Информационная безопасность и защита корпоративной сети
- От кого будем защищаться?
- Ото всех.
- А что будем защищать?
- Все. Сколько на это понадобится денег?
- Все. На это уйдут все деньги.
ЧТО ТАКОЕ ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ И ЗАЩИТА СЕТЕЙ
Как люди, занимающиеся информационной безопасностью и защитой корпоративных систем не первый десяток лет, мы не верим в абсолютную безопасность. Абсолютная безопасность – это зверь редкий, мифический, и людям не показывается.
Чаще нам приходится иметь дело с разумным компромиссом между безопасностью и функциональностью. Ведь информационная безопасность, то есть защита Ваших данных от несанкционированного доступа, это не штуковина, фишка или железяка, которую один раз поставил, и она есть. Это процесс, который должен соблюдаться постоянно, правила игры, по которым играют в вашей корпоративной сети. Это золотая середина между "нужно, чтобы могли работать" и "не должны похитить".
И чтобы найти эту золотую середину, нужно ответить на несколько важных вопросов.
ОТ КОГО ИЛИ ОТ ЧЕГО ЗАЩИЩАЕМСЯ?
Это ключевой вопрос. Нам всегда приходится выбирать, от кого защищать сеть и информацию, поскольку Ваши ресурсы – организационные, временные, финансовые, - не бесконечны.
Как правило, для средней фирмы можно очертить такой круг источников опасности:
Внешние хакеры
На наш взгляд, это одна из самых очевидных и легко устранимых угроз. Если мы не говорим о безопасности веб-сайта или другого ресурса, открытого в Интернет, то защита внутренней сети не представляет серьезных проблем. Достаточно иметь грамотно настроенный роутер, достаточно строгую политику при подключении извне, отсутствие небезопасных сервисов и надежную антивирусную защиту, и вероятность взлома Вашей сети резко падает до минимальных значений.
Вирусы, трояны и использование их для доступа в корпоративную сеть
Решение этой проблемы сильно зависит от того, случайна ли вирусная атака. Если случайна, то есть вирус написан не конкретно под взлом Вашей сети, то, скорее всего, хороший антивирус его определить и блокирует. Если же вирус кто-то специально подготовил для Вас, то шансы на успешную защиту снижаются: если кто-то серьезно работал над вирусом, то его обнаружение может оказаться не по зубам антивирусной системе. Это связано с тем, что антивирусные системы имеют два механизма определения вируса – сравнение с известными вирусными сигнатурами (уникальными кусками кода), и определение по характерному поведению. Антивирус может не знать о новом вирусе, и определять лишь по поведению, обращению к дисками или программам.
Однако, для того, чтобы вирус сработал, необходимо его как-то доставить в вашу сеть и запустить. И тут на пути проблеме должны встать инструкции по работе в сети, ограничение прав доступа к ресурсам, политики безопасности Вашей сети.
Собственные сотрудники
По статистике, на долю взломов и получения доступа к данным через внешние сети или Интернет приходится около 20%. Остальные 80% относятся к внутренним взломам, утечкам и хищениям информации. Мы редко слышим, что кто-то взломал сервер, но часто - что уходящий сотрудник потер все данные после того, как "слил" базу клиентов.
Атаки изнутри зачастую не являются атаками в прямом смысле - человек просто берет доступную информацию либо использует программные средства для получения доступа к закрытым областям. Отразить такую атаку гораздо сложнее, но можно значительно снизить доступность информации и осложнить работу злоумышленнику.
Бороться можно системой мер.
1. Разделение прав доступа. Человек должен иметь доступ только туда, куда необходимо для выполнения своих обязанностей.
2. Наличие и четкое соблюдение политики паролей. Пароли должны быть достаточно длинными, сложными, и подвергаться регулярной смене.
3. Правильное администрирование сети. Администратор должен внимательно относиться к своей работе, регулярно проводить аудит безопасности, удалять или отключать неиспользуемые учетные записи.
4. Использование средств криптозащиты для защиты файлов и электронной почты.
«Чужие дяди»
Под это понятие мы включаем всех, кто может получить доступ к серверам и сети без санкции руководства – охранники, различные проверяющие, воры-мошенники-бандиты и тп.
Рассматривая их как угрозу, мы понимаем, что результатов может быть два – остановка работы компании в отсутствие рабочих данных и попадание данных в «не те» руки.
Первая проблема может быть решена путем создание продуманной системы резервного копирования, созданием дублирующего сервера, выносом данных или сервисов на удаленный сервер в облаке или надежным прятанием сервера. Вторая задача не столь творческая, и, как правило, подразумевает внедрение системы криптозащиты данных, специальных процедур типа эвакуации носителей в случае наступления «события Х» и других аналогичных вещей.
Вполне возможно, у Вас есть какие-то иные особенности бизнеса, которые порождают иные опасности. А каких-то может и не быть. Все это тема для серьезного разговора.
Поскольку теперь мы знаем, от кого защищаемся, появляется не менее важный вопрос.
ЧТО ЗАЩИЩАЕМ?
Ответ «все» нам, к сожалению, не подходит. Прирост объема данных в средней компании, не занятой графикой, исчисляется десятками гигабайт. За три-четыре года это счастье может вырасти до сотен гигабайт, или единиц терабайт. Для понимания – копирование 1 Терабайта по локальной ста мегабитной сети займет примерно полтора суток. То есть даже резервное копирование таких объемов требует серьезного подхода, а сливать каждую ночь куда-то в интернет, чтобы иметь актуальную копию, практически невозможно.
Отсюда следует простой вывод – Вам потребуется отделить от гигабайт хлама действительно важную, ценную информацию. И никто не сможет сделать это за вас. Мы же постараемся помочь решить, что делать с ней дальше, чтобы уберечь от тех ненастий, которые мы определили в теме опасностей.
КАК ЗАЩИЩАЕМСЯ?
Примерно так же, как Вы защищаете свой дом.
Самое главное - на двери должен быть замок. Иначе это провоцирует даже самых законопослушных. И замок для каждой опасности должен быть свой. И внешние, и внутренние источники угроз должны зримо чувствовать, что здесь за безопасностью следят. Поэтому для небольшой сети список задач выглядит таким образом:
1. Использование централизованной системы аутентификации и проверки подлинности. В windows-сетях это, как правило, Active Directory.
2. Использование надежного антивирусного обеспечения. На сегодняшний день, по нашему мнению, это корпоративные версии Kaspersky Antivirus.
3. Правильная настройка всех аппаратных и программных точек контакта с внешней сетью – роутеры, серверы, использование VPN при подключении извне и между офисами.
4. Разделение прав доступа к документам и ресурсам. Внедрение практики контроля за получением доступа, когда получение нового доступа возможно лишь с санкции руководства компании.
5. Использование политик паролей – определение требований к паролям и их регулярной смене, реализованной на программном уровне.
6. Регламентация работы пользователей в сети. Описание разрешенных и запрещенных действий, политик паролей, правил доступа к тем или иным ресурсам.
7. Внедрение криптографических средств для защиты информации в случае утери ноутбуков или носителей информации, защита электронной почты.
Все эти меры в совокупности позволяют серьезно повысить уровень безопасности в компании и сильно снизить вероятность утечки данных.
Важным дополнением к вышесказанному является необходимость регулярного аудита безопасности, поскольку людям свойственно совершать ошибки. И наша задача – помочь найти эти ошибки и подсказать способы исправления.