Вредоносность, изощренность и количество угроз для бизнеса растутвзрывными темпами. У этого есть две основные причины. Первая – более активноеиспользование злоумышленниками технологий целенаправленных (таргетированных)атак против конкретных систем защиты в конкретных организациях. Вторая – драматическиеизменения ИТ-ландшафтов компаний, влияющие на их защищенность.

Если на развитие средств атаки легальный бизнес повлиять неможет, то обеспечить достаточный технический уровень защиты – обязанность егоспециалистов по ИБ. На сегодняшний день опасность для бизнеса заключается впринятии новых принципов работы при сохранении устаревших подходов кбезопасности. В начале ХХIвека были разработаны концепции ИБ, согласно которым основные средства защитысосредоточивались на периметре. У него была одна точка входа – в местеподключения к каналу связи провайдера.

Все пользовательские ноутбуки, телефоны, внешние накопители,а также беспроводные точки доступа по умолчанию помещались в доверенную зону.Их безопасность для сети более или менее поддерживали клиентские приложения(обычно антивирусы) и принятые в сети политики безопасности. Но такие средства,как файрволы, их никак не контролировали. Впрочем, до определенного момента этогои не требовалось.

Ситуация резко ухудшилась с ростом мобилизации сотрудников,массовым и почти неконтролируемым «безопасниками» принятием концепции BYOD и увеличением числаудаленных сотрудников. Теперь многие личные пользовательские устройства имеютдоступ как к корпоративным ресурсам, так и во внешний мир. Число точек входа всеть неконтролируемо растет.

Средства защиты периметра по-прежнему не контролируют этиустройства, и злоумышленника, получившего контроль над ноутбуком или телефономсотрудника, зачастую отделяет от критически важной бизнес-информации толькопростой пароль в веб-интерфейсе корпоративной системы.

Опасная плоскость

Корпоративные сети делаются с расчетом на возможныеизменения, а это значит, что они стремятся стать максимально плоскими иоткрытыми. Их защита внутри периметра достаточно примитивна и часто состоитлишь из виртуальных сетей VLANи списков доступа уровня 4 для «интеллектуальных» коммутаторов. Поэтому послепроникновения внутрь защитного периметра злоумышленники могут свободноперемещаться и получать доступ к корпоративным данным.

Отсутствие инфраструктуры безопасности внутри сети не толькообеспечивает «свободный проход» злоумышленникам, но и не позволяет службе ИБ(или ИТ) обнаружить угрозу и отреагировать на нее, ведь для этого непредусмотрено никаких инструментов.

Компании пытаются сегментировать виртуальные сети, но этотспособ предполагает связь между сегментами при помощи маршрутизации, а этазащита легко преодолевается современными изощренными зловредами. Кроме того,сами маршрутизаторы не оборудованы средствами безопасности, необходимыми дляэффективного обнаружения и блокировки угроз.

Помогает ли виртуализация защититься от современных угроз?Нет, она, наоборот, создает дополнительные сложности. Методы защиты виртуальныхи физических узлов мало отличаются друг от друга, однако местонахождениевиртуальных сетей может изменяться, поэтому угрозу зараженного виртуальногоузла труднее устранить: вредоносный код может неожиданно появиться в другойобласти сети.

«В случае успешного проникновения угроз на устройствапользователей, они могут использоваться как плацдарм для развития атаки в обходпериметровых средств защиты, – комментируетАндрей Терехов, системный инженер Fortinet. – Помимо этого, с развитием тенденции размытияпериметров корпоративных сетей, возникает множество вопросов по предоставлениюдоступа к сетевым ресурсам различным сегментам, таким, как гостевая сеть Wi-Fi,сеть BYOD-устройств, сети POS-терминалов и прочих устройств, расположенных запределами контролируемой зоны».

Защите поможет внедрение политик безопасности и разделениеустройств и каналов связи на группы с предоставлением прав доступа на основепрофилей рисков определенных устройств. Кроме того, существуют разнообразныеспециализированные решения для защиты данных от кражи через устройствапользователей и т.п. Но, если внедрять отдельные решения для борьбы с каждойпроблемой и защиты каждого сегмента, это приведет к удорожанию и усложнениюсистемы защиты, породит новые проблемы, связанные с интеграцией систем, ихсовместной работой, поддержкой и обновлением.

Файрвол на защитекаждого сегмента

Для решения этой задачи создан защищающий отдельные сегментысети экран Fortinet Internal Segmentation Firewall (ISFW), который дополняетдругие решения Fortinet и может применяться в рамках комплексной системызащиты. Он поддерживает реализацию внутренней сегментации корпоративных сетей иустройств, благодаря чему специалисты по ИБ могут применять детализированныеполитики безопасности в зависимости от типа устройств и требований доступа ксети.

Межсегментный сетевой экран ISFW строится на жесткойконцепции «нулевого доверия» (Zero Trust Network), которая предусматриваетотсутствие доверия к устройствам и данным внутри сети и предусматриваетсегментацию сети на основе политик. Она дополняет уже существующую структуру ИБвозможностями контроля внутрисетевого доступа с проверкой подлинностипользователей, устройств и приложений и сопоставлением их запросов на доступ сполитикой безопасности.

Чтобы межсегментный сетевой экран был эффективным исоответствовал скоростям современных сетей, он должен обеспечивать повышеннуюпроизводительность (в десятки раз выше периметровых межсетевых экранов), иметьвысокую плотность портов с возможностью подключения на высоких скоростях(10–100 Гбит/с) и обладать широкими функциональными возможностями по инспекциитрафика и защите от целенаправленных атак.

Раньше подобный набор критериев приводил к непозволительновысокой стоимости решения, либо к необходимости отключения части или всехфункций инспекции. Современные разработки в области специализированныхпроцессоров для обработки трафика позволяют достичь всех критериев ссохранением умеренной стоимости решения при всех задействованных функцияхинспекции трафика.