Инциденты, связанные с несанкционированным проникновением в корпоративную сеть, некогда были сферой ответственности ИТ-директора, потом — директора по безопасности, а сегодня — уже генерального. Для совета директоров стало нормой требовать от топ-менеджеров отчета о том, какие предусмотрены меры защиты от сложных атак и утечек данных, а также о способах устранения негативных последствий, если проникновение в инфраструктуру все-таки произойдет.
Сегодня вопросы защиты сети от несанкционированного доступа приобрели для компаний особую значимость. Необходимо оценить соответствующие риски и разработать эффективные решения, чтобы быть готовыми к инцидентам, которые, как многие уже поняли, неизбежны. Между тем традиционных стратегий безопасности, ориентированных на защиту периметра, уже недостаточно — необходимо внедрять специализированные внутренние межсегментные сетевые экраны (Internal Segmentation Firewall, ISFW).
.png)
ЗАЩИТЫ ПЕРИМЕТРА НЕДОСТАТОЧНО
Еще не так давно доступ в Интернет из локальной сети был под строгим контролем. Зачастую в типичной корпоративной сети имелось всего два дублирующих друг друга канала вовне, а весь входящий и исходящий трафик проходил через одну точку. Такая схема позволяла отгородиться от Интернета межсетевым экраном на периметре, защищавшим от всех зол глобальной сети. Но сегодня все сильно изменилось. Из-за стремительного роста разнообразия компьютерных устройств, распространения практики BYOD, внедрения облачных технологий и Интернета вещей столь же просто ограничить фронт атаки уже не удается — один лишь межсетевой экран, размещенный на периметре, не справляется со столь сложной задачей. Угрозы эволюционируют и множатся, и сетевые защитные механизмы тоже должны постоянно адаптироваться к этой новой реальности.
Сегодня в компаниях тратят на сетевую безопасность больше, чем когда-либо, но почему же несанкционированные проникновения по-прежнему происходят? Традиционно основная часть этих инвестиций направляется в центр обработки данных и ядро сети, где обычно размещена большая часть важных корпоративных данных. Но атаки совершенствуются. Злоумышленники уже не сосредоточивают всю свою энергию и ресурсы только на взломе центра обработки данных — значительные усилия прикладываются для компрометации конечных точек и других систем вне магистральной сети, в результате чего взломщик крадет идентификационные данные пользователя и с их помощью начинает продвигаться вглубь сети. При этом изучаются и картографируются устройства и системы, находящиеся в непосредственной близости от начальной точки входа, ищутся способы скомпрометировать другие системы, повысить уровень привилегии, воспользоваться незакрытыми уязвимостями, внедрить вредоносные программы и похитить данные. Собрав и проанализировав информацию, атакующий ищет способ «сбежать с награбленным» так, чтобы его не заметили.
Что происходит, если преступник попадает внутрь сети? Судя по данным из различных источников, сегодня на обнаружение проникновения и обезвреживание атаки уходит довольно много времени. При этом бизнесу могут быть нанесены миллионные убытки, связанные с экспертизой, устранением последствий, юридическими услугами, внедрением новых защитных средств и т. д. И это только денежные потери — возможен еще и серьезный удар по репутации бренда.
Почему традиционных межсетевых экранов уже недостаточно? Атакующие применяют все больше ухищрений для преодоления защиты периметра, но во многих случаях этого даже и не требуется. Как уже упоминалось, есть масса способов проникнуть в сеть в обход подобной защиты.
Сегодня для эффективной стратегии безопасности нужны, кроме прочего, внутренние защитные механизмы. Мониторинг внутреннего трафика сейчас, пожалуй, не менее важен, чем контроль трафика, поступающего из Интернета. Итак, что сегодня можно сделать для укрепления сетевой защиты?
ВНУТРЕННИЙ МЕЖСЕГМЕНТНЫЙ ЭКРАН
Эффективная стратегия защиты требует разделения сети на сегменты, например, соответствующие разным отделам. В частности, разработчикам ПО не нужен доступ к бухгалтерским системам, а кадровому отделу, скорее всего, не понадобятся финансовые.
«Эшелонированная оборона» — не новый термин, на многих предприятиях она применяется в той или иной форме, когда множество средств безопасности размещаются по всей сети в расчете на обнаружение инцидента на каком-либо этапе атаки. Межсегментный сетевой экран расширяет концепцию эшелонированной обороны, позволяя изолировать друг от друга участки сети и выявлять нетипичный трафик.
Большинство решений для защиты периметра не рассчитаны на проверку исходящего трафика. Системы старого образца построены с учетом того, что происходящее внутри сети по определению не несет опасности, поэтому они фокусируются на защите внутренних ресурсов от внешних угроз. А межсетевые экраны, которые обеспечивают определенный уровень проверки исходящего трафика, нередко не способны справиться с повышенной нагрузкой, поскольку их производительность для этого недостаточна.
Как именно ISFW выявляет аномалии, неподвластные межсетевому экрану для периметра? Важно понимать, что ISFW не в состоянии распознать то, что система не может определить на периметре. ISFW должен предоставлять авторизованным пользователям доступ к разрешенным для них ресурсам и либо замедлять, либо полностью запрещать подключение к другим сегментам сети. Таким образом, если конечное устройство сотрудника бухгалтерии будет скомпрометировано, у взломщика не должно быть возможности добраться по сети до систем, управляющих кассовыми аппаратами или приложениями электронной коммерции.
ISFW должен распознавать попытки доступа к системам, выходящие за рамки нормальной активности пользователей, отправлять соответствующие предупреждения, а также иметь возможность идентифицировать и блокировать угрозы, исходящие от вредоносного ПО, ботнетов и иных источников злонамеренной активности в случае преодоления ими защитных механизмов на периметре.
К примеру, ботнет ZeroAccess известен своей «болтливостью». Он непрерывно зондирует сеть в поисках других ботов, чтобы через них получить команды от операторов. ISFW, действующий вблизи конечного устройства, через которое произошло заражение, сможет распознать посторонний «разговор» и предупредить специалистов по безопасности быстрее, чем это удалось бы специальному комплексу для защиты периметра.
ISFW лучше всего размещать максимально близко к уровню доступа (если исходить из трехуровневой иерархической модели сети) — так можно получить максимально простой доступ к сетевым ресурсам и основной части внутреннего трафика. Если разместить ISFW на всех восходящих каналах, связывающих уровень доступа с уровнем распределения и ядром сети, то будет виден практически весь внутренний трафик.
ISFW можно внедрить быстро, если включить его в сеть как коммутатор или, как иногда говорят, в режиме «виртуального кабеля» (virtual wire). Таким образом, удастся избежать сложностей, которые возникают при конфигурировании традиционных комплексов защиты периметра — не нужно перенастраивать IP-адреса, шлюзы и т. п., при этом вы получаете глубокий обзор трафика внутри сети.
.png)
КАК ВЫБРАТЬ ISFW
До недавнего времени компании предпочитали не усложнять свою инфраструктуру дополнительными уровнями защиты вроде ISFW. Но, согласно статистике, сейчас до 75% входящего и исходящего трафика центра обработки данных приходится на долю его инфраструктуры. Межсетевые экраны, у которых уровни пропускной способности, мощности и плотности портов достаточно велики, чтобы контролировать такой объем внутреннего трафика, раньше либо отсутствовали, либо стоили непомерно дорого. Если добавить к этому затраты на внедрение и дополнительную нагрузку на специалистов, отвечающих за безопасность, становится понятно, почему предприятия предпочитают избегать подобных внедрений.
Возможно, самым важным фактором при выборе ISFW является производительность. Сегодня даже в беспроводных сетях реальная пропускная способность достигает гигабитных значений, а для настольных ПК гигабитная скорость уже правило, а не исключение. Поэтому от ISFW требуются соответствующие плотность портов и быстродействие. Скорость реакции инфраструктуры безопасности должна соответствовать реальной скорости передачи данных — для пользователей любое снижение производительности неприемлемо. Поэтому, к примеру, нецелесообразно перепрофилировать для выполнения новых задач уже имеющийся или списанный межсетевой экран, поскольку это лишь способствует появлению новых узких мест.
Еще один важный фактор — сложность интеграции с существующей инфраструктурой безопасности. Нужно ли обучать персонал использованию ISFW? Можно ли задействовать уже имеющиеся навыки и знания, полученные при работе с устройствами защиты периметра? Кроме того, следует учесть затраты при развертывании решения. Есть ли возможность внедрить ISFW быстро и недорого? Насколько процесс внедрения ISFW может помешать работе сети?
ЗАКЛЮЧЕНИЕ
Сегментация сети — не новая идея. Однако традиционные модели сегментации полагались на неэффективные подходы. Для опытного атакующего подобные меры — не более чем очередной «лежачий полицейский». Чтобы остановить нарушителя, нужны серьезные дорожные препятствия. Благодаря высокому быстродействию современных межсетевых экранов можно реализовать новые стратегии сегментации, защищающие сеть не только от внешних угроз, но и от внутренних. Современные высокопроизводительные ISFW позволяют выстроить эффективную стратегию внутреннего разбиения сети, обеспечивающую защиту важных ресурсов без снижения работоспособности предприятия и без создания помех бизнесу.
Александр Мормуш — менеджер по работе с партнерами, Fortinet. С ним можно связаться по адресу: amormush@fortinet.com.