Статья

Почему нужно менять подходы к безопасности

Безопасность
мобильная версия
, Текст: Павел Притула

Классический подход к ИБ, обеспечивающий только безопасность периметра, перестал быть эффективным. Об этом говорят отчеты аналитических компаний, фиксирующих значительный рост финансовых потерь компаний в результате кибератак. Пришло время использовать новые инструменты, разработанные с учетом современных реалий бизнеса.

Вредоносность, изощренность и количество угроз для бизнеса растут взрывными темпами. У этого есть две основные причины. Первая – более активное использование злоумышленниками технологий целенаправленных (таргетированных) атак против конкретных систем защиты в конкретных организациях. Вторая – драматические изменения ИТ-ландшафтов компаний, влияющие на их защищенность.

Если на развитие средств атаки легальный бизнес повлиять не может, то обеспечить достаточный технический уровень защиты – обязанность его специалистов по ИБ. На сегодняшний день опасность для бизнеса заключается в принятии новых принципов работы при сохранении устаревших подходов к безопасности. В начале ХХI века были разработаны концепции ИБ, согласно которым основные средства защиты сосредоточивались на периметре. У него была одна точка входа – в месте подключения к каналу связи провайдера.

Все пользовательские ноутбуки, телефоны, внешние накопители, а также беспроводные точки доступа по умолчанию помещались в доверенную зону. Их безопасность для сети более или менее поддерживали клиентские приложения (обычно антивирусы) и принятые в сети политики безопасности. Но такие средства, как файрволы, их никак не контролировали. Впрочем, до определенного момента этого и не требовалось.

Ситуация резко ухудшилась с ростом мобилизации сотрудников, массовым и почти неконтролируемым «безопасниками» принятием концепции BYOD и увеличением числа удаленных сотрудников. Теперь многие личные пользовательские устройства имеют доступ как к корпоративным ресурсам, так и во внешний мир. Число точек входа в сеть неконтролируемо растет.

Средства защиты периметра по-прежнему не контролируют эти устройства, и злоумышленника, получившего контроль над ноутбуком или телефоном сотрудника, зачастую отделяет от критически важной бизнес-информации только простой пароль в веб-интерфейсе корпоративной системы.

Опасная плоскость

Корпоративные сети делаются с расчетом на возможные изменения, а это значит, что они стремятся стать максимально плоскими и открытыми. Их защита внутри периметра достаточно примитивна и часто состоит лишь из виртуальных сетей VLAN и списков доступа уровня 4 для «интеллектуальных» коммутаторов. Поэтому после проникновения внутрь защитного периметра злоумышленники могут свободно перемещаться и получать доступ к корпоративным данным.

Отсутствие инфраструктуры безопасности внутри сети не только обеспечивает «свободный проход» злоумышленникам, но и не позволяет службе ИБ (или ИТ) обнаружить угрозу и отреагировать на нее, ведь для этого не предусмотрено никаких инструментов.

Компании пытаются сегментировать виртуальные сети, но этот способ предполагает связь между сегментами при помощи маршрутизации, а эта защита легко преодолевается современными изощренными зловредами. Кроме того, сами маршрутизаторы не оборудованы средствами безопасности, необходимыми для эффективного обнаружения и блокировки угроз.

Помогает ли виртуализация защититься от современных угроз? Нет, она, наоборот, создает дополнительные сложности. Методы защиты виртуальных и физических узлов мало отличаются друг от друга, однако местонахождение виртуальных сетей может изменяться, поэтому угрозу зараженного виртуального узла труднее устранить: вредоносный код может неожиданно появиться в другой области сети.

«В случае успешного проникновения угроз на устройства пользователей, они могут использоваться как плацдарм для развития атаки в обход периметровых средств защиты, – комментирует Андрей Терехов, системный инженер Fortinet. – Помимо этого, с развитием тенденции размытия периметров корпоративных сетей, возникает множество вопросов по предоставлению доступа к сетевым ресурсам различным сегментам, таким, как гостевая сеть Wi-Fi, сеть BYOD-устройств, сети POS-терминалов и прочих устройств, расположенных за пределами контролируемой зоны».

Защите поможет внедрение политик безопасности и разделение устройств и каналов связи на группы с предоставлением прав доступа на основе профилей рисков определенных устройств. Кроме того, существуют разнообразные специализированные решения для защиты данных от кражи через устройства пользователей и т.п. Но, если внедрять отдельные решения для борьбы с каждой проблемой и защиты каждого сегмента, это приведет к удорожанию и усложнению системы защиты, породит новые проблемы, связанные с интеграцией систем, их совместной работой, поддержкой и обновлением.

Файрвол на защите каждого сегмента

Для решения этой задачи создан защищающий отдельные сегменты сети экран Fortinet Internal Segmentation Firewall (ISFW), который дополняет другие решения Fortinet и может применяться в рамках комплексной системы защиты. Он поддерживает реализацию внутренней сегментации корпоративных сетей и устройств, благодаря чему специалисты по ИБ могут применять детализированные политики безопасности в зависимости от типа устройств и требований доступа к сети.

Межсегментный сетевой экран ISFW строится на жесткой концепции «нулевого доверия» (Zero Trust Network), которая предусматривает отсутствие доверия к устройствам и данным внутри сети и предусматривает сегментацию сети на основе политик. Она дополняет уже существующую структуру ИБ возможностями контроля внутрисетевого доступа с проверкой подлинности пользователей, устройств и приложений и сопоставлением их запросов на доступ с политикой безопасности.

Чтобы межсегментный сетевой экран был эффективным и соответствовал скоростям современных сетей, он должен обеспечивать повышенную производительность (в десятки раз выше периметровых межсетевых экранов), иметь высокую плотность портов с возможностью подключения на высоких скоростях (10–100 Гбит/с) и обладать широкими функциональными возможностями по инспекции трафика и защите от целенаправленных атак.

Раньше подобный набор критериев приводил к непозволительно высокой стоимости решения, либо к необходимости отключения части или всех функций инспекции. Современные разработки в области специализированных процессоров для обработки трафика позволяют достичь всех критериев с сохранением умеренной стоимости решения при всех задействованных функциях инспекции трафика.