Внутрисетевые системы контроля и управления доступом: задачи, функции и программные решения
Как сохранить безопасность внутри компании в условиях быстроразвивающейся сферы ИТ? На этот вопрос пытается ответить множество специалистов, поскольку информационная безопасность становится все более перспективной и сложной областью. Мировое сообщество проявляет интерес к текущей ситуации в IT-отрасли, где крупные структуры, в том числе торговые сети, банки и объекты энергетической и промышленной инфраструктуры, становятся жертвами многочисленных взломов и киберударов.
На международных и внутригосударственных конференциях и съездах, посвященных теме защиты информации, обостренный интерес к данной области подтверждается регулярно.
Одной из наиболее опасных угроз являются нарушения безопасности информационных систем компаний, создаваемые сотрудниками, имеющим доступ к конфиденциальной информации. Их действия могут быть как случайными, так и преднамеренными. Различные источники именуют внутренних нарушителей IT-безопасности по-разному, но все же можно выделить три основных типа: халатные, обиженные и манипулируемые, или внедренные.
Халатные работники, действующие незлонамеренно, могут нарушать правила хранения конфиденциальной информации из-за своей неосторожности, например, взяв работу на дом или в командировку, и потеряв при этом съемный диск. Несмотря на то, что это «безобидное» нарушение, ущерб от него может быть серьезным. Примером таких последствий может служить утечка личных данных 50 миллионов клиентов и семи миллионов таксистов компании Uber в 2016 году, произошедшая из-за небрежности программистов компании. Халатность сотрудников, по данным исследования Ernst&Young, проведенного в 2017-2018 гг., является основной угрозой кибербезопасности во всем мире, с этим согласны 77% респондентов.
Обиженные сотрудники, недовольные оценкой своей деятельности в компании или собственным местом в иерархии организации, часто действуют самостоятельно, пытаясь нанести материальный вред компании. Примером таких нарушений может служить случай с компанией StarNet в Молдавии в 2015 году, когда личные данные 53 тысяч физических и юридических лиц были опубликованы в сети.
Манипулируемые извне являются, возможно, самой опасной категорией нарушителей, имеющих заказчиков и способы обхода внутриорганизационной защиты. Такие сотрудники могут быть завербованными и внедренными в компанию, а иногда действуют под угрозой физических увечий и расправы.
Проводя грамотную политику информационной безопасности, необходимо предусмотреть разграничение прав доступа между специалистами организации. Как отмечает компания Ernst&Young, 89% банков во всем мире включили кибербезопасность в список приоритетов 2018 года. Очевидно, что информационные данные, ценные документы и материалы должны быть под надежной защитой.
Внутрисетевые системы контроля управления доступом являются неотъемлемой частью комплексного уровня ИТ-безопасности любой компании. Однако, не существует идеального и комплексного решения, которое бы на 100% защитило бы компанию от всех возможных угроз – как внутренних, так и внешних.
Несмотря на это, поставщики услуг в сфере ИТ-безопасности предлагают различные варианты, которые позволяют контролировать значительную часть угроз, выполняя ряд задач. Одна из таких задач – блокировка несанкционированного доступа к корпоративной сети. Для ее решения применяют межсетевое экранирование, которое позволяет определить политику безопасности и обеспечить ее соблюдение, используя объемный спектр контекстных данных. Современные системы могут проводить глубокий анализ пакетов, аутентифицировать пользователей и предотвращать вторжения. Корпоративные межсетевые экраны, которые характеризуются масштабируемостью, надежностью и управляемостью, наиболее востребованы крупными компаниями.
Другая задача – исключение нецелевого использования служебной электронной почты. Для ее решения применяют контент-анализ каждого письма. Передовые разработки позволяют анализировать формальное содержимое сообщения, а также вложения, представленные в виде ссылок или текста.
Еще одна проблема, с которой сталкиваются многие компании – это утечка конфиденциальной информации. Для исключения ее возможности, применяются решения, которые позволяют проверять исходящий трафик на содержание такой информации. Но такой подход не решает проблему полностью. Например, возможность разглашения конфиденциальной информации сохраняется в чатах, форумах и почтовых сервисах. Многие работодатели, которые хранят массу персональной информации о клиентах, блокируют соцсети и другие популярные сайты для предотвращения подобных действий.
Для фильтрации web-трафика применяется база данных URL-адресов, классифицированная по темам записей. Каждая запрашиваемая сотрудниками страница отфильтровывается и затем относится к определенной категории: почтовой, порнографической, туристической и другим. В случае необходимости автоматизированная система проводит анализ контента и определяет тематику страницы. Это помогает администратору настроить группам пользователей права на доступ к страницам конкретных категорий.
Согласно исследованию компании InfoWatch, российские организации наиболее беспокоят утечка конфиденциальной информации (98% опрошенных). Остальные угрозы вызывают меньшее беспокойство: 62% опрошенных беспокоятся об искажении информации, 15% - сбои информационных систем из-за халатности сотрудников, 7% - потеря данных, 6% - кража оборудования, а 28% указали на другие проблемы.
Как работает система контроля и управления доступом?
Компании всё чаще ориентируются на использование систем контроля и управления доступом, обеспечивающих физическую и сетевую безопасность. Физическая охрана включает охранников, замки и биометрические системы идентификации, которые контролируют пропускной режим в здание и фиксируют время входа и выхода сотрудников. Подобная защита также применяется в информационных системах, где логины и пароли заменяют замки, а администраторы и специальные программные продукты играют роль сторожей.
Организациям с развитой сетевой инфраструктурой хотелось бы использовать стандартные средства информационной безопасности, такие как межсетевые экраны, шлюзы безопасности или IPS. К сожалению, это недостаточно. Для достижения эффективного управления доступом создали программные продукты Network Access Control (NAC), которые осуществляют:
- контроль доступа в сеть за счет аутентификации;
- проверку соответствия политике безопасности состояния подключаемых устройств;
- инвентаризацию устройств и приложений корпоративной сети;
- ограничение гостевого доступа к ресурсам.
Контроль доступа в сеть осуществляется путем распознавания нового MAC- и IP-адреса устройства (для устройств VPN - по итогам построения туннеля, для систем на базе DHCP - после запроса DHCP от новых устройств). Сервер принятия решений тогда проводит проверку устройства на безопасность. После передачи запроса от устройства на внутренние серверы (антивирусные, серверы обновления программного обеспечения, LDAP) каждый из них принимает решение о том, соответствует ли устройство минимальным требованиям. Новое устройство получает доступ к сети, который может быть полностью или ограниченно предоставленным.
Несоблюдение критериев хотя бы одного правила ИТ-безопасности может стать причиной запрета доступа к сети. Простейший способ применения NAC - запрет на доступ для устройств, не соответствующих политике информационной безопасности компании. Условиями доступа могут быть установлены корпоративный антивирус, регулярное обновление ОС и т.д. Без соответствия этим условиям доступ в сеть будет запрещен.
NAC также позволяет разделять сети на сегменты (VLAN), чтобы различные отделы внутри компании имели свой сегмент. Каждый отдел может иметь свою политику безопасности, доступ к которой будет предоставлен сотрудникам соответствующего подразделения. Ключевым элементом здесь будет корпоративная служба каталогов, которая облегчает подключение к нужному VLAN сотрудников.
Контроль доступа также осуществляется путем разделения сети на рабочие и карантинные сегменты. Устройства, не соответствующие установленной политике, попадают в последний. В карантинном сегменте установлены серверы обновлений, которые могут привести компьютеры или иные устройства в соответствие с установленной политикой информационной безопасности. После выполнения всех условий доступ вновь предоставляется в рабочий сектор.
С помощью NAC компании могут предоставлять доступ к определенным ресурсам сотрудникам, гостям, партнерам и другим пользователям из установленных в сети сегментов. Количество сегментов корпоративной сети может быть неограниченным.
NAC также контролирует состояние устройств, подключенных дистанционно. Во время удаленного подключения к корпоративной сети происходит проверка компьютера на соответствие политике безопасности, после чего принимается решение.
Некоторые производители также предоставляют решения для предотвращения вторжений на уровне хоста. Такие решения могут комбинироваться со средствами на базе сети.
Для эффективной работы системы контроля и управления доступом требуется понимание целей. Для этого нужно объединить разные отделы, ответственные за работу сети, серверов и обеспечение информационной безопасности. Рабочую модель нужно тщательно проработать перед внедрением системы.
Готовые решения в области контроля доступа внутри корпоративных сетей
Возможности программного обеспечения для контроля доступа насчитывают несколько десятков. Компания GFI входит в число лидеров рынка и предоставляет более десяти программных продуктов, ориентированных как на малый и средний бизнес, так и на крупные организации. Разнообразные решения обеспечивают эффективную информационную безопасность сетей.
Программа GFI EndPointSecurity борется с проблемами, связанными с использованием USB-устройств. Данные устройства, по исследованиям консалтинговой компании Gartner, являются одной из наиболее опасных угроз для сетей. ПО GFI EndPointSecurity контролирует действия с любых дисков: медиа-проигрывателей, карт памяти, CD-дисководов, карманных компьютеров, сетевых карт, мобильных телефонов и других устройств. При этом программа блокирует попытки кражи данных путем полного контроля доступа к съемным дискам, предупреждает внедрения вирусов и неавторизованного программного обеспечения, обеспечивает уникальную защиту и полный сетевой контроль.
Компания GFI предлагает своим потенциальным клиентам бесплатную онлайн-демонстрацию программного обеспечения, которая проводится с подключением к серверу с установленной программой. В ходе данной демонстрации специалисты компании демонстрируют все функции ПО, что поможет определиться с выбором системы.
Программный комплекс DeviceLock DLP Suite включает несколько модулей, которые могут быть лицензированы в разных комбинациях в зависимости от задач служб безопасности. Компоненты ПО обеспечивают контекстный контроль каналов сетевых коммуникаций на компьютерах, полный поиск по базам данных теневого копирования и событийного протоколирования, механизмы фильтрации файлов и данных, переданных с или на сменные устройства, по электронной почте и т.д. Программа способна сканировать сетевые ресурсы, обнаруживая файлы с критическим содержимым. Эти и другие функции DeviceLock DLP Suite позволяют управлять контролем доступа в крупных корпоративных сетях.
Утилита Ivanty Device Control создана для контроля доступа пользователей к портам ввода-вывода. Решение предотвратит проникновение вредоносного программного обеспечения в сеть, убережет от утечки конфиденциальных данных, запретит использование неавторизованных съемных устройств.
Еще одной лидирующей программой в области решений по контролю доступа является Zecurion Zlock (Device Control). Она позволяет запретить использование флеш-карт, контролировать применение USB-устройств и мобильных устройств, а также фильтровать контент. Есть возможность блокировки доступа в интернет при нахождении компьютера вне корпоративной сети, что удобно для контроля удаленных сотрудников. Последнее обновление программы включило модуль поведенческого анализа, который автоматически выявляет подозрительную активность пользователей.
Программное обеспечение Symantec Endpoint Protection позиционируется как самое быстрое и эффективное на рынке решений контроля доступа. Данный программный комплекс использует данные крупнейшей в мире гражданской сети анализа угрозю К преимуществам Symantec Endpoint Protection относятся гибкие настройки политики в зависимости от расположения пользователей, один удобный клиент и консоль управления для физических и виртуальных платформ.
Цены на системы контроля доступа внутри корпоративной сети
В данном тексте будет рассмотрена ценовая политика вендоров, предлагающих системы контроля и управления доступом внутри сети. Цена на поставляемое программное обеспечение зависит от многих факторов, включая объем предоставляемых услуг и функционала программ, а также от расположения центрального офиса производителя. Влияют на ценовую политику и популярность программного обеспечения, производителей, а также другие субъективные факторы.
Среди наиболее доступных по стоимости программ современных вендоров стоит отметить GFI EndPointSecurity. Цены на лицензию за один год начинаются от 1 300 рублей для не более чем 150 устройств. В одну лицензию в зависимости от редакции ПО могут быть включены услуги и обслуживание для разного количества пользователей. Клиенты могут воспользоваться калькулятором на сайте производителя, а также узнать о текущих акциях и скидках, чтобы выбрать подходящий вариант.
Стоимость установки решения DeviceLock составляет 2000 рублей на один компьютер. При обслуживании от 1 до 49 компьютеров цена составляет 1900 рублей, на 50–199 компьютеров – 1700 рублей, на 100 и более компьютеров – цена рассчитывается индивидуально.
Цены на программы Ivanty Device Control и Zecurion Zlock (Device Control) также рассчитываются индивидуально по запросам покупателей.
Купить ПО Symantec Endpoint Protection оптом выгоднее. За одну лицензию можно заплатить 1865 рублей (при покупке на 1 год) или 3357 рублей (при покупке на 3 года). Тем самым, если планируется использовать лицензию более года, то годовое обслуживание будет дешевле.
Фото: freepik.com