Картинка

БЛОГ про

все цікаве у світі телекомунікацій

Як і навіщо захищати доступ в Інтернет на підприємстві

2018-03-03
Автор: Телесфера

Сьогодні ми з вами цинічно поговоримо про старе-добре завдання - захисті співробітників і їх робочих станцій при доступі до Інтернет-ресурсів. У статті ми розглянемо найпоширеніші міфи, сучасні загрози та типові вимоги організацій із захисту веб-трафіку.

Якщо з усієї статті ви запам'ятаєте всього один факт, то знайте - на сайтах для дорослих шанс підчепити зловреда в десятки разів менше, ніж на звичайних Інтернет-ресурсах.

На сьогоднішній день більшість компаній вже надають співробітникам доступ в Інтернет з робочих комп'ютерів. Відстають у цьому плані зазвичай державні організації, силові відомства і компанії, які обробляють великий обсяг персональних даних. Але навіть в таких організаціях завжди є окремі мережеві сегменти або робочі станції, підключені до Інтернет.

Не надавати співробітникам доступ в Інтернет давно вважається поганим тоном. Близько третини кандидатів просто не прийдуть до вас працювати, дізнавшись, що у вас відсутній або сильно обмежений доступ в Інтернет, так як вважають його такою ж необхідністю як чиста вода і вентиляція. Особливо це актуально для сьогоднішнього покоління 20-25 річних, які зі шкільної лави звикли що будь-яку інформацію можна оперативно знайти в пошуковій системі, а поновлення в соціальних мережах слід перевіряти ніяк не менше ніж на півгодини.

Досить вступів, переходимо до міфів.

Міф # 1 Якщо не ходити по сайтах для дорослих, то все буде в порядку

Як би не так. Згідно зі звітом Symantec's Internet Security Threat Report всього 2.4% сайтів для дорослих поширюють зловредів, що в рази менше в порівнянні з блогами, новинними порталами і інтернет-магазинами.

Досить згадати приклади зі зломом сайтів New York Times, NBC, РЖД, порталу «Відомости», сайтів грузинського уряду, TechCrunch Europe та інших, зі сторінок яких поширювалися віруси і здійснювалися фішингові атаки.

З іншого боку - ви як відповідальний співробітник можете прийняти вольове рішення не відвідувати сайти слизької тематики, але чи зможуть встояти ваші колеги? Чи впораються вони зі спокусою клікнути по посиланню в «нігерійському листі» або натиснути на банер з повідомленням про виграш 100500 тисяч доларів?

Міф # 2 Навіть якщо я і потраплю на заражений сайт, то антивірус мене врятує

Шанс є, але він дуже малий. Перед виходом у світ творці зловредів перевіряють, що їх творіння не виявляються поточними версіями антивірусів. Після виявлення перших версій зловреда у антивірусних аналітиків йде від 6 до 24 годин на його дослідження та розробку сигнатури. Швидкість поширення сигнатур і патчів для вразливого ПЗ залежить виключно від вашої інфраструктури, але рахунок як правило йде на дні і тижні. Весь цей час користувачі уразливі.

Міф # 3 Рішення щодо захисту хостів вміє фільтрувати категорії сайтів за ризиками і цього достатньо

Зверніть увагу що самі ж антивірусні вендори пропонують виділені спеціалізовані рішення щодо захисту веб-трафіку. Хостові рішення можливо і володіють базовим функціоналом по фільтрації веб-сайтів за категоріями і ризиками, але їм не під силу зберігати локально базу шкідливих сайтів і динамічно оновлювати її без шкоди продуктивності. Хостовий підхід до вирішення завдання також не застосовують для компаній, в яких в повному обсязі робочі станції включені в домен і/або не справляються централізовано.

Міф # 4 Якщо підчепити вірус, то нічого страшного не станеться

Сучасні зловреди дійсно більш гуманні порівняно зі своїми побратимами з 90-х - найчастіше вони намагаються мінімально впливати на жертву, планомірно отримуючи команди від майстра, розсилаючи спам, атакуючи веб-сайти і крадучи ваші паролі від банк-клієнтів. Крім них є і більш агресивні види - кріптолокери, що шифрують весь вміст жорсткого диска і вимагають викуп, «порнобанер», що показують непристойне і вимагають відправки дуже дорогого СМС, мережеві черв'яки, які виведуть мережу з ладу, не кажучи вже про цілеспрямовані атаки.

Уявіть, що все це може статися з будь-яким комп'ютером або сервером електронної пошти компанії. Погодьтеся, неприємно втратити або допустити витік всіх даних з комп'ютера юриста, головного бухгалтера або директора. Навіть вихід з ладу окремих вузлів вашої інфраструктури на час лікування або перезаливання робочої станції може завдати шкоди бізнесу.

Сподіваюся, що фарби досить згустилися і саме час перейти до опису типових задач і вимог до ідеального рішенням щодо захисту веб-трафіку. Поки я навмисно не вживаю назви продуктів або пристроїв так як завдання можна вирішити різними способами.

Вимоги до технічних рішень

Фільтрація Інтернет-ресурсів за репутацією

Рішення повинно надавати можливість блокування доступу до свідомо шкідливих веб-сайтів або їх окремих розділів. При цьому інформація про рівень ризику підтягується з хмарного центру аналітики та динамічно оновлюється раз на кілька хвилин. У разі якщо сайт недавно з'явився, то рішення повинно мати можливість самостійно проаналізувати контент і прийняти рішення про ступінь небезпеки.

Адміністратору залишається тільки визначити допустимий рівень ризику і, наприклад, блокувати всі сайти з репутацією менше шести за шкалою від -10 до +10.

За категоріями і репутацією повинні розбиватися не тільки сайти, але і їх підрозділи і окремі елементи сторінок. Наприклад, на самому популярному сайті з прогнозами погоди є посилання на сумнівні ресурси, що пропонують схуднути, переставши їсти всього один продукт, або дізнатися, як Пугачова народила двійню. В даному випадку співробітникам слід залишити доступ до основного сайту і блокувати відображення сумнівних частин веб-сторінки.

Фільтрація Інтернет-ресурсів за категоріями (URL-фільтрація)

Повинна бути можливість заблокувати доступ до окремих категорій сайтів, наприклад, до файлообмінників, онлайн-казино і хакерських форумів. Інформація про категорії також повинна підтягуватися з хмарного центру аналітики. Чим більше категорій розуміє пристрій і чим достовірніше вони визначені, тим краще.

Також варто звернути увагу на швидкість реагування центру аналітики на ваші запити зі зміни категорій веб-сайтів. Сайти, які в робочих цілях використовують ваші співробітники, можуть бути неправильно віднесені до заблокованої категорії. Можлива і зворотна ситуація, коли веб-сайт не віднесений до заблокованої категорії. Дані проблеми можна вирішувати і вручну, додаючи окремі ресурси в white list або black list, але такий підхід непридатний якщо доведеться робити це кожен день, та ще й на декількох пристроях.

На окрему увагу заслуговує тема підтримки кирилиці і правильності класифікації російськомовних сайтів. Як правило західні вендори не приділяють їм належної уваги. На щастя підрозділи компанії Ironport, яка розробляла рішення щодо захисту веб-трафіку і придбаною компанією Cisco розташовуються в Україні, так що озвучені вище проблеми відсутні.

Сканування завантаження

Повинна бути можливість сканувати потенційно небезпечні файли антивірусними движками перед тим як віддавати їх кінцевим користувачам. У разі якщо таких движків кілька, то це дещо підвищує шанси виявлення шкідників. Також ви реалізуєте принцип ешелонованої оборони і знижуєте шанси зараження в разі якщо на кінцевому хості антивірус відключений, що не оновлений або просто відсутній.

 Вершиною досконалості з аналізу потенційних зловредів є використання движка Advanced Malware Protection (AMP) або аналогів для захисту від цілеспрямованих атак. В таких атаках шкідливі файли розроблені спеціально для декількох організацій, не поширені в Інтернеті і як правило ще не потрапили в пастки антивірусних вендорів. Центри аналітики VRT Sourcefire і SIO Cisco перевіряють чи зустрічався раніше саме цей файл в ході атаки в іншій організації, і якщо ні, то тестує його в пісочниці, аналізуючи їх дії. Раніше ми писали про AMP на Хабре

Корисною також буде можливість фільтрувати файли за розширенням і заголовкам, забороняючи виконувані файли, зашифровані архіви, аудіо та відеофайли, файли .torrent, magnet-посилання і т.п.

Розуміння додатків і їх компонентів

Традиційні списки контролю доступу на міжмережевих екранах вже практично не рятують. Десять і більше років можна було бути відносно впевненими що порти TCP 80 і 443 використовуються тільки для доступу в Інтернет через веб-браузер, а TCP 25 для відправки електронної пошти. Сьогодні ж по протоколу HTTP і 80 порту працюють Skype, Dropbox, TeamViewer, torrent-клієнти і тисячі інших додатків. Англомовні колеги називають цю ситуацію «HTTP is new TCP». Багато з цих програм можна використовувати для передачі конфіденційних файлів, відеопотоків і навіть віддаленого управління робочими станціями. Природно це не ті види активності, які ми раді бачити в корпоративній мережі.

Тут нам може допомогти рішення, що обмежує використання додатків і їх окремих компонентів. Наприклад, дозволити Skype і Facebook, але заборонити пересилку файлів і відео-дзвінків. Також буде корисно заборонити як клас всі програми для p2p обміну файлами, анонімайзери і утиліти для віддаленого управління.

Визначення додатків здійснюється на основі «сигнатур додатків», які автоматично оновлюються з сайту виробника. Величезним плюсом є можливість створювати «сигнатури додатків» самостійно або довантажувати їх у відкритому вигляді з сайту community. Багато виробників розробляють «сигнатури додатків» тільки своїми власними силами і часто не встигають стежити за оновленнями російських додатків або просто ними не займаються. Само собою, вони навряд чи візьмуться за розробку сигнатур для галузевих програм або додатків власної розробки.

Виявлення заражених хостів на основі встановлюваних з'єднань

Як показує практика багато комп'ютерів можуть бути членами ботнетів протягом декількох років. Гонка озброєнь вийшла на такий рівень, що зловреди не тільки підтягують поновлення своїх версій з центру управління, а й латають дірки в ОС і додатках, через які вони потрапили на комп'ютер, щоб запобігти появі конкурентів. Далеко не всі антивірусні рішення здатні встановити факт зараження, враховуючи, що такі зловреди працюють на дуже низькому рівні, приховують свої процеси, з'єднання і існування в цілому від антивіруса.

Тут нам на допомогу приходять рішення, які аналізують трафік від робочих станцій до центрів управління ботнетами в Інтернеті. Основним способом виявлення є моніторинг підключень до серверів в «чорних списках» - вже відомим центрам управління ботнетами, «темним» зонам Інтернету і т.п.

Якщо ж це таргетована атака або поки невідомий ботнет, то виявлення здійснюється за допомогою поведінкового аналізу. Наприклад сесії «phone home» між зомбі і майстром можна відрізнити щодо шифрування вмісту, малому обсягу переданих даних і тривалого часу з'єднання.

Гнучкі політики розмежування доступу

Практично всі сучасні засоби захисту мають можливість призначати політики не тільки на підставі IP-адрес, а й на основі облікових записів користувачів в AD і їх членства в групах AD. Розглянемо приклад найпростішої політики:

  • Доступ в Інтернет отримують всі доменні користувачі з комп'ютерів, включених в домен і корпоративних планшетів
  • За винятком користувачів, що входять в доменні групи «Оператори колл-центру» і «Без доступу в Інтернет»
  • Зі швидкістю не більше 512 Кбіт на співробітника
  • Всім співробітникам заборонений доступ до категорій «Онлайн-казино», «Пошук роботи» і «Сайти для дорослих»
  • За винятком групи «Керівництво»
  • Всім співробітникам заборонений доступ до сайтів з репутацією менше шести
  • Використання соціальних мереж і сервісів потокового відео заборонено всім співробітникам, за винятком групи «відділ маркетингу та зв'язків з громадськістю»
  • Перегляд відео обмежений по швидкості до 128кбіт/с
  • Заборонено використання всіх ігрових додатків, за винятком гри, створеної компанією
  • Заборонено використання torrent-клієнтів, інтернет-месенджерів і утиліт для віддаленого адміністрування
  • Сканувати завантаження двома з трьох антивірусних движків, за винятком файлів .AVI
  • Заборонити завантаження файлів .mp3 та зашифрованих архівів

Як показує практика в багатьох компаніях виникають організаційні труднощі, що не дозволяють відразу ж почати обмежувати доступ до Інтернет-ресурсів. Формалізована політика або відсутня або на практиці для неї занадто багато винятків у вигляді привілейованих співробітників та їхніх друзів. У таких випадках варто діяти за принципом 80/20 і почати з мінімальних обмежень, наприклад, заблокувати сайти з найвищим рівнем ризику, окремі категорії і сайти, свідомо не відносяться до робочих обов'язків. Також допомагає установка рішення в режимі моніторингу та надання звітів по використанню Інтернет-ресурсів керівництву компанії.

Перехоплення і перевірка SSL трафіку

Вже сьогодні багато поштових сервісів і соціальних мереж шифрують свій трафік за замовчуванням, що не дозволяє проаналізувати інформацію, що передається. За даними досліджень зашифрований SSL-трафік у 2013 році становив 25-35% від загального обсягу переданих даних, і частка його буде тільки збільшуватися.

На щастя, SSL-трафік від користувача до Інтернет-ресурсів можна розшифровувати. Для цього ми підміняємо сертифікат сервера на сертифікат пристрою і термініруємо з'єднання на ньому. Після того як запити користувача проаналізовані і визнані легітимними - пристрій встановлює нове зашифроване з'єднання з веб-сервером від свого імені.

Розшифровка трафіку може здійснюватися як на тому ж сайті, що здійснює аналіз і фільтрацію, так і на виділеному спеціалізованому пристрої. При виконанні всіх завдань на одному вузлі продуктивність само собою знижується, іноді в рази.

Додаткові вимоги

Для того щоб проект із захисту веб-трафіку відбувся вкрай корисно показати керівництву і переваги, які не відносяться безпосередньо до безпеки:

  • Квотування трафіку за часом і користувачем, наприклад, не більше 1Гб трафіку в місяць або трохи більше двох години в Інтернеті в день
  • Обмеження смуги пропускання для окремих сайтів, їх частин або додатків, наприклад, обмеження в 100Кбіт/с при завантаженні потокового відео або аудіо
  • Кешування веб-трафіку - дозволить як прискорити швидкість завантаження популярних сайтів, так і заощадити трафік при багаторазовому завантаженні одних і тих же файлів
  • Шейпінг каналу - рівномірний розподіл смуги пропускання і пріоритезація між усіма користувачами
  • Вкрай важливо також зрозуміти чи підходить рішення, що розглядається, саме для вашої організації, тут варто звернути увагу на:
  • Single sign on - прозора авторизація користувачів без додаткового введення логіна / пароля, в тому числі для смартфонів і планшетів
  • Підтримку декількох способів інтеграції в вашу існуючу інфраструктуру
  • Можливість установки рішення як у вигляді спеціалізованих апаратних пристроїв, так і віртуальних машин
  • Централізоване управління як самими пристроями, так і їх політиками
  • Централізована звітність по всіх пристроях з можливістю створення користувацьких звітів
  • Можливість делегувати адміністрування окремих регіонів, функцій або політик іншим адміністраторам
  • продуктивність рішення
  • Наявність штатної функціональності по журналюванню з'єднань і запобіганню витоків (DLP) або можливість інтеграції з зовнішніми DLP-рішеннями
  • Можливість інтеграції з SIEM-системами
  • Модель ліцензування - по користувачам або пристроям або IP-адресам або пропускної здатності
  • Вартість продовження річних підписок

Джерело: 5https://habrahabr.ru/company/cisco/blog/230515/


Про компанію Телесфера Інтеграція.

Телесфера Інтеграція заснована в 2012 році та являється інтегратором новітніх технологічних рішень для бізнесу.  Ми розробляємо рішення, що роблять Ваш бізнес успішним.

Основні напрямки роботи компанії:

  • Побудова локальних обчислювальних мереж;
  • Налаштування мережевого обладнання передових виробників (Cisco Systems, Aruba Networks та інших);
  • Продаж телекомунікаційного обладнання;
  • Аудит локальних обчислювальних мереж;

e-mail: office@telesphera.net
Телефон: (093) 198-11-82

КОММЕНТАРІ ДО СТАТТІ

Налаштування QoS на пограничному маршрутизаторі Cisco

Налаштування QoS на пограничному маршрутизаторі Cisco
cisco,router,Налаштування,QoS,Налаштування Cisco

Пограничний маршрутизатор в мережі офісу це точка, де вирішується доля всього мережевого трафіку, що прямує в Інтернет. Саме пограничний маршрутизатор вирішує, який трафік надіслати без затримок, а який притримати і пропустити потім.

Чотири причини замінити брандмауер вашої філії удосконаленою захищеною SD-WAN

Чотири причини замінити брандмауер вашої філії удосконаленою захищеною SD-WAN
Aruba Networks,Блог Телесфера,Налаштування Aruba Instant,Налаштування Aruba

Був час, коли рішення SD-WAN були орієнтовані лише на віртуалізацію WAN без особливих міркувань безпеки. Щоб заповнити цю прогалину в безпеці, з'явилися передові безпечні рішення SD-WAN, які включають найвищі можливості захисту від загроз. Фактично розширені функції безпеки, які тепер підтримуються на передових платформах SD-WAN, дозволяють клієнтам повністю відмовитися від виділених міжмережевих екранів філій і ще більше спростити інфраструктуру філій WAN.

Безкомпромісна SASE: Aruba Secure SD-WAN і Netskope SSE

Безкомпромісна SASE: Aruba Secure SD-WAN і Netskope SSE
Aruba Networks,Блог Телесфера,Налаштування Aruba

Програми SaaS, робочі навантаження IaaS, розповсюдження пристроїв IoT і гібридна робоча сила продовжують спонукати підприємства переглядати свої глобальні мережі та архітектури безпеки. Традиційні технології WAN, які базувалися на жорсткій архітектурі WAN, орієнтованій на маршрутизатор, повільно реагували на потреби бізнесу, пропонували непостійну якість роботи та були складними в управлінні. SD-WAN забезпечує кращу та стабільнішу продуктивність хмарних додатків, консолідує функціональні можливості глобальної мережі та підтримує нульову довіру та структуру SASE. Минулого року IDC дослідила Північну Америку та виявила, що 72% підприємств планують перейти на SD-WAN у 2021–2023 роках (1).