На главную страницу
 
 Главная 
 Новости 
 Статьи RSS
 Программное обеспечение 
 Форум 
 Опросы 
 Полезные ссылки 
MSExchange.ru ISADocs.ru WinSecurity.ru NetDocs.ru

О сетевой безопасности
Аутентификация, Контроль доступа и Шифрование
Безопасность Windows 2003
Вирусы и трояны
Безопасность ОС Windows
Брандамауэры и VPN
Безопасность Веб Серверов
Безопасность контента (FTP и электронная почта)
Windows и Сети
Безопасность Windows 2008

Поиск по сайту


Авторизация

Запомнить меня на этом компьютере
  Забыли свой пароль?
  Регистрация

Подписка

Изменение параметров

Статистика

Hits 40821776
11975
Hosts 2873436
1202
Visitors 3044955
1496

24
Контроль интернет трафика
Мониторинг активности принтеров

Главная / Статьи / О сетевой безопасности / Защита от внутренних атак в современных сетевых средах


SurfCop

Защита от внутренних атак в современных сетевых средах

Версия для печати Версия для печати

Эта статья переведена силами и средствами компании Red Line Software. Размещение данного переведенного материала на других сайтах без разрешения компании Red Line Software запрещается.

Введение

Согласно недавнему отчету MSNBC.com, в результате исследования 2011 CyberSecurity Watch Survey, проведенного CSO Magazine, было выявлено, что больше атак (58%) осуществляется людьми вне организаций, по сравнению с атаками, осуществляемыми сотрудниками организаций (21%); однако 33% воспринимают такие атаки, как более серьезные, по сравнению с 25% в 2010 году. Возможно, самым интересным является то, что внутренние атаки становятся все более изощренными, и все больше сотрудников организаций (22%) использует руткиты или хакерские инструменты, по сравнению с 9% в 2010 году, поскольку данные инструменты автоматизируются все больше и доступны в готовом виде. В этой статье мы рассмотрим, как можно защитить свою сеть от растущего количества изощренных внутренних атак.

Почему внутренние атаки более опасны?

Внутренние атаки, по определению, осуществляются людьми, которые имеют авторизированный доступ к сети и системам. Это могут быть недовольные сотрудники компании, финансово мотивируемые работники, использующие системы для кражи активов компании, субподрядчики, выполняющие работы на временной основе, и вовлеченные в промышленный шпионаж, или любой другой человек, злоупотребляющий своими привилегиями доступа в сеть. Некоторые злоумышленники представляют собой лазутчиков, устраивающихся на работу в компанию с целью взлома системы безопасности. Некоторым сотрудникам могут угрожать, их могут принуждать или подкупать люди со стороны в целях кражи информации компании или внедрения вируса или вредоносного кода, который нарушит работу сети.

Некоторые ситуации включают:

  • Преднамеренное заражение компьютеров компании и сети вредоносными программами или вирусами, которые нарушают работу
  • Внедрение шпионских программ, регистраторов клавиш и подобных программ для получения информации о том, что делают сотрудники компании
  • Кража паролей для входа в сеть компании от чьего-либо имени
  • Копирование конфиденциальной информации компании для отправки за пределы организации без разрешения

Почему стратегии большинства организаций сконцентрированы на внешних источниках угроз

Если внутренние атаки обходятся компаниям дороже, почему же тогда большинство политик и стратегий безопасности концентрируется на защите сети от внешних угроз? Этому есть несколько причин. Традиционно сетевая безопасность полностью заключается ‘в границе’. Основой сетевой безопасности всегда был межсетевой экран - ‘страж у ворот’, располагаемый между компьютерами (и пользователями) внутренней сети и потенциально опасными ‘неизвестными’ из внешнего мира. Проблема этой модели заключается в том, что она строится на большом и иногда неверном предположении о том, что всем пользователям внутри организации можно доверять. Неудивительно, что компании делают такое предположение. В самой человеческой природе заложено нежелание рассматривать возможность того, что ‘ваши’ люди могут предать вас. Однако это может стать фатальной ошибкой.

Возможно, основная причина заключается в том, что от внутренних атак защититься гораздо сложнее. Сотрудникам компаний часто необходим доступ к конфиденциальной информации для выполнения своей работы, что является потенциальной угрозой ее хищения. У работников есть авторизированные учетные данные для входа в сеть, а это упрощает им задачу использования любых «дыр» в безопасности с целью нарушения работы сетевых служб. Некоторые могут утверждать, что вовсе невозможно защититься от внутренних угроз. Это довольно правомерное утверждение: если вы даете кому-то ключи от королевства, будет очень сложно помешать такому человеку использовать эти ключи в неправильных целях, если он того пожелает. Тем не менее, есть шаги, которые можно предпринять, чтобы усложнить сотрудникам задачу причинения значительного вреда.

Разработка стратегии безопасности для защиты от внутренних атак

Так же как на предприятиях розничной торговли есть специальный программы борьбы с хищениями, не позволяющие сотрудникам красть товары и деньги, предприятия, работающие с важными электронными данными (коих сегодня большинство) должны мыслить в рамках программ борьбы с хищением данных (data loss prevention - DLP). Различные поставщики сегодня предлагают ряд DLP технологий, но полномасштабная стратегия не заключается лишь в покупке DLP устройств и их применении.

Может быть и невозможно полностью устранить риск внутренних атак, но есть некоторые вещи, которые можно предпринять для снижения вероятности таких случаев и их воздействия:

  • Используйте специальные DLP устройства или программы. DLP устройства или программы позволяют отслеживать перемещение данных компаний, в режиме реального времени или путем сбора информации и предоставления сводок в ежедневных или еженедельных отчетах. Нужна такая DLP система, которая может перехватывать и читать SSL или другие зашифрованные сообщения, иначе пользователи смогут обойти эту систему путем простого шифрования данных, отправляемых ими за пределы сети. Обратите внимание, что недостатком DLP является то, что она может отрицательно сказаться на производительности сети.
  • Настраивайте межсетевой экран так, чтобы отслеживать трафик в обоих направлениях. Самые современные межсетевые экраны способны фильтровать входящий и исходящий трафик, но многие из них настроены на контроль только входящего трафика. Создавайте правила для исходящего трафика так, чтобы они блокировали или разрешали сетевой трафик, отвечающий определенным критериям. Например, можно блокировать исходящий трафик, использующий определенные порты.
  • Используйте проверку пакетов в сети. DLP устройства и межсетевые экраны концентрируются на трафике, отправляемом из сети. Можно использовать инструменты проверки пакетов, такие как Network Analysis and Visibility (NAV) продукты для проверки содержимого пакетов, перемещающихся во внутренней сети, например, когда пользователь загружает файл с сервера на свой компьютер, к которому он не должен иметь доступа, и который не нужен ему для выполнения своей работы. NAV инструменты могут просматривать содержимое и искать конкретные слова или типы данных (например, номера социального страхования или номера счетов) в документе или файле. У NAV есть такая же проблема, как и у DLP, он замедляет работу сети.
  • Используйте продукты защиты почты с фильтрацией контента. Можно использовать компонент фильтрации контента в своих продуктах безопасности почты, например, для блокировки исходящих сообщений, содержащих определенные ключевые слова, или блокировки отправки вложений, чтобы не позволить сотрудникам отправить конфиденциальные данные за пределы организации.
  • Шифрование данных. Шифрование конфиденциальных данных значительно усложнит для человека во внутренней сети (а также за ее пределами) задачу получения доступа и чтения информации, даже если им удастся перехватить такую информацию и вынести ее за пределы организации.
  • Политика с минимальными привилегиями. Для максимальной безопасности и защиты от внутренних угроз всегда следует использовать политику, дающую пользователям самые жестко ограниченные привилегии, которых будет достаточно только для выполнения работы. Эту же политику следует применять при настройке DLP продукта или исходящих правил брандмауэра, начиная с блокирования всего и разрешения только того, что действительно необходимо для работы, а не наоборот. Таким же образом ключи доступа к зашифрованным данным должны быть доступны только для тех сотрудников, работа которых требует доступ к этим данным, а не для всех сотрудников или сотрудников, работающих в определенных отделах или на определенных должностях.
  • Аудит доступа к файлам. Реализация аудита доступа к объектам файловой системы поможет вам определить ситуацию, когда сотрудник получил доступ к информации, которая не нужна ему для работы.
  • Область ответственности или разделение обязанностей. Это политика, не позволяющая человеку в одиночку совершить важную операцию (например, денежный перевод). Один человек может инициировать процесс, но процесс не может быть завершен без разрешения еще одного или нескольких лиц. Это обеспечивает определенную степень защиты от злоумышленников и лазутчиков.
  • Контроль USB устройств. DLP, межсетевые экраны и фильтрация содержимого почты позволят предотвратить отправку конфиденциальных данных компании за пределы сети через интернет. Однако, съемные носители USB, особенно легко скрываемые флеш-накопители, зачастую используются сотрудниками для копирования конфиденциальной информации компании и ее выноса за пределы организации. Для предотвращения этого можно отключить USB порты в системах тех сотрудников, которые в них не нуждаются. Можно использовать групповую политику Windows Group Policy или программу сторонних производителей для ограничения или блокировки установки USB устройств. Такие программы, как GFI Endpoint Security, можно использовать для управления пользовательским доступом и ведения журналов об активности USB накопителей, флеш-карт, CD, дискет, iPods и других MP3 плееров, смартфонов и КПК, а также других устройств, подключаемых к компьютеру через USB.
  • Службы управления правами. Управление правами позволит вам обеспечивать пользовательский доступ к данным, но поможет предотвратить предоставление этими пользователями общего доступа к таким данным для других пользователей, которым не разрешён доступ к ним. Служба управления правами Windows Rights Management Services (RMS) позволяет блокировать копирование или распечатку документов, блокировать пересылку или копирование сообщений электронной почты, и т.д. Windows Также блокирует возможность создания снимков экрана защищенных документов или сообщений. Хотя такие блокировки можно обойти (например, пользователь может сделать снимок на камеру мобильного телефона), это все же усложнит им задачу ненадлежащего использования защищенных данных.
  • Управление изменениями. Инструменты управления конфигурацией и изменениями помогут вам определить наличие изменений в конфигурацию системы, которые могли дать пользователю доступ к информации, к которой ему запрещен доступ. На рынке существует много продуктов, которые можно использовать для отслеживания изменений по сети.
  • Управление удостоверениями. Поскольку привилегии доступа предоставляются на основе идентификации пользователя, необходимо обязательно использовать надежную систему управления удостоверениями. В сегодняшних сетевых средах это становится еще более актуально, поскольку многие компании подвергаются слияниям и поглощениям, а перемещение многих или всех данных в сервисы компьютерного облака усложняет ситуацию еще сильней.

Это лишь некоторые из базовых шагов, которые следует предпринять для защиты своей сети от внутренних угроз.





Рейтинг:  
2.7 (голосов 7)  
 1   2   3   4   5    

Автор: Деб Шиндер (Deb Shinder)
Дебра Литтлджон Шиндер (DEBRA LITTLEJOHN SHINDER), MCSE, MVP (Security) является консультантом по технологиям, инструктором и писателем, автором множества книг по компьютерным операционным системам, сетям и безопасности. Она также является техническим редактором, редактором по разработкам и соавтором для более чем 20 дополнительных книг. Ее статьи регулярно публикуются на TechProGuild Web-сайте TechRepublic и Windowsecurity.com и появляются в печатных журналах, таких как Windows IT Pro (прежнее название: Windows & .NET) Magazine. Она создала учебные материалы, корпоративные технические описания, маркетинговые материалы и документацию по продуктам для Microsoft Corporation, Hewlett-Packard, DigitalThink, GFI Software, Sunbelt Software, CNET и других технологических компаний. Деб живет и работает в Dallas-Ft Worth районе и может быть доступна по почте mailo:deb@shinder.net или через web-сайт www.shinder.net.
Эта статья переведена и опубликована с разрешения www.windowsecurity.com

Эта статья переведена силами и средствами компании Red Line Software. Размещение данного переведенного материала на других сайтах без разрешения компании Red Line Software запрещается.


Forefront TMG



Печать пластиковых карт - это часть процесса производства и изготовления пластиковых карт Производство пакетов с логотипом