Informační systémy, ve kterých zařízení pro přenos dat patří jedné společnosti a jsou využívány pouze pro potřeby této společnosti, se obvykle nazývají podniková síť - podniková počítačová síť (CN). CS je interní privátní síť organizace, která spojuje výpočetní, komunikační a informační zdroje této organizace a je určena pro přenos elektronických dat, kterými mohou být jakékoli informace, tedy na základě výše uvedeného lze říci, že v rámci CS byla definována speciální politika, která popisuje hardware a software, pravidla pro získání přístupu uživatelů k síťovým zdrojům, pravidla správy sítě, kontrolu využití zdrojů a další rozvoj sítě. Firemní síť je síť individuální organizace.

Poněkud podobnou definici lze formulovat na základě konceptu podnikové sítě uvedeného v práci Olifera V.G. a Oliver N.D. “ Počítačové sítě: principy, technologie, protokoly“: každá organizace je soubor vzájemně se ovlivňujících prvků (divizí), z nichž každý může mít svou vlastní strukturu. Prvky jsou vzájemně funkčně propojeny, tzn. vykonávají určité druhy prací v rámci jednoho obchodního procesu, dále informace, vyměňují si dokumenty, faxy, písemné a ústní objednávky atd. Kromě toho se tyto prvky vzájemně ovlivňují externí systémy a jejich interakce může být také informační a funkční. A tato situace platí téměř pro všechny organizace, bez ohledu na to, jakým typem činnosti se zabývají - pro vládní agenturu, banku, průmyslový podnik, obchodní firmu atd.

Tento obecný pohled na organizaci nám umožňuje některé formulovat obecné zásady budování firemních informační systémy, tj. informačních systémů v celé organizaci.

Podniková síť je systém, který zajišťuje přenos informací mezi různými aplikacemi používanými v systému podniku. Podniková síť je jakákoli síť, která funguje přes protokol TCP/IP a používá internetové komunikační standardy servisní aplikace, zajišťující doručení dat uživatelům sítě. Společnost může například vytvořit webový server pro publikování oznámení, výrobních plánů a dalších oficiálních dokumentů. Přístup zaměstnanců potřebné dokumenty pomocí webových prohlížečů.

Webové servery v podnikové síti mohou uživatelům poskytovat služby podobné internetovým službám, například práci s hypertextovými stránkami (obsahujícími text, hypertextové odkazy, grafické obrázky a zvukové nahrávky), poskytující potřebné zdroje pro požadavky od webových klientů a také přístup k databázím. V této příručce jsou všechny publikační služby označovány jako „internetové služby“ bez ohledu na to, kde se používají (na internetu nebo v podnikové síti).

Firemní síť je zpravidla geograficky distribuována, tzn. spojující kanceláře, divize a další struktury umístěné ve značné vzdálenosti od sebe. Principy, podle kterých je podniková síť vybudována, jsou zcela odlišné od těch, které byly použity k jejímu vytvoření lokální síť. Toto omezení je zásadní a při návrhu podnikové sítě by měla být přijata všechna opatření k minimalizaci objemu přenášených dat. V opačném případě by podniková síť neměla ukládat omezení na to, které aplikace a jak zpracovávají informace přenášené přes ni. Charakteristickým rysem takové sítě je, že obsahuje zařízení různých výrobců a generací a také heterogenní software, který není zpočátku orientován na společné zpracování dat.

Pro připojení vzdálených uživatelů k podnikové síti je nejjednodušší a cenově nejdostupnější možnost použít telefonická komunikace. Kde je to možné, lze použít sítě ISDN. K propojení síťových uzlů se ve většině případů používají globální datové sítě. I tam, kde je možné položit vyhrazené linky (například ve stejném městě), použití technologií přepojování paketů umožňuje snížit počet potřebných komunikačních kanálů a, což je důležité, zajistit kompatibilitu systému se stávajícími globální sítě.

Připojení vaší podnikové sítě k internetu je opodstatněné, pokud potřebujete přístup k příslušným službám. V mnoha pracích existuje názor na připojení k internetu: Internet jako médium pro přenos dat se vyplatí používat pouze tehdy, když nejsou dostupné jiné způsoby a finanční důvody převažují nad požadavky na spolehlivost a bezpečnost. Pokud budete internet využívat pouze jako zdroj informací, je lepší využít technologii dial-on-demand, tzn. tento způsob připojení, kdy je připojení k internetovému uzlu navázáno pouze z vaší iniciativy a na dobu, kterou potřebujete. To dramaticky snižuje riziko neoprávněného vstupu do vaší sítě zvenčí.

Pro přenos dat v rámci podnikové sítě se také vyplatí používat virtuální kanály sítí pro přepínání paketů. Hlavními výhodami tohoto přístupu jsou všestrannost, flexibilita, bezpečnost

V důsledku studia struktury informační sítě(IP) a koncept technologie zpracování dat se vyvíjí informační bezpečnost JE. Koncept odráží následující hlavní body:

• 1) Organizace sítě organizace
• 2) existující hrozby pro informační bezpečnost, možnosti jejich realizace a očekávané škody z této implementace;
• 3) organizace ukládání informací v IS;
• 4) organizace zpracování informací;
• 5) regulace přístupu personálu k té či oné informaci;
• 6) odpovědnost personálu za zajištění bezpečnosti.

Při rozvíjení tohoto tématu, na základě výše uvedeného konceptu informační bezpečnosti IS, je navrženo bezpečnostní schéma, jehož struktura musí splňovat následující podmínky:

Ochrana před neoprávněným průnikem do podnikové sítě a možností úniku informací prostřednictvím komunikačních kanálů.

Vymezení informačních toků mezi segmenty sítě.

Ochrana kritických síťových zdrojů.

Kryptografická ochrana informačních zdrojů.

Pro podrobné zvážení výše uvedených bezpečnostních podmínek je vhodné uvést stanovisko: k ochraně před neoprávněným průnikem a únikem informací se navrhuje použití firewallů nebo firewallů. Firewall je ve skutečnosti brána, která plní funkce ochrany sítě před neoprávněným přístupem zvenčí (například z jiné sítě).

Existují tři typy firewallů:

Brána aplikační úrovně Brána aplikační úrovně se často nazývá proxy server – funguje jako datový přenos pro omezený počet uživatelských aplikací. To znamená, že pokud brána nepodporuje konkrétní aplikaci, pak není poskytována odpovídající služba a data odpovídajícího typu nemohou procházet firewallem.

Filtrační router. Filtrační router. Přesněji se jedná o router, in doplňkové funkce který zahrnuje směrovač pro filtrování paketů. Používá se v sítích s přepojováním paketů v režimu datagramu. Tedy v těch technologiích pro přenos informací o komunikačních sítích, ve kterých chybí signální rovina (předběžné navázání spojení mezi UI a UE) (například IP V 4). V tomto případě je rozhodnutí o přenosu příchozího datového paketu přes síť založeno na hodnotách polí záhlaví transportní vrstvy. Firewally tohoto typu jsou proto obvykle implementovány jako seznam pravidel aplikovaných na hodnoty polí záhlaví transportní vrstvy.

Přepnout bránu vrstvy. Brána spínací úrovně - ochrana je realizována v řídicí rovině (na úrovni signalizace) povolením nebo zákazem určitých spojení.

Zvláštní místo je věnováno kryptografické ochraně informačních zdrojů v podnikových sítích. Protože šifrování je jedním z nejspolehlivějších způsobů ochrany dat před neoprávněným přístupem. Zvláštností používání kryptografických nástrojů je přísná legislativní regulace. V současné době jsou v podnikových sítích instalovány pouze na těch pracovních stanicích, kde jsou uloženy informace velmi vysokého stupně důležitosti.

Takže podle klasifikace prostředků kryptografické ochrany informačních zdrojů v podnikových sítích se dělí na:

Jednoklíčové kryptosystémy se často nazývají tradiční, symetrické nebo jednoklíčové kryptosystémy. Uživatel vytvoří otevřenou zprávu, jejíž prvky jsou znaky konečné abecedy. Pro zašifrování otevřené zprávy je vygenerován šifrovací klíč. Šifrovaná zpráva je generována pomocí šifrovacího algoritmu

Výše uvedený model zajišťuje, že šifrovací klíč je generován na stejném místě jako samotná zpráva. Jiné řešení vytvoření klíče je však možné – šifrovací klíč vytváří třetí strana (centrum distribuce klíčů), které důvěřují oba uživatelé. V tomto případě je třetí strana odpovědná za doručení klíče oběma uživatelům. Obecně řečeno, toto rozhodnutí odporuje samotné podstatě kryptografie – zajištění utajení přenášených uživatelských informací.

Jednoklíčové kryptosystémy využívají principy substituce (náhrady), permutace (transpozice) a kompozice. Náhrada nahrazuje jednotlivé znaky v otevřené zprávě jinými znaky. Šifrování pomocí principu permutace zahrnuje změnu pořadí znaků v jasné zprávě. Aby se zvýšila spolehlivost šifrování, zašifrovaná zpráva přijatá pomocí určité šifry může být znovu zašifrována pomocí jiné šifry. Říkají, že v tomto případě byl použit kompoziční přístup. Proto lze symetrické (jednoklíčové) kryptosystémy zařadit do systémů, které využívají substituční, permutační a kompoziční šifry.

Kryptosystém s veřejným klíčem. K tomu dochází pouze v případě, že uživatelé používají různé klíče KO a KZ při šifrování a dešifrování. Tento kryptosystém se nazývá asymetrický, dvouklíčový nebo veřejný klíč.

Příjemce zprávy (uživatel 2) vygeneruje související pár klíčů:

KO je veřejný klíč, který je veřejně dostupný a tedy dostupný odesílateli zprávy (uživatel 1);

KS je tajný, osobní klíč, který zůstává známý pouze příjemci zprávy (uživateli 1).

Uživatel 1, který má šifrovací klíč KO, používá pro generování šifrovaného textu určitý šifrovací algoritmus.

Uživatel 2, který vlastní tajný klíč Kс, má možnost provést opačnou akci.

V tomto případě uživatel 1 připraví zprávu pro uživatele 2 a před odesláním tuto zprávu zašifruje pomocí soukromého klíče KS. Uživatel 2 může tuto zprávu dešifrovat pomocí veřejného klíče KO. Protože byla zpráva zašifrována osobním klíčem odesílatele, může se chovat jako digitální podpis. Navíc v tomto případě není možné změnit zprávu bez přístupu k osobnímu klíči uživatele 1, takže zpráva také řeší problém identifikace odesílatele a integrity dat.

Nakonec bych rád řekl, že instalací kryptografických bezpečnostních opatření můžete spolehlivě chránit pracoviště zaměstnanec organizace, který přímo pracuje s informacemi, které mají zvláštní význam pro existenci této organizace, před neoprávněným přístupem.

Přesně takový výsledek vyplynul z průzkumu mezi více než 1000 vedoucími IT oddělení velkých a středních evropských společností, který si objednala společnost Intel Corporation. Účelem průzkumu bylo identifikovat problém, který odborníky v oboru nejvíce znepokojuje. Odpověď byla vcelku očekávaná, více než polovina respondentů označila problém zabezpečení sítě za problém, který vyžaduje okamžité řešení. Další výsledky průzkumu jsou také celkem očekávané. Mezi další problémy v této oblasti vede například faktor zabezpečení sítě informační technologie; její význam vzrostl o 15 % ve srovnání se situací před pěti lety.
Podle výsledků průzkumu tráví vysoce kvalifikovaní IT specialisté více než 30 % svého času řešením bezpečnostních problémů. Situace ve velkých firmách (nad 500 zaměstnanců) je ještě alarmující – řešením těchto záležitostí věnuje zhruba čtvrtina respondentů polovinu svého času.

Rovnováha hrozeb a ochrany

Bohužel, otázka bezpečnosti sítě je neoddělitelně spojena se základními technologiemi používanými v moderní telekomunikace. Stalo se tak, že při vývoji rodiny IP protokolů byla dána priorita spolehlivosti sítě jako celku. V době, kdy se tyto protokoly objevily, byla síťová bezpečnost zajišťována zcela jinými způsoby, které bylo v kontextu globální sítě prostě nereálné. Na krátkozrakost vývojářů si můžete hlasitě stěžovat, ale radikálně změnit situaci je téměř nemožné. Nyní jen se musíte umět chránit před potenciálními hrozbami.
Hlavním principem této dovednosti by mělo být rovnováhu mezi potenciálními hrozbami pro zabezpečení sítě a požadovanou úrovní ochrany. Musí být zajištěna srovnatelnost mezi náklady na bezpečnost a náklady na možné škody z realizovaných hrozeb.
Pro moderní velké a střední podniky se informační a telekomunikační technologie staly základem podnikání. Proto se ukázaly jako nejcitlivější na dopady hrozeb. Čím větší a složitější síť, tím větší úsilí vyžaduje její ochrana. Navíc náklady na vytváření hrozeb jsou řádově nižší než náklady na jejich neutralizaci. Tento stav nutí firmy pečlivě vážit důsledky možných rizik z různých hrozeb a volit vhodné způsoby ochrany před těmi nejnebezpečnějšími.
V současnosti představují největší hrozby pro podnikovou infrastrukturu akce související s neoprávněným přístupem k interním zdrojům a blokováním běžného provozu sítě. Takových hrozeb je poměrně velké množství, ale každá z nich je založena na kombinaci technických a lidské faktory. Například k průniku škodlivého programu do firemní sítě může dojít nejen v důsledku zanedbání bezpečnostních pravidel správcem sítě, ale také v důsledku přílišné zvědavosti zaměstnance společnosti, který se rozhodne použít lákavý odkaz z poštovní spam. Proto byste neměli doufat, že ani v nejlepší technická řešení v oblasti bezpečnosti se stane všelékem na všechny neduhy.

řešení třídy UTM

Bezpečnost je vždy relativní pojem. Je-li ho příliš mnoho, pak je použití samotného systému, který se chystáme chránit, znatelně obtížnější. Proto se rozumný kompromis stává první volbou při zajištění bezpečnosti sítě. U středních podniků podle ruských standardů může takové volbě dobře napomoci třídní rozhodnutí UTM (Unified Threat Management nebo United Threat Management), umístěný jako multifunkční zařízení bezpečnost sítí a informací. Tato řešení jsou v jádru softwarové a hardwarové systémy, které kombinují funkce různá zařízení: firewall, systém detekce a prevence narušení sítě (IPS) a také funkce antivirové brány (AV). Tyto komplexy mají často za úkol řešit další úkoly, jako je směrování, přepínání nebo podpora sítí VPN.
Poskytovatelé řešení UTM často nabízejí řešení pro malé podniky. Možná je tento přístup částečně oprávněný. Přesto je pro malé podniky u nás snazší a levnější využívat službu zabezpečení od svého poskytovatele internetu.
Jako každé univerzální řešení má zařízení UTM své klady a zápory. První zahrnuje úsporu nákladů a času na implementaci ve srovnání s organizováním ochrany podobné úrovně ze samostatných bezpečnostních zařízení. UTM je také předem vyvážené a otestované řešení, které dokáže snadno vyřešit širokou škálu bezpečnostních problémů. Konečně řešení této třídy nejsou tak náročná na úroveň kvalifikace technického personálu. Jejich nastavení, správu a údržbu zvládne každý specialista.
Hlavní nevýhodou UTM je fakt, že jakákoliv funkcionalita univerzálního řešení je často méně efektivní než stejná funkcionalita specializovaného řešení. Proto při požadavku na vysoký výkon nebo vysoký stupeň zabezpečení dávají bezpečnostní specialisté přednost řešení založeným na integraci jednotlivých produktů.
Navzdory této nevýhodě se však UTM řešení stávají poptávkou mnoha organizací, které se značně liší v rozsahu a typu činnosti. Podle Rainbow Technologies byla taková řešení úspěšně implementována například pro ochranu serveru jednoho z internetových obchodů domácí přístroje, která byla vystavena pravidelným DDoS útokům. Řešení UTM také umožnilo výrazně snížit objem spamu v poštovním systému jednoho z automobilových holdingů. Kromě řešení lokálních problémů máme zkušenosti s budováním bezpečnostních systémů na bázi UTM řešení pro distribuovanou síť pokrývající centrálu pivovarnické společnosti a její pobočky.

Výrobci UTM a jejich produkty

Ruský trh pro zařízení třídy UTM je tvořen pouze návrhy zahraničních výrobců. Bohužel žádný z domácí výrobci V této třídě zařízení jsem zatím nebyl schopen nabídnout vlastní řešení. Výjimkou je softwarové řešení Eset NOD32 Firewall, který podle společnosti vytvořili ruští vývojáři.
Jak již bylo uvedeno, na ruský trh UTM řešení mohou být zajímavá především pro středně velké společnosti, jejichž firemní síť má do 100-150 pracovišť. Při výběru zařízení UTM, které má být v recenzi prezentováno, byl hlavním kritériem výběru jeho výkon v různých provozních režimech, který by mohl zajistit pohodlný uživatelský zážitek. Výrobci často specifikují výkonové specifikace pro režimy Firewall, IPS Intrusion Prevention a AV Virus Protection.

Řešení Kontrolní bod je nazýván Hrana UTM-1 a je to jednotné bezpečnostní zařízení, které kombinuje firewall, systém prevence narušení, antivirovou bránu a také nástroje VPN a vzdáleného přístupu. Firewall zahrnutý v ovládacích prvcích řešení funguje velký počet aplikací, protokolů a služeb a má také mechanismus pro blokování provozu, který zjevně nezapadá do kategorie podnikových aplikací. Například přenos rychlých zpráv (IM) a peer-to-peer (P2P). Antivirová brána umožňuje sledovat škodlivý kód ve zprávách E-mailem, FTP a HTTP provoz. V tomto případě neexistují žádná omezení velikosti souborů a dekomprese archivních souborů se provádí „za běhu“.
Řešení UTM-1 Edge má pokročilé možnosti pro práci v sítích VPN. Je podporováno dynamické směrování OSPF a VPN připojení klientů. Model UTM-1 Edge W je k dispozici s vestavěným WiFi hotspot Přístup IEEE 802.11b/g.
Když jsou vyžadována rozsáhlá nasazení, UTM-1 Edge se hladce integruje s Check Point SMART, aby se výrazně zjednodušila správa zabezpečení.

Společnost Cisco tradičně věnuje zvýšenou pozornost otázkám zabezpečení sítě a nabízí širokou škálu potřebná zařízení. Pro recenzi jsme se rozhodli vybrat model Cisco ASA 5510, která je zaměřena na zajištění bezpečnosti perimetru podnikové sítě. Toto zařízení je součástí řady ASA 5500, která zahrnuje modulární ochranné systémy třídy UTM. Tento přístup umožňuje přizpůsobit bezpečnostní systém zvláštnostem fungování sítě konkrétního podniku.
Cisco ASA 5510 se dodává ve čtyřech hlavních sadách – firewall, nástroje VPN, systém prevence narušení a také antivirové a antispamové nástroje. Řešení obsahuje další komponenty, jako je systém Security Manager pro vytvoření infrastruktury pro správu rozsáhlé podnikové sítě a systém Cisco MARS, určený k monitorování síťového prostředí a reakci na narušení bezpečnosti v reálném čase.

Slovák Společnost Eset dodává softwarový balík Firewall Eset NOD32 Třída UTM, která zahrnuje kromě funkcí firemního firewallu také systém antivirové ochrany Eset NOD32, nástroje pro filtrování pošty (antispamu) a webového provozu, systémy detekce a prevence síťových útoků IDS a IPS. Řešení podporuje vytváření sítí VPN. Tento komplex je postaven na serverové platformě se systémem Linux. Softwarová část vyvinutá zařízení tuzemská společnost Leta IT, ovládaná ruským zastoupením společnosti Eset.
Toto řešení umožňuje ovládání síťový provoz v reálném čase je podporováno filtrování obsahu podle kategorií webových zdrojů. Poskytuje ochranu před útoky DDoS a blokuje pokusy o skenování portů. Řešení Eset NOD32 Firewall zahrnuje podporu DNS servery DHCP a Change Management šířku pásma kanál. Provoz poštovních protokolů SMTP a POP3 je řízen.
Toto řešení také zahrnuje možnost vytvářet distribuované firemní sítě pomocí připojení VPN. Současně jsou podporovány různé režimy síťové agregace, autentizace a šifrovacích algoritmů.

Společnost Fortinet nabízí celou rodinu zařízení FortiGate třídy UTM, umísťující svá řešení tak, aby byla schopna poskytovat ochranu sítě při zachování vysoké úrovně výkonu a také spolehlivého a transparentního provozu podnikových informačních systémů v reálném čase. Pro recenzi jsme vybrali model FortiGate-224B, která je zaměřena na ochranu perimetru podnikové sítě se 150 - 200 uživateli.
Vybavení FortiGate-224B zahrnuje funkci firewallu, VPN server, filtrování webového provozu, systémy prevence narušení a také antivirovou a antispamovou ochranu. Tento model má vestavěný přepínač LAN vrstvy 2 a rozhraní WAN, což eliminuje potřebu externí zařízení směrování a přepínání. Pro tento účel je podporováno směrování pomocí protokolů RIP, OSPF a BGP a také protokoly pro autentizaci uživatele před poskytováním síťových služeb.

Společnost SonicWALL nabízí široký výběr UTM zařízení, ze kterých bylo řešení zařazeno do této recenze NSA 240. Toto zařízení je juniorský model v řadě zaměřené na použití jako bezpečnostní systém pro podnikovou síť středních podniků a pobočky velkých společností.
Tato linie je založena na využití všech prostředků ochrany před potenciálními hrozbami. Jedná se o firewall, systém ochrany proti vniknutí, antivirové a antispywarové brány. software. K dispozici je filtrování webového provozu podle 56 kategorií stránek.
Jako jeden z vrcholů svého řešení SonicWALL uvádí technologii hlubokého skenování a analýzy příchozího provozu. Aby nedošlo ke snížení výkonu tuto technologii využívá paralelní zpracování dat na víceprocesorovém jádře.
Toto zařízení podporuje VPN, má pokročilé možnosti směrování a podporuje různé síťových protokolů. Řešení od SonicWALL je také schopno poskytnout vysokou úroveň zabezpečení při obsluze VoIP provozu pomocí protokolů SIP a H.323.

Z produktové řady Společnost WatchGuardřešení bylo vybráno ke kontrole Firebox X550e, který je umístěn jako systém s pokročilou funkcionalitou pro zajištění síťové bezpečnosti a je zaměřen na použití v sítích malých a středních podniků.
Řešení třídy UTM tohoto výrobce jsou založena na principu ochrany proti smíšeným síťovým útokům. Aby toho bylo dosaženo, zařízení podporuje firewall, systém prevence útoků, antivirové a antispamové brány, filtrování webových zdrojů a také antispywarový systém.
Toto zařízení využívá princip společné ochrany, podle kterého síťový provoz kontrolovaný podle určitého kritéria na jedné úrovni ochrany nebude kontrolován stejným kritériem na jiné úrovni. Tento přístup umožňuje vysoký výkon zařízení.
Za další výhodu svého řešení výrobce nazývá podporu technologie Zero Day, která zajišťuje bezpečností nezávislost na přítomnosti podpisů. Tato funkce je důležitá, když se objeví nové typy hrozeb, kterým dosud nebylo možné účinně čelit. Obvykle „okno zranitelnosti“ trvá několik hodin až několik dní. Při použití technologie Zero Day se znatelně snižuje pravděpodobnost negativních důsledků z okna zranitelnosti.

Společnost ZyXEL nabízí své firewallové řešení třídy UTM, zaměřené na použití v podnikových sítích do 500 uživatelů. Tento Řešení ZyWALL 1050 navržený k vybudování systému zabezpečení sítě, včetně plné antivirové ochrany, prevence narušení a podpory virtuálních privátních sítí. Zařízení má pět portů Gigabit Ethernet, které lze nakonfigurovat pro použití jako rozhraní WAN, LAN, DMZ a WLAN v závislosti na konfiguraci sítě.
Zařízení podporuje přenos VoIP aplikačního provozu přes protokoly SIP a H.323 na úrovni firewallu a NAT a také přenos paketového telefonního provozu v tunelech VPN. Zároveň je zajištěno fungování mechanismů prevence útoků a hrozeb pro všechny typy provozu včetně VoIP provozu, provoz antivirového systému s plnou databází podpisů, filtrování obsahu pro 60 kategorií webových stránek a ochrana proti spamu.
Řešení ZyWALL 1050 podporuje různé topologie privátních sítí, pracuje v režimu koncentrátoru VPN a kombinuje virtuální sítě do zón s jednotnými bezpečnostními politikami.

Hlavní charakteristiky UTM

Názor odborníka

Dmitrij Kostrov, projektový ředitel Ředitelství technologické ochrany Podnikového centra MTS OJSC

Rozsah UTM řešení se týká především společností klasifikovaných jako malé a střední podniky. Samotný koncept Unified Threat Management (UTM), jako samostatné třídy zařízení pro ochranu síťové zdroje, představila mezinárodní agentura IDC, podle které jsou UTM řešení multifunkčními softwarovými a hardwarovými systémy, které kombinují funkce různých zařízení. Obvykle mezi ně patří firewall, VPN, systémy detekce a prevence narušení sítě, stejně jako antivirové a antispamové brány a funkce filtrování URL.
Aby bylo dosaženo skutečně účinné ochrany, musí být zařízení víceúrovňové, aktivní a integrované. Přitom řada výrobců bezpečnostních produktů má již poměrně širokou škálu produktů souvisejících s UTM. Dostatečná jednoduchost nasazení systému a také all-in-one systém činí trh s těmito zařízeními poměrně atraktivní. Celkové náklady na vlastnictví a návratnost investic při implementaci těchto zařízení se zdají velmi atraktivní.
Ale toto řešení UTM je jako „švýcarský armádní nůž“ – pro každou situaci existuje nástroj, ale k proražení díry do zdi potřebujete skutečný vrták. Existuje také možnost, že vznik ochrany proti novým útokům, aktualizace signatur atp. nebude tak rychlý, na rozdíl od podpory jednotlivých zařízení v „klasickém“ schématu ochrany podnikové sítě. Zůstává také problém jediného bodu selhání.

Identifikace/autentizace (IA) operátorů musí být provedena na hardwaru před fází spouštění operačního systému. Databáze IA musí být uloženy v energeticky nezávislé paměti systémů informační bezpečnosti (IPS), organizované tak, aby k nim nebyl přístup pomocí PC, tzn. Energeticky nezávislá paměť musí být umístěna mimo adresní prostor PC.

Identifikace/ověření vzdálených uživatelů, stejně jako v předchozím případě, vyžaduje hardwarovou implementaci. Autentizace možná různé způsoby, včetně elektronického digitálního podpisu (EDS). Požadavek „posílené autentizace“ se stává povinným, tzn. periodické opakování postupu za provozu v dostatečně malých časových intervalech, aby v případě překonání ochrany nemohl útočník způsobit významné škody.

2. Ochrana technických zařízení před neoprávněným přístupem

Prostředky ochrany počítačů před neoprávněným přístupem lze rozdělit na elektronické zámky (EL) a hardwarové důvěryhodné spouštěcí moduly (THM). Jejich hlavním rozdílem je způsob implementace kontroly integrity. Elektronické zámky provádějí uživatelské I/A procedury v hardwaru a používají externí software k provádění procedur monitorování integrity. ASMD implementuje do hardwaru jak funkce elektronického zabezpečení, tak funkce monitorování integrity a funkce správy.

Sledování integrity technického složení PC a LAN. Sledování integrity technického složení PC musí být provedeno ovladačem SZI před načtením OS. Zároveň by měly být kontrolovány všechny zdroje, které lze (potenciálně) sdílet, včetně procesor, systém BIOS, diskety, pevné disky a CD-ROM.

Integrita technického složení LAN musí být zajištěna postupem pro vylepšenou síťovou autentizaci. Postup je nutné provést ve fázi připojování ověřených PC k síti a následně v časových intervalech předem stanovených bezpečnostním správcem.

Sledování integrity OS, tzn. monitorování integrity systémových oblastí a souborů OS musí být provedeno kontrolérem před načtením OS, aby bylo zajištěno, že budou čtena skutečná data. Vzhledem k tomu, že při správě elektronických dokumentů lze použít různé operační systémy, musí software zabudovaný do řadiče poskytovat podporu pro nejoblíbenější systémy souborů.

Sledování integrity aplikačního softwaru (ASW) a dat mohou být prováděny jak hardwarovými, tak softwarovými součástmi systému informační bezpečnosti.

3. Omezení přístupu k dokumentům, PC a síťovým zdrojům

Moderní operační systémy stále častěji obsahují vestavěné nástroje pro řízení přístupu. Tyto nástroje obvykle používají specifické vlastnosti souborový systém(FS) a jsou založeny na atributech spojených s jednou z úrovní API operačního systému. V tomto případě nevyhnutelně vyvstávají následující dva problémy.

Vazba na vlastnosti systému souborů. Moderní operační systémy zpravidla nepoužívají jeden, ale několik souborových systémů - nových i zastaralých. Obvykle na novém FS řízení přístupu zabudované v OS funguje, ale na starém FS nemusí fungovat, protože používá značné rozdíly v novém FS.

Tato okolnost nebývá v certifikátu přímo uvedena, což může uživatele uvést v omyl. V tomto případě jsou do nového OS zahrnuty staré souborové systémy za účelem zajištění kompatibility.

Vazba na API operačního systému. Operační systémy se nyní zpravidla mění velmi rychle – jednou za rok a půl. Je možné, že se budou měnit ještě častěji. Pokud atributy řízení přístupu odrážejí složení API, bude s přechodem na moderní verzi OS nutné předělat nastavení bezpečnostního systému, přeškolit personál atd.

Můžeme tedy formulovat obecný požadavek - subsystém řízení přístupu musí být superponovaný na operačním systému a tím být nezávislý na systému souborů. Složení atributů by samozřejmě mělo postačovat pro účely popisu bezpečnostní politiky a popis by neměl být proveden z hlediska API OS, ale z hlediska, ve kterém jsou správci zabezpečení systému zvyklí pracovat.

4.Ochrana elektronických dokumentů

Ochrana elektronické výměny informací zahrnuje dvě třídy úkolů:

Zajištění rovnocennosti dokumentu během jeho životního cyklu s původním standardem elektronického dokumentu;

Zajištění ekvivalence aplikovaných elektronických technologií s referenčními.

Účelem každé ochrany je zajistit stabilitu stanovených vlastností chráněného objektu ve všech bodech životního cyklu. Bezpečnost objektu je realizována porovnáním standardu (objekt v počátečním bodě prostoru a času) a výsledku (objekt v okamžiku pozorování). Pokud jsou například v místě pozorování (přijetí elektronického dokumentu) pouze velmi omezené kontextové informace o normě (obsah původního elektronického dokumentu), ale existuje úplné informace o výsledku (sledovaného dokumentu), to znamená, že elektronický dokument musí obsahovat atributy, které osvědčují shodu s technickými a technologickými požadavky, a to neměnnost zprávy ve všech fázích výroby a přepravy dokumentu. Jednou z možností atributů mohou být bezpečnostní autentizační kódy (SCA).

Ochrana dokumentu při jeho vytváření. Při vytváření dokumentu musí být vygenerován hardwarově bezpečnostní kód autentizace. Záznam kopie elektronického dokumentu na externí média před vývojem ZKA by měl být vyloučen. Pokud je elektronický dokument generován provozovatelem, pak musí být ZKA spojen s provozovatelem. Pokud je EL generován softwarovou komponentou AS, pak musí být ZKA generován ve spojení s touto softwarovou komponentou.

Ochrana dokumentu během přenosu. Ochrana dokumentu při přenosu prostřednictvím externích (otevřených) komunikačních kanálů musí být prováděna na základě použití certifikovaných kryptografických prostředků, včetně použití elektronického digitálního podpisu (EDS) pro každý přenášený dokument. Je možná i jiná možnost - stoh dokumentů je podepsán elektronickým digitálním podpisem a každý jednotlivý dokument je certifikován jiným analogem vlastnoručního podpisu (HSA), například ZKA.

Ochrana dokumentu při jeho zpracování, uložení a provedení. V těchto fázích je ochrana dokumentů prováděna pomocí dvou bezpečnostních kontrol – vstupní a výstupní pro každou fázi. V tomto případě musí být ZKA generován v hardwaru se ZKA propojeným s procesem zpracování (etapa informačních technologií). Pro přijatý dokument (se ZKA a digitálním podpisem) je vygenerován druhý ZKA a teprve poté je digitální podpis odstraněn.

Ochrana dokumentu při přístupu z externího prostředí. Ochrana dokumentu při přístupu k němu z vnějšího prostředí zahrnuje dva již popsané mechanismy - identifikaci/autentizaci vzdálených uživatelů a omezení přístupu k dokumentům, prostředkům PC a síti.

5. Ochrana dat v komunikačních kanálech

Tradičně se k ochraně dat v komunikačním kanálu používají kanálové kódovače a přenášejí se nejen data, ale také řídicí signály.

6. Ochrana informačních technologií

Přes určité podobnosti jsou mechanismy ochrany samotných elektronických dat jako objektu (číslo, data) a ochrany digitálních dat jako procesu (funkce, výpočetní prostředí) radikálně odlišné. Při ochraně informačních technologií jsou na rozdíl od ochrany elektronických dat spolehlivě známy charakteristiky požadované standardní technologie, avšak informace o splnění těchto požadavků skutečně používanou technologií jsou omezené, tzn. výsledek. Jediným objektem, který může nést informaci o skutečné technologii (jako sled operací), je samotný ED, respektive atributy v něm obsažené. Stejně jako dříve může být jedním z typů těchto atributů ZKA. Ekvivalenci technologií lze stanovit přesněji, čím větší je počet funkčních operací spojených se zprávou prostřednictvím PCA. Mechanismy se neliší od mechanismů používaných k ochraně ELD. Navíc můžeme předpokládat, že přítomnost konkrétního TKA charakterizuje přítomnost odpovídající operace v technologickém procesu a hodnota TKA charakterizuje integritu zprávy na v tomto stádiu technologický postup.

7. Řízení přístupu k datovým tokům

Pro účely omezení přístupu k datovým tokům se obvykle používají směrovače, které používají kryptografická bezpečnostní opatření. V takových případech je věnována zvláštní pozornost systému klíčů a spolehlivosti úložiště klíčů. Požadavky na přístup pro vymezování toků se liší od požadavků na omezení přístupu k souborům a adresářům. Zde je to pouze možné nejjednodušší mechanismus- přístup je povolen nebo zakázán.

Splnění uvedených požadavků zajišťuje dostatečnou úroveň zabezpečení elektronických dokumentů jako nejdůležitějšího typu zpráv zpracovávaných v informačních systémech.

Jako technický prostředek ochrany informací byl v současné době vyvinut hardwarový důvěryhodný spouštěcí modul (TLM), který zajišťuje načtení OS bez ohledu na jeho typ pro uživatele ověřeného bezpečnostním mechanismem. Výsledky vývoje systému ochrany informací NSD „Accord“ (vyvinutého OKB SAPR) jsou sériově vyráběny a jsou dnes nejznámějším prostředkem ochrany počítačů před neoprávněným přístupem v Rusku. Při vývoji byla využita specifika aplikační oblasti, odrážející se v rodině hardwaru pro informační bezpečnost ve správě elektronických dokumentů, které využívají autentizační kódy (AC) na různých úrovních. Podívejme se na příklady použití hardwaru.

1. V pokladnách (CCM) se CA používají jako prostředek k ověřování šeků jako jeden z typů elektronických dokumentů. Každá pokladna musí být vybavena inteligentní fiskální paměťovou (FP) jednotkou, která kromě funkcí akumulace dat o výsledcích prodeje plní řadu funkcí:

Poskytuje ochranu pokladního softwaru a dat před neoprávněným přístupem;

Generuje autentizační kódy jak pro pokladnu, tak pro každý šek;

Podporuje standardní rozhraní pro interakci s modulem daňového inspektora;

Zajišťuje sběr fiskálních dat pro předání finančnímu úřadu současně s rozvahou.

Vyvinutý blok FP „Accord-FP“ je vyroben na základě systému informační bezpečnosti Accord. Vyznačuje se následujícími vlastnostmi:

Funkce systému informační bezpečnosti NSD jsou integrovány s funkcemi FP;

Blok FP také obsahuje trvalé registry PFC;

Nedílnou součástí bloku Accord-FP jsou také postupy modulu daňového inspektora.

2. V systému sledování integrity a potvrzování spolehlivosti elektronických dokumentů (SKTSPD) v automatizovaném systému na federální nebo regionální úrovni je zásadní rozdíl ve schopnosti chránit každý jednotlivý dokument. Tento systém umožňoval ovládání bez výrazného zvýšení provozu. Základem pro vytvoření takového systému byl řadič Accord-S B/KA - vysoce výkonný bezpečnostní koprocesor, který implementuje funkce generování/ověřování autentizačních kódů.

Regionální informační a výpočetní centrum (RICC) zajišťuje řízení činnosti SCCPD jako celku, interaguje se všemi automatizovanými pracovními stanicemi kosmické lodi – automatizovanými pracovními stanicemi zúčastněných operátorů vybavenými softwarovými a hardwarovými systémy „Accord-SB/KA“ ( A-SB/KA) a software SKTSPD. RIVC by měl obsahovat dvě automatizované pracovní stanice – AWP-K pro vytváření klíčů, AWP-R pro přípravu rozpětí ověřovacích dat.

3. Aplikace autentizačních kódů v subsystémech ochrany technologických informací elektronických dat. Základem pro implementaci hardwarové informační bezpečnosti může být „Accord SB“ a „Accord AMDZ“ (z hlediska prostředků ochrany před neoprávněným přístupem). K ochraně technologií se používají autentizační kódy. Autentizační kódy pro elektronické dokumenty v subsystému technologické informační bezpečnosti jsou generovány a ověřovány na autentizačních kódových serverech (ACA) pomocí klíčových tabulek (tabulek spolehlivosti) uložených ve vnitřní paměti koprocesorů Accord-SB instalovaných v ACA. Tabulky spolehlivosti, uzavřené na dodacích klíčích, jsou doručeny do SKA a načteny do vnitřní paměť koprocesory, kde dochází k jejich zveřejnění. Doručovací klíče jsou generovány a registrovány na specializované automatizované pracovní stanici ARM-K a načteny do koprocesorů v počáteční fázi procesu jejich personalizace.

Zkušenosti s rozsáhlou praktickou aplikací více než 100 000 hardwarových bezpečnostních modulů typu Accord v počítačových systémech různých organizací v Rusku a sousedních zemích ukazují, že zaměření na hardwarově-softwarové řešení bylo zvoleno správně, protože má velký potenciál pro další vývoj a zlepšení.

závěry

Podcenění problémů souvisejících s informační bezpečností může vést k obrovským škodám.

Nárůst počítačové kriminality nás nutí starat se o informační bezpečnost.

Používání stejného typu masového softwaru a hardwaru v ruské praxi (například osobní počítače kompatibilní s IBM; operační systémy - Window, Unix, MS DOS, Netware atd.) vytváří do jisté míry podmínky pro útočníky.

Strategie budování systému informační bezpečnosti by měla být založena na komplexních řešeních, na integraci informačních technologií a bezpečnostních systémů, na využití pokročilých technik a nástrojů a na univerzálních technologiích informační bezpečnosti průmyslového typu.

Otázky pro sebeovládání

1. Vyjmenujte typy ohrožení informací, uveďte definici hrozby.

2. Jaké metody ochrany informací existují?

3. Popište řízení přístupu jako způsob ochrany informací. Jaká je jeho role a význam?

4. Jaký je účel kryptografických metod pro ochranu informací? Vyjmenujte je.

5. Uveďte pojem autentizace a digitálního podpisu. Jaká je jejich podstata?

6. Diskutovat o problémech informační bezpečnosti v sítích a možnostech jejich řešení.

7. Odhalte rysy strategie ochrany informací pomocí systematického přístupu, integrovaných řešení a principu integrace v informačních technologiích.

8. Vyjmenujte fáze tvorby systémů informační bezpečnosti.

9. Jaká opatření jsou nezbytná k zavedení technické ochrany technologií elektronické správy dokumentů?

10. Co je podstatou multiplikativního přístupu?

11. Jaké postupy je třeba dodržovat pro ochranu systému elektronické správy dokumentů?

12. Jaké funkce plní firewall?

Testy pro Ch. 5

Doplňte chybějící pojmy a fráze.

1. Události nebo akce, které by mohly vést k neoprávněnému použití, poškození nebo zničení informací, se nazývají...

2. Mezi hrozby pro informační bezpečnost je třeba rozlišovat dva typy: ...

3. Uvedené typy proti hrozbám informační bezpečnosti: obstrukce, řízení přístupu, šifrování, regulace, donucování a pobízení se týkají... zajištění bezpečnosti informací.

4. Následující metody boje proti bezpečnostním hrozbám: fyzické, hardwarové, softwarové, organizační, legislativní, morální a etické, fyzické se týkají... zajištění bezpečnosti informací.

5. Kryptografické metody ochrany informací jsou založeny na jeho...

6. Přiřazení jedinečného označení uživateli k potvrzení jeho souladu se nazývá...

7. Ověření uživatele za účelem ověření jeho souladu se nazývá...

8. Největší hrozba pro podnikové sítě souvisí s:

a) s heterogenitou informačních zdrojů a technologií;

b) se softwarem a hardwarem;

c) s poruchami zařízení. Zvolit správné odpovědi.

9. Racionální úroveň zabezpečení informací v podnikových sítích je primárně vybírána na základě následujících úvah:

a) specifikace metod ochrany;

b) ekonomická proveditelnost;

c) obranné strategie.

10. Rezidentní program, který je trvale umístěn v paměti počítače a řídí operace související se změnou informací na magnetických discích, se nazývá:

a) detektor;

c) hlídač;

d) auditor.

11. Antivirové produkty jsou určeny:

a) otestovat systém;

b) chránit program před viry;

c) kontrolovat programy na přítomnost virů a jejich léčbu;

d) k monitorování systému.

V počáteční fázi vývoje síťových technologií byly škody způsobené viry a jinými typy počítačových útoků malé, protože závislost světové ekonomiky na informačních technologiích byla malá. V současné době, v kontextu značné závislosti podnikání na elektronických prostředcích přístupu a výměny informací a stále se zvyšujícím počtu útoků, se škody způsobené těmi nejmenšími útoky vedoucími ke ztrátě počítačového času odhadují na miliony dolarů a celkové roční škody na světové ekonomice dosahují desítek miliard dolarů.

Informace zpracovávané v podnikových sítích jsou obzvláště zranitelné, což usnadňuje:

• zvýšení objemu informací zpracovávaných, přenášených a ukládaných v počítačích;
• koncentrace informací různé úrovně důležitosti a důvěrnosti v databázích;
• rozšíření přístupu okruhu uživatelů k informacím uloženým v databázích a ke zdrojům počítačová síť;
• zvýšení počtu vzdálených úloh;
• rozšířené používání globální Internetové sítě a různé komunikační kanály;
• automatizace výměny informací mezi uživatelskými počítači.

Analýza nejběžnějších hrozeb, kterým jsou vystaveny moderní kabelové podnikové sítě, ukazuje, že zdroje hrozeb se mohou lišit od neoprávněných vniknutí útočníků až po počítačové viry, zatímco lidské chyby jsou velmi významnou hrozbou pro bezpečnost. Je nutné vzít v úvahu, že zdroje bezpečnostních hrozeb mohou být umístěny jak uvnitř CIS - vnitřní zdroje, tak mimo něj - externí zdroje. Toto rozdělení je zcela oprávněné, protože u stejné hrozby (například krádež) jsou protiopatření pro vnější a vnitřní zdroje odlišná. Pro výběr nejúčinnějších bezpečnostních opatření je nezbytná znalost možných hrozeb a také zranitelnosti CIS.

Nejčastější a nejnebezpečnější (z hlediska výše škody) jsou neúmyslné chyby uživatelů, operátorů a správci systému servis CIS. Někdy takové chyby vedou k přímému poškození (nesprávně zadaná data, chyba v programu, která způsobila zastavení nebo kolaps systému) a někdy vytvářejí slabiny, které mohou útočníci zneužít (většinou se jedná o administrativní chyby).

Podle amerického Národního institutu pro standardy a technologie (NIST) je 55 % porušení zabezpečení IP výsledkem neúmyslných chyb. Práce v globálním informačním systému činí tento faktor poměrně relevantním a zdrojem škod může být jak jednání uživatelů organizace, tak uživatelů globální sítě, což je obzvláště nebezpečné. Na Obr. Obrázek 2.4 ukazuje koláčový graf ilustrující statistické údaje o zdrojích narušení bezpečnosti v CIS.

Krádeže a padělání jsou z hlediska škod na druhém místě. Ve většině prověřovaných případů se ukázalo, že pachatelé byli zaměstnanci organizací na plný úvazek, kteří dobře znali pracovní režim a ochranná opatření. Přítomnost výkonného informačního kanálu komunikace s globálními sítěmi při absenci řádné kontroly nad jeho provozem může tyto činnosti dále usnadnit.

Nečestný

Útoky zvenčí

Uražený

Uživatelské a personální chyby

4 % virů

Rýže. 2.4. Zdroje narušení bezpečnosti

zaměstnanci

Problémy

fyzický

bezpečnostní

Uražení zaměstnanci, a to i bývalí, znají postupy v organizaci a jsou schopni velmi účinně ublížit. Proto při propuštění zaměstnance musí být jeho přístupová práva k informačním zdrojům odebrána.

Záměrné pokusy získat NSD prostřednictvím externí komunikace zabírají asi 10 % všech možných porušení. Ačkoli se toto číslo nemusí zdát významné, zkušenosti s internetem ukazují, že téměř každý internetový server je několikrát denně vystaven pokusům o narušení. Testy Agentury pro ochranu informačních systémů (USA) ukázaly, že 88 % počítačů má slabá místa z hlediska zabezpečení informací, které lze aktivně využít k získání neoprávněného přístupu. Samostatně by měly být zváženy případy vzdáleného přístupu k informačním strukturám organizace.

Před budováním bezpečnostní politiky je nutné vyhodnotit rizika, kterým je vystaveno počítačové prostředí organizace, a přijmout vhodná opatření. Je zřejmé, že náklady organizace na sledování a prevenci bezpečnostních hrozeb by neměly přesáhnout očekávané ztráty.

Poskytnuté statistiky mohou správě a zaměstnancům organizace říci, kam by se mělo zaměřit úsilí na účinné snížení bezpečnostních hrozeb pro podnikovou síť a systém. Samozřejmě je nutné řešit otázky fyzické bezpečnosti a opatření ke snížení negativního dopadu na bezpečnost lidských chyb, ale zároveň je nutné věnovat nejvážnější pozornost řešení problémů síťové bezpečnosti, aby se předešlo útokům na podnikové sítě a systému, a to jak zvenčí, tak zevnitř systému.

Ve snaze zajistit životaschopnost společnosti zaměřují bezpečnostní týmy svou pozornost na ochranu perimetru sítě – služeb dostupných z internetu. Obraz temného útočníka, který je připraven zaútočit na publikované služby společnosti odkudkoli na světě, vážně děsí majitele firem. Jak je to ale spravedlivé, vezmeme-li v úvahu, že nejcennější informace se nenacházejí na perimetru organizace, ale v hloubi jejích podnikových sítí? Jak posoudit přiměřenost zabezpečení infrastruktury vůči vnějším a vnitřním útokům?

"Loď v přístavu je bezpečná, ale na to nejsou lodě stavěny"

Pocit bezpečí je klamný

V podmínkách totální informatizace a globalizace klade byznys nové požadavky na flexibilitu a nezávislost firemních zdrojů ve vztahu ke svým koncovým uživatelům: do popředí se dostávají zaměstnanci a partneři. Z tohoto důvodu jsou dnešní podnikové sítě velmi vzdálené tradičnímu pojetí izolace (navzdory tomu, že tak byly původně charakterizovány).

Představte si kancelář: stěny chrání před vnějším světem, příčky a stěny rozdělují celkovou plochu na menší specializované zóny: kuchyně, knihovna, obslužné místnosti, pracoviště atd. Přechod ze zóny do zóny probíhá na určitých místech – ve dveřích, a, v případě potřeby tam kontrolovány dodatečné finanční prostředky: videokamery, systémy kontroly vstupu, usměvaví strážci... Vstupem do takové místnosti se cítíme bezpečně, je tu pocit důvěry a dobré vůle. Je však třeba si uvědomit, že tento pocit je pouze psychologickým efektem vycházejícím z „divadla bezpečí“, kdy je cílem aktivit sice zvýšení bezpečnosti, ale ve skutečnosti se o jeho existenci pouze vytváří názor. Koneckonců, pokud útočník opravdu chce něco udělat, pak se pobyt v kanceláři nestane nepřekonatelnou obtíží a možná naopak, budou zde další příležitosti.

Totéž se děje v podnikových sítích. V podmínkách, kdy je možné být uvnitř podnikové sítě, jsou klasické přístupy k zajištění bezpečnosti nedostatečné. Faktem je, že metody ochrany jsou založeny na modelu vnitřních hrozeb a jsou zaměřeny na boj proti zaměstnancům, kteří mohou náhodně nebo úmyslně, avšak bez řádné kvalifikace, porušit bezpečnostní politiku. Ale co když je uvnitř šikovný hacker? Náklady na překonání perimetru sítě organizace na podzemním trhu mají téměř pevnou cenu pro každou organizaci a v průměru nepřesahují 500 USD. Například následující ceník je uveden na černém trhu s hackerskými službami společnosti Dell od dubna 2016:

V důsledku toho si můžete koupit firemní hackování poštovní schránka, účet ze kterého bude s největší pravděpodobností vhodný pro všechny ostatní firemní služby společnosti díky rozšířenému principu autorizace Single Sign-on. Nebo si kupte polymorfní viry, které nelze sledovat antiviry, a použijte phishingové e-maily k infikování neopatrných uživatelů, čímž převezmete kontrolu nad počítačem v podnikové síti. Pro dobře chráněné perimetry sítě se nedostatky lidského vědomí využívají např. nákupem nových identifikačních dokladů a získáváním údajů o pracovním a osobním životě pracovníka organizace prostřednictvím objednávky kybernetické špionáže, lze využít sociální inženýrství a získat důvěrná informace.

Naše zkušenosti s prováděním penetračních testů ukazují, že vnější perimetr je penetrován v 83 % případů a v 54 % to nevyžaduje vysoce kvalifikované školení. Přitom podle statistik je přibližně každý pátý zaměstnanec společnosti připraven vědomě prodat svá pověření, včetně těch pro vzdálený přístup, a výrazně tak zjednodušit pronikání do perimetru sítě. Za takových podmínek se interní a externí útočníci stávají nerozeznatelnými, což vytváří novou výzvu pro bezpečnost podnikových sítí.

Odebírání kritických dat a nechrání je

V rámci podnikové sítě je přihlášení do všech systémů řízeno a dostupné pouze již ověřeným uživatelům. Právě tato kontrola se ale ukazuje jako dříve zmíněné obvyklé „divadlo bezpečnosti“, protože skutečný stav věcí vypadá velmi ponuře, což potvrzují i ​​statistiky o zranitelnosti podnikových informačních systémů. Zde jsou některé z hlavních nevýhod podnikových sítí.

• Slovníková hesla

Kupodivu, používání slabých hesel je typické nejen pro běžné zaměstnance společnosti, ale i pro samotné IT administrátory. Služby a zařízení si například často uchovávají výchozí hesla nastavená výrobcem nebo se pro všechna zařízení používá stejná základní kombinace. Například jedna z nejoblíbenějších kombinací je Účet admin s heslem admin nebo password. Populární jsou také krátká hesla skládající se z malých písmen latinské abecedy a jednoduchých číselných hesel jako 123456. Můžete tak rychle hrubou silou vynutit heslo, najít správnou kombinaci a získat přístup k firemním zdrojům.

• Ukládání kritických informací v rámci sítě do otevřený formulář

Představme si situaci: útočník získal přístup do vnitřní sítě, mohou existovat dva scénáře vývoje událostí. V prvním případě jsou informace uloženy v otevřené podobě a společnost okamžitě podstupuje vážná rizika. V jiném případě se data v síti zašifrují, klíč se uloží na jiné místo – a firma má šanci a čas vzdorovat útočníkovi a zachránit důležité dokumenty před krádeží.

• Použití starších verzí operační systémy a jejich součásti

Pokaždé, když je vydána aktualizace, je současně vydána bílá kniha s podrobnostmi o tom, jaké problémy a chyby byly v aktualizaci opraveny. nová verze. Pokud byl objeven problém související se zabezpečením, útočníci začnou aktivně zkoumat toto téma, nacházet související chyby a na tomto základě vyvíjet nástroje pro hackování.

Až 50 % společností svůj software buď neaktualizuje, nebo to udělá příliš pozdě. Na začátku roku 2016 trpěla nemocnice Royal Melbourne Hospital podběhem počítačů Ovládání Windows XP. Virus se nejprve dostal na počítač patologického oddělení a rychle se rozšířil po síti a na nějakou dobu zablokoval automatizovanou práci celé nemocnice.

• Používání samostatně vyvinutých podnikových aplikací bez bezpečnostních kontrol

Hlavním úkolem našeho vlastního vývoje je funkční výkon. Takové aplikace mají nízký bezpečnostní práh a jsou často vydávány v podmínkách nedostatku zdrojů a řádné podpory ze strany výrobce. Produkt skutečně funguje, plní úkoly, ale zároveň je velmi snadné hacknout a získat přístup k potřebným datům.

• Nedostatek účinné antivirové ochrany a dalších bezpečnostních opatření

Předpokládá se, že to, co je skryto zvenčí, je chráněno, tj. vnitřní síť je jakoby bezpečná. Ochranka bedlivě sleduje vnější perimetr, a pokud je takto dobře střežen, pak se do vnitřního nedostane hacker. Ve skutečnosti však v 88 % případů společnosti neimplementují procesy detekce zranitelnosti, neexistují žádné systémy prevence narušení a žádné centralizované ukládání bezpečnostních událostí. Dohromady to nezajišťuje efektivně bezpečnost podnikové sítě.

Současně mají informace, které jsou uloženy v podnikové síti, vysoký stupeň důležitosti pro chod podniku: klientské databáze v CRM systémech a fakturaci, kritické obchodní ukazatele v ERP, obchodní komunikace v poště, tok dokumentů obsažený v portály a souborové zdroje atd. P.

Hranice mezi podnikovou a veřejnou sítí se tak rozmazala, že je velmi obtížné a nákladné plně kontrolovat její bezpečnost. Koneckonců, téměř nikdy nepoužívají protiopatření proti krádežím nebo obchodování s účty, nedbalosti správce sítě, hrozbám implementovaným prostřednictvím sociálního inženýrství atd. Což nutí útočníky používat právě tyto techniky k překonání vnější ochrany a přiblížení se zranitelné infrastruktuře pomocí cennějších informace.

Řešením může být koncept informační bezpečnosti, kdy je bezpečnost vnitřní a vnější sítě zajištěna na základě jediného modelu hrozby as pravděpodobností přeměny jednoho typu útočníka na jiný.

Útočníci versus obránci – kdo vyhraje?

Informační bezpečnost jako stát je možná pouze v případě nepolapitelného Joea - kvůli jeho zbytečnosti. Ke konfrontaci mezi útočníky a obránci dochází v zásadně odlišných rovinách. Útočníci těží z porušení důvěrnosti, dostupnosti nebo integrity informací, a čím efektivnější a efektivnější je jejich práce, tím více mohou mít prospěch. Ochránci z bezpečnostního procesu vůbec netěží, jakýkoli krok je nevratnou investicí. Proto se rozšířilo řízení bezpečnosti založené na riziku, při kterém se pozornost obránců soustředí na nejdražší (z pohledu hodnocení škod) rizika s nejnižšími náklady na jejich krytí. Rizika s náklady na krytí vyšší než u chráněného zdroje jsou vědomě akceptována nebo pojištěna. Cílem tohoto přístupu je co nejvíce zvýšit náklady na překonání nejslabšího bezpečnostního bodu organizace, takže kritické služby musí být dobře chráněny bez ohledu na to, kde se zdroj nachází – uvnitř sítě nebo na perimetru sítě.

Přístup založený na riziku je pouze nezbytným opatřením, které umožňuje existenci konceptu informační bezpečnosti v reálném světě. Ve skutečnosti to staví obránce do obtížné pozice: hrají svou hru jako černí a pouze reagují na vznikající skutečné hrozby.