Как надежно защитить сетевую инфраструктуру, и что может пойти не так?

На основе многолетнего опыта работы в компании Softline, я расскажу о том, на что стоит обратить внимание при организации защиты ИТ-периметра, какие ошибки чаще всего совершает бизнес и почему не стоит пренебрегать помощью экспертов.

Межсетевой экран – это стандарт защиты ИТ-периметра, который в том или ином качестве использует почти каждый заказчик Softline. Современные платформы очень гибкие и имеют широкий функционал. Помимо своей основной задачи – защиты корпоративного периметра от внешних угроз - файрвол способен решать и ряд побочных, среди которых - защита веб-трафика и контроль использования ресурсов сети Интернет, публикация приложений, предоставление удаленного доступа и многие другие. При этом, как это ни парадоксально, именно межсетевые экраны нередко оказываются недооцененными: бизнес использует их возможности далеко не на полную мощность.

Наиболее качественные решения стоят недешево, но они могут принести ощутимую пользу бизнесу, если максимально реализовать их потенциал. Файрвол – это одно из первых средств в ИТ-периметре, которое «видит» и может фильтровать весь входящий и исходящий трафик. Стоит понимать, что этот трафик является не чем иным, как следствием определенных бизнес-процессов компании и взаимодействия элементов её инфраструктуры с ресурсами вне периметра. Но не только. Зачастую в сети может наблюдаться активность, которая не имеет никакого отношения ни к сотрудникам организации, ни к работе бизнес-приложений. Как понять, какой трафик является «хорошим», а какой вы бы и вовсе не хотели наблюдать в своей сети?

Эксперты Softline считают, что еще на первоначальном этапе важно определить, какие ресурсы и приложения, используемые сотрудниками, являются легитимными для вашей организации, а к каким можно запретить или ограничить доступ для всех или только некоторых подразделений. Например, источником заражения либо утечки информации могут стать различные анонимайзеры, средства удаленного управления, почтовые сервисы, файловые хранилища, соцсети и многое другое. Раз так, то они, как минимум, являются нежелательным элементом в трафике, а, как максимум, могут стать причиной инцидента информационной безопасности. Как показал опыт взаимодействия Softline с клиентами, если какой-то ресурс не имеет значимости для рабочего процесса, проще запретить его использование полностью либо ограничить возможность обмена файлами. Решившись на такой шаг, можно не переживать и не задавать себе беспрестанно один и тот же вопрос: способна ли, например, система DLP вовремя обнаружить утечку через этот канал.

Стоит помнить, что одним из наиболее распространенных каналов заражения является почта, как личная, так и рабочая. По данным исследований, до 95% угроз приходят именно посредством этого канала. Фишинговые рассылки и социальная инженерия многими экспертами официально признаются наиболее популярными и действенными способами мошенничества. В то же время мало кто способен отказаться от почты, так как она является одним из основных рабочих инструментов. Поэтому важно проводить работу по повышению грамотности персонала в вопросах информационной безопасности и периодически тестировать сотрудников на знание правил безопасной работы в сети. Естественно, полагаться только на человека в таком вопросе не совсем правильно, поэтому дополнительно стоит озаботится более тщательной настройкой функционала URL-фильтрации, который заложен в большинстве современных межсетевых экранов. Это позволит частично нивелировать вероятность успешности вредоносной деятельности путем ограничения доступа к неблагонадежным ресурсам, в том числе и фишинговым.

Другие распространенные каналы утечек – съемные и бумажные носители. В настоящий момент существуют средства, с помощью которых можно ограничить использование во внутренней сети некоторых типов съемных носителей, а также контролировать содержание документов, идущих в печать. Межсетевой экран сюда, безусловно, не дотянется. Но функционал контроля съемных носителей включен во многие антивирусные продукты. И они также являются частью того «фундамента» информационной безопасности, который закладывается на самых ранних этапах зрелости инфраструктуры, поэтому доступен большинству заказчиков.

Специалисты Softline часто сталкиваются с ситуациями, когда организации внедряют достаточный набор средств защиты, но используют их функционал не на полную мощность. Нередко люди ничего не знают о скрытых возможностях даже антивирусов, давно знакомых всем. К слову, многие распространенные антивирусные программы обладают функционалом блокирования съемных носителей. Многим ли это известно? Думаю, что нет. Что уж говорить о таких сложных решениях, как межсетевые экраны!

Другая распространенная ошибка – это неправильное определение того класса средств, который необходим бизнесу для решения задачи. Заказчик руководствуется знаниями, накопленными в ходе эксплуатации тех или иных продуктов, или сведениями из открытых источников. Но этого не всегда бывает достаточно. Например, для защиты веб-трафика пользователей обычно приобретается межсетевой экран, тогда как в большинстве случаев эффективнее использовать отдельный тип решений - веб-прокси. Он имеет определенные механизмы защиты, категоризации сайтов, анализа содержания и так далее. В некоторых ситуациях, напротив, зрелость ИТ-инфраструктуры заказчика позволяет отказаться от приобретения отдельных решений для защиты разных сегментов корпоративной сети. И здесь можно максимально полно использовать основные и побочные функции одного продукта.

Часто бизнесу не хватает экспертизы, чтобы грамотно подобрать решения для зашиты от актуальных угроз: не все ИТ-специалисты успевают следить за тенденциями рынка информационной безопасности, изучать лучшие практики в этой области и своевременно отслеживать появление новых продуктов. Профильные компании, работающие в сфере ИБ, в этом случае могут выступить в роли trusted advisor. Они готовы эффективно решать бизнес-задачи предприятий и организаций. Совместно с ИБ-провайдером необходимо провести работу по определению легитимных приложений и возможных каналов утечек так, чтобы максимально защитить ИТ-периметр, но при этом не навредить бизнесу и оставить некоторую свободу своим пользователям.

На Западе существует такое понятие, как Acceptable use policy - «политика допустимого использования», в рамках которой детально прописывается оснащение рабочих мест пользователей, а также составляется перечень программ, с которыми сотрудники могут работать. Проведенный вместе с ИБ-провайдером анализ помогает сформировать основу для создания таких политик, определения потенциальных угроз и, как следствие, выбора средств защиты для каждого рабочего места. В результате интегратор, привлекаемый для проведения работ такого плана, позволит заполнить пробелы в знаниях специалистов заказчика, что положительно сказывается на качестве внедрения решений.

Эксперты Softline призывают бизнес-сообщество всегда помнить о том, что опытному ИБ-провайдеру важно выстраивать доверительные отношения с заказчиками, а не просто продать им какое-то количество ПО и оборудования. Один из аспектов нашей работы – верифицировать запросы заказчика. Все проекты требуют наличия критического мышления, потому что никогда нельзя исключать возможность ошибки. Так мы сможем сэкономить время и средства заказчика.