Внутрисетевые системы контроля и управления доступом: задачи, функции и программные решения
В настоящее время информация является ключевой социальной ценностью в XXI веке. Большинство частных лиц, организаций и государственных структур активно ведут кибервойны, которые направлены на разрушение главных ценностей своих конкурентов - информационных систем. Одним из главных вызовов ИТ-сферы является вопрос внутренней безопасности. Однако, с помощью ряда логических действий и специальных программных решений, возможно подготовить систему к "обороне". В этой статье мы разберемся, как и зачем использовать эти решения в настоящее время.
Зачастую наиболее опасные угрозы для компаний приходят изнутри. Доступ к конфиденциальной информации может быть получен сотрудниками, которые имеют разрешение на ее использование. Они могут выполнять неправомерные действия как случайно, так и с преднамеренным намерением. Все это усугубляет ситуацию в IT-отрасли и приводит к возникновению многочисленных взломов и кибер-атак на такие крупные структуры, как банки, торговые сети, объекты энергетической и промышленной инфраструктуры, вызывая тревогу по всему миру. Острый интерес к данной области продолжает подтверждаться многочисленными международными и внутригосударственными конференциями и съездами, посвященными защите информации.
Существуют разнообразные определения внутрисетевых нарушений ИТ-безопасности. Однако, наиболее распространенные их типы включают в себя сотрудников, которые могут быть халатными, обиженными или манипулируемыми, или внедренными.
Халатные работники встречаются в любом коллективе и могут быть незлонамеренными. Их действия могут привести к нарушению правил хранения конфиденциальной информации: например, при потере сьемного диска, или допуске знакомых к этой информации. Ущерб от неправомерных действий таких работников может быть самым плачевным. Один из последних случаев возник в 2016 году, когда компания Uber пострадала от взлома и утраты личные данные 50 миллионов клиентов и семи миллионов таксистов со всего мира. Причиной случившегося стала небрежность программистов компании, нарушивших элементарные принципы безопасности и хранивших все пароли в одном месте. По исследованию Ernst & Young, проведенному в 2017-2018 гг. 77% респондентов во всем мире считают халатность сотрудников основной угрозой кибербезопасности.
Обиженные работники из-за низкого материального вознаграждения за свой труд, оценки собственной деятельности в компании или собственного места в иерархии часто проявляют свои негативные эмоции. Как правило, эта категория нарушителей не планирует покидать компанию, но пытается нанести ей материальный вред, например, уничтожить документальную информацию или материальные ценности. Они могут делать это самостоятельно или передавать важную для компании информацию теневым структурам или прессе. В 2015 году, например, из-за злонамеренных действий сотрудника, компания StarNet в Молдавии опубликовала в Интернете персональную информацию (в том числе паспортные данные) 53-х тысяч физических и юридических лиц.
Манипулируемые извне работники являются, возможно, наиболее опасными нарушителями кибербезопасности, поскольку они имеют заказчиков. Такие сотрудники могут быть завербованными и внедренными в компанию, чтобы похитить конкретную информацию. Они могут использовать технические устройства для обхода внутриорганизационной защиты или действовать под страхом физических увечий. Их опасность заключается в том, что их действия могут нести технические последствия и производственные убытки для компании.
Компания Ernst & Young отмечает, что 89% банков по всему миру ставят кибербезопасность в основные приоритеты 2018 года. Поэтому, в любом случае, информационные данные, ценные документы и материалы должны находиться под надежной защитой. Для этого необходимо продумывать политику информационной безопасности компании, чтобы снизить уровень рисков в сфере IT-безопасности. Необходимо правильно разграничивать права доступа между сотрудниками организации и разрабатывать соответствующие стратегии информационной безопасности для каждого типа данных.
Контроль доступа в компаниях: основные задачи и возможности
Не существует единого решения, которое позволило бы гарантировать 100% безопасность от угроз, как изнутри, так и снаружи. Тем не менее, существует множество вариантов, которые помогают компаниям контролировать угрозы, выполнять задачи и защищаться от потенциальных рисков.
В первую очередь, блокировка несанкционированного доступа к корпоративной сети может быть обеспечена межсетевым экранированием. Такой подход позволяет определять политику безопасности путем анализа объемных контекстных данных и обеспечивать соблюдение возможных мер безопасности. Современные системы позволяют также проводить глубокий анализ трафика и гибко настраивать политику безопасности. В настоящее время корпоративные межсетевые экраны отличаются масштабируемостью, надежностью и управляемостью.
Для исключения нецелевого использования служебной электронной почты может быть использован контент-анализ каждого письма. Современные инструменты позволяют анализировать не только текстовое содержание сообщения, но также и вложения, включая графические элементы и ссылки.
Решения, направленные на исключение нецелевого использования информационных ресурсов, могут включать применение средств против утечки конфиденциальных данных. Некоторые программные продукты сканируют исходящий трафик на наличие конфиденциальной информации. Однако, в большинстве случаев администратор должен вручную указать, какие данные не должны быть утеряны. В результате такие подходы не гарантируют полностью защиту информации от разглашения, например, при использовании чата или других онлайн-сервисов. Чтобы минимизировать риски, многие работодатели, такие как банки, блокируют доступ к социальным сетям и другим популярным сайтам.
Фильтрация web-трафика может быть реализована через базу данных URL, объединенную по тематикам записей. Каждая запрашиваемая страница отфильтровывается и затем относится к определенной категории. Если это необходимо, автоматизированная система проводит анализ контента и определяет тематику страницы. Этот подход помогает администратору настроить группам пользователей права доступа к страницам конкретных категорий.
Согласно исследованию компании InfoWatch, российские организации наиболее озабочены утечкой конфиденциальной информации, которую назвали главной угрозой. Одинаково важными также были считаются искажение информации и сбои информационных систем из-за халатности сотрудников. В то же время, другие угрозы, такие как потеря данных, кража оборудования и другие, не были оценены как особенно важные.
Как работает система контроля и управления доступом?
Компании всё чаще ориентируются на использование систем контроля и управления доступом, обеспечивающих физическую и сетевую безопасность. Физическая охрана включает охранников, замки и биометрические системы идентификации, которые контролируют пропускной режим в здание и фиксируют время входа и выхода сотрудников. Подобная защита также применяется в информационных системах, где логины и пароли заменяют замки, а администраторы и специальные программные продукты играют роль сторожей.
Организациям с развитой сетевой инфраструктурой хотелось бы использовать стандартные средства информационной безопасности, такие как межсетевые экраны, шлюзы безопасности или IPS. К сожалению, это недостаточно. Для достижения эффективного управления доступом создали программные продукты Network Access Control (NAC), которые осуществляют:
- контроль доступа в сеть за счет аутентификации;
- проверку соответствия политике безопасности состояния подключаемых устройств;
- инвентаризацию устройств и приложений корпоративной сети;
- ограничение гостевого доступа к ресурсам.
Контроль доступа в сеть осуществляется путем распознавания нового MAC- и IP-адреса устройства (для устройств VPN - по итогам построения туннеля, для систем на базе DHCP - после запроса DHCP от новых устройств). Сервер принятия решений тогда проводит проверку устройства на безопасность. После передачи запроса от устройства на внутренние серверы (антивирусные, серверы обновления программного обеспечения, LDAP) каждый из них принимает решение о том, соответствует ли устройство минимальным требованиям. Новое устройство получает доступ к сети, который может быть полностью или ограниченно предоставленным.
Несоблюдение критериев хотя бы одного правила ИТ-безопасности может стать причиной запрета доступа к сети. Простейший способ применения NAC - запрет на доступ для устройств, не соответствующих политике информационной безопасности компании. Условиями доступа могут быть установлены корпоративный антивирус, регулярное обновление ОС и т.д. Без соответствия этим условиям доступ в сеть будет запрещен.
NAC также позволяет разделять сети на сегменты (VLAN), чтобы различные отделы внутри компании имели свой сегмент. Каждый отдел может иметь свою политику безопасности, доступ к которой будет предоставлен сотрудникам соответствующего подразделения. Ключевым элементом здесь будет корпоративная служба каталогов, которая облегчает подключение к нужному VLAN сотрудников.
Контроль доступа также осуществляется путем разделения сети на рабочие и карантинные сегменты. Устройства, не соответствующие установленной политике, попадают в последний. В карантинном сегменте установлены серверы обновлений, которые могут привести компьютеры или иные устройства в соответствие с установленной политикой информационной безопасности. После выполнения всех условий доступ вновь предоставляется в рабочий сектор.
С помощью NAC компании могут предоставлять доступ к определенным ресурсам сотрудникам, гостям, партнерам и другим пользователям из установленных в сети сегментов. Количество сегментов корпоративной сети может быть неограниченным.
NAC также контролирует состояние устройств, подключенных дистанционно. Во время удаленного подключения к корпоративной сети происходит проверка компьютера на соответствие политике безопасности, после чего принимается решение.
Некоторые производители также предоставляют решения для предотвращения вторжений на уровне хоста. Такие решения могут комбинироваться со средствами на базе сети.
Для эффективной работы системы контроля и управления доступом требуется понимание целей. Для этого нужно объединить разные отделы, ответственные за работу сети, серверов и обеспечение информационной безопасности. Рабочую модель нужно тщательно проработать перед внедрением системы.
Готовые решения в области контроля доступа внутри корпоративных сетей
Возможности программного обеспечения для контроля доступа насчитывают несколько десятков. Компания GFI входит в число лидеров рынка и предоставляет более десяти программных продуктов, ориентированных как на малый и средний бизнес, так и на крупные организации. Разнообразные решения обеспечивают эффективную информационную безопасность сетей.
Программа GFI EndPointSecurity борется с проблемами, связанными с использованием USB-устройств. Данные устройства, по исследованиям консалтинговой компании Gartner, являются одной из наиболее опасных угроз для сетей. ПО GFI EndPointSecurity контролирует действия с любых дисков: медиа-проигрывателей, карт памяти, CD-дисководов, карманных компьютеров, сетевых карт, мобильных телефонов и других устройств. При этом программа блокирует попытки кражи данных путем полного контроля доступа к съемным дискам, предупреждает внедрения вирусов и неавторизованного программного обеспечения, обеспечивает уникальную защиту и полный сетевой контроль.
Компания GFI предлагает своим потенциальным клиентам бесплатную онлайн-демонстрацию программного обеспечения, которая проводится с подключением к серверу с установленной программой. В ходе данной демонстрации специалисты компании демонстрируют все функции ПО, что поможет определиться с выбором системы.
Программный комплекс DeviceLock DLP Suite включает несколько модулей, которые могут быть лицензированы в разных комбинациях в зависимости от задач служб безопасности. Компоненты ПО обеспечивают контекстный контроль каналов сетевых коммуникаций на компьютерах, полный поиск по базам данных теневого копирования и событийного протоколирования, механизмы фильтрации файлов и данных, переданных с или на сменные устройства, по электронной почте и т.д. Программа способна сканировать сетевые ресурсы, обнаруживая файлы с критическим содержимым. Эти и другие функции DeviceLock DLP Suite позволяют управлять контролем доступа в крупных корпоративных сетях.
Утилита Ivanty Device Control создана для контроля доступа пользователей к портам ввода-вывода. Решение предотвратит проникновение вредоносного программного обеспечения в сеть, убережет от утечки конфиденциальных данных, запретит использование неавторизованных съемных устройств.
Еще одной лидирующей программой в области решений по контролю доступа является Zecurion Zlock (Device Control). Она позволяет запретить использование флеш-карт, контролировать применение USB-устройств и мобильных устройств, а также фильтровать контент. Есть возможность блокировки доступа в интернет при нахождении компьютера вне корпоративной сети, что удобно для контроля удаленных сотрудников. Последнее обновление программы включило модуль поведенческого анализа, который автоматически выявляет подозрительную активность пользователей.
Программное обеспечение Symantec Endpoint Protection позиционируется как самое быстрое и эффективное на рынке решений контроля доступа. Данный программный комплекс использует данные крупнейшей в мире гражданской сети анализа угрозю К преимуществам Symantec Endpoint Protection относятся гибкие настройки политики в зависимости от расположения пользователей, один удобный клиент и консоль управления для физических и виртуальных платформ.
Существует множество факторов, которые влияют на формирование цен на системы контроля доступа внутри корпоративной сети. Вендоры учитывают объем предоставляемых услуг и функциональных возможностей ПО, местонахождение центрального офиса производителя, стоимость рабочей силы, а также многие другие субъективные факторы.
Компания GFI предлагает одну из самых доступных по стоимости программ среди современных вендоров - GFI EndPointSecurity. За лицензию на один год, (до 150 устройств), цена начинается от 1300 рублей. В одну лицензию в зависимости от редакции ПО может входить обслуживание от одного до неограниченного числа пользователей. На сайте есть раздел "Расчет стоимости" и "Акции и скидки", чтобы клиенты могли самостоятельно выбрать наиболее подходящий вариант.
Решение DeviceLock будет стоить 2000 рублей при установке на один компьютер, 1900 рублей при инсталляции на 50-199 компьютеров и 1700 рублей на 100 и более компьютеров. Если требуется обслуживание от 1 до 49 компьютеров, то цена составит 2000 рублей.
Цены на программы Ivanty Device Control и Zecurion Zlock (Device Control) рассчитываются индивидуально по запросу покупателей.
По правилу "оптом дешевле", можно приобрести ПО Symantec Endpoint Protection. Если покупка осуществляется на 1 год, то одну лицензию можно приобрести за 1865 рублей, а на 3 года - за 3357 рублей. Таким образом, если вы планируете воспользоваться лицензией более длительное время, то годовое обслуживание обойдется дешевле.
Фото: freepik.com