Сетевая безопасность
План статьи
Без должного уровня сетевой безопасности использование компьютерных сетей, в том числе интернета, может оказаться экономически невыгодным для организаций. И в первую очередь это связано с высокими рисками утечки конфиденциальных данных. В этой статье мы разберем, что такое сетевая безопасность и какие средства можно использовать для защиты информации.
Определение и ключевые задачи сетевой безопасности
Сетевая безопасность —
это состояние сетевой инфраструктуры, при котором данные и ресурсы защищены от несанкционированного доступа и угроз, а сеть функционирует стабильно и без перебоев.
Задачи сетевой безопасности
| Задача | Описание |
|---|---|
| Блокировка несанкционированного доступа к информационным ресурсам | Защита корпоративной сети от попыток неавторизованного входа, включая контроль доступа, аутентификацию пользователей и мониторинг подозрительных подключений |
| Обеспечение конфиденциальности, целостности и доступности данных | Гарантия, что информация защищена от утечек — конфиденциальна, не изменяется без разрешения — целостна и всегда доступна уполномоченным пользователям |
| Защита сетевых устройств от вредоносных атак | Защита маршрутизаторов, коммутаторов, серверов и других устройств с помощью антивирусного ПО, межсетевых экранов и систем обнаружения вторжений |
| Соответствие законодательству и нормативам по защите данных | Поддержка нормативных требований, ФЗ-98, ФЗ-152 и других, с целью минимизации юридических и финансовых рисков |
Основополагающее требование к развертыванию системы сетевой безопасности — целесообразность. Это значит, что инвестиции в защиту данных не должны превышать их стоимость. При этом система ИБ должна быть полностью совместимой с используемыми на предприятии технологиями и программным обеспечением, то есть не вмешиваться в действующие процессы.
Важное качество для любой системы ИБ — масштабируемость. Система должна расти и усложняться вместе с предприятием, при необходимости покрывать все большее число рабочих станций — без ущерба для надежности, целостности и управляемости.
Типы угроз сетевой безопасности
Под угрозой информационной безопасности мы понимаем потенциально возможное действие или явление, которое может причинить финансовый и репутационный ущерб предприятию.
Перечень потенциальных угроз довольно обширен и может включать сотни и тысячи возможных инцидентов, поэтому целесообразно классифицировать их следующим образом.
По природе возникновения:
- естественные — угрозы, которые возникают из-за влияния физических процессов или природных явлений;
- искусственные — угрозы, вызванные действиями человека.
По намеренности:
- реализованные вследствие человеческой ошибки, халатности, некомпетентности или при низком уровне осведомленности в вопросах информационной безопасности;
- намеренные действия, направленные на причинение ущерба, похищение или уничтожение данных.
По источнику:
- природные явления, которые могут привести к искажению и уничтожению данных: пожары, бури, ураганы, наводнения, грозы;
- действия человека, например, подкуп, несанкционированное распространение, действия, которые привели к утечке конфиденциальной информации;
- сбои в работе программных и аппаратно-технических средств;
- внедрение вредоносного программного обеспечения в ИС.
По территориальному признаку:
- угрозы, реализованные внешними нарушителями за пределами территории предприятия;
- угрозы, реализованные в пределах территории предприятия (использование прослушивающих устройств, похищение бумажных документов и проч.);
- угрозы, реализованные в пределах периметра предприятия, нацеленные на использование ресурсов: хищения средств, продукции, откаты, злоупотребление полномочиями и проч.
По степени воздействия:
- незначительные, то есть те, реализация которых не причинит ущерб предприятию;
- значительные, воздействие которых может сказаться на процессах предприятия;
- серьезные — которые могут в значительной степени сказаться на процессах предприятия, остановить производство;
- критические — те, что могут остановить процессы, повлечь угрозу жизни и здоровью сотрудников и причинить серьезный репутационный и финансовый ущерб — вплоть до закрытия предприятия.
Разница в процессах внедрения мер безопасности для локальной и глобальной сети заключается в том, что в первом случае наибольшую угрозу представляют зарегистрированные в системе пользователи. Так, согласно информации Национального института стандартов и технологий США (NIST),наибольший процент нарушений ИБ в организациях (55%) приходится на случайные ошибки, совершенные пользователями — и подключение предприятия к глобальной сети обостряет эту проблему.
На втором месте по размерам ущерба — воровство, подлоги и другие преступные махинации, совершенные пользователями. Как правило, нарушения совершаются сотрудниками предприятия, прекрасно осведомленными о правилах безопасности и принципах работы системы ИБ.
Важно понимать: при отсутствии контроля за использованием каналов коммуникации, подключенных к интернету, риски предприятия только растут — вместе с размером потенциального ущерба.
Рассмотрим угрозы и уязвимости для беспроводных сетей в следующем блоке нашей статьи.
Угрозы и уязвимости беспроводных компьютерных сетей
Разница между беспроводными и проводными сетями в том, что в беспроводных сетях есть неподконтрольные безопасникам конечные точки, что позволяет злоумышленникам осуществлять атаки при условии, что они территориально близко расположены к беспроводным структурам.
Помимо этого, выделяют и другие угрозы для беспроводных сетей.
- «Вещание радиомаяка».Точка доступа с определенной периодичностью отправляет широковещательный радиосигнал. Эти сигналы содержат основную информацию о точке беспроводного доступа, включая обычно SSID (имя сети), и предлагают беспроводным узлам зарегистрироваться в этой зоне. Любая рабочая станция, находящаяся в режиме ожидания, может принять SSID и подключиться к соответствующей сети.
- «Подслушивание».Беспроводные сети позволяют соединять рабочие станции с физической сетью. И это и плюс, и минус технологии — подключиться к сети может человек, находящийся за периметром предприятия, например, сидящий в машине. В рамках «подслушивания» злоумышленники собирают данные о сети, чтобы впоследствии использовать их для атаки.
- Отказ в обслуживании. Атака по принципу отказ в обслуживании, или DDoS-атака, может парализовать работу сети и ограничить доступ пользователей к сетевым ресурсам.
- Ложные точки доступа в беспроводную сеть. Атакующий может создать точку доступа в сеть с имитацией сетевых ресурсов. Обычные пользователи, не подозревающие обман, могут ввести данные для авторизации.
- Атаки класса «человек посередине» (MITM). Это один из наиболее сложных типов атак — для его реализации хактивистам потребуется подробная информация о сети.
- Анонимный доступ в сеть. Беспроводные сети, которые не были должным образом защищены, могут быть использованы злоумышленниками для противоправных действий. Это значит, формально сеть может стать источником атакующего трафика, нацеленного на информационную систему другой организации.
Это были наиболее распространенные типы атак на беспроводные сети, при этом существуют другие и регулярно возникают новые — многоступенчатые, сложные и трудно распознаваемые.
Обеспечение сетевой безопасности в компании
Сегодня выделяют два подхода к проблеме обеспечения ИБ компьютерных систем и сетей: комплексный и фрагментарный.
Фрагментарный подход
Как правило, направлен на противодействия конкретным угрозам ИБ. В рамках подхода могут быть отдельно использованы системы разграничения доступов, средства шифрования данных, антивирусы и проч.
Преимущество такой избирательности — экономия, существенный недостаток — противодействие направлено только на очень конкретные угрозы. При небольших изменениях в схеме реализации угрозы фрагментарные меры перестают быть эффективными.
Рекомендуется использовать комплексный подход.
Комплексный подход
При использовании комплексного подхода выстраивают контур информационной безопасности с использованием разнородных мер и средств защиты данных и оборудования. Использование комплексного подхода позволяет гарантировать определенный уровень безопасности ИС, при этом можно выделить некоторые недостатки такого подхода: сложность настройки и управления, высокая стоимость, некоторая чувствительность к ошибкам в конфигурации.
На большинстве крупных предприятий, государственных учреждений, объектов КИИ придерживаются комплексного подхода.
Комплексный подход всегда опирается на разработанную и принятую на предприятии политику безопасности (далее — ПБ). ПБ — это документ, регламентирующий работу средств защиты и подробно описывающий внедренные на предприятии меры.
Основные меры для обеспечения безопасности сети
При обеспечении защиты компьютерных сетей и систем важно соблюдать меры трех уровней:
- административные — перечень требований и рекомендаций к обеспечению ИБ, принятых внутри предприятия;
- законодательные — различные стандарты, федеральные законы, нормативно-правовые акты и т.п.;
- программно-технические — программы, антивирусы, системы шифрования, SIEM- и DLP-системы и проч.
Законодательные меры среди прочего актуализируют внимание общества на необходимости обеспечения ИБ, акцентируют внимание населения на потенциальных угрозах. Административные меры регулируют вопросы управления персоналом, обеспечением физической защиты, поддержании устойчивости и работоспособности ИС, планом действий персонала в случае происшествий и проч.
Меры программно-технического уровня направлены на внедрение оборудования и программного обеспечения для обеспечения ИБ предприятия, а также на профилактику сбоев и поддержание работоспособности для обеспечения доступности и целостности данных.
Механизмы обеспечения сетевой безопасности
Для обеспечения информационной безопасности компьютерных сетей и систем необходимо использовать следующие сетевые средства защиты информации:
- внедрение системы аутентификации и авторизации пользователей;
- разграничение и контроль доступа;
- журналирование событий и проверка действий пользователей;
- шифрование данных;
- защиту от несанкционированного доступа.
Ошибки и слабые места в сетевой безопасности
Информационные системы предприятий, как правило, функционируют на основе программного и технического обеспечения от разных вендоров. На сегодня ни один производитель не готов предоставить организациям полный перечень технических средств и ПО для развертывания универсальной ИБ-системы.
И именно поэтому нужны профессионалы, способные правильно настраивать компоненты системы, отслеживать изменения в конфигурациях,обеспечить совместимость всех компонентов системы,контролировать работу пользователей.
Чем сложнее устроена информационная система предприятия, тем проблематичнее обеспечить ее безопасность. Использование множества инструментов защиты данных (межсетевых экранов, антивирусов, средств предотвращения вторжений, SIEM- и DLP-систем и проч.) делают систему сетевой безопасности сложной в настройке и управлении.
Для комплексной защиты данных важно:
- проанализировать потенциальные угрозы и риски ИБ;
- выявить, оценить и категорировать все информационные активы организации, нуждающиеся в защите;
- выявить уязвимости информационной системы и устранить их;
- разработать и внедрить политику безопасности с учетом размера предприятия, количества филиалов и подразделений;
- управлять конфигурацией аппаратно-технических средств и программного обеспечения, своевременно обновлять ПО для устранения уязвимостей;
- журналировать все события информационной безопасности, выявлять инциденты и аномалии, анализировать их для минимизации вероятности их повторения;
- контролировать все каналы коммуникации;
- проводить аудит защищенности системы — не реже одного раза в 6 месяцев;
- внедрить систему обучения персонала основам информационной и кибербезопасности, ввести дисциплинарные меры и штрафные санкции за несанкционированное распространение конфиденциальных сведений, вплоть до увольнения и судебного разбирательства.
Роль мониторинга и анализа
Ключевой элемент безопасности — это постоянный мониторинг и автоматический анализ событий, которые обеспечивают быстрое выявление и устранение угроз, в том числе утечек. Мониторить события безопасности можно в том числе с использованием DLP-систем.
Что могут системы мониторинга?
Контролировать максимальное число каналов коммуникации. Системы мониторит максимальное число каналов, по которым может произойти утечка данных: IP-телефонию, сетевые и локальные принтеры, мессенджеры, облачные хранилища, электронную почту, браузеры и проч.
- Контролировать работу сотрудников за рабочими станциями. Системы могут непрерывно мониторить активность персонала за компьютерами, анализировать ее на предмет аномалий и подозрительного поведения.
- Отслеживать соблюдение действующей политики безопасности сотрудниками предприятия.
- Журналировать события информационной безопасности. Регистрируйте и архивируйте события ИБ, чтобы использовать данные для проведения расследований в рамках ретроспективы.
- Блокировать нежелательные операции с данными внутри информационной системы.
- Выявить неблагонадежных и деструктивно настроенных сотрудников. Внедрение систем мониторинга активности персонала позволяет узнать, что ваши сотрудники посещают сайты по поиску работы, рассылают резюме, регулярно опаздывают или завершают рабочий день раньше, чем это было установлено в трудовом договоре.
В заключение
Развитие информационных систем на предприятиях требует подключения к компьютерным сетям — это позволяет существенно ускорить коммуникации и снизить их стоимость. При этом обеспечение сетевой безопасности — актуальная проблема, особенно в условиях текущей геополитической ситуации.
Чтобы достичь требуемого уровня информационной безопасности, необходимо анализировать сетевые технологии на предмет уязвимостей и угроз, а также выделять ресурсы для защиты информации.
.jpg)
