Спецпроекты

Как межсегментный файрвол защищает бизнес-данные

Безопасность
Год за годом специалисты по информационной безопасности занимались строительством и удержанием прочной защиты от киберугроз на периметре своих сетей. Еще недавно это было разумным и грамотным поведением. Но сегодня изменились как условия работы бизнеса, так и сам характер угроз. Почему многим компаниям придется изменить свои системы безопасности и перейти к защите отдельных сегментов сети с помощью Internal Segmentation Firewall (ISFW)?

Корпоративный файрвол традиционно отслеживал только те угрозы, которые проникали через периметр. В то же время защитные экраны никак не были подключены к внутренним сегментам и не контролировали их. Более того, большинство сетей внутри периметра безопасности были «плоскими», без сегментации или с минимальной сегментацией.

Этого было достаточно, так как все четко знали, что источники атак находятся снаружи, и для защиты корпоративных данных нужно остановить их на границе сети (защита от утечек информации изнутри велась другими средствами и решала другие задачи). И считалось нормальным, что пограничный файрвол защищает единственную точку входа в сеть компании. Но старые методы уже не работают: в некогда надежном бастионе появилось множество брешей.

Как работают сотрудники современной компании? Они могут свободно переключаться между служебным компьютером, личным ноутбуком, планшетом или смартфоном, получая доступ к корпоративным данным. То есть их персональные устройства, как правило, имеют доступ к почте и ряду других ресурсов, расположенных внутри сети компании. При этом они слабо защищены, обычно не контролируются службой ИБ компании и становятся «дырами», через которое вредоносное ПО может проникнуть за периметр – туда, где их уже не сможет перехватить пограничный файрвол.

В связи с глобальным распространением практики BYOD («принеси собственное устройство на работу») появились специализированные средства защиты личных девайсов, но их использование ведет к дополнительным затратам на покупку и внедрение, чрезмерному усложнению защитной инфраструктуры и к росту нагрузки на сеть. Поэтому далеко не каждая компания их приобретает.

И, если не так давно поставщики брандмауэров отмечали порты на своем оборудовании словами «Внешний» (ненадежный) и «Внутренний» (надежный), то сегодня эти понятия уже не являются синонимами. Именно внутренняя – плоская и открытая – часть сети состоит из незащищенных коммутаторов, маршрутизаторов, мостов, и именно она эксплуатируется создателями зловредного ПО при совершении атак на компании. Не только хакер, но и инсайдер, участник подключенной сети может получить свободный доступ ко всей корпоративной сети, в том числе к важным данным.

Периметра больше нет

Три правила защиты
Правило 1
Сложность – враг безопасности. Чем сложнее инфраструктура ИБ, чем больше в ней разнородных систем и устройств, тем сложнее ее построить, поддерживать и развивать, и выше вероятность успешного взлома.
Правило 2
Периметров безопасности больше нет. Благодаря увеличению количества точек входа в корпоративную сеть у злоумышленников появилось больше возможностей для проникновения и безопасного выхода.
Правило 3
Медленный – значит, взломанный. Скорость работы ИТ-инфраструктуры растет, производительность устройств повышается на порядок каждые 6-7 лет. Если ИБ-инфраструктура за ней не поспевает, пользователи будут использовать пути в обход нее.

Защищенного периметра сети больше не существует, если каждый сотрудник носит в кармане потенциальный источник угрозы. Да и сами корпоративные сети не живут в изоляции – они часто связаны с сетями клиентов, партнеров и поставщиков, что добавляет число «точек входа». Наличие множества точек входа и путей в сетях означает, что, проникнув за периметр, зловредное ПО может беспрепятственно распространиться, если не встретит серьезную защиту.

«Средства обеспечения безопасности периметра никак не защищают конфиденциальные данные внутренней сети в случае нарушения, – подтверждает Александр Мормуш, channel account manager компании Fortinet в России. – Мало того, эффективная стратегия защиты требует разделения сети на сегменты, соответствующие разным отделам. Например, разработчикам ПО не нужен доступ к бухгалтерским системам, а кадровому отделу, скорее всего, не понадобятся финансовые. При таком подходе к защите компрометация отдельного сегмента, позволит минимизировать ущерб для корпоративной сети в целом».

Долгое время достаточно эффективным способом защиты внутренних ресурсов считались политики разграничения прав доступа. Но без автоматизированных средств они недостаточны, потому что сами по себе уязвимы из-за человеческого фактора. Наверняка в каждой компании есть сотрудники, оставляющие на время отпуска или больничного пароль от своего компьютера коллегам или же не закрытые администраторами временные права доступа отдельных специалистов к конфиденциальной информации, надобности в которых больше нет.

Сложность атак возрастает – это отмечают не только специалисты по ИБ, но и представители огромного количества пострадавших компаний. Бухгалтеру могут прислать специально подготовленное фишинговое письмо якобы из «его» банка. Ключевому сотруднику – подкинуть флешку или позвонить от имени клиента, после чего прислать письмо со ссылкой на вредоносный код. По данным Verizon DBIR за 2016 год, более 12% пользователей нажимают на ссылки или открывают файлы в фишинговых сообщениях. И, если злоумышленники позаботились о создании инструмента атаки, еще неизвестного разработчикам систем защиты (речь об эксплуатации так называемых «уязвимостей нулевого дня»), то шансы успешно поразить внутренние сети достаточно высоки.

В последние несколько лет все шире применяются облачные вычисления, однако технологии отслеживания входящего и исходящего трафика все еще несовершенны, а информацию поставщика облачного сервиса о принятых им мерах безопасности клиент вынужден принять на веру – никто в здравом уме не будет показывать постороннему свою систему безопасности и ее настройки. Таким образом, публичное облако тоже является недоверенным элементом. Похищают ли злоумышленники через шлюз провайдера конфиденциальные или секретные данные? Поступает ли в сеть клиента вредоносный код?

Что со всем этим делать? Специалисты по информационной безопасности знают ответ: строить комплексную систему безопасности (во избежание «зоопарка систем»), которая будет защищать каждый сегмент корпоративной сети. Компания Fortinet разработала новый класс устройств, которые эффективно справляются с решением этой задачи. Fortinet работает на российском рынке относительно недавно, но в мире она известна как один из ведущих поставщиков решений для комплексной безопасности (255 тыс заказчиков, более 100 офисов в мире). Компания выпустила уже более 2 миллионов устройств и лидирует по этому показателю.

Как ISFW решает проблему

Защиту сети предлагается поручить межсегментному сетевому экрану Fortinet Internal Segmentation Firewall – это адаптивная система сетевой безопасности, ориентированная на отслеживание и управление угрозами корпоративным сетям. ISFW дополняет другие решения Fortinet и может применяться в составе комплексного решения «Фабрика безопасности», которую компания недавно представила в России.

Внедрение межсегментных сетевых экранов предоставит дополнительный уровень защиты корпоративной сети, находящийся внутри периметра и обеспечивающий безопасность важных ресурсов. Эти решения повышают эффективность обнаружения нарушений и сокращают простои, связанные с устранением последствий. При этом архитектура межсегментных сетевых экранов защищает сеть целиком, а не только прилегающие к периметру области.

Но компании работают с имеющимися у них бюджетами, которые за последние два года в среднем не выросли, а в долларовом исчислении и вовсе значительно сократились. Как они могут оценить, стоит ли закладывать в бюджет затраты на ISFW? «Мы стараемся решать этот вопрос в рамках пилотного тестирования, предоставляя заказчику возможность убедиться в этом самостоятельно, по отчетам, где наглядно представлена статистика о наличии в сети вирусов, троянов, эксплойтов, и другого зловредного кода. Это позволяет обосновать выгоду лучше слов, – комментирует Александр Мормуш. – Затем мы предлагаем сегментировать сеть таким образом, чтобы контролировать весь проходящий трафик. Применение такой защиты внутри сети, стало возможно за счет применения в платформах Fortinet специализированных микросхем обработки трафика собственной разработки (ASIC), что позволяет обрабатывать большие потоки информации без какого-либо негативного влияния на производительность приложений. Устройства безопасности Fortinet сочетают в себе огромный потенциал производительности, один из самых высоких в индустрии параметров эффективности обнаружения вредоносного кода, и все это в рамках низкой совокупной стоимости владения. Это было многократно подтверждено испытаниями в различных лабораториях, включая такую авторитетную, как NSS Labs».

Межсегментный сетевой экран – это дополнительный барьер, который останавливает неконтролируемое распространение угроз внутри сети, значительно снижает потенциальный ущерб от зловредов, которые сумели проникнуть за периметр, и позволяет группировать системы по уровню доступа, что повышает надежность корпоративной системы информационной безопасности.


Взгляд месяца

Государство должно получать данные напрямую из информсистем компаний

Савва Шипов

Замминистра Минэкономразвития

Профиль месяца

Нужно ли локализовывать иностранное ПО

Александр Шохин

президент Российского союза промышленников и предпринимателей