In English

Одной защиты периметра недостаточно

04.12.2014, Арсентьев Андрей
Издание: Cnews
Современный уровень угроз и развитие технологий требуют создания комплексных систем информационной безопасности. Защита периметра корпоративной сети в этих условиях остается обязательной процедурой, но ее одной уже явно недостаточно для полноценной защиты информационного пространства. Важно не запрещать работу с информацией вне офиса, а правильно управлять этой работой.

Защита периметра традиционно необходима при подключении корпоративных сетей к сетям общего пользования. Благодаря этому можно предотвратить атаки на ресурсы компании, организовать безопасный доступ офисного персонала к внешним сетям, а удаленных авторизованных пользователей – к внутренним.

Сегодня практически невозможно представить компанию, ИТ-инфраструктура которой не имела бы средств периметральной защиты. Задача защиты периметра остается обязательным процессом на предприятиях практически любого масштаба и включает в себя использование таких средств, как шлюзы безопасности, межсетевые экраны (Firewalls), виртуальные частные сети (VPN), системы обнаружения и предотвращения вторжений (IDS/IPS).

В последнее время наблюдается тенденция по модернизации периметральных подсистем защиты. «Связано это, в первую очередь, с изменением парадигмы защиты периметра. Если классические межсетевые экраны функционируют на уровне «IP-адрес/порт», то более современные уже оперируют на уровне «пользователь/приложение», – объясняет Юрий Черкас, руководитель направления инфраструктурных решений ИБ Центра информационной безопасности компании «Инфосистемы Джет».

Примеры проектов, связанных с защитой периметра, 2013─2014 гг.
Проект / Заказчик / Исполнитель
Создание единой защищенной мультисервисной сети / Федеральная антимонопольная служба (ФАС) / России Крок
Создание системы защиты информации / «Коммерческий центр» (дочерняя структура Росатома) / Микротест
Обеспечение безопасности файловых серверов и рабочих станций от внешних и внутренних киберугроз / Федеральная служба по контролю за оборотом наркотиков (ФСКН) России / Информзащита

Источник: CNews Analytics, 2014

Во многих организациях (по оценке экспертов «Инфосистемы Джет», их количество составляет около 50% от общей массы) до сих пор применяются средства защиты, использующие классические технологии. В ближайшее время следует ожидать уверенного роста спроса на проекты по модернизации систем защиты периметра, связанных как с повышением функциональности и использованием технологий нового поколения, так и с переходом на более высокоскоростные каналы, требующие большей производительности средств защиты.

Расширение понятия

Вместе с ростом популярности идеи корпоративной мобильности BYOD (Bring Your Own Device, «возьми свое собственное устройство»), распространением удаленного доступа, облачных технологий понятие периметра расширяется. К тому же возникают новые вызовы и угрозы, на которые важно эффективно и оперативно реагировать. Это и направленные атаки, и удаленные подключения, и различные ботнеты и т.д. «Из-за появления новых угроз, используемые базовые средства информационной безопасности пересматривают даже компании с высоким уровнем зрелости», – отмечает Михаил Башлыков, руководитель направления информационной безопасности компании «Крок».

«После появления огромного количества мобильных устройств, которыми пользуются сотрудники, понятие периметра стало исчезать. Периметр переместился за границы офиса», – соглашается Аркадий Прокудин, заместитель руководителя центра компетенций информационной безопасности компании «АйТи». По его словам, очевиден общий тренд: не запрещать сотрудникам возможность работать с информацией вне офиса, а правильно управлять этой работой.

Таким образом, на сегодня защита периметра сети ─ это одна из частных задач, которая должна решаться в рамках создания комплексной системы информационной безопасности, констатируют специалисты.

Дополнительная защита

Поскольку в среде корпоративной информационной безопасности основное внимание клиентов сегодня сосредоточено на создании комплексных систем обеспечения ИБ, то это подразумевает использование целого спектра технических решений. Классическими примерами являются средства антивирусной защиты, межсетевого экранирования, криптографической защиты, обнаружения вторжений, предотвращения утечек информации, защиты от НСД и прочие, более интеллектуальные ─ системы класса SIEM, IT GRC, SOC, также нужно учитывать организационную составляющую. В последнее время появились ряд дополнительных средств защиты и технологии управления. Яркими примерами являются решения классов Breach Detection Systems и Firewall Management.

Breach Detection Systems – это дополнительные рубежи защиты, позволяющие противодействовать атакам, использующим уязвимость «нулевого дня», а также целенаправленным атакам (APT). Решения Breach Detection Systems интегрируются с традиционными средствами защиты периметра и получают от них файлы. Эти файлы запускаются в изолированной среде («песочнице»), эмулирующей рабочие станции пользователей, где производится их динамический и статический анализ. «Только такой анализ способен выявить вредоносную активность новых вирусов («нулевого дня»), сигнатуры для которых еще отсутствуют в средствах защиты. Если по результатам анализа файл признается вредоносным, то «песочница» сообщает об этом, и данный файл будет блокироваться на периметре», – рассказывает Юрий Черкас.

Firewall Management – централизованные и унифицированные средства управления межсетевыми экранами. К преимуществам их использования относятся: возможность управления межсетевыми экранами разных производителей из одной консоли; визуализация политик и правил и фильтрации на карте сети; мониторинг и анализ изменений настроек (в том числе влияние этих изменений на безопасность периметра и анализ на предмет избыточности/оптимальности правил); автоматизация процесса предоставления доступа на уровне сети (интеграция с системами Service Desk).

Основные направления ИБ, связанные с защитой периметра
  • Создание системы периметральной защиты с нуля (новые объекты и площадки)
  • Модернизация системы защиты (миграция на новые решения)
  • Расширение функциональности за счет внедрения новых компонент (Breach Detection Systems, Firewall Management)
  • Создание решений по безопасному удаленному и мобильному доступу
Источник: «Инфосистемы Джет», 2014

На первый план выходят те средства и процедуры, которые учитывают современные подходы к коммуникациям – облачные технологии, инструменты совместной работы, мобильные устройства, а также системы виртуализации и контроля конфигураций и т.д. «Новые базовые средства ИБ должны работать на уровне приложений и быть легкоуправляемыми, в том числе и из единого центра управления», – подчеркивает Михаил Башлыков.

Комплексные требования и опыт

Требования по защите информации определенных видов, например, персональных данных и коммерческой тайны, устанавливаются в рамках федеральных законов и подзаконных актов, а контролируются регуляторами. Они же нормируют деятельность организаций по защите важных информационных ресурсов. Кроме того, существует набор ГОСТов, которые помогают компаниям выполнять эти требования и «говорят», на что нужно ориентироваться. Большая часть этих государственных стандартов ─ адаптация международных «лучших практик», например, стандарты серии 27000. Если говорить об отраслевой специфике, то в большинстве областей есть собственные регуляторы, например, Центральный банк Российской Федерации, Министерство связи и массовых коммуникаций РФ и другие.

Вместе с тем, не стоит забывать про бизнес-требования, которые также накладывают свой отпечаток. «Сегодня многие клиенты уже осознают необходимость четко увязывать построение комплексной системы ИТ и ИБ с требованиями развития бизнеса, его стратегическими целями. Наиболее преуспели в этом клиенты из телекоммуникационной отрасли и организации финансово-кредитной сферы», – говорит Дмитрий Бирюков, руководитель практики аудита и консалтинга компании «Астерос Информационная безопасность» (группа «Астерос»).

Идейно все требования к корпоративной системе защиты сводятся к нахождению компромисса между безопасностью, функциональностью бизнес-систем и удобством их использования. Основная рекомендация специалистов здесь – рассматривать вопросы безопасности уже на этапе проектирования основных бизнес-систем. «К сожалению, этот момент часто упускают, что приводит к проблемам, связанным как с выбором средств защиты, так и со сложностью их интеграции, – комментирует Юрий Черкас. – Достаточно сложно наложить функционал безопасности на уже существующий ИТ-ландшафт, который был разработан без учета требований по безопасности».

В компании «АйТи» рекомендуют своим клиентам строить комплексную систему ИБ, отталкиваясь исключительно от угроз и законодательства. Естественно, затем необходимо построить управление всей инфраструктурой и инцидентами в ИТ и ИБ. Так, в настоящее время «АйТи» работает над созданием центра управления инцидентами для одного из крупнейших банков России. Сбор данных происходит по всей стране с 65 тыс. устройств. В Москве, в едином центре, происходит управление инцидентами и разбор проблемных ситуаций.

Крупные игроки рынка информационной безопасности ежегодно выполняют десятки сложных проектов создания комплексных систем защиты, включая организацию защиты периметра. Например, один из наиболее интересных и масштабных проектов, выполненных компанией «Крок» – построение единой системы информационной безопасности для крупной госкорпорации. Стояла задача унифицировать управление информационной безопасностью в десятках предприятий с несколькими тысячами пользователей и разными типами как открытой, так и конфиденциальной информации. Для этого были разработаны отраслевые стандарты и нормативные документы, реализованы единые методологические и технические подходы к обеспечению ИБ, с учетом соответствия требованиям регуляторов проработана техническая архитектура решений. В центральном аппарате корпорации был внедрен целый перечень средств ИБ, включая системы защиты от утечек конфиденциальной информации и анализа защищенности, анитивирусную защиту и т.д.

Центральный федеральный округ