Спецпроекты

Безопасность

Как межсегментный файрвол защищает бизнес-данные

Год за годом специалисты по информационной безопасности занимались строительством и удержанием прочной защиты от киберугроз на периметре своих сетей. Еще недавно это было разумным и грамотным поведением. Но сегодня изменились как условия работы бизнеса, так и сам характер угроз. Почему многим компаниям придется изменить свои системы безопасности и перейти к защите отдельных сегментов сети с помощью Internal Segmentation Firewall (ISFW)?

Корпоративный файрвол традиционно отслеживал только те угрозы, которые проникали через периметр. В то же время защитные экраны никак не были подключены к внутренним сегментам и не контролировали их. Более того, большинство сетей внутри периметра безопасности были «плоскими», без сегментации или с минимальной сегментацией.

Этого было достаточно, так как все четко знали, что источники атак находятся снаружи, и для защиты корпоративных данных нужно остановить их на границе сети (защита от утечек информации изнутри велась другими средствами и решала другие задачи). И считалось нормальным, что пограничный файрвол защищает единственную точку входа в сеть компании. Но старые методы уже не работают: в некогда надежном бастионе появилось множество брешей.

Как работают сотрудники современной компании? Они могут свободно переключаться между служебным компьютером, личным ноутбуком, планшетом или смартфоном, получая доступ к корпоративным данным. То есть их персональные устройства, как правило, имеют доступ к почте и ряду других ресурсов, расположенных внутри сети компании. При этом они слабо защищены, обычно не контролируются службой ИБ компании и становятся «дырами», через которое вредоносное ПО может проникнуть за периметр – туда, где их уже не сможет перехватить пограничный файрвол.

В связи с глобальным распространением практики BYOD («принеси собственное устройство на работу») появились специализированные средства защиты личных девайсов, но их использование ведет к дополнительным затратам на покупку и внедрение, чрезмерному усложнению защитной инфраструктуры и к росту нагрузки на сеть. Поэтому далеко не каждая компания их приобретает.

И, если не так давно поставщики брандмауэров отмечали порты на своем оборудовании словами «Внешний» (ненадежный) и «Внутренний» (надежный), то сегодня эти понятия уже не являются синонимами. Именно внутренняя – плоская и открытая – часть сети состоит из незащищенных коммутаторов, маршрутизаторов, мостов, и именно она эксплуатируется создателями зловредного ПО при совершении атак на компании. Не только хакер, но и инсайдер, участник подключенной сети может получить свободный доступ ко всей корпоративной сети, в том числе к важным данным.

Периметра больше нет

Три правила защиты
Правило 1
Сложность – враг безопасности. Чем сложнее инфраструктура ИБ, чем больше в ней разнородных систем и устройств, тем сложнее ее построить, поддерживать и развивать, и выше вероятность успешного взлома.
Правило 2
Периметров безопасности больше нет. Благодаря увеличению количества точек входа в корпоративную сеть у злоумышленников появилось больше возможностей для проникновения и безопасного выхода.
Правило 3
Медленный – значит, взломанный. Скорость работы ИТ-инфраструктуры растет, производительность устройств повышается на порядок каждые 6-7 лет. Если ИБ-инфраструктура за ней не поспевает, пользователи будут использовать пути в обход нее.

Защищенного периметра сети больше не существует, если каждый сотрудник носит в кармане потенциальный источник угрозы. Да и сами корпоративные сети не живут в изоляции – они часто связаны с сетями клиентов, партнеров и поставщиков, что добавляет число «точек входа». Наличие множества точек входа и путей в сетях означает, что, проникнув за периметр, зловредное ПО может беспрепятственно распространиться, если не встретит серьезную защиту.

«Средства обеспечения безопасности периметра никак не защищают конфиденциальные данные внутренней сети в случае нарушения, – подтверждает Александр Мормуш, channel account manager компании Fortinet в России. – Мало того, эффективная стратегия защиты требует разделения сети на сегменты, соответствующие разным отделам. Например, разработчикам ПО не нужен доступ к бухгалтерским системам, а кадровому отделу, скорее всего, не понадобятся финансовые. При таком подходе к защите компрометация отдельного сегмента, позволит минимизировать ущерб для корпоративной сети в целом».

Долгое время достаточно эффективным способом защиты внутренних ресурсов считались политики разграничения прав доступа. Но без автоматизированных средств они недостаточны, потому что сами по себе уязвимы из-за человеческого фактора. Наверняка в каждой компании есть сотрудники, оставляющие на время отпуска или больничного пароль от своего компьютера коллегам или же не закрытые администраторами временные права доступа отдельных специалистов к конфиденциальной информации, надобности в которых больше нет.

Сложность атак возрастает – это отмечают не только специалисты по ИБ, но и представители огромного количества пострадавших компаний. Бухгалтеру могут прислать специально подготовленное фишинговое письмо якобы из «его» банка. Ключевому сотруднику – подкинуть флешку или позвонить от имени клиента, после чего прислать письмо со ссылкой на вредоносный код. По данным Verizon DBIR за 2016 год, более 12% пользователей нажимают на ссылки или открывают файлы в фишинговых сообщениях. И, если злоумышленники позаботились о создании инструмента атаки, еще неизвестного разработчикам систем защиты (речь об эксплуатации так называемых «уязвимостей нулевого дня»), то шансы успешно поразить внутренние сети достаточно высоки.

В последние несколько лет все шире применяются облачные вычисления, однако технологии отслеживания входящего и исходящего трафика все еще несовершенны, а информацию поставщика облачного сервиса о принятых им мерах безопасности клиент вынужден принять на веру – никто в здравом уме не будет показывать постороннему свою систему безопасности и ее настройки. Таким образом, публичное облако тоже является недоверенным элементом. Похищают ли злоумышленники через шлюз провайдера конфиденциальные или секретные данные? Поступает ли в сеть клиента вредоносный код?

Что со всем этим делать? Специалисты по информационной безопасности знают ответ: строить комплексную систему безопасности (во избежание «зоопарка систем»), которая будет защищать каждый сегмент корпоративной сети. Компания Fortinet разработала новый класс устройств, которые эффективно справляются с решением этой задачи. Fortinet работает на российском рынке относительно недавно, но в мире она известна как один из ведущих поставщиков решений для комплексной безопасности (255 тыс заказчиков, более 100 офисов в мире). Компания выпустила уже более 2 миллионов устройств и лидирует по этому показателю.

Как ISFW решает проблему

Защиту сети предлагается поручить межсегментному сетевому экрану Fortinet Internal Segmentation Firewall – это адаптивная система сетевой безопасности, ориентированная на отслеживание и управление угрозами корпоративным сетям. ISFW дополняет другие решения Fortinet и может применяться в составе комплексного решения «Фабрика безопасности», которую компания недавно представила в России.

Внедрение межсегментных сетевых экранов предоставит дополнительный уровень защиты корпоративной сети, находящийся внутри периметра и обеспечивающий безопасность важных ресурсов. Эти решения повышают эффективность обнаружения нарушений и сокращают простои, связанные с устранением последствий. При этом архитектура межсегментных сетевых экранов защищает сеть целиком, а не только прилегающие к периметру области.

Но компании работают с имеющимися у них бюджетами, которые за последние два года в среднем не выросли, а в долларовом исчислении и вовсе значительно сократились. Как они могут оценить, стоит ли закладывать в бюджет затраты на ISFW? «Мы стараемся решать этот вопрос в рамках пилотного тестирования, предоставляя заказчику возможность убедиться в этом самостоятельно, по отчетам, где наглядно представлена статистика о наличии в сети вирусов, троянов, эксплойтов, и другого зловредного кода. Это позволяет обосновать выгоду лучше слов, – комментирует Александр Мормуш. – Затем мы предлагаем сегментировать сеть таким образом, чтобы контролировать весь проходящий трафик. Применение такой защиты внутри сети, стало возможно за счет применения в платформах Fortinet специализированных микросхем обработки трафика собственной разработки (ASIC), что позволяет обрабатывать большие потоки информации без какого-либо негативного влияния на производительность приложений. Устройства безопасности Fortinet сочетают в себе огромный потенциал производительности, один из самых высоких в индустрии параметров эффективности обнаружения вредоносного кода, и все это в рамках низкой совокупной стоимости владения. Это было многократно подтверждено испытаниями в различных лабораториях, включая такую авторитетную, как NSS Labs».

Межсегментный сетевой экран – это дополнительный барьер, который останавливает неконтролируемое распространение угроз внутри сети, значительно снижает потенциальный ущерб от зловредов, которые сумели проникнуть за периметр, и позволяет группировать системы по уровню доступа, что повышает надежность корпоративной системы информационной безопасности.


Павел Притула

Короткая ссылка