Rambler's Top100
Статьи ИКС № 4 2006
01 апреля 2006

Факты и мнения: как защищены корпоративные сети

Об опросе. С прискорбием сообщаем, что получить ответы на весьма обтекаемые вопросы нам удалось далеко не от всех, кому они направлялись. Не помогли и гарантии анонимности ответов, что лишний раз доказывает: поговорить о «вечном» горазды все, а ответить на конкретные вопросы (даже не затрагивающие секреты корпоративной защиты) боязно. Смелых оказалось всего 15 респондентов. До представительности результатов, конечно, далеко, однако выявить некие тенденции можно.

Полученные результаты позволяют сделать следующие обобщения. Наиболее четко представляют опасности и противодействуют им, используя системный подход к СИБ, крупные операторы и разработчики средств защиты. Недооценивать угрозы и роль политики безопасности в бизнесе склонны мелкие компании, а также системные интеграторы, недавно ступившие на зыбкую почву обеспечения ИБ корпоративных систем. Однако до системного подхода к защите информации многим еще далеко: значительная часть ответивших считает приоритетной модель СИБ, ориентированную на нарушителя, забывая главное – лишь вероятностная оценка рисков способна дать реальную картину.

Печальный вывод: потребность в централизованных СИБ не удовлетворена рынком. Пока каждый производитель СЗИ «тянет одеяло на себя», открытые стандарты и совместимость СЗИ будут оставаться голубой мечтой. Существуют лишь паллиативные и частные решения систем управления безопасностью, не позволяющие полностью интегрировать порой несовместимые продукты лидеров рынка ИБ.

Все компании подтвердили наличие официально принятой политики безопасности, а некоторые даже перечислили входящие в нее регламенты. Так, «Северо-Западный Телеком» руководствуется собственным документом «Стратегия обеспечения безопасности ОАО "СЗТ"». «В такой большой и сложной организации, как наша,– считает зам. гендиректора «СЗТ» С.К. Новгородский, – не обойтись без упорядочения процессов обработки и передачи информации. Поэтому в документе предусмотрена разработка регламентов, определяющих правила разработки, эксплуатации и контроля функционирования инфокоммуникационных систем как на уровне компании в целом, так и ее филиалов (регламенты предоставления доступа к корпоративным информационным ресурсам и сервисам, использования ресурсов Интернета, корпоративной системы защищенной электронной почты и др.)».

Контроль за соблюдением политики ИБ ведется не только с помощью реализованных технологических решений (в том числе отчетов, журналов и лог-файлов средств безопасности), но и отработанными административными мерами. Ряд компаний знакомят сотрудников с политиками безопасности при приеме на работу.

Хотя несколько респондентов отметили такой важный элемент контроля соблюдения политик, как аудит, на значимость внешнего аудита указал лишь один – КРОК. Возможно, потому, что гордится первенством на ниве сертификации своей системы управления ИБ по стандарту BS 7799-2:2002.

Многие виды угроз, считающиеся за рубежом очень опасными, например связанные с использованием беспроводных сетей и мобильных устройств, а также электронный шпионаж конкурентов , отечественные компании оценивают как несущественные, что может указывать на недостаточное развитие мобильности пользователей в России и недооценку активов.

Характерно, что многие компании рассматривают ИБ своей сети в тесной взаимосвязи с законами и стандартами, действующими в нашей стране.

По мнению большинства, медленно, но верно начинается переход от устаревших требований так называемых РД – руководящих документов ФСТЭК (Гостехкомиссии России) – к международным стандартам, в том числе ГОСТ Р 15408-2002 («Общие критерии...»), в соответствии с которыми многие респонденты планируют сертифицировать свои СИБ (или их элементы). При разработке политики ИБ почти все участвовавшие в опросе операторы руководствуются ISO 17799. Кое-кто выразил надежду, что в ближайшее время сертификаты, выданные в других странах в соответствии с «Общими критериями» для ИС и систем связи, будут признаваться и в России.

Комментарий. Компании, отвечавшие анонимно, именуются здесь «инкогнито».

Помимо периметра

«ИКС»: Существуют ли в вашей корпоративной сети иные, кроме защиты периметра, средства обеспечения ИБ? Что побудило их внедрить?

С. НОВГОРОДСКИЙ, зам. гендиректор, «Северо-Западный Телеком»:

– Защита периметра корпоративной сети с помощью межсетевых экранов – сегодня такой же элемент системы ИБ любой компании, как замки на входных дверях. Проблема в том, что полностью изолированных корпоративных сетей практически нет, а потенциальные угрозы скрыты во вполне легальном трафике, который так же беспрепятственно проникает сквозь те же МЭ, как через посты охраны проходят и сотрудники компании, и представители сторонних организаций.

Как периметр ни защищай, а полностью блокировать трафик невозможно. Поэтому защита периметра должна быть дополнена средствами мониторинга входящего/исходящего трафика. Среди других необходимых СЗИ – анализаторы уязвимостей. Как правило, IT-администраторы не всегда успевают вовремя установить на серверы и компьютеры пользователей обновления ОС и прикладного ПО.

Для защиты корпоративного трафика при его транспортировке по арендованным каналам связи других операторов используются средства VPN на базе криптографических маршрутизаторов, средств межсетевого экранирования и доверенных каналов.

Но главное в СИБ – это, конечно, люди, а потому основная составляющая стратегии обеспечения ИБ компании – встроить эти задачи в бизнес-процессы, согласовать интересы всех служб и почувствовать их готовность внедрять и развивать СИБ как в составе производственного оборудования, так и в виде специализированных систем.

М. ЕМЕЛЬЯННИКОВ, нач. отдела ИБ, «Связьинвест»*:

– Основные угрозы ИБ смещаются в сторону инсайдерских действий, которые становятся все более опасными для корпоративных сетей (кому-то они даже кажутся страшнее, чем внешние угрозы). Для многих хакерские атаки – экзотика из журналов, а вот потери данных, их разглашение, несанкционированная передача, непроизводительное использование Интернета и электронной почты более чем актуальны. Поэтому и средства используются адекватные – для усиленной аутентификации и идентификации, предотвращения НСД, фильтрации и контентного анализа электронной почты и web-трафика.

Д. КОСТРОВ, начальник службы безопасности, «Межрегиональный ТранзитТелеком»:

– При наличии внутренних злоумышленников невозможно до приемлемого уровня снизить риски ИБ, защищая только периметр. В МТТ внедрение средств защиты обусловлено существованием в компании актуальной модели угроз и модели действий потенциальных нарушителей. А выбирались средства и системы защиты на основании анализа рисков ИБ.

А. МАЛИС, вице-президент, «Корбина Телеком»:

– Защита периметра, конечно, важна, но достаточно примитивна. Поэтому у нас есть также системы охранных сигнализаций, видеонаблюдения и доступа. Но поскольку с точки зрения ИБ для нас приоритетны базы данных, главное внимание отдается системам доступа и сохранности данных.

А. БУЙДОВ, IT-директор, КРОК:

– В нашей корпоративной сети исповедуется комплексный подход к ИБ. Помимо защиты периметра работают службы управления правами доступа к данным и обновлениями ПО, наряду с системами видеонаблюдения за серверными помещениями действуют системы контроля доступа в эти помещения. Используем смарткарты для входа в компьютеры и ноутбуки, PKI-инфраструктуру для организации обмена шифрованными сообщениями электронной почты.

А. ГОЛОВ, главный консультант по ИБ, TopS BI:

– Понятие «периметр» в современной архитектуре сети потихоньку исчезает: появляются беспроводные сегменты, мобильные пользователи, а вместе с ними меняются источники угроз и модель злоумышленника. В первую очередь стоит рассмотреть внутренние источники – умышленные (мошенничество, НСД и т.п.) и неумышленные (занесение вредоносного ПО из сетей с низким уровнем доверия).

Именно поэтому в нашей сети действуют подсистемы защиты внутренних ресурсов и конечных пользователей, обеспечения безопасности web-сервисов, антивирусы. Для некоторых категорий пользователей они дополнены подсистемами строгой аутентификации, а для отслеживания доступа в Интернет – еще и контроля трафика.

М. ГАРУСЕВ, специалист по ИБ IT Service Group, «Эквант»:

– Появление новых классов угроз и «размывание» периметра привели к тому, что периметром безопасности становится каждый ПК. Поэтому, помимо классических средств защиты периметра, в нашей сети работают различные системы контроля состояния ПК. К сожалению, «периметр-ориентированные» системы – это пока стандарт де-факто: есть отработанная методика, есть набор необходимых функций. Современный подход «размытого периметра» такими стандартными аксессуарами пока не обзавелся, из-за этого есть сложности при создании СИБ.

ИНКОГНИТО:

– Если понимать под средствами защиты периметра только МЭ, то в список используемых у нас СЗИ входят системы обнаружения вторжений, средства централизованного контроля и управления конфигурацией сетевого оборудования, системы резервного копирования и системы централизованного сбора и анализа журналов регистрации.

С. КАМОЛОВ, начальник отдела ИБ, РТКОММ:

– Наряду с привычными МЭ и IDS в нашей сети работают средства обнаружения и удаления spyware и addware. Для борьбы с нежелательными почтовыми рассылками имеется система разметки и детектирования почтовых сообщений. Их внедрение мотивировано в основном тем, что СИБ компании должна отвечать текущему уровню угроз.

М. АВДЕЕВ, менеджер по развитию бизнеса, Aladdin:

– Кроме традиционных средств защиты периметра сети, мы используем собственные решения: проактивную систему контент-безопасности электронной почты и web-браузинга, средства двухфакторной аутентификации, универсальную систему управления этими средствами в масштабе предприятия, продукты защиты коммерческой и конфиденциальной информации.

Поскольку наша компания разрабатывает решения по ИБ, то мы обязаны надежно защищать свою интеллектуальную собственность как юридически (патентование), так и технологически. Безопасность собственных «рубежей» – это доверие клиента, имидж, наконец, это наша работа.

О централизованном управлении

«ИКС»: Интегрированы средства защиты в единую систему с возможностью централизованного управления или автономны?

С. НОВГОРОДСКИЙ: В нашей сети централизация заканчивается пока на уровне автоматизированных рабочих мест подразделений безопасности в филиалах. Необходим разумный баланс с централизацией администрирования. В достаточно сложной и разнородной корпоративной инфраструктуре централизация управления СИБ не должна опережать процессы, связанные с централизацией администрирования. Однако есть принципиальное решение о ее необходимости, и оно будет реализовано при развитии защищенной информационно-вычислительной сети компании.

М. ЕМЕЛЬЯННИКОВ: К сожалению, централизованного управления СИБ у нас нет, и таких средств – эффективных, реально работающих, объединяющих решения многих производителей, – я не знаю. И при отсутствии унифицированных интерфейсов у продуктов разных вендоров их появление в ближайшее время проблематично. Заказная же разработка слишком дорогая.

Д. КОСТРОВ: Это одна из сложнейших задач ИБ, так как выбор СЗИ производится с учетом критерия цена/качество. Есть системы централизованного управления/мониторинга, позволяющие координировать работу СЗИ от разных производителей. Однако разработки этих компаний сегодня не входят в десятку лучших. Поэтому в МТТ проблема решается комплексно – используем представленные на рынке системы централизованного управления/мониторинга и собственные разработки.

А. МАЛИС: В нашей сети работают две автономные системы, в которые интегрированы все системы защиты – для открытых и конфиденциальных данных.

А. БУЙДОВ: В нашей ИС есть и автономные средства защиты, но мы постоянно стремимся к их объединению, как, например, это сделано с системами контроля доступа в помещения и аппаратной идентификации. Поскольку без централизованного управления очень сложно отследить все инциденты в области безопасности, дополнительно ведем единый журнал событий, где фиксируются все такие случаи.

Для некоторых бизнес-процессов уже используются системы управления ИБ в связке с автоматическими системами контроля. Такой подход будет распространен на большинство бизнес-процессов.

А. ГОЛОВ: Все подсистемы ИБ компании связаны между собой. Основной стержень – продукты Check Point, остальные совместимы по протоколам (OPSEC-совместимы).

М. ГАРУСЕВ: Большинство наших защитных систем интегрировано в систему управления сетью. Небольшим организациям, которые пользуются нашей сетью, вполне хватает механизма контроля доступа (Access Control List, ACL) на маршрутизаторе.

ИНКОГНИТО: У нас средства ИБ по большей части автономны, поскольку у каждого производителя свои протоколы и способы управления. Некоторые СЗИ могут быть интегрированы в систему управления более высокого уровня. Например, средства обнаружения вторжений на базе продуктов ISS, МЭ на базе продуктов Check Point и Cisco PIX можно объединить в единую СИБ на базе NetForensics. Но таких примеров немного.

С. КАМОЛОВ: Мы сейчас занимаемся консолидацией управления всеми компонентами нашей СИБ в единую систему – необходимо снизить людские затраты на управление СИБ, так как в отсутствие централизации расходуются огромные временные ресурсы квалифицированных сотрудников. Но, пожалуй, главный плюс при централизованном управлении – возможность использования средств корреляции событий для анализа инцидентов. Часто не связанные на первый взгляд события оказываются элементами сложной, хорошо спланированной атаки на сеть компании.

М. АВДЕЕВ: У нас эшелонированный подход к обеспечению безопасности корпоративной системы: на каждом уровне применяется лучшее, по мнению наших экспертов, решение, а централизованное управление различными системами обеспечивается на уровне сети. На наш взгляд, таким образом можно достичь наиболее высокого уровня безопасности.

О самой большой опасности

«ИКС»: Какая угроза наиболее опасна для вашей сети?

М. ЕМЕЛЬЯННИКОВ: Трудно выделить что-то одно. Вредоносные программы – все эти вирусы, черви, трояны, шпионские программы – требуют постоянного контроля всех узлов. Одна эффективная хакерская атака может «завалить» всю сеть, но случаются они не в пример реже, чем попытки проникновения вредоносного контента. Ошибки и несанкционированные действия персонала – каждодневные события, и к ликвидации их последствий с помощью средств резервирования и копирования информации тоже надо быть готовыми. Очень опасны методы недобросовестных конкурентов, но отличить их от хакерских атак или действия троянов и шпионского ПО зачастую невозможно.

Ранжирование угроз зависит от того, какие бизнес-процессы переложены или поддерживаются IT-инфраструктурой компании, какова архитектура и топология сети, и наверняка существенно разнится, скажем, у адвокатской конторы и у оператора связи.

С. НОВГОРОДСКИЙ: Всё ПО в какой-то мере шпионское. Не успеешь прочитать на экране ПК какую-то информацию, как данные сохраняются в его памяти в бесчисленных копиях, файлах, ссылках и т.д. А некоторые вирусы и трояны «знают», где всё это обычно хранится.

Вред от спамовых рассылок растет день ото дня. К сожалению, приходится устанавливать дорогостоящие решения, не всегда надежно ограждающие пользователей электронной почты от навязчивой рекламы. Спам – это неизбежные издержки с относительно успешным результатом.

А. МАЛИС: Все виды сетевых угроз одинаково опасны.

А. БУЙДОВ: Степень опасности угрозы определяется по формуле: [вероятность реализации угрозы] х [уровень возможного ущерба]. Поэтому в разные моменты времени наиболее опасными становятся разные угрозы.

Всегда опасны вирусы, трояны, спам и хакеры. Несмотря на то что ущерб от спама невысок по сравнению, скажем, с преднамеренными действиями сотрудников, вероятность его реализации огромна и несравнима с инсайдерской угрозой. Серьезную опасность несет использование мобильных и беспроводных устройств, поскольку в погоне за функциональностью производители переносных ПК и смартфонов не всегда обращают должное внимание на ИБ.

М. ГАРУСЕВ: Иной раз старый, «полудохлый» вирус может натворить больше бед, чем электронный шпионаж конкурентов.

Об инсайдерах

«ИКС»: Как уберечься от инсайдеров?

С. НОВГОРОДСКИЙ: Очень хорошая профилактика инсайдерской угрозы – использование автоматизированных систем контроля контента электронной почты и доступа в Интернет.

А. БУЙДОВ: Наша защита от инсайдеров имеет три уровня. Идеологический – компания доверяет своим сотрудникам и старается, чтобы они разделяли ее ценности. Организационный – мы не провоцируем сотрудников на неправомерные действия и разграничиваем доступ к той или иной информации. Технологический – используем СЗИ.

Как защищаются «от Сети»

Согласно исследованию, проведенному корпорацией IBM в США, за прошедший год количество киберпреступлений увеличилось и почти сравнялось с количеством физических преступлений. В опросе участвовали около 700 человек, имеющих доступ в Интернет на работе или дома. Большая часть из них полагает, что вероятность стать жертвой киберпреступления выше, чем подвергнуться физическому насилию.

Усилившееся беспокойство относительно возможных кибератак привело к изменению поведения потребителей. Более 53% респондентов считают, что основная ответственность за кибербезопасность лежит на самом гражданине, и в меньшей степени доверяют компаниям, специализирующимся в области безопасности, правоохранительным органам и web-сайтам.

Результаты опроса поражают:
  • 85% опрошенных уничтожают все документы, содержащие персональную информацию, или стремятся ее надежно сохранять.
  • 70% обращаются только в те интернет-магазины, которые отмечены эмблемой защиты конфиденциальной информации.
  • 64% не производят онлайновых транзакций с помощью компьютеров совместного пользования.
  • 50% не пользуются беспроводными сетями коллективного пользования, например в кафе или аэропортах.
  • 38% не совершают онлайновых банковских операций.
  • 37% не доверяют информацию о своей кредитной карте онлайновым системам.

По материалам IBM

Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!
Поделиться: