Техника
Проектный руководитель
Примечание редактора: в статье объясняется, когда и для кого подходит каждый из трех уровней корпоративной сетевой безопасности. Читайте дальше, чтобы получить несколько полезных советов о защите вашей корпоративной инфраструктуры.
Поскольку киберугрозы постоянно развиваются по сложности и объему, борьба с ними подразумевает «распыление» защиты на все системы корпоративной сети — серверы, базы данных, сервисы, установленное программное обеспечение и т.д. В то же время следует обратить внимание на то, что сотрудники компании понимают и соблюдают принципы кибербезопасности и не будут (не) намеренно ставить под угрозу безопасность корпоративной сети своими действиями.
Однако меры кибербезопасности, применяемые внутри организации, могут отличаться в зависимости от размера компании, ее финансовых возможностей, сферы, в которой она работает (регулируемой или нерегулируемой), информации, с которой ей приходится иметь дело в ходе деловой деятельности, и т.д.
Принимая во внимание эти и другие факторы, нам удалось определить три основных уровня защиты от кибербезопасности. В зависимости от их сложности эти уровни могут быть установлены с помощью ИТ-отдела компании или поставщика услуг кибербезопасности.
Ключевым моментом кибербезопасности уровня 1 является обеспечение защиты корпоративной сети от наиболее распространенных киберугроз, например, фишинговых атак (ссылки на вредоносные веб-сайты или загрузки, зараженные вирусами, прикрепляются к электронным письмам или мгновенным сообщениям и отправляются сотрудникам компании) и вредоносных программ (вредоносное программное обеспечение, попадающее на сайт компании). сеть через Интернет или электронную почту и существующие в виде шпионских программ, программ-вымогателей, угонщиков браузеров и т.д.).
Минимальная защита применяется к малым предприятиям, работающим в нерегулируемых отраслях и имеющим строго ограниченные финансовые ресурсы. Небольшие и малоизвестные (по крайней мере, пока) компании, которые не имеют дела с ценной для хакеров информацией (например, с личными данными клиентов, такими как номера кредитных карт, пароли и т.д.), вряд ли могут стать объектами изощренных кибератак, таких как DDoS (распределенный отказ в обслуживании) или фишинг.
Минимальная защита применяется к малым предприятиям, работающим в нерегулируемых отраслях и имеющим строго ограниченные финансовые ресурсы. Небольшие и малоизвестные (по крайней мере, пока) компании, которые не имеют дела с ценной для хакеров информацией (например, с личными данными клиентов, такими как номера кредитных карт, пароли и т.д.), вряд ли могут стать объектами изощренных кибератак, таких как DDoS (распределенный отказ в обслуживании) или фишинг.
Минимум мер кибербезопасности, необходимых для внедрения, - это правильно настроенная защита брандмауэра, работающая вместе с регулярно обновляемым антивирусным программным обеспечением. Брандмауэры сканируют сетевой трафик для обнаружения аномальных пакетов или фрагментов пакетов. Антивирусы обеспечивают защиту от таких киберугроз, как программы-вымогатели, черви, шпионские программы и т.д., проверяя каждый файл, который сотрудники открывают или загружают из Интернета или других источников.
Для применения этих мер безопасности нет необходимости в организации отдельного отдела кибербезопасности. ИТ-отдел компании может взять на себя ответственность за это, поскольку внедрение защиты брандмауэром, установка антивирусного программного обеспечения и постоянное поддержание их производительности не требуют навыков, связанных с кибербезопасностью.
Тем не менее, уровень защиты корпоративной сети следует регулярно проверять. Ежегодной оценки уязвимости и тестирования на проникновение достаточно для небольшой организации, осуществляющей свой бизнес в нерегулируемой отрасли. Эти услуги по кибербезопасности, выполняемые на ежегодной основе, не приведут к большим расходам для компании с ограниченным бюджетом. В то же время эти действия могут помочь системным администраторам оставаться в курсе возникающих недостатков в системе безопасности внутри сети компании.
Кибербезопасность 2-го уровня обеспечивает защиту корпоративной сети от нецелевых атак, например, вредоносных программ, отправляемых на различные адреса электронной почты, подменных атак, рассылки спама и т.д. В этом случае целью злоумышленников является кража любой ценной информации с любого IP-адреса, подверженного известным уязвимостям безопасности, возможно, существующим в корпоративной сети.
Вероятность того, что компании среднего размера станут жертвами нецелевых атак, велика. Поскольку таким организациям нет необходимости соблюдать нормативные стандарты, они, скорее всего, будут пренебрегать строгими мерами кибербезопасности в своих сетях. Таким образом, их может быть легко скомпрометировать.
Для обеспечения расширенной защиты корпоративной сети, в дополнение к элементам минимальной защиты – брандмауэрам и антивирусу – должны быть применены следующие компоненты:
Подразумеваются различные методы (сканирование электронной почты на наличие вредоносных программ, фильтрация спама и т.д.) для защиты корпоративной информации как во «внутреннем», так и во «внешнем» сообщении электронной почты от любой кибератаки, использующей электронную почту в качестве точки входа (шпионское ПО, рекламное по и т.д.).
Например, сегментация сети по отделам с сегментами, соединенными через брандмауэры, которые не позволяют вредоносному коду или другим угрозам перемещаться из одного сегмента сети в другой. Более того, сегментация сети подразумевает отделение сетевых активов, хранящих данные компании, от внешних сегментов (веб-серверов, прокси-серверов), что снижает риск потери данных.
Используемые для идентификации и регистрации информации о возможных инцидентах безопасности, блокирования их до того, как они распространятся по сетевым средам, и т.д.
Для поддержания такого уровня сетевой безопасности компании нужны специалисты по информационной безопасности, ответственные за выявление рисков кибербезопасности и управление ими, разработку процедур и политик безопасности и т.д. Для этих целей компания может организовать собственный отдел информационной безопасности или обратиться к поставщику услуг управляемой безопасности (MSSP).
Организация отдельного отдела информационной безопасности предполагает большие расходы как на наем опытной команды безопасности, так и на покупку необходимого оборудования и программного обеспечения. Работа с MSSP является более экономичным решением, которое позволяет компании сохранять сосредоточенность на основных бизнес-операциях. Тем не менее, компании по-прежнему будет нужен сотрудник службы безопасности для координации работы с MSSP.
Для контроля эффективности защиты от кибербезопасности тщательно разработанная стратегия безопасности должна предусматривать ежеквартальную оценку уязвимости и ежегодное тестирование на проникновение для выявления, смягчения рисков кибербезопасности и управления ими. Компании необходима стратегия кибербезопасности, поскольку она фокусируется на защите корпоративной сети с учетом того, что сотрудники используют свои персональные мобильные устройства и ноутбуки в деловых целях (BYOD), широко используют облачные вычисления и т.д., и предоставляет сотрудникам компании прямые рекомендации по приемлемому поведению внутри корпоративной сети.
Ключевой задачей кибербезопасности 3-го уровня является обеспечение защиты корпоративной сети от целенаправленных атак. Этот тип кибератак (скрытый фишинг, распространение продвинутых вредоносных программ и т.д.) подразумевает специально разработанные кампании, проводимые против конкретной организации.
Компании среднего размера и крупные предприятия, работающие в регулируемых отраслях, например, в банковской сфере или здравоохранении, или правительственные учреждения обычно становятся жертвами целенаправленных атак. Это происходит потому, что чем крупнее организация и чем больше данных ей приходится защищать (регламентированные персональные данные, медицинские записи пациентов, информация о банковских счетах и т.д.), тем ощутимее результаты успешных целенаправленных атак.
Компании, работающие в регулируемых областях, должны уделять максимальное внимание поддержанию защиты от киберугроз, оставаясь при этом в соответствии с правилами и стандартами (HIPAA, PCI DSS и т.д.). Следующие компоненты кибербезопасности могут помочь перекрыть все возможные векторы атак:
Компании среднего размера и крупные предприятия, работающие в регулируемых отраслях, например, в банковской сфере или здравоохранении, или правительственные учреждения обычно становятся жертвами целенаправленных атак. Это происходит потому, что чем крупнее организация и чем больше данных ей приходится защищать (регламентированные персональные данные, медицинские записи пациентов, информация о банковских счетах и т.д.), тем ощутимее результаты успешных целенаправленных атак.
Компании, работающие в регулируемых областях, должны уделять максимальное внимание поддержанию защиты от киберугроз, оставаясь при этом в соответствии с правилами и стандартами (HIPAA, PCI DSS и т.д.). Следующие компоненты кибербезопасности могут помочь перекрыть все возможные векторы атак:
Этот метод обеспечения безопасности подразумевает защиту доступа каждого устройства (смартфона, ноутбука и т.д.), попадающего в корпоративную сеть и, таким образом, становящегося потенциальной точкой входа для угроз безопасности. Обычно защита конечных точек включает установку специального программного обеспечения безопасности на сервере управления в корпоративной сети вместе с установкой клиентского программного обеспечения на каждом устройстве. Сочетание этих мер позволяет отслеживать действия, которые пользователи выполняют при удаленном доступе к корпоративной сети со своих смартфонов, планшетов и других устройств. Таким образом, компания получает лучшую видимость в режиме реального времени всего спектра потенциальных угроз безопасности, с которыми ей, возможно, придется иметь дело.
Применение этой меры чрезвычайно важно на предприятии, работающем в финансовом секторе или секторе здравоохранения. Программное обеспечение DLP обеспечивает защиту и предотвращает утечку конфиденциальных данных, например, номеров кредитных карт клиентов, номеров социального страхования и т.д., предоставляя администраторам DLP полный контроль над типами данных, которые могут быть переданы за пределы корпоративной сети. DLP может запретить попытки переслать любую деловую электронную почту за пределы корпоративного домена, загрузить корпоративные файлы в облачные хранилища с открытым исходным кодом и т.д.
Решения SIEM отслеживают, собирают, анализируют и отчитываются в журналах и данных о событиях о каждой активности, происходящей в ИТ-среде, что позволяет избежать ситуаций “я понятия не имею, что произошло” в случае взлома сети компании. Среди преимуществ SIEM - централизация собранных данных журнала, предоставление поддержки в соответствии с требованиями PCI DSS, HIPAA и других нормативных актов, обеспечение реагирования на инциденты в режиме реального времени.
Для правильной работы с упомянутыми решениями безопасности наилучшим будет сочетание усилий отдельного отдела информационной безопасности и помощи MSSP. Для многих компаний предоставление MSSP полного доступа и контроля над конфиденциальными данными, личной информацией клиентов и т.д. кажется довольно рискованным, особенно с точки зрения соблюдения требований безопасности. Однако подписание подробного соглашения об уровне обслуживания с компанией, предоставляющей услуги в области кибербезопасности, и делегирование части обязанностей по киберзащите внешнему MSSP имеет смысл. Это позволяет предприятиям получать мониторинг состояния безопасности и отчетность в режиме 24/7 и в то же время сокращать свои расходы на защиту кибербезопасности.
Среди необходимых мер кибербезопасности - разработка и поддержание стратегии безопасности, проведение оценки уязвимости с последующим ежеквартальным тестированием на проникновение (лучше проводить перед каждой аудиторской проверкой, чтобы оставаться на уровне стандартов и правил), обеспечение постоянного мониторинга угроз и организация структурированного реагирования на инциденты (IR).
Мониторинг угроз включает в себя постоянный мониторинг корпоративной сети и конечных точек (серверов, беспроводных устройств, мобильных устройств и т.д.) на предмет признаков угроз кибербезопасности, например, попыток вторжения или утечки данных. В настоящее время мониторинг угроз становится еще более важным в связи с тенденцией предприятий нанимать сотрудников удаленно и применять политику BYOD, что подвергает дополнительному риску защиту корпоративных данных и конфиденциальной информации.
Реагирование на инциденты (IR) имеет дело с ситуациями, когда нарушения безопасности уже произошли. Таким образом, компании нужна специальная собственная или привлеченная на аутсорсинг команда, подготовленная к инцидентам, готовая обнаруживать реальные события, находить причины и реагировать на угрозы кибербезопасности с наименьшим возможным ущербом и минимальным временем, необходимым для восстановления после атаки. Действия IR предотвращают превращение мелких проблем в более крупные, такие как утечка данных или сбой системы.
Компаниям следует уделять особое внимание защите своих облачных активов. В настоящее время хранение критически важных для бизнеса данных в облаке становится обычной практикой. Выбор в пользу облачных вычислений имеет смысл, поскольку это позволяет предприятиям экономить затраты и повышать эффективность проводимых ими бизнес-операций.
Однако облачные среды представляют собой относительно новые области для групп безопасности, которым необходимо организовать и поддерживать меры кибербезопасности внутри корпоративной сети. Это также приводит к новым проблемам безопасности, поскольку “облачный характер” подразумевает отсутствие контроля у системных администраторов над ресурсами, используемыми компанией, и данными, которые они хранят в облаке.
Специалисты по кибербезопасности применяют различные стратегии для защиты облачных активов в зависимости от облачной модели.
В обоих случаях стратегия кибербезопасности аналогична подходу к обеспечению безопасности локальной корпоративной сети. Разница заключается в «факторе удаленности». Основная задача компании — выбрать надежного поставщика IaaS/PaaS, разместить серверы в облаке, которое они предлагают, и установить соответствующий уровень контроля над предоставляемыми виртуальными машинами. Существуют лучшие практики, которые могут быть применены для обеспечения безопасности IaaS / PaaS, например, обеспечение надлежащего шифрования данных, хранящихся и отправляемых в стороннее облако, мониторинг сетевого трафика на предмет вредоносных действий, регулярное резервное копирование данных и т.д.
Некоторые поставщики решений IaaS или PaaS также предоставляют своим клиентам «встроенные» услуги кибербезопасности, но это не распространенная практика. Например, Microsoft Azure предлагает клиентам множество способов защиты рабочих нагрузок в облаке, защиты приложений от распространенных уязвимостей и т.д. Amazon Web Services (AWS) представляет еще одного поставщика облачных сервисов, предоставляющего своим клиентам прикладные меры безопасности в облаке (встроенные брандмауэры, возможности шифрования и т.д.), услуги оценки безопасности для выявления слабых мест в кибербезопасности, управление идентификацией и доступом для определения доступа пользователей к ресурсам AWS и т.д.
В этом случае поставщик SaaS берет на себя ответственность за создание, размещение и защиту программного обеспечения, которое они предлагают. Однако компании еще предстоит проделать определенную работу по обеспечению безопасности решения. Им необходимо сосредоточиться на управлении доступом к приложениям для своих сотрудников с учетом отделов, в которых они работают, их должностей и т.д. Таким образом, основной задачей сотрудников службы безопасности компании является установление контроля доступа пользователей, т.е. правильная настройка параметров.
Office 365 представляет собой пример облачного решения с многоуровневой безопасностью. Встроенные в него функции кибербезопасности позволяют непрерывно контролировать центры обработки данных, выявлять и предотвращать попытки злоумышленников получить доступ к личной или конфиденциальной информации, шифровать хранимые и передаваемые данные, использовать антивирусную защиту и защиту от спама для защиты от угроз кибербезопасности, поступающих в корпоративную сеть извне, и т.д.
Безопасность корпоративной сети - это не то, что может быть организовано в соответствии с общей схемой, одинаково подходящей для любой компании. Выбор мероприятий по кибербезопасности должен зависеть от размера компании, ее бюджета и области, в которой они работают.
Для обеспечения киберзащиты небольшой корпоративной сети, если нет необходимости защищать личные или финансовые данные своих клиентов, может быть вполне достаточно применения брандмауэра и антивирусов. Однако, если компания занимает относительно значительное место в области, в которой она работает, и может легко стать объектом кибератак, она должна быть готова расширить меры кибербезопасности и применить защиту электронной почты, сегментацию сети, безопасность конечных точек и т.д. Установка систем DLP и SIEM также может стать обязательной задачей, особенно для организаций, осуществляющих свою деятельность в регулируемых отраслях.
Чтобы поддерживать выбранный уровень кибербезопасности, компания должна регулярно проводить оценку уязвимостей и тестирование на проникновение.
