte para a tecnologia Zero Day, que garante a independência da segurança da presença de assinaturas. Esse recurso é importante quando novos tipos de ameaças aparecem e ainda não foram combatidos de forma eficaz. Normalmente, a "janela de vulnerabilidade" dura de várias horas a vários dias. Ao usar a tecnologia Zero Day, a probabilidade de consequências negativas da janela de vulnerabilidade é visivelmente reduzida.

    ZyXEL Company oferece sua solução de firewall de classe UTM para uso em redes corporativas com até 500 usuários. isto Solução ZyWALL 1050 destina-se a construir um sistema de segurança de rede, incluindo proteção antivírus completa, prevenção de intrusão e suporte para redes privadas virtuais. O dispositivo possui cinco portas Gigabit Ethernet que podem ser configuradas para uso como interfaces WAN, LAN, DMZ e WLAN dependendo da configuração da rede.
    O dispositivo suporta a transmissão de tráfego de aplicativos VoIP via protocolos SIP e H.323 no nível de firewall e NAT, bem como transmissão de tráfego de telefonia em pacotes em túneis VPN. Isso garante o funcionamento de mecanismos de prevenção de ataques e ameaças para todos os tipos de tráfego, incluindo tráfego VoIP, sistema antivírus com base completa de assinaturas, filtragem de conteúdo em 60 categorias de sites e proteção contra spam.
    A solução ZyWALL 1050 oferece suporte a uma variedade de topologias de rede privada, modo de concentrador de VPN e zoneamento de VPN com políticas de segurança uniformes.

    Principais características do UTM

    Opinião de um 'expert

    Dmitry Kostrov, Diretor de Projetos da Diretoria de Proteção Tecnológica do Centro Corporativo da MTS OJSC

    O escopo das soluções UTM se estende principalmente a empresas relacionadas a pequenas e médias empresas. O próprio conceito de Unified Threat Management (UTM), como uma classe separada de equipamento para proteção de recursos de rede, foi introduzido pela agência internacional IDC, segundo a qual as soluções UTM são sistemas multifuncionais de software e hardware que combinam as funções de diferentes dispositivos. Normalmente, são firewall, VPN, sistemas de prevenção e detecção de intrusão de rede, bem como gateway antivírus e anti-spam e funções de filtragem de URL.
    Para alcançar uma proteção realmente eficaz, o dispositivo deve ser multicamadas, ativo e integrado. Ao mesmo tempo, muitos fabricantes de equipamentos de proteção já possuem uma gama bastante ampla de produtos relacionados ao UTM. A facilidade de implantação dos sistemas, bem como a obtenção de um sistema "tudo em um" torna o mercado para esses dispositivos bastante atraente. O custo total de propriedade e o retorno sobre o investimento para esses dispositivos parecem ser muito atraentes.
    Mas esta solução UTM é como um "canivete suíço" - existe uma ferramenta para cada ocasião, mas uma broca de verdade é necessária para fazer um furo na parede. Também existe a possibilidade de o surgimento de proteção contra novos ataques, atualizações de assinaturas, etc. não será tão rápido, em contraste com o suporte de dispositivos individuais, situando-se no esquema "clássico" de proteção de redes corporativas. Também permanece o problema de um único ponto de falha.

    ARTIGOS SEMELHANTES