Внутрисетевые системы контроля и управления доступом: задачи, функции и программные решения
В настоящее время информация является ключевой социальной ценностью в XXI веке. Большинство частных лиц, организаций и государственных структур активно ведут кибервойны, которые направлены на разрушение главных ценностей своих конкурентов - информационных систем. Одним из главных вызовов ИТ-сферы является вопрос внутренней безопасности. Однако, с помощью ряда логических действий и специальных программных решений, возможно подготовить систему к "обороне". В этой статье мы разберемся, как и зачем использовать эти решения в настоящее время.
Зачастую наиболее опасные угрозы для компаний приходят изнутри. Доступ к конфиденциальной информации может быть получен сотрудниками, которые имеют разрешение на ее использование. Они могут выполнять неправомерные действия как случайно, так и с преднамеренным намерением. Все это усугубляет ситуацию в IT-отрасли и приводит к возникновению многочисленных взломов и кибер-атак на такие крупные структуры, как банки, торговые сети, объекты энергетической и промышленной инфраструктуры, вызывая тревогу по всему миру. Острый интерес к данной области продолжает подтверждаться многочисленными международными и внутригосударственными конференциями и съездами, посвященными защите информации.
Существуют разнообразные определения внутрисетевых нарушений ИТ-безопасности. Однако, наиболее распространенные их типы включают в себя сотрудников, которые могут быть халатными, обиженными или манипулируемыми, или внедренными.
Халатные работники встречаются в любом коллективе и могут быть незлонамеренными. Их действия могут привести к нарушению правил хранения конфиденциальной информации: например, при потере сьемного диска, или допуске знакомых к этой информации. Ущерб от неправомерных действий таких работников может быть самым плачевным. Один из последних случаев возник в 2016 году, когда компания Uber пострадала от взлома и утраты личные данные 50 миллионов клиентов и семи миллионов таксистов со всего мира. Причиной случившегося стала небрежность программистов компании, нарушивших элементарные принципы безопасности и хранивших все пароли в одном месте. По исследованию Ernst & Young, проведенному в 2017-2018 гг. 77% респондентов во всем мире считают халатность сотрудников основной угрозой кибербезопасности.
Обиженные работники из-за низкого материального вознаграждения за свой труд, оценки собственной деятельности в компании или собственного места в иерархии часто проявляют свои негативные эмоции. Как правило, эта категория нарушителей не планирует покидать компанию, но пытается нанести ей материальный вред, например, уничтожить документальную информацию или материальные ценности. Они могут делать это самостоятельно или передавать важную для компании информацию теневым структурам или прессе. В 2015 году, например, из-за злонамеренных действий сотрудника, компания StarNet в Молдавии опубликовала в Интернете персональную информацию (в том числе паспортные данные) 53-х тысяч физических и юридических лиц.
Манипулируемые извне работники являются, возможно, наиболее опасными нарушителями кибербезопасности, поскольку они имеют заказчиков. Такие сотрудники могут быть завербованными и внедренными в компанию, чтобы похитить конкретную информацию. Они могут использовать технические устройства для обхода внутриорганизационной защиты или действовать под страхом физических увечий. Их опасность заключается в том, что их действия могут нести технические последствия и производственные убытки для компании.
Компания Ernst & Young отмечает, что 89% банков по всему миру ставят кибербезопасность в основные приоритеты 2018 года. Поэтому, в любом случае, информационные данные, ценные документы и материалы должны находиться под надежной защитой. Для этого необходимо продумывать политику информационной безопасности компании, чтобы снизить уровень рисков в сфере IT-безопасности. Необходимо правильно разграничивать права доступа между сотрудниками организации и разрабатывать соответствующие стратегии информационной безопасности для каждого типа данных.
Внутрисетевые системы контроля управления доступом являются неотъемлемой частью комплексного уровня ИТ-безопасности любой компании. Однако, не существует идеального и комплексного решения, которое бы на 100% защитило бы компанию от всех возможных угроз – как внутренних, так и внешних.
Несмотря на это, поставщики услуг в сфере ИТ-безопасности предлагают различные варианты, которые позволяют контролировать значительную часть угроз, выполняя ряд задач. Одна из таких задач – блокировка несанкционированного доступа к корпоративной сети. Для ее решения применяют межсетевое экранирование, которое позволяет определить политику безопасности и обеспечить ее соблюдение, используя объемный спектр контекстных данных. Современные системы могут проводить глубокий анализ пакетов, аутентифицировать пользователей и предотвращать вторжения. Корпоративные межсетевые экраны, которые характеризуются масштабируемостью, надежностью и управляемостью, наиболее востребованы крупными компаниями.
Другая задача – исключение нецелевого использования служебной электронной почты. Для ее решения применяют контент-анализ каждого письма. Передовые разработки позволяют анализировать формальное содержимое сообщения, а также вложения, представленные в виде ссылок или текста.
Еще одна проблема, с которой сталкиваются многие компании – это утечка конфиденциальной информации. Для исключения ее возможности, применяются решения, которые позволяют проверять исходящий трафик на содержание такой информации. Но такой подход не решает проблему полностью. Например, возможность разглашения конфиденциальной информации сохраняется в чатах, форумах и почтовых сервисах. Многие работодатели, которые хранят массу персональной информации о клиентах, блокируют соцсети и другие популярные сайты для предотвращения подобных действий.
Для фильтрации web-трафика применяется база данных URL-адресов, классифицированная по темам записей. Каждая запрашиваемая сотрудниками страница отфильтровывается и затем относится к определенной категории: почтовой, порнографической, туристической и другим. В случае необходимости автоматизированная система проводит анализ контента и определяет тематику страницы. Это помогает администратору настроить группам пользователей права на доступ к страницам конкретных категорий.
Согласно исследованию компании InfoWatch, российские организации наиболее беспокоят утечка конфиденциальной информации (98% опрошенных). Остальные угрозы вызывают меньшее беспокойство: 62% опрошенных беспокоятся об искажении информации, 15% - сбои информационных систем из-за халатности сотрудников, 7% - потеря данных, 6% - кража оборудования, а 28% указали на другие проблемы.
Что такое система контроля и управления доступом?
Система контроля и управления доступом – это программно-аппаратный комплекс, который обеспечивает охрану объектов путем физической или сетевой охраны. Физическая охрана включает установку замков, наличие охранников, систем биометрической идентификации и другие подобные меры безопасности. Сетевая охрана включает использование логинов, паролей, администраторов и специальных программных продуктов.
Для организаций с развитой сетевой инфраструктурой стандартные средства, такие как межсетевые экраны, шлюзы безопасности или Интрасетевые системы предотвращения вторжений (IPS), могут быть недостаточными. Для эффективного управления доступом были созданы программные продукты – системы контроля доступа в сеть (NAC). Эти системы включают такие функции, как аутентификация пользователей, проверка соответствия политике безопасности и инвентаризацию устройств и сетевых приложений.
Контроль доступа в сеть осуществляется с помощью распознавания нового MAC- и IP-адреса. После отправки запрошенных данных от устройства на внутренние серверы, каждый из них принимает решение о степени соответствия устройства. Новое устройство может получить доступ к сети, который может быть полным или ограниченным в зависимости от его соответствия политике безопасности компании.
Программы NAC обеспечивают обновление ОС, антивируса, включение межсетевого экрана и других программных приложений. Для этого они заставляют компьютер выполнить условия политики безопасности.
С помощью NAC выполняется сегментирование сети компании и подключение пользователей к соответствующему сегменту VLAN.
Система контроля доступа может также контролировать устройства, подключенные дистанционно. Во время удаленного подключения к корпоративной сети также действуют политики безопасности, после чего принимается решение о доступе.
Для успешной работы любой системы контроля и управления доступом нужно определиться с ее целями. Необходимо взаимодействие разных отделов, отвечающих за работу сети, серверов и обеспечение информационной безопасности. Внедрение системы возможно только после тщательной проработки ее рабочей модели.
Готовые решения в области контроля доступа внутри корпоративных сетей
Возможности программного обеспечения для контроля доступа насчитывают несколько десятков. Компания GFI входит в число лидеров рынка и предоставляет более десяти программных продуктов, ориентированных как на малый и средний бизнес, так и на крупные организации. Разнообразные решения обеспечивают эффективную информационную безопасность сетей.
Программа GFI EndPointSecurity борется с проблемами, связанными с использованием USB-устройств. Данные устройства, по исследованиям консалтинговой компании Gartner, являются одной из наиболее опасных угроз для сетей. ПО GFI EndPointSecurity контролирует действия с любых дисков: медиа-проигрывателей, карт памяти, CD-дисководов, карманных компьютеров, сетевых карт, мобильных телефонов и других устройств. При этом программа блокирует попытки кражи данных путем полного контроля доступа к съемным дискам, предупреждает внедрения вирусов и неавторизованного программного обеспечения, обеспечивает уникальную защиту и полный сетевой контроль.
Компания GFI предлагает своим потенциальным клиентам бесплатную онлайн-демонстрацию программного обеспечения, которая проводится с подключением к серверу с установленной программой. В ходе данной демонстрации специалисты компании демонстрируют все функции ПО, что поможет определиться с выбором системы.
Программный комплекс DeviceLock DLP Suite включает несколько модулей, которые могут быть лицензированы в разных комбинациях в зависимости от задач служб безопасности. Компоненты ПО обеспечивают контекстный контроль каналов сетевых коммуникаций на компьютерах, полный поиск по базам данных теневого копирования и событийного протоколирования, механизмы фильтрации файлов и данных, переданных с или на сменные устройства, по электронной почте и т.д. Программа способна сканировать сетевые ресурсы, обнаруживая файлы с критическим содержимым. Эти и другие функции DeviceLock DLP Suite позволяют управлять контролем доступа в крупных корпоративных сетях.
Утилита Ivanty Device Control создана для контроля доступа пользователей к портам ввода-вывода. Решение предотвратит проникновение вредоносного программного обеспечения в сеть, убережет от утечки конфиденциальных данных, запретит использование неавторизованных съемных устройств.
Еще одной лидирующей программой в области решений по контролю доступа является Zecurion Zlock (Device Control). Она позволяет запретить использование флеш-карт, контролировать применение USB-устройств и мобильных устройств, а также фильтровать контент. Есть возможность блокировки доступа в интернет при нахождении компьютера вне корпоративной сети, что удобно для контроля удаленных сотрудников. Последнее обновление программы включило модуль поведенческого анализа, который автоматически выявляет подозрительную активность пользователей.
Программное обеспечение Symantec Endpoint Protection позиционируется как самое быстрое и эффективное на рынке решений контроля доступа. Данный программный комплекс использует данные крупнейшей в мире гражданской сети анализа угрозю К преимуществам Symantec Endpoint Protection относятся гибкие настройки политики в зависимости от расположения пользователей, один удобный клиент и консоль управления для физических и виртуальных платформ.
Цены на системы контроля доступа внутри корпоративной сети
В данном тексте будет рассмотрена ценовая политика вендоров, предлагающих системы контроля и управления доступом внутри сети. Цена на поставляемое программное обеспечение зависит от многих факторов, включая объем предоставляемых услуг и функционала программ, а также от расположения центрального офиса производителя. Влияют на ценовую политику и популярность программного обеспечения, производителей, а также другие субъективные факторы.
Среди наиболее доступных по стоимости программ современных вендоров стоит отметить GFI EndPointSecurity. Цены на лицензию за один год начинаются от 1 300 рублей для не более чем 150 устройств. В одну лицензию в зависимости от редакции ПО могут быть включены услуги и обслуживание для разного количества пользователей. Клиенты могут воспользоваться калькулятором на сайте производителя, а также узнать о текущих акциях и скидках, чтобы выбрать подходящий вариант.
Стоимость установки решения DeviceLock составляет 2000 рублей на один компьютер. При обслуживании от 1 до 49 компьютеров цена составляет 1900 рублей, на 50–199 компьютеров – 1700 рублей, на 100 и более компьютеров – цена рассчитывается индивидуально.
Цены на программы Ivanty Device Control и Zecurion Zlock (Device Control) также рассчитываются индивидуально по запросам покупателей.
Купить ПО Symantec Endpoint Protection оптом выгоднее. За одну лицензию можно заплатить 1865 рублей (при покупке на 1 год) или 3357 рублей (при покупке на 3 года). Тем самым, если планируется использовать лицензию более года, то годовое обслуживание будет дешевле.
Фото: freepik.com