1 Как обеспечить безопасность корпоративной компьютерной сети

10458

Как показывает отчет PricewaterhouseCoopers, в 2018 году компьютерные атаки являются первоочередной угрозой для бизнеса: они беспокоят 41% опрошенных. Годом раньше эту опасность респонденты PwC ставили лишь на пятое место по степени значимости.

А по статистике компании Positive Technologies, в IV квартале 2017 года почти 40% зафиксированных ею атак имели своей целью получить доступ к данным и в трети случаев мишенями были пользователи.

Защиту корпоративной сети должна наладить каждая компания, заботящаяся о своем бизнесе. А каркасом цифровой безопасности организации в настоящее время часто является UTM-система, включающая в себя межсетевой экран (firewall), предназначенный для защиты периметра сети. Решение контролирует потоки данных между «большим интернетом» и внутренней сетью компании. В том числе блокирует нежелательный трафик по заранее заданным правилам. К этому классу продуктов и относится универсальный шлюз безопасности Traffic Inspector Next Generation.

На текущий момент существует два базовых подхода к защите корпоративной сети:

  • построить собственную защиту периметра с нуля;
  • развернуть в локальной сети готовое UTM-решение.

Как у первого, так и у второго есть достоинства и недостатки. И какой выбрать — зависит от масштаба корпоративной сети, от доступного бюджета, от типа бизнеса, которому требуется защита. Разберем по очереди и тот и другой метод.

Своя система ближе к телу?
Единственно верный выбор — распределенная оборона.

По первому впечатлению создание своего комплекса безопасности представляется самым надежным вариантом. В общем виде такие проекты реализуются следующим образом: либо собственные IT-специалисты компании, либо подрядчик — системный интегратор строят на базе набора защитных устройств и программ контуры информационной обороны. Под каждую задачу обеспечения цифровой безопасности подбирается отдельное решение или несколько, и они увязываются в единую систему. 

При основательном добросовестном подходе возможна гибкая адаптация доступных на рынке продуктов под профиль бизнеса, особенности его структуры, его специфику работы с данными. Но гладко бывает только в рекламных презентациях, а дешево — забежим вперед — не бывает никогда.

Достоинства
  • При грамотном планировании удается наладить бесшовную систему, в которой оптимизировано всё и вся. Вплоть до скорости передачи трафика.

Это повышает производительность системы, которая особенно важна в высоконагруженных сервисах, например, в платежных процессингах, где выполняются десятки тысяч операций в секунду.

  • Возможна адаптация защитного комплекса под конкретные задачи и под конкретные цифровые риски, характерные для сферы деятельности компании. Архитекторы систем компьютерной защиты знают, какие уязвимости чаще всего оказываются фатальными для финансовых, или медицинских, или промышленных структур, через какие участки защитного периметра, как правило, совершаются атаки. И знают, как залатать ту или иную брешь, где и чем усилить защиту корпоративной сети. UTM-решения «из коробки» выполняют большую часть задач кибербезопасности, но некоторые особенно экзотические — не до конца (или после длительной конфигурации, или с привлечением дополнительных средств защиты).

Хотя бывает, что единственно верный выбор — распределенная и эшелонированная оборона. Например, если на страже спокойствия корпоративной сети стоит только UTM и киберпреступник получит удаленный доступ к нему, весь периметр окажется оголенным. Так что какой-нибудь центр обработки данных (ЦОД) лучше всего снабдить многоуровневой системой безопасности, с использованием нескольких устройств и программно-аппаратных решений различной защитной функциональности.

Недостатки

С нуля, — значит, дорого. 

Загибаем пальцы:

  • закупка парка техники и программного обеспечения;
  • интеграция оборудования и ПО;
  • амортизация оборудования и продление лицензий на большое число машин.

Антивирусы, антиспам, веб-фильтры, системы фильтрации контента, DLP-службы, WAN-оптимизаторы, VPN-шлюзы, IPS и многое, многое другое, — в общей сложности все это тянет на десятки, а то и сотни тысяч долларов, особенно когда защите подлежит крупная и территориально распределенная инфраструктура.

Не у всякой компании найдутся бюджеты на столь масштабные работы. И не для всякой подобные инвестиции рациональны.

Внутри компании постоянно нужны ресурсы для того, чтобы «щит» выполнял свои функции. Мало построить собственную систему безопасности — нужно ее поддерживать в надлежащем состоянии. А это снова затраты, явные и неявные, — на содержание штата IT-специалистов. Явные — это в первую очередь фонд оплаты труда. В свою очередь, неявные хуже поддаются учету — например, дополнительные расходы вытекают из необходимости контролировать работу подразделения с точки зрения корпоративной безопасности: каким бы проницательным ни был ваш эйчар, ему не по плечу предугадать все неожиданности, которые влечет за собой человеческий фактор.

Согласно статистике «Лаборатории Касперского», 80% удавшихся кибератак обязаны своим успехом именно человеческому фактору — действию или бездействию конкретных людей внутри компании. И не всегда в проникновении внутрь корпоративной инфраструктуры прямо или косвенно виноваты рядовые пользователи: нередко ответственность лежит на администраторах сети, либо недостаточно компетентных, либо ситуативно принявших ошибочное решение, либо сознательно пошедших на должностное преступление.

Если уволить администратора или безопасника, есть риск, что тот не сумеет или не пожелает передать все тонкости «оборонной» конфигурации сети своему преемнику. Чтобы наработанные модели защиты оставались воспроизводимыми, необходимо документировать все процедуры и нововведения по линии цифровой безопасности, что означает — верно: дополнительные затраты.


Трудности с унификацией между используемыми программами и оборудованием

Распространена ситуация, когда под решение специфических задач приходится сводить воедино очень разное ПО и оборудование. Велика опасность получить на выходе «зоопарк» решений — с конфликтами между продуктами и рассинхронизацией обновлений.


Дублирование функций, а следовательно, снова лишние расходы плюс замедление системы

В последние годы наблюдается тренд на универсальные решения, предназначенные для обеспечения защиты корпоративной сети. Поэтому часто в защитном комплексе оказываются продукты, функциональность которых пересекается. Если не выполнить филигранную настройку всех компонентов контура обороны, одновременная работа доброго десятка решений может замедлять передачу трафика.

Резюме

Проектирование и реализация собственной создаваемой с нуля системы безопасности целесообразны главным образом для крупных и очень крупных компаний, которые располагают соответствующими бюджетами, а главное — по объективным причинам не могут обеспечить себе достаточно надежной защиты иными способами.

UTM: раз — и готово

Расшифровывается UTM как unified threat management, или универсальная система защиты от сетевых угроз. Она же шлюз безопасности. К данной категории решений относится и Traffic Inspector Next Generation. В числе прочего он обеспечивает:

  • защиту периметра сети с полным контролем статуса сетевых соединений;
  • автоматическое регулирование интернет-активности сотрудников;
  • организацию удаленного доступа к корпоративной сети с применением VPN;
  • работу прокси с мониторингом трафика на предмет цифровых угроз;
  • проброс портов, DNS-форвардинг и другие тонкие настройки взаимодействия машин из корпоративной сети с внешним миром.
Достоинства

Включает в себя защитные технологии, которых малому и среднему бизнесу достаточно для того, чтобы снизить опасность до статистически приемлемого уровня. В том числе, по крайней мере в случае Traffic Inspector Next Generation:

  • собственно файрвол;
  • антивирусные модули;
  • IDS/IPS;
  • службу мониторинга сетевой активности.

Раньше большинство решений такого типа работали с пакетами данных только на сетевом уровне, сегодня же многие современные межсетевые экраны умеют анализировать пакеты вплоть до седьмого уровня модели OSI.

Гарантия определенного уровня защиты. Будучи сертифицированным ФСТЭК России, UTM (и Traffic Inspector Next Generation не исключение) содержит лишь те защитные решения, которые входят в государственный реестр. Это чуть сужает выбор, зато задает планку качества.

Скоординированность работы модулей. В собранном с нуля защитном комплексе, как мы говорили ранее, возможны конфликты программ и оборудования. В UTM разработчики скрупулезно отлаживают взаимодействие модулей, поскольку те должны функционировать стабильно в самых разных условиях, в самых разных организациях. А значит, средняя устойчивость такой системы выше.

Значительно дешевле, чем внедрение индивидуальной, кастомизированной защиты. Продукт готовый и тиражируемый, поэтому по карману большинству предпринимателей и руководителей. А под конкретное сетевое окружение подгоняется за счет гибкого конфигурирования модулей.

Как правило, обладает наглядным интерфейсом, управление им понятно человеку без IT-бэкграунда. Для обслуживания UTM обычно достаточно одного системного администратора, а в повседневности работать с ним в штатном режиме сумеет и сам владелец небольшого бизнеса.

Недостатки

Скорость работы не всегда оптимальна. Это утверждение касается не всех UTM без исключения, но во многих действительно службы безопасности (система предотвращения вторжений, антивирус и прочие) при одновременной работе способны снижать быстродействие оборудования, на котором работают, и замедлять процесс обмена данными между интернетом и локальной сетью.

Не максимально возможная защита локальной сети от угроз внутренних. Например, от утечки данных. В крупных корпорациях для предотвращения подобных инцидентов применяют решения класса DLP (data leakage prevention).

Проблема не надуманная: в 2016 году компания InfoWatch зафиксировала 213 случаев утечек данных из российских компаний и государственных органов — на 80% больше, чем за 2015 год. 

С другой стороны, до состояния, в котором организация заинтересует действительно мощные хакерские группы, ей надо еще дорасти.

Иногда стандартизация создает и узкие места. 

Достоинство, которое способно обернуться недостатком. Не все хитрые узкоспециальные задачи UTM будет решать «из коробки», без дополнительных манипуляций.

Резюме

UTM — своего рода «сторожевая башня», которая помогает обеспечивать защиту локальной сети от несанкционированного доступа и других цифровых угроз. 

Это решение выдерживает хакерские атаки, служит для предотвращения кражи информации, защищает машины в сети от вирусов и автоматически регулирует веб-активность «подшефных» пользователей. И в большинстве случаев его достаточно для создания высокого уровня информационной безопасности внутри компании.


Протестировать Traffic Inspector Next Generation в своей сети. Бесплатно в течение 30 дней

Попробовать бесплатно

 

 

Подпишитесь на рассылку Смарт-Софт и получите скидку на первую покупку

За подписку мы также пришлем вам white paper "Основы кибербезопасности в коммерческой компании".

Назад
Далее
Рекомендуем почитать Смотреть все

Почему не получится просто скачать OPNsense и настроить его по руководству пользователя Traffic Inspector Next Generation

Теги: госсектор, Traffic Inspector Next Generation FSTEC, универсальный шлюз безопасности, сертифицированный межсетевой экран, OPNsense

Смарт-Софт приступил к масштабному обновлению Traffic Inspector

Теги: Traffic Inspector, обновление

Региональный интернет-провайдер заключил партнерское соглашение со Смарт-Софт по программе White Label

Теги: White Label, Traffic Inspector Next Generation

Попробуйте бесплатно в течение 30 дней

Traffic Inspector Next Generation подойдет и вашему бизнесу вне зависимости от его размеров. Убедитесь!
Меню навигации
Бесплатный звонок по России 8 800 511-05-81
Сообщение отправлено
Спасибо за заявку! Мы свяжемся с вами в ближайшее время.
ОК
БЕСПЛАТНОЕ ТЕСТИРОВАНИЕ
TRAFFIC INSPECTOR NEXT GENERATION
Вы получите
полнофункциональный комплекс, сможете изучить удобный интерфейс и попробовать все средства защиты, такие как:
Файрвол
Антивирус
Фильтрация трафика
IDS/IPS
и многое другое.
Тестовое оборудование всегда есть на складе и мы предоставим его в кратчайшие сроки. Детали расскажет наш специалист — просто оставьте заявку!
БЕСПЛАТНОЕ ТЕСТИРОВАНИЕ
TRAFFIC INSPECTOR NEXT GENERATION
Сообщение отправлено
Благодарим за заказ! Менеджер свяжется с вами в ближайшее время.
ОК
Оформление заказа
TRAFFIC INSPECTOR NEXT GENERATION
Выберите устройство
S100-DE
S100-NP
S100 FSTEC-NP
S300-AQ
S300 FSTEC-AQ
S500-DE
M700-AQ
M700 FSTEC-AQ
M1000-DE
L1000+-DE
L1500+-AQ
L1500 FSTEC-AQ
Горизонтальный кластер
Light
Программное обеспечение
ФСТЭК
Укажите количество
Стоимость будет рассчитана специально для вас
Оформление заказа
TRAFFIC INSPECTOR NEXT GENERATION
Сообщение отправлено
Благодарим за заказ модуля! Менеджер свяжется с вами в ближайшее время.
ОК
Оформление заказа
TRAFFIC INSPECTOR NEXT GENERATION
Выберите модули
Traffic Inspector Next Generation Anti-Virus powered by Kaspersky
NetPolice для Traffic Inspector Next Generation
MULTIFACTOR для Traffic Inspector Next Generation
Оформление заказа
TRAFFIC INSPECTOR NEXT GENERATION
Сообщение отправлено
Спасибо за ваше обращение! Менеджер свяжется с вами в ближайшее время.
ОК
Заказ звонка
TRAFFIC INSPECTOR NEXT GENERATION
Заказ звонка
TRAFFIC INSPECTOR NEXT GENERATION
Сообщение отправлено
Спасибо за ваш вопрос! Менеджер свяжется с вами в ближайшее время.
ОК
Задайте вопрос
TRAFFIC INSPECTOR NEXT GENERATION
Задайте вопрос
TRAFFIC INSPECTOR NEXT GENERATION
Сообщение отправлено
Добро пожаловать в программу White Label! Мы свяжемся с вами в ближайшее время.
ОК
WHITE LABEL
партнерская программа
WHITE LABEL
партнерская программа