Периметр безопасности создается для защиты участков содержащих информацию и средства ее обработки
Обновлено: 05.10.2024
Большинство руководителей понимают важность использования современных систем защиты. Однако количество утечек информации растет с каждым годом. Конечно, немаловажную роль играет возрастающая сложность кибератак. Полк хакеров с немыслимой скоростью пополняется новыми адептами, а их инструменты регулярно переживают апгрейд.
Но не только внешние опасности грозят бизнесу. В жизни любой компании всегда есть место для одного маленького, но очень коварного инсайдера. Планомерные действия такого индивидуума неминуемо ведут к утечкам данных.
В круговороте различных рисков легко потерять голову и, при создании периметра информационной безопасности, совершить две ключевые ошибки.
Большая часть средств ориентирована на противодействие внешним угрозам и реагирует на непосредственные нарушения периметра всевозможными вирусами. При этом действия работников выносятся за скобки.
Компания, оставляющая персонал без надзора – рай для инсайдера. Украсть можно все, а главное – никто даже не заметит пропажу. Бизнесу не стоит обольщаться. По данным последнего исследования, проведенного компанией Intel, около 43% инцидентов, связанных с утечкой информации, были результатом деятельности сотрудников, спланировавших кражу.
Без постоянного мониторинга действий сотрудников бизнес оказывается безоружным перед широким спектром внутренних и внешних угроз.
Ошибка вторая: выбор из двух зол
Владельцы бизнеса любят кидаться из крайности в крайность, благодаря чему на свет появились два деструктивных подхода к методам защиты информации.
В результате бэкапы делаются крайне редко, коды доступа не меняются десятилетиями, а из цифровых средств защиты в наличии только древний антивирус.
Первая утечка данных, которая неминуемо происходит, чаще всего становится последней, поскольку к ней никто не готов ни морально, ни технически.
Сторонники второго подхода действуют иначе. Все, что можно шифровать – шифруется, все, что не надо – защищается. На апгрейд систем тратятся миллионы. И, вроде бы все должно быть хорошо, но есть сотрудники, которые через пару дней работы в такой фирме начинают лезть на стенку от безысходности.
Ведь для выполнения простых рабочих задач необходимо пройти 3 аутентификации и 2 авторизации. При этом каждый пароль минимум 16 символов в двух регистрах. Работник оказывается перед выбором: или категорически не успевать выполнять должностные обязанности, или искать способ обойти ограничения. Желающие демонстрировать высокую эффективность и выполнять KPI обязательно найдут, как обдурить электронных церберов.
Для бизнеса это означает: часть персонала работает далеко не на полную катушку, и компания теряет деньги. А другая половина офисных тружеников уже проделала дыры в периметре безопасности, и о надежности защиты говорить не приходится.
Чтобы избежать проблем, боссу важно помнить: система безопасности должна быть комплексная, а главное — незаметная!
Потребность в коллективной работе на ниве информационной безопасности возникла не вчера: современные реалии диктуют нам необходимость объединять свои усилия, неважно, идет речь о партнерах или конкурентах по рынку, ведь в конечном итоге цель инфобеза — обезопасить клиента. Именно поэтому еще на заре интернета стали возникать различные союзы и альянсы.
И сейчас мы имеем мир, где информация, в том числе и по теме инфобеза, ценна, закрыта и ею делятся крайне неохотно. И по этой причине хакеры побеждают, причем — уверенно.
Почему хакеры побеждают?
Первое: обмен информацией. В отличие от забившихся каждый в свой угол коммерческих компаний, хакерское сообщество весьма общительно и довольно открыто. И взломщики активно делятся между собой информацией. Временами, конечно, не ключевой, но сам факт: циркуляция данных в среде grey и black hat-хакеров намного активнее, нежели такая же на уровне компаний. У хакеров целые форумы, каналы, сообщества. Компании же, в лучшем случае, собираются на пару-тройку конференций в год, где докладчики, важно щелкая слайды на большом экране, рассказывают о чем-то, что уже минимум как полгода неактуально. Сейчас же, когда мир парализован, это и вовсе перешло в категорию записанных выступлений на 15-20 минут, которые можно просто посмотреть онлайн без какого-либо интерактива.
Второе: мы всегда в роли отстающих. Предусмотреть все векторы атаки и способы взлома невозможно. Мы — на стороне щита, а не меча, так что единственное, что нам остается — латать дыры в безопасности и делать так, чтобы этот конкретный эксплоит, механизм, сценарий или что там еще было использовано, более никогда в подобном ключе не сработал. Хакер может готовить свою атаку неделями, провести ее за минуту, а вы будете разгребать ее последствия месяцами. Или, как в случае со спекулятивным выполнением кода на процессорах — так и не сможете побороть проблему до конца. И вам повезет, если взломщик — White Hat, который предоставит вам все данные о том, как именно он провел атаку, а ваши данные никуда на сторону не уйдут. А если нет?
Стены рухнули, и мы проснулись в новом мире
Как раньше переводились сотрудники на удаленку или частичную удаленку? Этот процесс был поэтапным, отработанным. Доступ — часто через VPN, шифрование, отдельный рабочие спейсы для таких сотрудников и, само собой, их изоляция от самых лакомых и мягких частей внутри компании или проекта. Ну, чаще всего. На удаленку переводились либо абсолютно неважные в плане доступов сотрудники, либо подготовленные к такому взаимодействию специалисты. А что мы имеем сейчас?
Теперь туннели поднимаются для миллионов вынужденных удаленщиков по всему миру, но сколько из них соблюдает хотя бы основы информационной гигиены и безопасности на своих домашних компьютерах? Сколько проверяли свои пароли, да хотя бы убедились, что их машины можно подключать к корпоративной сети?
И платные решения в области защиты устройств, DevOps, SecOps и так далее — далеко не панацея. Потому что все они, по факту, стоят на плечах проектов с открытым исходным кодом, со всеми вытекающими последствиями. Вы никогда не задумывались, почему компании, которые тратят на такой софт сотни миллионов долларов, до сих пор подвергаются кибератакам и успешно взламываются каким-нибудь одиночкой или группой хакеров?
Мы живем в мире, когда 100% эффективное решение просто нельзя купить, потому что его не существует. И мы получаем парадоксальную ситуацию, когда хакер-одиночка может терроризировать конкретную компанию или вообще — весь сектор. Просто потому что он умнее, способнее и внимательнее любого отдельно взятого нанятого этими компаниями инженера. Ну, или потому что ему просто повезло найти что-то такое в исходниках, что не замечали даже авторы кода.
Такая парадоксальная ситуация, когда хвост не просто виляет — вращает собакой вокруг своей оси — возможна только в нашей родной IT-сфере и сети :)
Мы все — в одной лодке
Наибольшую ценность для современных хакеров, на наш взгляд, имеют IP-адреса. Они — как маски, которые обеспечивают их анонимность и чем их больше в свободном доступе, тем лучше.
Но мы все уже давно живем в условиях дефицита свободных адресов в пространстве IPv4, а на IPv6 массового перехода пока так и не случилось. Так что каждый злоумышленник имеет ограниченный в плане доступности пул адресов. И чем дальше — тем дороже они для него стоят как в плане финансов, так и в плане трудозатрат.
Концепция же коллективно сформированного и коллективно же проверенного бан-листа приводит нас в самое начало текста: к тезису о том, что нужно делиться критически важной информацией. Для хакера IP-адрес критически важен, это его точка входа. Для компании же информация о том, с какого адреса была проведена атака — не имеет никакой ценности и никак не угрожает ее секретам и тайнам. Мы получаем Win-Win ситуацию, когда и волки сыты, и овцы целы; ни один параноик внутри компании не упрекнет вас в сливе стратегических данных в общий доступ, но при этом мы имеем возможность больно бить по важным для злоумышленников точкам.
Именно по этой причине мы работаем над CrowdSec и призываем всех прочих присоединиться к нам в формировании бан-листов. Просто для того чтобы с минимальными трудозатратами сделать интернет и вообще, наш мир, чище и безопаснее.
Мы в области нашей являемся достаточно консервативными. Мы очень сильно зависим от авторитетов, от подходов, от продуктов и от терминов и определений, которые не меняются годами. Периметр информационной безопасности - это как раз тот термин, который, к сожалению, так устарел, что его использовать уже практически невозможно и даже вредно. Ситуация ухудшается тем, что мы даже до конца не знаем, что же такое периметр информационной безопасности.
 |
| Фрагмент лондонского Тауэра |
Но каждое из этих определений очевидно имеет свои плюсы свои минусы и они не равнозначны. Как воспринимать ситуацию даже с таким казалось бы простым вариантом как промышленный сегмент, возможно даже физически изолированным от внешнего мира, если туда пришел представитель подрядный организации с ноутбуком который подключён через 3G четыре же модем к интернету. Появляется ли у нас здесь периметр или не появляется? А если мы посмотрим на ситуацию когда сотрудник с мобильным устройством подключается к облаку внешнему в котором хранятся конфиденциальные данные компании или работает приложение, обрабатывающее данные. Здесь есть периметр или нет? Ведь мы вообще можем использовать личное устройство сотрудника и чужую инфраструктуру облачного провайдера и кроме как информация от компании здесь нет вообще ничего.
Ну допустим у нас и мобильные устройства принадлежит компании, а облака принадлежит провайдеру. При этом максимум, что мы можем знать, это свой кусок этого облака, в котором мы располагаем наши сервера, наши приложения, наши данные. Но кто к ним имеет доступ извне со стороны облачного провайдера, со стороны других его клиентов? В такой ситуации вообще невозможно очертить периметр. А это означает, что как бы мы не хотели, но мы вынуждены изменять свои подходы к тому, что мы привыкли называть защитой периметра. Например, в компании Cisco мы исходим из того, что сотрудник компании может работать в любой момент времени из любой точки мира с любого устройства. В такой концепции, разумеется, не может быть периметра в общеупотребимом смысле и это заставляет совсем по-другому защищать, нет, не периметр, а подключение к Интернет! А вы готовы к новой реальности?
Утром того дня, когда я начинал писать эту заметку, я работал из дома, читая вебинар для одного из наших заказчиков, днём я приехал в офис и работал внутри нашей беспроводной корпоративной сети. Ближе к вечеру я пошёл на встречу в близлежащий Starbucks и также был подключён к нашей корпоративной сети уже через публичный хот-спот. Вечером я улетел в командировку и в процессе добирания до аэропорта на Аэроэкспрессе я работал через Wi-Fi в вагоне. В аэропорту я также подключился к корпоративной сети через местный WiFi, а в самолёте беспроводная сеть и выход в Интернет были предоставлены мне авиакомпанией. Всё время это были разные сети с разными требованиями и механизмами безопасности, но их объединяло одно - я всегда находился внутри своей корпоративной сети. Существует ли в такой динамической ситуации периметр и можно ли меня загнать в рамки традиционного периметра?
А почему термин "периметр ИБ" вреден? А потому, что он, будучи построен на устаревшей парадигме, создает чувство ложной защищенности. Давайте сделаем экскурс в историю. Какой была модель угроз в 800-1400 годах нашей эры? Если быстренько составить перечень актуальных угроз, то получится следующее:
- разрушение стен или дверных проемов
- подкоп под стенами
- перелезание через стены
- осада
- предательство инсайдера
- дипломатия (угрозы, террор, психологические методы)
- биологическая война (заражение колодцев)
- 800-1000 годы нашей эры - фортификация становится стратегической задачей; активно начинают возводиться внешние стены и башни, окружающие объект защиты (дворец князя или иного властителя)
- 1000-1200 н.э. - утолщение стен, новые материалы (камень против дерева), здания с внутренней защитой
- 1400 - … - конец эры замков
Видите закономерность? Сначала периметровая концепция помогала - даже при меньшем числе обороняющихся (О) они могли с успехом противостоять атакующим (А). Артиллерия, автоматическое оружие, военно-воздушные силы изменили лицо войн. Замки стали сдавать свои позиции. Концепция периметра стала умирать. Самым, пожалуй, ярким примером такого провала стала линия Мажино, которая была просто обойдена немцами во время Второй мировой войны. 3 миллиарда французских франков было "выброшено в пропасть", как говорилось в известной советской комедии Гайдая.
 |
| Линия Мажино |
Что делать, спросите вы? Для начала просто понять слабость периметрового подхода. Этого уже немало. Во-вторых, надо защищать не только периметр, но и внутреннюю инфраструктуру, приложения и данные (а также облака и мобильные устройства, если они используются). Я про это писал 4 года назад, повторяться не буду. Но можно пойти еще дальше, внедрив концепцию "доверенного устройства" (мы ее у себя внутри Cisco так и назвали - " Trusted Device "), которая подразумевает, что центральным звеном защиты становится мобильное устройство сотрудника (ноутбук, смартфон, планшет и т.п.). Мы исходим из того, что это устройство может динамично перемещаться по разным местам (смотри выше пример с описанием того, как писалась эта заметка) и может не находиться под защитой периметрового МСЭ/IPS/ESA/WSA и др. Приняв это за основу, мы строим защиту вокруг именно устройства, делая его доверенным звеном, а всю размытую сеть Cisco - набором доверенных элементов. Но про эту концепцию я напишу как-нибудь отдельно.
Ну и в заключение минутка юмора. Классический мультфильм на тему незащищенного периметра. Я его еще лет 20 назад показывал на различных мероприятиях по ИБ:
В нашем телеграм канале мы рассказываем о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру. Узнай первым как выжить в цифровом кошмаре!
Традиционно решения для защиты периметра — внешней границы сети — применяются в организациях при подключении корпоративных сетей к сетям общего пользования. Они позволяют предотвратить атаки на ИТ-ресурсы и реализовать безопасный доступ сотрудников компаний во внешние сети, а авторизованных удаленных пользователей — к корпоративным ресурсам.
КЛАССИКА ЗАЩИТЫ
Защита периметра считается обязательным элементом системы обеспечения информационной безопасности корпоративной сети и включает в себя шлюзы безопасности, средства межсетевого экранирования (FW), организацию виртуальных частных сетей (VPN), системы обнаружения и предотвращения вторжений (IDS/IPS). Ее реализация остается одной из основных задач ИБ и основой надежного функционирования критичных для компании информационных систем.
Межсетевые экраны и граничные маршрутизаторы с правильно настроенной конфигурацией — первая линия обороны, предотвращающая несанкционированный доступ в корпоративную сеть. На смену межсетевым экранам прежнего поколения (с фильтрацией пакетов), блокирующим лишь сетевые порты и IP- и MAC-адреса, пришли новые системы с функциями обеспечения безопасности на уровне приложений, на котором сейчас осуществляется большинство атак.
Средства межсетевого экранирования обеспечивают не только защиту от атак, но и защищенное соединение между офисами, а также безопасный удаленный доступ сотрудников к корпоративным ИТ-ресурсам. Их дополняют шлюзы безопасности, способные поддерживать большое число защищенных каналов связи.
Еще один класс продуктов — системы обнаружения/предотвращения вторжений (IDS/IPS). Они позволяют проводить глубокий анализ активности в сети на всех уровнях модели OSI, обновлять в реальном времени базы сигнатур атак и признаков вторжений, обеспечивать защиту от уязвимостей нулевого дня с помощью адаптивных технологий проверки.
Для организации защищенных каналов связи между территориально распределенными офисами компании обычно применяется технология VPN. Такие доверенные каналы с шифрованием трафика также включаются в защищенный периметр сети. Но где теперь проходит ее граница?
ПЕРИМЕТРА БОЛЬШЕ НЕТ?
Учитывая стремительное распространение мобильных устройств, концепции BYOD, облачных вычислений и различных технологий для удаленной работы, все чаще приходится слышать об исчезновении периметра корпоративной сети, однако концепция его защиты не устарела, она лишь нуждается в адаптации к современным условиям. Немногие решатся отказаться от межсетевых экранов и шлюзов безопасности.
Однако, по данным зарубежной статистики, более половины деловых коммуникаций и транзакций сегодня уже осуществляется вне корпоративной сети. Малые компании могут обойтись и без традиционной ИТ-инфраструктуры, используя облачные сервисы (IaaS) и клиентские устройства, а средние и крупные организации выбирают для себя аутсорсинг ИТ, BYOD, облачные приложения и различные способы доставки приложений и данных. Обеспечить защиту корпоративных данных становится все сложнее. Изменения, происходящие сейчас в данной области, наверно, самые значительные за всю историю информационной безопасности.
Традиционная модель хорошо работает, когда 90% пользователей находятся в офисе и в 90% случаев доступ осуществляется к приложениям, установленным на серверах, которые расположены на собственной площадке компании. Облака и мобильность совершенно меняют картину. Мобильные пользователи выходят в Интернет, минуя корпоративные шлюзы и межсетевые экраны, а применение внешних систем электронной почты, мобильных приложений и социальных сетей увеличивает риск утечки важных данных. Очевидно, нужен новый подход, обеспечивающий безопасную работу, где бы пользователь ни находился и какое бы устройство ни применял.
ЭВОЛЮЦИЯ ЗАЩИТЫ
По словам Алексея Лукацкого, в новых условиях акценты меняются: нельзя фокусироваться исключительно на периметре, ведь угроза может появиться откуда угодно — проникнуть в сеть из Интернета, через флэшку, ноутбук гостевого пользователя или аудитора, через несанкционированно подключенный LTE-модем или точку беспроводного доступа. Таким образом, надо контролировать все, что происходит в сети — снаружи (в облаке или на мобильных устройствах), на ее границе, в ЦОД (см. Рисунок 1), во внутренней локальной сети. Только при таком условии можно рассчитывать на эффективную защиту от целенаправленных и скрытых атак, превалирующих в последние два-три года.
В Cisco долгие годы защита периметра строилась на базе обычных маршрутизаторов, выполняющих функции межсетевого экрана, в то время как многие производители заявляли об обязательности установки отдельного специализированного устройства. Сегодня угрозы и защищаемая среда меняются так динамично, что невозможно сформировать фиксированный список обязательных защитных технологий и средств. Все зависит от рисков, которые принимает на себя заказчик.
ЦЕЛОСТНОЕ РЕШЕНИЕ
Межсетевые экраны NGFW позволяют задавать правила доступа пользователей и отслеживать их операции. Кроме того, корпоративную сеть можно разделить на сегменты с разным уровнем безопасности и разрешенным доступом для мобильных или удаленных пользователей. Мобильные устройства тоже должны быть защищенными. Для этого применяется шифрование (например, шифруются отдельные разделы диска ноутбука), средства удаленного стирания данных (на случай потери или кражи устройства) и т. д. Двухфакторная аутентификация и шифрование трафика в VPN помогут создать безопасный туннель для внешнего доступа и обеспечить защиту мобильных и удаленных пользователей, находящихся вне офиса.
Подходить к задаче следует системно, уверен Андрей Прозоров. Данные должны быть защищены при перемещении, хранении и использовании, для чего необходимо реализовать строгое разграничение прав доступа, защиту от вредоносного ПО, регулярное обновление ПО, резервное копирование и многое другое.
На мобильных устройствах пользователей должно быть установлено ПО, обеспечивающее защищенное взаимодействие с офисом и возможность безопасного хранения корпоративных данных. В случае использования смартфонов в рабочих целях необходимо, чтобы применяемые решения позволяли реализовать концепцию BYOD максимально гибко и надежно (см. Рисунок 5). Многие организации останавливают свой выбор на защищенном контейнере для корпоративной почты и конфиденциальных файлов. Для компаний из банковского, телекоммуникационного и государственного секторов острым вопросом остается противодействие атакам DDoS. А для виртуализированных серверов по сути действуют те же правила защиты, что и для физических.
БЕЗОПАСНОСТЬ И SDN
Новые возможности для реализации сетевой безопасности открывают программно конфигурируемые сети (Software-Defined Networking, SDN). SDN — это не только виртуализация сети и ее гибкость. SDN упрощает выявление аномалий в сети и соблюдение политик безопасности, как и внедрение различных сервисов безопасности, применяемых к пользователям, потокам данных и приложениям. Обеспечение безопасности становится более гибким и динамичным, соответствующим подходу Security as a Service. Например, если логику правил безопасности встроить в систему управления соответствующей политикой, то это позволит задавать правила доступа для отдельных пользователей, приложений, устройств, методов и мест доступа, характеристик сети и пр. SDN можно применять для управления трафиком, направляя потоки данных на соответствующие сервисы или устройства безопасности (FW, IDS/IPS, WAF и др.).
Программно конфигурируемые сети повлияют на защиту периметра так же, как в свое время повлияла на нее виртуализация серверов и рабочих станций, убежден Михаил Башлыков. Появятся новые угрозы, связанные с тем, что все потоки данных будут обрабатываться на базе одного гипервизора, а все данные станут храниться на одном устройстве с функциями виртуализации. Эти риски придется учитывать.
ЗАЩИТА ПЕРИМЕТРА НА АУТСОРСИНГЕ
ЗАКЛЮЧЕНИЕ
Читайте также: