Amenințări și vulnerabilități ale rețelelor corporative cu fir

La etapa inițială de dezvoltare a tehnologiilor de rețea, daunele cauzate de virusuri și alte tipuri de atacuri computerizate erau mici, deoarece dependența economiei mondiale de tehnologia informației era mică. Astăzi, în contextul unei dependențe semnificative a afacerilor de mijloacele electronice de acces și schimb de informații și a unui număr din ce în ce mai mare de atacuri, daunele cauzate de cele mai mici atacuri care duc la pierderea timpului pe computer sunt estimate la milioane de dolari, iar daunele anuale aduse economiei mondiale sunt de zeci de miliarde de dolari.

Informațiile procesate în rețelele corporative sunt deosebit de vulnerabile, ceea ce este facilitat de:
o creștere a cantității de informații procesate, transmise și stocate în computere;
concentrarea în baze de date a informațiilor de diferite niveluri de importanță și confidențialitate;
extinderea accesului cercului de utilizatori la informațiile stocate în bazele de date și la resursele rețelei de calculatoare;
o creștere a numărului de locuri de muncă la distanță;
utilizarea pe scară largă a internetului global și a diferitelor canale de comunicare;
automatizarea schimbului de informații între computerele utilizatorilor.

Analiza celor mai frecvente amenințări la care sunt expuse rețelele corporative cablate de astăzi arată că sursele de amenințare pot varia de la intrări neautorizate la viruși de computer, iar eroarea umană este o amenințare semnificativă la adresa securității. Trebuie avut în vedere faptul că sursele de amenințări la adresa securității pot fi localizate atât în ​​interiorul sistemului informațional corporativ - surse interne, cât și în afara acestuia - surse externe. Această diviziune este destul de justificată deoarece pentru aceeași amenințare (de exemplu, furt), metodele de contracarare pentru surse externe și interne sunt diferite. Cunoașterea posibilelor amenințări, precum și a vulnerabilităților sistemelor de informații corporative este necesară pentru a selecta cele mai eficiente mijloace de asigurare a securității.

Cele mai frecvente și periculoase (în ceea ce privește cantitatea de daune) sunt erorile neintenționate ale utilizatorilor, operatorilor și administratorilor de sistem care deservesc sistemul informațional corporativ. Uneori, astfel de erori duc la daune directe (date introduse incorect, o eroare în program care a cauzat oprirea sau blocarea sistemului) și uneori creează puncte slabe care pot fi exploatate de atacatori (acestea sunt de obicei erori administrative).

Potrivit Institutului Național de Standarde și Tehnologie al SUA (NIST), 55% din încălcările securității IP se datorează unor erori neintenționate. Lucrul în IP global face acest factor destul de relevant, iar sursa daunelor poate fi atât acțiunile utilizatorilor organizației, cât și ale utilizatorilor rețelei globale, ceea ce este deosebit de periculos. În fig. 2.4 este o diagramă circulară care ilustrează statisticile privind sursele de încălcare a securității din sistemul informațional corporativ.

Furtul și frauda se află pe locul doi în ceea ce privește pagubele. În majoritatea cazurilor cercetate, făptașii s-au dovedit a fi membri ai personalului organizațiilor, care erau foarte familiarizați cu programul de lucru și măsurile de protecție. Prezența unui canal informațional puternic de comunicare cu rețelele globale în absența unui control adecvat asupra activității sale poate facilita și mai mult aceste activități.

Orez. 2.4. Surse de încălcări ale securității

Angajații jigniți, chiar și foști, sunt familiarizați cu ordinea din organizație și sunt capabili să facă rău foarte eficient. Prin urmare, la concedierea unui angajat, drepturile sale de acces la resursele informaționale ar trebui anulate.

Încercările deliberate de a obține NSD prin intermediul comunicațiilor externe reprezintă aproximativ 10% din toate încălcările posibile. Deși această cifră nu pare a fi atât de semnificativă, experiența cu Internetul arată că aproape fiecare server de internet este supus încercărilor de intruziune de mai multe ori pe zi. Testele efectuate de Agenția pentru Protecția Sistemelor de Informații (SUA) au arătat că 88% din computere prezintă puncte slabe în ceea ce privește securitatea informațiilor, care pot fi utilizate în mod activ pentru obținerea NSD. Cazurile de acces la distanță la structurile informaționale ale organizațiilor ar trebui luate în considerare separat.

Înainte de a construi o politică de securitate, este necesar să se evalueze riscurile pentru mediul de calcul al organizației și să se ia măsurile adecvate. Este evident că costurile unei organizații pentru controlul și prevenirea amenințărilor la adresa securității nu trebuie să depășească pierderile așteptate.

Aceste statistici pot oferi îndrumări administrației și personalului organizației în care să direcționeze eforturile de reducere eficientă a amenințărilor la adresa securității rețelei și a sistemului corporativ. Desigur, este necesar să se abordeze problemele de securitate fizică și măsurile pentru a reduce impactul negativ asupra securității erorilor umane, dar, în același timp, este necesar să se acorde cea mai serioasă atenție rezolvării problemelor de securitate a rețelei pentru a preveni atacurile asupra corporației rețea și sistem, atât din exterior, cât și din interiorul sistemului.

Dacă luăm în considerare sistemul de securitate a informațiilor unei companii mari, atunci acesta nu este doar un antivirus, ci și alte câteva programe de protecție în toate direcțiile. Timpul pentru soluțiile simple de securitate IT a trecut de mult.

Desigur, baza unui sistem general de securitate a informațiilor pentru orice organizație este protejarea unei stații de lucru standard împotriva virușilor. Și aici nevoia de a utiliza un antivirus rămâne neschimbată.

Dar cerințele pentru securitatea corporației s-au schimbat în general. Companiile au nevoie de soluții complete de la capăt la capăt, care nu numai că pot proteja împotriva celor mai complexe amenințări de astăzi, dar, de asemenea, pot rămâne înaintea curbei.

„Tot mai multe companii mari construiesc un sistem de securitate bazat pe principiul apărării aprofundate”.

Mai mult, eșaloanele anterioare au fost aliniate pe diferite elemente ale infrastructurii IT, dar acum protecția pe mai multe niveluri ar trebui să fie chiar pe elemente individuale ale mediului IT, în principal pe stații de lucru și servere.

Ce amenințări s-au confruntat companiile în 2014

În ceea ce privește amenințările, atacurile vizate asupra corporațiilor și structurilor guvernamentale au devenit o problemă imensă de securitate a informației în ultimii ani. Multe dintre tehnicile folosite de hackeri pentru a ataca utilizatorii casnici sunt acum aplicate și întreprinderilor.

Aceștia sunt troieni bancari modificați care vizează angajații departamentelor financiare și departamentelor de contabilitate și diferite programe de ransomware care au început să funcționeze în rețelele de informații corporative și utilizarea metodelor de inginerie socială.

În plus, viermii de rețea au câștigat popularitate și, pentru a le elimina, trebuie închisă întreaga rețea corporativă. Dacă se confruntă cu o problemă similară companiile cu un număr mare de sucursale situate în diferite fusuri orare, atunci orice întrerupere a rețelei va duce inevitabil la pierderi financiare.

Potrivit unui studiu realizat de Kaspersky Lab în 2014 în rândul specialiștilor în securitatea informațiilor, cel mai adesea se confruntă companiile rusești

• malware,
• e-mail nedorit (spam),
• încearcă intrarea neautorizată în sistem prin phishing.
• vulnerabilități în software-ul instalat,
• riscurile asociate comportamentului angajaților companiei.

Problema este agravată de faptul că amenințările cibernetice sunt departe de a fi statice: se înmulțesc în fiecare zi, devin mai diverse și mai complexe. Pentru a înțelege mai bine situația actuală în domeniul securității informațiilor și consecințele la care poate duce chiar și un singur incident computerizat, să prezentăm totul în cifre și fapte obținute pe baza datelor de la Kaspersky Lab privind analiza evenimentelor din 2014 .

Statistici despre amenințarea cibernetică

Apropo, dispozitivele mobile continuă să fie astăzi o „durere de cap” separată pentru specialiștii în securitatea informațiilor. Utilizarea smartphone-urilor și tabletelor personale în scopuri de lucru este deja permisă în majoritatea organizațiilor, cu toate acestea, gestionarea corectă a acestor dispozitive și includerea lor în sistemul general de securitate a informațiilor ale unei companii nu se practică peste tot.

„Potrivit Kaspersky Lab, 99% din programele malware specializate pe dispozitive mobile sunt vizate astăzi de platforma Android.”

Pentru a înțelege de unde provin un astfel de număr de amenințări și pentru a vă imagina cât de repede cresc în număr, este suficient să spunem că în fiecare zi specialiștii Kaspersky Lab procesează 325.000 de eșantioane de malware nou.

Programele malware ajung cel mai adesea pe computerele utilizatorilor în două moduri:

• prin vulnerabilități în software-ul legal
• folosind metode de inginerie socială.

Desigur, o combinație a acestor două tehnici este foarte frecventă, dar nici atacatorii nu neglijează alte trucuri.

Atacurile vizate, care devin din ce în ce mai frecvente, reprezintă o amenințare separată pentru companii.

„Utilizarea de software ilegal, desigur, crește și mai mult riscurile de a deveni o țintă de succes pentru un atac cibernetic, în primul rând datorită prezenței mai multor vulnerabilități în acesta”.

Vulnerabilitățile apar mai devreme sau mai târziu în orice software. Acestea pot fi erori în timpul dezvoltării programului, versiuni învechite sau elemente de cod individuale. Oricum ar fi, principala problemă nu este prezența unei vulnerabilități, ci detectarea și închiderea ei în timp util.

Apropo, recent, iar 2014 este o dovadă vie a acestui fapt, furnizorii de software încep din ce în ce să închidă vulnerabilitățile din programele lor. Cu toate acestea, există încă suficiente lacune în aplicații, iar criminalii cibernetici le folosesc activ pentru a pătrunde în rețelele corporative.

În 2014, 45% din toate incidentele de vulnerabilitate au fost cauzate de găuri în popularul software Oracle Java.

În plus, în anul trecut, a existat un fel de punct de cotitură - a fost descoperită o vulnerabilitate în popularul protocol de criptare OpenSSL, numit Heartbleed. Această eroare a permis unui atacator să citească conținutul memoriei și să intercepteze datele personale pe sisteme folosind versiuni vulnerabile ale protocolului.

OpenSSL este utilizat pe scară largă pentru a proteja datele transmise pe internet (inclusiv informații pe care utilizatorul le schimbă cu pagini web, e-mailuri, mesaje în mesageriile de pe Internet) și date transmise prin canale VPN (rețele private virtuale), prin urmare daunele potențiale cauzate de această vulnerabilitate au fost imense Este posibil ca atacatorii să folosească această vulnerabilitate ca început pentru noi campanii de spionaj cibernetic.

Atacă victimele

În general, în 2014, numărul organizațiilor care au devenit victimele atacurilor cibernetice țintite și al campaniilor de spionaj cibernetic a crescut de aproape 2,5 ori. În ultimul an, aproape 4,5 mii de organizații din cel puțin 55 de țări, inclusiv Rusia, au devenit ținta criminalilor cibernetici.

Furtul de date a avut loc în cel puțin 20 de sectoare diferite ale economiei:

• stat,
• telecomunicaţie,
• energie,
• cercetare,
• industrial,
• sănătate,
• construcții și alte companii.

Infractorii cibernetici au obținut acces la astfel de informații:

• parole,
• fișiere,
• informații despre geolocalizare,
• date audio,
• capturi de ecran
• instantanee webcam.

Cel mai probabil, în unele cazuri, aceste atacuri au fost susținute de agenții guvernamentale, în timp ce altele au fost mai probabil efectuate de grupuri profesionale de mercenari cibernetici.

În ultimii ani, Centrul global de cercetare și analiză a amenințărilor Kaspersky Lab a urmărit activitățile a peste 60 de grupări criminale responsabile de atacuri cibernetice în întreaga lume. Participanții lor vorbesc diferite limbi: rusă, chineză, germană, spaniolă, arabă, persană și altele.

Consecințele operațiunilor vizate și ale campaniilor de spionaj cibernetic sunt întotdeauna severe. Ele se termină inevitabil cu pirateria și infectarea rețelei corporative, întreruperea proceselor de afaceri, scurgerea informațiilor confidențiale, în special proprietatea intelectuală. În 2014, 98% dintre companiile ruse s-au confruntat cu un fel de incidente cibernetice, ale căror surse erau situate de obicei în afara întreprinderilor, iar în alte 87% din organizații au existat incidente cauzate de amenințări interne.

„Cantitatea totală de daune pentru companiile mari a fost în medie de 20 de milioane de ruble pentru fiecare exemplu de succes al unui atac cibernetic”.

Ce se tem companiile și cum sunt lucrurile cu adevărat

În fiecare an, Kaspersky Lab efectuează cercetări pentru a afla atitudinea specialiștilor IT față de problemele de securitate a informațiilor. Un studiu din 2014 a arătat că marea majoritate a companiilor rusești, sau mai bine zis 91%, subestimează cantitatea de malware care există astăzi. Mai mult, nici măcar nu presupun că numărul de programe malware este în continuă creștere.

În mod curios, 13% dintre profesioniștii IT au spus că nu sunt îngrijorați de amenințările interne.

Poate că acest lucru se datorează faptului că într-o serie de companii nu este obișnuit să se separe amenințările cibernetice în externe și interne. În plus, există și printre managerii ruși din domeniul securității informațiilor și informațiilor care preferă să rezolve toate problemele cu amenințări interne prin intermediul interdicțiilor.

Cu toate acestea, dacă ceva este interzis unei persoane, acest lucru nu înseamnă deloc că nu o face. Prin urmare, orice politică de securitate, inclusiv interdicția, necesită instrumente de control adecvate pentru a se asigura că toate cerințele sunt îndeplinite.

În ceea ce privește tipurile de informații în care criminalii cibernetici sunt interesați în primul rând, studiul a arătat că percepțiile companiilor și starea reală a lucrurilor sunt destul de diferite.

Deci, companiile în sine se tem cel mai mult de a pierde

• informații despre clienți,
• date financiare și operaționale,
• proprietate intelectuală.

Puțin mai puține afaceri se îngrijorează

• informații despre analiza activităților concurenților,
• informatii de plata,
• datele personale ale angajaților
• date despre conturile bancare corporative.

„De fapt, se pare că infractorii cibernetici fură cel mai adesea informații operaționale interne ale companiilor (în 58% din cazuri), dar doar 15% dintre companii consideră necesar să protejeze aceste date în primul rând.”

Pentru siguranță, este la fel de important să ne gândim nu numai la tehnologii și sisteme, ci și să luăm în considerare factorul uman: înțelegerea obiectivelor de către specialiștii care construiesc sistemul și înțelegerea responsabilității angajaților care folosesc dispozitivele.

Recent, atacatorii se bazează tot mai mult nu numai pe mijloace tehnice, ci și pe punctele slabe ale oamenilor: folosesc metode de inginerie socială care ajută la extragerea a aproape orice informație.

Angajații, care iau datele de pe dispozitivul lor, ar trebui să înțeleagă că poartă exact aceeași responsabilitate ca și când ar lua cu ei copii pe hârtie ale documentelor.

Personalul companiei ar trebui să fie, de asemenea, foarte conștient de faptul că orice dispozitiv modern complex tehnic conține defecte care pot fi exploatate de un atacator. Dar pentru a profita de aceste defecte, un atacator trebuie să aibă acces la dispozitiv. Prin urmare, atunci când descărcați poștă, aplicații, muzică și imagini, este necesar să verificați reputația sursei.

Este important să fiți atenți la SMS-uri și e-mailuri provocatoare și să verificați credibilitatea sursei înainte de a deschide un e-mail și de a urma un link.

Pentru ca compania să aibă în continuare protecție împotriva unor astfel de acțiuni accidentale sau intenționate ale angajaților, ar trebui să utilizeze module pentru a proteja datele de scurgeri.

„Companiile trebuie să-și amintească în mod regulat despre lucrul cu personalul: începând cu îmbunătățirea calificărilor angajaților IT și terminând cu explicații ale regulilor de bază pentru a lucra în siguranță pe Internet, indiferent de dispozitivele pe care le folosesc acolo.”

De exemplu, anul acesta Kaspersky Lab a lansat un nou modul care implementează funcții de protecție împotriva scurgerilor de date -

Protecție împotriva norilor

Multe companii mari folosesc cloudul într-un fel sau altul, în Rusia cel mai adesea sub forma unui cloud privat. Este important să ne amintim aici că, la fel ca orice alt sistem de informație creat de om, serviciile cloud conțin potențiale vulnerabilități care pot fi exploatate de scriitori de viruși.

Prin urmare, atunci când organizați accesul chiar și la propriul cloud, trebuie să vă amintiți despre securitatea canalului de comunicație și despre dispozitivele finale care sunt utilizate de partea angajaților. La fel de importante sunt politicile interne care guvernează ce angajați au acces la date în cloud sau ce nivel de informații de secret pot fi stocate în cloud etc. Compania trebuie să aibă reguli transparente:

• ce servicii și servicii vor rula din cloud,
• ce - cu privire la resursele locale,
• ce fel de informații ar trebui plasate în nori,
• ce ar trebui păstrat „acasă”.

Pe baza articolului: Timpul pentru decizii „grele”: securitate pe segmentul Enterprise.

Imediat, observăm că un sistem de protecție care va da rezultate 100% la toate întreprinderile, din păcate, nu există. La urma urmei, în fiecare zi există din ce în ce mai multe modalități noi de a ocoli și a pirata rețeaua (fie ea acasă sau acasă). Cu toate acestea, faptul că securitatea stratificată este în continuare cea mai bună opțiune pentru securizarea unei rețele corporative rămâne neschimbat.

Și în acest articol vom analiza cele mai fiabile cinci metode de protejare a informațiilor din sistemele și rețelele de calculatoare și vom lua în considerare, de asemenea, nivelurile de protecție a computerelor într-o rețea corporativă.

Cu toate acestea, vom face imediat o rezervare că cel mai bun mod de a proteja datele din rețea este vigilența utilizatorilor săi. Toți angajații companiei, indiferent de atribuțiile de serviciu, trebuie să înțeleagă și, cel mai important, să respecte toate regulile de securitate a informațiilor. Orice dispozitiv străin (fie el un telefon, o unitate flash sau un disc) nu ar trebui să fie conectat la rețeaua corporativă.

În plus, conducerea companiei ar trebui să efectueze în mod regulat conversații și verificări de siguranță, deoarece dacă angajații sunt neglijenți cu privire la securitatea rețelei corporative, atunci nicio protecție nu o va ajuta.

Protejarea rețelei corporative împotriva accesului neautorizat

1. 1. Deci, în primul rând, este necesar să se asigure securitatea fizică a rețelei. Adică, accesul la toate dulapurile și camerele serverului ar trebui să fie oferit unui număr strict limitat de utilizatori. Eliminarea hard diskurilor și a suporturilor externe trebuie să aibă loc sub controlul strict. După ce au obținut acces la date, atacatorii pot decripta cu ușurință parolele.
2. 2. Prima „linie de apărare” a unei rețele corporative este un firewall, care va oferi protecție împotriva accesului la distanță neautorizat. În același timp, va asigura „invizibilitatea” informațiilor despre structura rețelei.

Principalele scheme de firewall includ:

• - utilizarea unui router de filtrare în rolul său, care este conceput pentru a bloca și filtra fluxurile de ieșire și de intrare. Toate dispozitivele din rețeaua securizată au acces la Internet, dar accesul retur la aceste dispozitive de pe Internet este blocat;
• - un gateway ecranat care filtrează protocoale potențial periculoase, blocându-le accesul la sistem.

1. 3. Protecția antivirus este principala linie de apărare a rețelei corporative împotriva atacurilor externe. Protecția anti-virus cuprinzătoare minimizează posibilitatea pătrunderii viermilor în rețea. În primul rând, este necesar să protejați serverele, stațiile de lucru și sistemul de chat corporativ.

Astăzi, una dintre cele mai importante companii de protecție antivirus din rețea este Kaspersky Lab, care oferă un astfel de complex de protecție precum:

• - controlul este un complex de metode de semnare și cloud pentru controlul programelor și dispozitivelor și asigurarea criptării datelor;
• - asigurarea protecției mediului virtual prin instalarea „agentului” pe una (sau pe fiecare) gazdă virtuală;
• - protecția "centrului de date" (centru de procesare a datelor) - gestionarea întregii structuri de protecție și a unei singure console centralizate;
• - protecție împotriva atacurilor DDoS, analiză a traficului non-stop, avertizare cu privire la posibile atacuri și redirecționare a traficului către „centrul de curățare”.

Acestea sunt doar câteva exemple din întregul complex de protecție de la Kaspersky Lab.

1. 4. Protecție. Astăzi, mulți angajați ai companiei lucrează de la distanță (de acasă), în acest sens, este necesar să se asigure o protecție maximă a traficului, iar tunelurile VPN criptate vor ajuta la implementarea acestui lucru.

Unul dintre dezavantajele atragerii „lucrătorilor la distanță” este posibilitatea de a pierde (sau de a fura) dispozitivul de pe care se desfășoară munca și apoi de a avea acces la rețeaua corporativă către terți.

1. 5. Protecția competentă a filtrelor de poștă electronică și spam.

Securitate e-mail corporativă

Companiile care procesează cantități mari de e-mail sunt în primul rând susceptibile la atacuri de phishing.

Principalele modalități de filtrare a spamului sunt:

• - instalarea de software specializat (aceste servicii sunt oferite și de Kaspersky Lab);
• - crearea și completarea constantă a listelor „negre” de adrese IP ale dispozitivelor de pe care se efectuează corespondența spam;
• - analiza atașamentelor de e-mail (analiza trebuie efectuată nu numai a părții de text, ci și a tuturor atașamentelor - fotografii, videoclipuri și fișiere text);
• - Determinarea „masei” mesajelor: mesajele spam sunt de obicei identice pentru toate e-mailurile, acest lucru ajută la urmărirea lor către scanere anti-spam, cum ar fi „GFI MailEssentials” și „Kaspersky Anti-spam”.

Acestea sunt principalele aspecte ale protejării informațiilor dintr-o rețea corporativă, care funcționează în aproape fiecare companie. Dar alegerea protecției depinde și de structura rețelei corporative.

Securitatea rețelelor și a informațiilor

Securizarea rețelei corporative

Securitatea ridicată și respectarea reglementărilor sunt o necesitate pentru proiectele de implementare a întreprinderii.

Pentru a-și proteja propriile resurse informaționale, întreprinderile implementează soluții de securitate a rețelei în infrastructură care garantează securitatea rețelei și a datelor de afaceri la toate nivelurile:

• firewall
• Rețele gestionate de VPN
• căutați și blocați încercările de intruziune în rețea
• protecția punctelor finale ale schimbului de trafic
• sistem antivirus corporativ.

Securitatea conexiunii

Pentru angajații aflați în călătorii de afaceri sau care lucrează de acasă, serviciul de acces la distanță la rețeaua corporativă a devenit o necesitate de lucru.

Tot mai multe organizații permit partenerilor să acceseze de la distanță rețelele lor pentru a reduce costurile de întreținere a sistemului. Prin urmare, securizarea punctelor finale ale schimbului de trafic este una dintre cele mai importante sarcini de securizare a rețelei unei companii.

Locurile în care rețeaua corporativă se conectează la Internet este perimetrul de securitate al rețelei. Traficul de intrare și de ieșire se intersectează în aceste puncte. Traficul utilizatorilor corporativi merge în afara rețelei, iar solicitările de internet de la utilizatori externi de a accesa aplicațiile web și de e-mail intră în rețeaua companiei.

Deoarece punctele finale au o conexiune persistentă la Internet, care permite de obicei traficului extern să pătrundă în rețeaua corporativă, este o țintă principală pentru atacuri rău intenționate.

La construirea unei rețele de securitate a datelor corporative, firewall-urile sunt instalate la limitele rețelei în punctele de acces la Internet. Aceste dispozitive vă permit să preveniți și să blocați amenințările externe la terminarea tunelurilor VPN (a se vedea Fig. 1).

Fig. 1 Perimetrul de securitate al rețelei corporative

O suită de soluții integrate de conectivitate securizată de la Cisco Systems vă păstrează informațiile private. Rețeaua examinează toate punctele finale și metodele de acces în toate rețelele companiei: LAN, WAN și rețeaua mobilă fără fir

Este asigurată disponibilitatea completă a serviciilor firewall și VPN. Funcțiile firewall asigură filtrarea stării aplicației pentru traficul de intrare și de ieșire, accesul sigur de ieșire pentru utilizatori și rețeaua DMZ pentru serverele care trebuie accesate de pe Internet.

Integratorul de sistem al IC "Telecom-Service" construiește rețele de securitate corporative bazate pe dispozitive de securitate multifuncționale Cisco Systems, Juniper Networks și Huawei Technologies, care fac posibilă reducerea numărului de dispozitive necesare în rețea.

Soluțiile de securitate a rețelei corporative end-to-end de la Cisco Systems, Juniper Networks și Huawei Technologies au o serie de avantaje importante pentru o afacere eficientă:

• reducerea bugetelor IT pentru operarea și întreținerea software-ului și hardware-ului
• flexibilitate sporită a rețelei
• reducerea costurilor de implementare
• costul total de proprietate mai mic
• control sporit prin management unificat și introducerea politicilor de securitate
• creșterea profiturilor și creșterea indicatorilor de performanță ai întreprinderii
• reducerea amenințărilor la adresa rețelei și a spațiului de stocare
• aplicarea unor politici și reguli de securitate eficiente la nodurile finale ale rețelei: PC-uri, PDA-uri și servere
• reducerea timpului pentru implementarea de noi soluții de securitate
• prevenirea eficientă a intruziunii în rețea
• integrarea cu software-ul altor dezvoltatori din domeniul securității și managementului.
• control complet al accesului la rețea

Produse de securitate Cisco la toate straturile de rețea

Securitatea punctului final: Agentul de securitate Cisco protejează computerele și serverele de atacurile viermilor.

Firewall-uri încorporate: dispozitivul PIX Security Appliance, modulul de servicii firewall Catalyst 6500 și setul de caracteristici firewall protejează rețeaua din și în jurul rețelei.

Protecție împotriva intruziunii în rețea: Senzorii din seria IPS 4200, modulele de servicii Catalyst 6500 IDS (IDSM-2) sau senzorii IOS IPS identifică, analizează și blochează traficul nedorit rău intenționat.

Detectarea și eliminarea atacurilor DDoS: Cisco Traffic Anomaly Detector XT și Guard XT asigură funcționarea normală în caz de atacuri de întrerupere a serviciului. Serviciile Cisco Traffic Anomaly Detector și modulele Cisco Guard oferă o protecție puternică împotriva atacurilor DdoS asupra comutatoarelor din seria Catalyst 6500 și a routerelor din seria 7600.

Securitatea conținutului: Modulul Access Router Content Engine protejează aplicațiile comerciale orientate către internet și asigură livrarea fără erori a conținutului web.

Servicii inteligente de administrare a rețelelor și securității: Găsește și blochează traficul și aplicațiile nedorite în routerele și comutatoarele Cisco.

Management și monitorizare:

Produse:

CiscoWorks VPN / Soluție de gestionare a securității (VMS)

CiscoWorks Security Information Management System (SIMS) - sistem de gestionare a informațiilor privind starea de securitate

Administratori de dispozitive încorporate: Cisco Router și Security Device Manager (SDM), PIX Device Manager (PDM), Adaptive Security Device Manager (ASDM) monitorizează rapid și eficient, monitorizează serviciile de securitate și activitatea de rețea.

Tehnologie Cisco Network Admission Control (NAC)

Controlul admiterii în rețea (NAC) este un set de tehnologii și soluții bazate pe o inițiativă la nivel de industrie, sub patronajul Cisco Systems.

NAC utilizează infrastructura de rețea pentru a aplica politicile de securitate pe toate dispozitivele care doresc să acceseze resursele de rețea. Acest lucru reduce potențialele daune aduse rețelei de amenințări la adresa securității.

Accesul securizat de la distanță la VPN corporativ pentru angajați și parteneri este asigurat de dispozitive de securitate multifuncționale care utilizează protocoale VPN SSL și IPsec, servicii de blocare încorporate pentru a preveni și preveni intrările IPS.

Rețea de auto-apărare - Strategia de rețea de auto-apărare Cisco

Rețeaua de autoapărare este strategia viitoare a Cisco în evoluție. Tehnologia vă permite să protejați procesele de afaceri ale unei întreprinderi prin detectarea și prevenirea atacurilor, adaptându-vă la amenințările interne și externe ale rețelei.

Companiile pot beneficia de inteligența resurselor rețelei, pot eficientiza procesele de afaceri și pot reduce costurile.

Pachetul de gestionare a securității Cisco

Pachetul de gestionare a securității Cisco este o colecție de produse și tehnologii concepute pentru a oferi o administrare scalabilă și aplicarea politicilor de securitate pentru o rețea Cisco care se autoapără.

Produsul Cisco integrat automatizează sarcinile de gestionare a securității utilizând componente cheie: managerul de management și Cisco Security MARS, un sistem de monitorizare, analiză și răspuns.

Cisco Security Management Manager oferă o interfață simplă pentru configurarea firewall-ului, VPN-ului și sistemelor de prevenire a intruziunilor (IPS) pe dispozitivele de securitate Cisco, firewall-uri, routere și switch-uri.

Acesta este exact rezultatul unui sondaj realizat de peste 1000 de șefi de departamente IT ale companiilor europene mari și mijlocii, comandat de Intel. Scopul sondajului a fost dorința de a identifica problema care îi preocupă cel mai mult pe profesioniștii din industrie. Răspunsul a fost destul de așteptat, mai mult de jumătate dintre respondenți au numit problema securității rețelei, o problemă care necesită o soluție imediată. Alte rezultate ale sondajului pot fi numite destul de așteptate. De exemplu, factorul de securitate a rețelei conduce printre alte probleme în domeniul tehnologiei informației; importanța sa a crescut cu 15% față de situația care exista acum cinci ani.
Conform rezultatelor sondajului, specialiști IT cu înaltă calificare își petrec peste 30% din timp pentru rezolvarea problemelor de securitate. Situația companiilor mari (cu peste 500 de angajați) este și mai alarmantă - aproximativ un sfert dintre respondenți își petrec jumătate din timp rezolvând aceste probleme.

Echilibrarea amenințărilor și apărării

Din păcate, problema securității rețelei este indisolubil legată de tehnologiile fundamentale utilizate în telecomunicațiile moderne. S-a întâmplat că, la dezvoltarea unei familii de protocoale IP, prioritatea a fost acordată fiabilității rețelei în ansamblu. În momentul apariției acestor protocoale, securitatea rețelei a fost asigurată în moduri complet diferite, care sunt pur și simplu nerealiste de utilizat într-o rețea globală. Puteți să vă plângeți tare de miopia dezvoltatorilor, dar este aproape imposibil să schimbați radical situația. Acum trebuie doar să te poți apăra împotriva potențialelor amenințări.
Principiul principal în această abilitate ar trebui să fie echilibru între potențialele amenințări la adresa securității rețelei și nivelul de protecție necesar... Trebuie asigurată o comensurare între costul securității și costul daunelor potențiale cauzate de amenințările realizate.
Pentru o întreprindere modernă de dimensiuni mari și mijlocii, tehnologiile informației și telecomunicațiilor au devenit baza pentru a face afaceri. Prin urmare, s-au dovedit a fi cele mai sensibile la impactul amenințărilor. Cu cât rețeaua este mai mare și mai complexă, cu atât este nevoie de mai multe eforturi pentru ao proteja. Mai mult, costul creării amenințărilor este de ordinele de mărime mai mic decât costul neutralizării acestora. Această stare de fapt îi obligă pe companii să cântărească cu atenție consecințele posibilelor riscuri din diferite amenințări și să aleagă metode adecvate de protecție împotriva celor mai periculoși.
În prezent, cele mai mari amenințări la adresa infrastructurii corporative sunt acțiunile asociate cu accesul neautorizat la resursele interne și blocarea funcționării normale a rețelei. Există destul de multe astfel de amenințări, dar fiecare dintre ele se bazează pe o combinație de factori tehnici și umani. De exemplu, pătrunderea unui program rău intenționat într-o rețea corporativă poate avea loc nu numai din cauza nerespectării de către administratorul rețelei a regulilor de securitate, ci și din cauza curiozității excesive a unui angajat al companiei care decide să folosească un link tentant din spamul de e-mail. Prin urmare, nu trebuie să sperăm că chiar și cele mai bune soluții tehnice de securitate vor deveni un panaceu pentru toate bolile.

Soluții de clasă UTM

Securitatea este întotdeauna un concept relativ. Dacă este prea mult din acesta, atunci utilizarea sistemului în sine, pe care urmează să o protejăm, devine mult mai dificilă. Prin urmare, un compromis rezonabil devine prima alegere în securitatea rețelei. Pentru întreprinderile mijlocii conform standardelor rusești, o astfel de alegere poate ajuta la luarea deciziilor de clasă UTM (Unified Threat Management sau United Threat Management), poziționat ca dispozitive multifuncționale pentru securitatea rețelei și a informațiilor. La baza lor, aceste soluții sunt sisteme hardware și software care combină funcțiile diferitelor dispozitive: un firewall, sisteme de detectare și prevenire a intruziunilor în rețea (IPS) și funcții de gateway antivirus (AV). Adesea, aceste complexe sunt responsabile pentru rezolvarea sarcinilor suplimentare, de exemplu, rutare, comutare sau acceptarea rețelelor VPN.
Adesea, furnizorii de soluții UTM oferă să le folosească în întreprinderile mici. Poate că această abordare este parțial justificată. Totuși, este mai ușor și mai ieftin pentru întreprinderile mici din țara noastră să utilizeze un serviciu de securitate de la furnizorul lor de internet.
Ca orice soluție universală, echipamentul UTM are avantajele și dezavantajele sale.... Primul poate fi atribuit economiilor în bani și timp pentru implementare în comparație cu organizarea protecției la un nivel similar de la dispozitive de securitate separate. UTM este, de asemenea, o soluție pre-echilibrată și testată, care poate rezolva cu ușurință o gamă largă de probleme de securitate. În cele din urmă, soluțiile acestei clase nu sunt atât de solicitante la nivelul calificărilor personalului tehnic. Orice specialist poate face față cu ușurință configurării, gestionării și întreținerii lor.
Principalul dezavantaj al UTM este faptul că orice funcționalitate a unei soluții universale este adesea mai puțin eficientă decât funcționalitatea similară a unei soluții specializate. De aceea, atunci când sunt necesare performanțe ridicate sau securitate ridicată, profesioniștii din domeniul securității preferă să utilizeze soluții bazate pe integrarea produselor separate.
Cu toate acestea, în ciuda acestui dezavantaj, soluțiile UTM devin din ce în ce mai solicitate de către multe organizații care sunt foarte diferite în ceea ce privește amploarea și tipul de activitate. Potrivit Rainbow Technologies, astfel de soluții au fost implementate cu succes, de exemplu, pentru a proteja serverul unuia dintre magazinele de electrocasnice de pe Internet, care a fost supus unor atacuri DDoS regulate. De asemenea, soluția UTM a făcut posibilă reducerea semnificativă a volumului de spam din sistemul de poștă al uneia dintre exploatațiile auto. Pe lângă rezolvarea problemelor locale, există experiență în construirea sistemelor de securitate bazate pe soluții UTM pentru o rețea distribuită care acoperă biroul central al fabricii de bere și sucursalele sale.

Producătorii UTM și produsele lor

Piața rusă a echipamentelor de clasă UTM este formată numai din propunerile producătorilor străini. Din păcate, niciunul dintre producătorii autohtoni nu a reușit încă să ofere propriile soluții în această clasă de echipamente. Excepția este soluția software Eset NOD32 Firewall, care, potrivit companiei, a fost creată de dezvoltatorii ruși.
După cum sa menționat deja, pe piața rusă, soluțiile UTM pot fi de interes în principal pentru companiile mijlocii, în rețeaua corporativă din care există până la 100-150 de locuri de muncă. La selectarea echipamentului UTM pentru prezentare în recenzie, principalul criteriu de selecție a fost performanța sa în diferite moduri de operare, care ar putea oferi o experiență confortabilă a utilizatorului. Adesea furnizorii specifică specificații de performanță pentru Firewall, IPS Intrusion Prevention și AV Virus Protection.

Soluţie Punct de control poartă numele UTM-1 Edgeși este un dispozitiv de protecție unificat care combină un firewall, un sistem de prevenire a intruziunilor, un gateway antivirus, precum și VPN și instrumente de acces la distanță. Paravanul de protecție inclus în soluție controlează funcționarea cu un număr mare de aplicații, protocoale și servicii și are, de asemenea, un mecanism de blocare a traficului care în mod clar nu se încadrează în categoria aplicațiilor de afaceri. De exemplu, mesagerie instant (IM) și trafic peer-to-peer (P2P). Gateway-ul antivirus vă permite să urmăriți codul rău intenționat din mesajele de e-mail, traficul FTP și HTTP. În același timp, nu există restricții privind dimensiunea fișierelor, iar decompresia fișierelor de arhivă se efectuează „din mers”.
UTM-1 Edge are capabilități VPN avansate. Suportă rutare OSPF dinamică și conectivitate client VPN. UTM-1 Edge W vine cu un hotspot WiFi IEEE 802.11b / g încorporat.
Când sunt necesare implementări pe scară largă, UTM-1 Edge se integrează perfect cu Check Point SMART pentru a simplifica foarte mult gestionarea securității.

Ciscoîn mod tradițional, acordă o atenție specială problemelor de securitate a rețelei și oferă o gamă largă de dispozitive necesare. Pentru revizuire, am decis să alegem un model Cisco ASA 5510, care este axat pe asigurarea securității perimetrului rețelei corporative. Acest echipament face parte din seria ASA 5500, care include sisteme de protecție modulare din clasa UTM. Această abordare vă permite să adaptați sistemul de securitate la particularitățile funcționării rețelei unei anumite întreprinderi.
Cisco ASA 5510 vine în patru pachete de bază - firewall, VPN, prevenirea intruziunilor și antivirus și anti-spam. Soluția include componente suplimentare, cum ar fi sistemul Security Manager pentru a forma infrastructura de gestionare a rețelei corporative ramificate și sistemul Cisco MARS, conceput pentru a monitoriza mediul de rețea și pentru a răspunde încălcărilor de securitate în timp real.

Slovacă Compania Eset furnizează pachetul software Firewall Eset NOD32 clasa UTM, incluzând, pe lângă funcțiile unui firewall corporativ, un sistem de protecție antivirus Eset NOD32, mijloace de filtrare a poștei (antispam) și a traficului web, sisteme pentru detectarea și prevenirea atacurilor de rețea IDS și IPS. Soluția acceptă crearea rețelelor VPN. Acest complex este construit pe baza unei platforme server care rulează Linux. Partea software a dispozitivului este dezvoltată companie autohtona Leta IT controlat de reprezentanța rusă a Eset.
Această soluție vă permite să controlați traficul de rețea în timp real, acceptă filtrarea conținutului pe categorii de resurse web. Oferă protecție împotriva atacurilor DDoS și blochează încercările de scanare a porturilor. Soluția Firewall Eset NOD32 include suport pentru serverele DNS, DHCP și gestionarea lățimii de bandă. Traficul protocoalelor de poștă electronică SMTP, POP3 este monitorizat.
De asemenea, această soluție include posibilitatea de a crea rețele corporative distribuite utilizând conexiuni VPN. În același timp, sunt acceptate diferite moduri de combinare a rețelelor, algoritmi de autentificare și criptare.

Compania Fortinet oferă o întreagă familie de dispozitive FortiGate clasa UTM, poziționându-și soluțiile ca fiind capabile să asigure protecția rețelei, menținând în același timp un nivel ridicat de performanță, precum și o operare fiabilă și transparentă a sistemelor de informații ale întreprinderii în timp real. Pentru recenzie, am ales Modelul FortiGate-224B, care este conceput pentru a proteja perimetrul unei rețele corporative cu 150 - 200 de utilizatori.
Echipamentul FortiGate-224B include funcționalitatea unui firewall, server VPN, filtrare a traficului web, sisteme de prevenire a intruziunilor, precum și protecție antivirus și anti-spam. Acest model are încorporat comutator LAN Layer 2 și interfețe WAN, eliminând necesitatea de rutare externă și dispozitive de comutare. Pentru aceasta, este acceptată rutare RIP, OSPF și BGP, precum și protocoale de autentificare a utilizatorilor înainte de a furniza servicii de rețea.

Compania SonicWALL oferă o gamă largă de dispozitive UTM, din care soluția a fost inclusă în această revizuire NSA 240... Acest echipament este modelul junior din linie, axat pe utilizarea ca sistem de securitate pentru o rețea corporativă a unei întreprinderi mijlocii și a sucursalelor marilor companii.
Această linie se bazează pe utilizarea tuturor mijloacelor de protecție împotriva amenințărilor potențiale. Acestea sunt firewall, sistem de protecție împotriva intruziunilor, gateway-uri de protecție antivirus și spyware. Există o filtrare a traficului web pentru 56 de categorii de site-uri.
Ca unul dintre punctele culminante ale soluției sale, compania SonicWALL notează tehnologia scanării profunde și a analizei traficului de intrare. Pentru a evita degradarea performanței, această tehnologie folosește prelucrarea paralelă a datelor pe un nucleu multiprocesor.
Acest echipament acceptă VPN, are capabilități avansate de rutare și acceptă diverse protocoale de rețea. De asemenea, soluția de la SonicWALL este capabilă să ofere un nivel ridicat de securitate la deservirea traficului VoIP utilizând protocoalele SIP și H.323.

Din linia de produse WatchGuard soluția a fost aleasă pentru revizuire Firebox X550e, care este poziționat ca un sistem cu funcționalități avansate pentru a asigura securitatea rețelei și este axat pe utilizarea în rețelele întreprinderilor mici și mijlocii.
Soluțiile UTM de la acest furnizor se bazează pe principiul protecției împotriva atacurilor de rețea mixte. Pentru aceasta, echipamentul acceptă un paravan de protecție, un sistem de prevenire a atacurilor, gateway-uri antivirus și anti-spam, filtrarea resurselor web, precum și un sistem de combatere a spyware-ului.
Acest echipament utilizează principiul protecției articulațiilor, conform căruia traficul de rețea verificat conform unui anumit criteriu la un nivel de protecție nu este verificat de același criteriu la un alt nivel. Această abordare vă permite să asigurați performanțe ridicate ale echipamentului.
Un alt avantaj al soluției sale, producătorul solicită asistență pentru tehnologia Zero Day, care asigură independența securității față de prezența semnăturilor. Această caracteristică este importantă atunci când apar noi tipuri de amenințări care nu au fost încă contracarate în mod eficient. De obicei, „fereastra vulnerabilității” durează de la câteva ore la câteva zile. Atunci când se utilizează tehnologia Zero Day, probabilitatea consecințelor negative ale ferestrei de vulnerabilitate este redusă în mod vizibil.

Compania ZyXEL oferă soluția de firewall de clasă UTM pentru utilizare în rețele corporative cu până la 500 de utilizatori. aceasta Soluție ZyWALL 1050 este destinat construirii unui sistem de securitate a rețelei, inclusiv protecție completă împotriva virușilor, prevenirea intruziunilor și suport pentru rețelele private virtuale. Dispozitivul are cinci porturi Gigabit Ethernet care pot fi configurate pentru utilizare ca interfețe WAN, LAN, DMZ și WLAN, în funcție de configurația rețelei.
Dispozitivul acceptă transmiterea traficului aplicațiilor VoIP prin protocoalele SIP și H.323 la nivel de firewall și NAT, precum și transmiterea traficului de telefonie pachet în tuneluri VPN. Acest lucru asigură funcționarea mecanismelor de prevenire a atacurilor și amenințărilor pentru toate tipurile de trafic, inclusiv traficul VoIP, un sistem antivirus cu o bază completă de semnături, filtrarea conținutului pe 60 de categorii de site-uri și protecție împotriva spamului.
Soluția ZyWALL 1050 acceptă o varietate de topologii de rețea privată, modul VPN concentrator și zonare VPN cu politici de securitate uniforme.

Principalele caracteristici ale UTM

Opinia expertului

Dmitry Kostrov, director de proiect al Direcției de protecție tehnologică a Centrului Corporativ al MTS OJSC

Domeniul de aplicare al soluțiilor UTM se extinde în principal asupra companiilor legate de întreprinderile mici și mijlocii. Însuși conceptul Unified Threat Management (UTM), ca o clasă separată de echipamente pentru protejarea resurselor rețelei, a fost introdus de agenția internațională IDC, conform căreia soluțiile UTM sunt software și sisteme hardware multifuncționale care combină funcțiile diferitelor dispozitive. De obicei, acestea sunt firewall, VPN, sisteme de detectare și prevenire a intruziunilor în rețea, precum și funcții de gateway antivirus și anti-spam și filtrare URL.
Pentru a obține o protecție cu adevărat eficientă, dispozitivul trebuie să fie multistrat, activ și integrat. În același timp, mulți producători de echipamente de protecție au deja o gamă destul de largă de produse legate de UTM. Ușurința suficientă de implementare a sistemelor, precum și obținerea unui sistem „all-in-one” fac piața acestor dispozitive destul de atractivă. Costul total de deținere și rentabilitatea investiției pentru aceste dispozitive par a fi foarte atractive.
Dar această soluție UTM este ca un „cuțit elvețian” - există un instrument pentru fiecare ocazie, dar este nevoie de un burghiu real pentru a face o gaură în perete. Există, de asemenea, posibilitatea ca apariția protecției împotriva noilor atacuri, actualizări de semnături etc. nu va fi la fel de rapid, spre deosebire de suportul dispozitivelor individuale, care se află în schema „clasică” de protejare a rețelelor corporative. Rămâne și problema unui singur punct de eșec.