Внутрисетевые системы контроля и управления доступом: задачи, функции и программные решения
В настоящее время информация является ключевой социальной ценностью в XXI веке. Большинство частных лиц, организаций и государственных структур активно ведут кибервойны, которые направлены на разрушение главных ценностей своих конкурентов - информационных систем. Одним из главных вызовов ИТ-сферы является вопрос внутренней безопасности. Однако, с помощью ряда логических действий и специальных программных решений, возможно подготовить систему к "обороне". В этой статье мы разберемся, как и зачем использовать эти решения в настоящее время.
Зачастую наиболее опасные угрозы для компаний приходят изнутри. Доступ к конфиденциальной информации может быть получен сотрудниками, которые имеют разрешение на ее использование. Они могут выполнять неправомерные действия как случайно, так и с преднамеренным намерением. Все это усугубляет ситуацию в IT-отрасли и приводит к возникновению многочисленных взломов и кибер-атак на такие крупные структуры, как банки, торговые сети, объекты энергетической и промышленной инфраструктуры, вызывая тревогу по всему миру. Острый интерес к данной области продолжает подтверждаться многочисленными международными и внутригосударственными конференциями и съездами, посвященными защите информации.
Существуют разнообразные определения внутрисетевых нарушений ИТ-безопасности. Однако, наиболее распространенные их типы включают в себя сотрудников, которые могут быть халатными, обиженными или манипулируемыми, или внедренными.
Халатные работники встречаются в любом коллективе и могут быть незлонамеренными. Их действия могут привести к нарушению правил хранения конфиденциальной информации: например, при потере сьемного диска, или допуске знакомых к этой информации. Ущерб от неправомерных действий таких работников может быть самым плачевным. Один из последних случаев возник в 2016 году, когда компания Uber пострадала от взлома и утраты личные данные 50 миллионов клиентов и семи миллионов таксистов со всего мира. Причиной случившегося стала небрежность программистов компании, нарушивших элементарные принципы безопасности и хранивших все пароли в одном месте. По исследованию Ernst & Young, проведенному в 2017-2018 гг. 77% респондентов во всем мире считают халатность сотрудников основной угрозой кибербезопасности.
Обиженные работники из-за низкого материального вознаграждения за свой труд, оценки собственной деятельности в компании или собственного места в иерархии часто проявляют свои негативные эмоции. Как правило, эта категория нарушителей не планирует покидать компанию, но пытается нанести ей материальный вред, например, уничтожить документальную информацию или материальные ценности. Они могут делать это самостоятельно или передавать важную для компании информацию теневым структурам или прессе. В 2015 году, например, из-за злонамеренных действий сотрудника, компания StarNet в Молдавии опубликовала в Интернете персональную информацию (в том числе паспортные данные) 53-х тысяч физических и юридических лиц.
Манипулируемые извне работники являются, возможно, наиболее опасными нарушителями кибербезопасности, поскольку они имеют заказчиков. Такие сотрудники могут быть завербованными и внедренными в компанию, чтобы похитить конкретную информацию. Они могут использовать технические устройства для обхода внутриорганизационной защиты или действовать под страхом физических увечий. Их опасность заключается в том, что их действия могут нести технические последствия и производственные убытки для компании.
Компания Ernst & Young отмечает, что 89% банков по всему миру ставят кибербезопасность в основные приоритеты 2018 года. Поэтому, в любом случае, информационные данные, ценные документы и материалы должны находиться под надежной защитой. Для этого необходимо продумывать политику информационной безопасности компании, чтобы снизить уровень рисков в сфере IT-безопасности. Необходимо правильно разграничивать права доступа между сотрудниками организации и разрабатывать соответствующие стратегии информационной безопасности для каждого типа данных.
Внутрисетевые системы контроля управления доступом являются неотъемлемой частью стратегии информационной безопасности компании. Хотя комплексное решение, способное на 100% защитить компанию от воздействия внутренних и внешних угроз, не существует, сегодня поставщики услуг в сфере ИТ-безопасности предлагают разные варианты, которые позволяют контролировать значительную часть угроз, выполняя ряд задач.
Первая и наиболее очевидная задача - блокировка несанкционированного доступа к корпоративной сети, которая решается с помощью межсетевого экранирования. Это позволяет определять политику безопасности с использованием объемного спектра контекстных данных и обеспечивать ее соблюдение. Безопасность контролируется посредством инновационных разработок последних лет, которые позволяют глубоко анализировать трафик и настроить политику безопасности. Современные системы позволяют проводить глубокий анализ пакетов, проводить аутентификацию пользователей и предотвращать вторжения (IPS, intrusion prevention system). Корпоративные межсетевые экраны, в которых нуждаются крупные компании, характеризуются масштабируемостью, надежностью и управляемостью.
Другая задача - исключение нецелевого использования служебной электронной почты путем проведения контент-анализа каждого письма. Для этого используются передовые разработки, которые позволяют анализировать не только формальное содержимое сообщения, но и вложения, которые могут быть как графическими, так и текстовыми, а также представленными в виде ссылки.
Важной задачей является исключение возможности нецелевого использования информационных ресурсов, которую решают с помощью применения средств против утечки конфиденциальных данных. Ряд программных продуктов позволяют проверять исходящий трафик на содержание в нем конфиденциальной информации. Тем не менее, проблема разглашения конфиденциальной информации сохраняется в чатах и других соцсетях, где данные остаются незащищенными.
Фильтрация web-трафика осуществляется за счет базы данных URL-адресов, классифицированных по темам записей. Автоматизированная система анализирует каждую запрашиваемую сотрудниками страницу и относит ее к определенной категории, такой как почтовая, порнографическая, туристическая и другие. Это позволяет администратору настроить группам пользователей права на доступ к страницам конкретных категорий.
Согласно исследованию компании InfoWatch, российские организации наиболее озабочены утечкой конфиденциальной информации (98% опрошенных). Другие опасности, которые волнуют организации значительно меньше, такие как искажение информации (62% опрошенных), сбои информационных систем из-за халатности сотрудников (15% опрошенных), потеря данных (7% опрошенных), кража оборудования (6% опрошенных) и другие проблемы (28% опрошенных).
В чем заключается работа системы контроля и управления доступом в компании? На самом деле, такие системы представляют собой сочетание физической и сетевой охраны. К физической охране относятся различные замки, системы биометрической идентификации, а также наличие охранников, которые контролируют доступ в здание и фиксируют время входа и выхода сотрудников.
С другой стороны, информационные системы также требуют подобной защиты. Безопасность здесь обеспечивают логины и пароли, администраторы и специальные программные продукты.
Для компаний с развитой сетевой инфраструктурой стандартных средств информационной безопасности мало. Для решения этой проблемы созданы программные продукты, известные как "системы управления доступом к сети" (Network Access Control). Они позволяют проводить контроль доступа к сети, аутентифицируя пользователей и подключаемые устройства, а также убеждаться в соответствии технических устройств политике безопасности.
Кроме того, NAC осуществляет инвентаризацию сетевых приложений и устройств корпоративной сети, а также ограничивает доступ гостей к ресурсам.
Что касается конкретно контроля доступа в сеть, его осуществляют благодаря распознаванию нового MAC- и IP-адреса. Сервер принятия решений проводит проверку каждого устройства на безопасность, после чего новое устройство получает доступ к сети, который может быть полным или ограниченным.
Существует также простой способ использования NAC, который заключается в запрете доступа устройств, не соответствующих политике ИТ-безопасности компании. В этом случае условиями доступа в сеть могут быть установленный корпоративный антивирус, регулярные обновления операционной системы и другие параметры. Несоблюдение хотя бы одного из этих правил станет основанием для запрета доступа в сеть.
С помощью виртуальных локальных сетей (VLAN) во многих компаниях выполняется сегментация сетей, что позволяет разделять их по отделам и структурам компании. NAC позволяет подключить сотрудников к соответствующему сегменту VLAN, для чего необходима корпоративная служба каталогов.
Контроль доступа может осуществляться и путем разделения сети на рабочий и карантинный сегменты. В карантинном сегменте располагаются устройства, не соответствующие установленной политике безопасности, а все новые устройства проверяются на соответствие. Если какое-то устройство не удовлетворяет условиям политики безопасности, оно получает доступ только к серверам обновлений, которые приводят его в соответствие с требованиями. Затем оно вновь размещается в рабочем сегменте.
Число сегментов корпоративной сети может быть бесконечным. NAC позволяет предоставлять доступ к определенным ресурсам для различных категорий пользователей, включая сотрудников, гостей, партнеров и других пользователей, принадлежащих к определенным сетевым сегментам.
Наконец, NAC может контролировать и состояние устройств, подключенных дистанционно. Для удаленного доступа к сети проводится проверка компьютера на соответствие политике безопасности, после чего принимается решение.
Существуют системы предотвращения вторжений на уровне хоста, которые обычно сочетаются с решениями на базе сети, включая коммутаторы доступа и специализированные устройства.
Для внедрения любой системы контроля и управления доступом компании нужно определить цели и понимать взаимоотношения между разными отделами, отвечающими за работу сети, серверов и обеспечение безопасности информации. Работа любой системы возможна только после тщательной проработки ее рабочей модели.
Внутри корпоративных сетей существует множество проблем, связанных с контролем доступа. Однако, на каждую проблему существует решение, благодаря многим программам контроля доступа. Компания GFI является одним из главных игроков на рынке программного обеспечения управления доступом. Она предлагает более десяти программных продуктов, ориентированных как на малый и средний бизнес с поддержкой окружений малой мощности, так и на крупные организации. У компании есть разнообразные решения, которые обеспечивают эффективную информационную безопасность.
Программа GFI EndPointSecurity имеет в своем арсенале мощные инструменты, которые борются с проблемами, вызванными использованием USB-устройств, которые, по исследованиям консалтинговой компании Gartner, являются одной из опаснейших угроз сетям. Эта программа дает возможность администраторам вести журнал активности действий со всевозможных дисков, а также блокирует попытки краж данных и предупреждает внедрения вирусов и неавторизованного ПО.
Программный комплекс DeviceLock DLP Suite включает несколько модулей, которые могут быть лицензированы в разных комбинациях в зависимости от задач служб безопасности. Компоненты ПО обеспечивают контекстный контроль каналов сетевых коммуникаций на компьютерах, полный поиск по базам данных теневого копирования и событийного протоколирования, механизмы фильтрации файлов и данных и многое другое.
Утилита Ivanty Device Control создана с целью контроля доступа пользователей к портам ввода-вывода. Решение предотвратит утечку конфиденциальных данных и запретит использование неавторизованных съемных устройств.
Еще одна ведущая компания в области решений по контролю доступа - программа Zecurion Zlock (Device Control), которая работает в четырех направлениях: запрет использования флеш-карт, контроль применения USB-устройств, мобильных устройств, контентная фильтрация. Есть возможность блокировки доступа в интернет при нахождении компьютера вне корпоративной сети. Эта опция удобна для контроля удаленных сотрудников.
Разработчики программы Symantec Endpoint Protection, являющейся самой быстрой и эффективной защитой на рынке благодаря использованию данных крупнейшей в мире гражданской сети анализа угроз, предоставляют гибкие средства настройки политики в зависимости от характеристик и расположения пользователей, а также один удобный клиент и консоль управления для физических и виртуальных платформ.
Цены на системы контроля доступа внутри корпоративной сети
В данном тексте будет рассмотрена ценовая политика вендоров, предлагающих системы контроля и управления доступом внутри сети. Цена на поставляемое программное обеспечение зависит от многих факторов, включая объем предоставляемых услуг и функционала программ, а также от расположения центрального офиса производителя. Влияют на ценовую политику и популярность программного обеспечения, производителей, а также другие субъективные факторы.
Среди наиболее доступных по стоимости программ современных вендоров стоит отметить GFI EndPointSecurity. Цены на лицензию за один год начинаются от 1 300 рублей для не более чем 150 устройств. В одну лицензию в зависимости от редакции ПО могут быть включены услуги и обслуживание для разного количества пользователей. Клиенты могут воспользоваться калькулятором на сайте производителя, а также узнать о текущих акциях и скидках, чтобы выбрать подходящий вариант.
Стоимость установки решения DeviceLock составляет 2000 рублей на один компьютер. При обслуживании от 1 до 49 компьютеров цена составляет 1900 рублей, на 50–199 компьютеров – 1700 рублей, на 100 и более компьютеров – цена рассчитывается индивидуально.
Цены на программы Ivanty Device Control и Zecurion Zlock (Device Control) также рассчитываются индивидуально по запросам покупателей.
Купить ПО Symantec Endpoint Protection оптом выгоднее. За одну лицензию можно заплатить 1865 рублей (при покупке на 1 год) или 3357 рублей (при покупке на 3 года). Тем самым, если планируется использовать лицензию более года, то годовое обслуживание будет дешевле.
Фото: freepik.com