Большинство компаний в рамкахобеспечения безопасности работы корпоративной сети не подходят к вопросукомплексно, иными словами, внедряют отдельные компоненты защиты. Кто-то,например, использует только антивирусы, однако они не всегда могут справиться с новой, незнакомой вредоносной программой, от которой пока нет «лекарств». По той же причине и межсетевые экраны не гарантируют 100% защиты. Несмотря на то, чтомногие организации уже используют антивирусы и межсетевые экраны вместе, этотвариант все равно оказывается «уязвимым». Решить проблему обеспечениякомплексной безопасности ИКТ-инфраструктуры может только системный подход – этоиспользование одновременно нескольких элементов защиты, включая упомянутые выше.

Три компонента

Наличие антивирусного ПО – первоеи обязательные условие для контроля работы конечных станций (компьютеров). Оноустанавливается на рабочие места пользователей и позволяет блокировать опасныефайлы, проникающие на компьютер не только через интернет, но и с помощью USBфлеш-накопителей.

Во-вторых, межсетевые экраны. Онизащищают периметр сети – контролируют каждую точку входа в интернет и отслеживают сетевую активность пользователей: на какие ресурсы заходят, какиеприложения открывают и т.д. Такие решения «просматривают» весь входящий и исходящий трафик на наличие подозрительных файлов и вредоносных программ. Данныеустройства безопасности внешнего периметра активно наращивают свою производительностьв свете развития телевидения сверхвысокой четкости UHDTV, сетей5G, интернета вещей и виртуальной реальности. Однако ставшая уже привычной концепция Bring Your Own Device (BYOD), повсеместное внедрениебеспроводных сетей и облачных сервисов, а также развитие внутренних угрозпривели к резкому видоизменению систем безопасности и необходимости внедрениямежсетевых экранов не только на границе сети предприятия, но и во внутреннихсегментах.

Следует учитывать, что требованияк производительности межсетевых экранов во внутренних сетях предприятия ощутимовыше, чем на границе сети, так как сети проектируются исходя из пропорцийтрафика 20/80 (20% трафика уходит наружу, 80% трафика передается внутрипредприятия). «Цифровой мир» привел к необходимости резкого увеличенияобработки потоков информации системами безопасности и ведущие компании мираответили развитием специальных микросхем (ASIC), обрабатывающих данные на больших скоростях, чем это возможно с использованием толькопроцессорной мощности. Например, компания Google недавно объявила об использованиимикросхем TensorProcessingUnit(TPU) для ускоренияобработки информации на три поколения быстрее, чем это предсказал закон Мура.Разработка микросхем безопасности компанией Fortinet, разработчиком программно-аппаратных комплексов сетевойбезопасности, позволяет внедрять системы, готовые к новым цифровым реалиям. Ониопережают аналогичные по стоимости решения – обеспечивают высокую скоростьобработки данных, вносят меньшие задержки в сеть и тратят электроэнергию болееэффективно.

Сравнение классического решения и разработки компании Fortinet

Третьим элементом комплексногоподхода является «песочница». Она обеспечивает защиту ИКТ-инфраструктуры от неизвестных атак и вирусов – данные вредоносные программы не отмечены в сигнатурах вендоров ИБ, которые в некоторых случаях могут быть уникальными, написанными под конкретную компанию. Для того, чтобы вычислить атакиподобного зловреда, подозрительные файлы помещают для тестирования в особую карантиннуюзону – «песочницу».

«Песочница» – важный элемент системы защиты ИКТ-инфраструктуры 

Противодействие уникальным атакамприобретает все большую актуальность в рамках информационной защиты компании. Потенциальныеугрозы главным образом связаны с активностью пользователей, которые постоянноскачивают контент из интернета, среди которого оказывается зловред. Чтобыисключить опасность проникновения вирусов в корпоративную сеть, неизвестные или подозрительные файлы отправляются в специальное защищенное «облако»,представляющее собой нечто вроде испытательного полигона: здесь «странные» файлызапускают для того, чтобы исследовать их поведение. Если будет обнаруженвредоносный код, то компания-заказчик получает об этом соответствующее уведомление.Таким образом, можно блокировать любые подозрительные файлы на ПК пользователядо тех пор, пока они не будут проверены в облаке. Ранее же ИТ-служба узнавала о «загрузках» вредоносных программ постфактум.

Облачный сервис «песочницы»располагается на стороне провайдера решения ИБ, здесь аккумулируются файлы от всего пула заказчиков. На основании проверок вендор выпускает сигнатуры и рассылает их подписчикам. Если появляется новый уникальный зловред, то всехклиентов оперативно информируют, а на установленные у заказчиков файерволлыдоставляются инструменты защиты от угрозы. Сервис «песочница» по желаниюзаказчика может быть не только облачным, но и предоставляться по модели on-premise, иными словами, размещатьсянепосредственно в ИКТ-инфраструктуре заказчика на физических или виртуальныхсерверах.

Глобальный опыт поставщика ИТ-решенийпри таком комплексном подходе играет ключевую роль – благодаря большому количествуклиентов и инсталлированной базе нарабатываются необходимые компетенции в частиобеспечения информационной безопасности. Одним из примеров концепциикомплексного подхода к повышению безопасности ИКТ-инфраструктуры, в том числеобеспечивающую защиту от кибератак, является Security Fabric от Fortinet.

Как работает Security Fabric от Fortinet

Продукт предполагает использование различных компонентов защитыИКТ-инфраструктуры: межсетевые экраны, анти-спам системы, решение по защите web-приложений, антивирусногоПО и ключевого элемента по детектированию неизвестного вредоносного кода – «песочницы».Это позволяет управлять безопасностью на уровне приложений, пользовательскихустройств или целого дата-центра, обеспечивая концепцию непрерывной сегментациина всем информационном пространстве компании. В рамках концепции предполагаетсяподдержка реализации детализированных политик безопасности на основе такихфакторов, как идентификация пользователей, приложений, расположения и типовустройств. Компоненты защиты помогают выстроить многоуровневую систему защитысети от вредоносного ПО, анализировать подозрительную активность внутрилокальной сети предприятия, а также снизить риски возникновения DDoS-атак,приводящих к простою бизнес-процессов.

Андрей Врублевский, руководитель направления оптимизации и контроля сети компании «Крок»