Корпоративный файрвол традиционно отслеживал только теугрозы, которые проникали через периметр. В то же время защитные экраны никакне были подключены к внутренним сегментам и не контролировали их. Более того,большинство сетей внутри периметра безопасности были «плоскими», безсегментации или с минимальной сегментацией.
Этого было достаточно, так как все четко знали, чтоисточники атак находятся снаружи, и для защиты корпоративных данных нужноостановить их на границе сети (защита от утечек информации изнутри веласьдругими средствами и решала другие задачи). И считалось нормальным, чтопограничный файрвол защищает единственную точку входа в сеть компании. Ностарые методы уже не работают: в некогда надежном бастионе появилось множествобрешей.
Как работают сотрудники современной компании? Они могутсвободно переключаться между служебным компьютером, личным ноутбуком, планшетомили смартфоном, получая доступ к корпоративным данным. То есть их персональныеустройства, как правило, имеют доступ к почте и ряду других ресурсов,расположенных внутри сети компании. При этом они слабо защищены, обычно не контролируютсяслужбой ИБ компании и становятся «дырами», через которое вредоносное ПО можетпроникнуть за периметр – туда, где их уже не сможет перехватить пограничныйфайрвол.
В связи с глобальным распространением практики BYOD(«принеси собственное устройство на работу») появились специализированныесредства защиты личных девайсов, но их использование ведет к дополнительнымзатратам на покупку и внедрение, чрезмерному усложнению защитной инфраструктурыи к росту нагрузки на сеть. Поэтому далеко не каждая компания их приобретает.
И, если не так давно поставщики брандмауэров отмечали портына своем оборудовании словами «Внешний» (ненадежный) и «Внутренний» (надежный),то сегодня эти понятия уже не являются синонимами. Именно внутренняя – плоскаяи открытая – часть сети состоит из незащищенных коммутаторов, маршрутизаторов,мостов, и именно она эксплуатируется создателями зловредного ПО при совершенииатак на компании. Не только хакер, но и инсайдер, участник подключенной сетиможет получить свободный доступ ко всей корпоративной сети, в том числе кважным данным.
Периметра больше нет
Правило 1
Сложность – враг безопасности. Чем сложнее инфраструктура ИБ, чем больше в ней разнородных систем и устройств, тем сложнее ее построить, поддерживать и развивать, и выше вероятность успешного взлома.
Правило 2
Периметров безопасности больше нет. Благодаря увеличению количества точек входа в корпоративную сеть у злоумышленников появилось больше возможностей для проникновения и безопасного выхода.
Правило 3
Медленный – значит, взломанный. Скорость работы ИТ-инфраструктуры растет, производительность устройств повышается на порядок каждые 6-7 лет. Если ИБ-инфраструктура за ней не поспевает, пользователи будут использовать пути в обход нее.
Защищенного периметра сети больше не существует, если каждыйсотрудник носит в кармане потенциальный источник угрозы. Да и самикорпоративные сети не живут в изоляции – они часто связаны с сетями клиентов,партнеров и поставщиков, что добавляет число «точек входа». Наличие множестваточек входа и путей в сетях означает, что, проникнув за периметр, зловредное ПОможет беспрепятственно распространиться, если не встретит серьезную защиту.
«Средства обеспечения безопасности периметра никак незащищают конфиденциальные данные внутренней сети в случае нарушения, –подтверждает Александр Мормуш, channel account manager компании Fortinet вРоссии. – Мало того, эффективная стратегия защиты требует разделения сети насегменты, соответствующие разным отделам. Например, разработчикам ПО не нужендоступ к бухгалтерским системам, а кадровому отделу, скорее всего, непонадобятся финансовые. При таком подходе к защите компрометация отдельного сегмента,позволит минимизировать ущерб для корпоративной сети в целом».
Долгое время достаточно эффективным способом защитывнутренних ресурсов считались политики разграничения прав доступа. Но безавтоматизированных средств они недостаточны, потому что сами по себе уязвимыиз-за человеческого фактора. Наверняка в каждой компании есть сотрудники,оставляющие на время отпуска или больничного пароль от своего компьютераколлегам или же не закрытые администраторами временные права доступа отдельныхспециалистов к конфиденциальной информации, надобности в которых больше нет.
Сложность атак возрастает – это отмечают не толькоспециалисты по ИБ, но и представители огромного количества пострадавшихкомпаний. Бухгалтеру могут прислать специально подготовленное фишинговое письмоякобы из «его» банка. Ключевому сотруднику – подкинуть флешку или позвонить отимени клиента, после чего прислать письмо со ссылкой на вредоносный код. Поданным Verizon DBIR за 2016 год, более 12% пользователей нажимают на ссылки илиоткрывают файлы в фишинговых сообщениях. И, если злоумышленники позаботились осоздании инструмента атаки, еще неизвестного разработчикам систем защиты (речьоб эксплуатации так называемых «уязвимостей нулевого дня»), то шансы успешнопоразить внутренние сети достаточно высоки.
В последние несколько лет все шире применяются облачныевычисления, однако технологии отслеживания входящего и исходящего трафика всееще несовершенны, а информацию поставщика облачного сервиса о принятых им мерахбезопасности клиент вынужден принять на веру – никто в здравом уме не будетпоказывать постороннему свою систему безопасности и ее настройки. Такимобразом, публичное облако тоже является недоверенным элементом. Похищают лизлоумышленники через шлюз провайдера конфиденциальные или секретные данные?Поступает ли в сеть клиента вредоносный код?
Что со всем этим делать? Специалисты по информационнойбезопасности знают ответ: строить комплексную систему безопасности (воизбежание «зоопарка систем»), которая будет защищать каждый сегменткорпоративной сети. Компания Fortinet разработала новый класс устройств,которые эффективно справляются с решением этой задачи. Fortinet работает нароссийском рынке относительно недавно, но в мире она известна как один изведущих поставщиков решений для комплексной безопасности (255 тыс заказчиков,более 100 офисов в мире). Компания выпустила уже более 2 миллионов устройств илидирует по этому показателю.
Как ISFW решает проблему
Защиту сети предлагается поручить межсегментному сетевомуэкрану Fortinet Internal Segmentation Firewall – это адаптивная система сетевойбезопасности, ориентированная на отслеживание и управление угрозамикорпоративным сетям. ISFW дополняет другие решения Fortinet и может применятьсяв составе комплексного решения «Фабрика безопасности», которую компания недавнопредставила в России.
Внедрение межсегментных сетевых экранов предоставитдополнительный уровень защиты корпоративной сети, находящийся внутри периметраи обеспечивающий безопасность важных ресурсов. Эти решения повышают эффективностьобнаружения нарушений и сокращают простои, связанные с устранением последствий.При этом архитектура межсегментных сетевых экранов защищает сеть целиком, а нетолько прилегающие к периметру области.
Но компании работают с имеющимися у них бюджетами, которыеза последние два года в среднем не выросли, а в долларовом исчислении и вовсезначительно сократились. Как они могут оценить, стоит ли закладывать в бюджетзатраты на ISFW? «Мы стараемся решать этот вопрос в рамках пилотноготестирования, предоставляя заказчику возможность убедиться в этомсамостоятельно, по отчетам, где наглядно представлена статистика о наличии всети вирусов, троянов, эксплойтов, и другого зловредного кода. Это позволяетобосновать выгоду лучше слов, – комментирует Александр Мормуш. – Затем мыпредлагаем сегментировать сеть таким образом, чтобы контролировать весьпроходящий трафик. Применение такой защиты внутри сети, стало возможно за счетприменения в платформах Fortinet специализированных микросхем обработки трафикасобственной разработки (ASIC), что позволяет обрабатывать большие потокиинформации без какого-либо негативного влияния на производительностьприложений. Устройства безопасности Fortinet сочетают в себе огромный потенциалпроизводительности, один из самых высоких в индустрии параметров эффективностиобнаружения вредоносного кода, и все это в рамках низкой совокупной стоимостивладения. Это было многократно подтверждено испытаниями в различныхлабораториях, включая такую авторитетную, как NSS Labs».
Межсегментный сетевой экран – это дополнительный барьер,который останавливает неконтролируемое распространение угроз внутри сети,значительно снижает потенциальный ущерб от зловредов, которые сумели проникнутьза периметр, и позволяет группировать системы по уровню доступа, что повышаетнадежность корпоративной системы информационной безопасности.
Источник: CNEWS