ћерион Ќетворкс

14 минут чтени€

¬ этой статье расскажем о различных концепци€х и стратеги€х, которые реализуют многие организации дл€ защиты своих активов как от внутренних, так и от внешних киберугроз.

¬ы узнаете об этих трех основных принципах, и о том, как они используютс€ в различных организаци€х.  роме того, вы узнаете о ключевых терминах безопасности и модел€х контрол€ доступа.

ѕри подключении устройства к сети и »нтернету, организации открывают двери дл€ хакеров, которые могут проникнуть в их сеть и нанести ущерб. ≈сть много организаций, которые используют только брандмауэр в своей сети и поэтому думают, что и их внутренн€€ сеть, и пользователи защищены от угроз в »нтернете. Ѕрандмауэр, как единственное сетевое устройство, развернутое между внутренней сетью и »нтернетом, Ч это просто первый уровень безопасности дл€ всей организации. ћногие люди задаютс€ вопросом: а не достаточно ли брандмауэра дл€ фильтрации вредоносного вход€щего и исход€щего трафика?

ћного лет назад ответ был бы однозначно Ђдаї. ќднако, поскольку хакеры всегда ищут новые стратегии дл€ проникновени€ в сеть, мы не можем полагатьс€ только на один уровень безопасности дл€ защиты наших активов. ќтвет на этот вопрос уже не €вл€етс€ однозначным Ђдаї просто потому, что существует много типов трафика, которые используют небезопасные сетевые протоколы дл€ обмена сообщени€ми между источником и получателем.

Ќиже приведены лишь некоторые из многих вопросов, которые должен задать специалист по кибербезопасности:

  • ќсуществл€ет ли организаци€ активный мониторинг сообщений Domain Name System (DNS) на предмет угроз?
  • ≈сть ли в организации какие-либо решени€ дл€ обеспечени€ безопасности, защищающие вход€щие и исход€щие сообщени€ электронной почты компании?
  • ≈сли в сети происходит кибератака, существуют ли системы дл€ упреждающего блокировани€ и оповещени€ отдела информационных технологий?
  • ≈сть ли в организации специальна€ группа или человек по безопасности дл€ управлени€ общей безопасностью всего предпри€ти€?
  • —уществуют ли какие-либо политики безопасности и технические средства контрол€ дл€ защиты внутренней сети?

ћногие поставщики систем безопасности используют маркетинговые стратегии и используют модные слова (buzzwords), чтобы повли€ть на потенциальных клиентов дл€ приобретени€ их устройств безопасности Ђвсе в одномї.  лючевой момент, который упускают многие не осведомленные клиенты, Ч это то, как решение или продукт безопасности будет защищать всех пользователей и все типы трафика, защищать их при использовании небезопасных протоколов и так далее. ѕримером может служить использование endpoint protection (защиты конечных точек). ¬ы можете рассматривать это решение как антивирусное программное обеспечение с централизованным управлением дл€ администратора. ’от€ многие решени€ дл€ защиты от вредоносных программ конечных точек предлагают расширенные функции. Ёто все еще первый уровень безопасности, который просто защищает хост.

Ќе все решени€ дл€ защиты конечных точек или антивирусы, защищают от угроз, св€занных, например с электронной почтой. ѕроще говор€, организаци€ не может полагатьс€ только на один подход дл€ защиты своих активов, ей нужен многоуровневый подход, известный как √лубока€ защита (Defense in Depth - DiD).

—тратеги€ DiD подразумевает, что один уровень безопасности не должен использоватьс€ в качестве единственной меры противодействи€ кибератакам. ≈сли этот единственный уровень не сможет защитить сеть, тогда все (активы) будут открыты дл€ взлома хакерами. ¬ DiD реализован многоуровневый подход дл€ защиты всех активов от различных типов кибератак, где, если один уровень не может защитить актив, то есть другой уровень дл€ обеспечени€ безопасности.

Ёту тактику наслаивани€ придумали в јгентстве национальной безопасности (NSA) как комплексный подход к информационной и электронной безопасности. ј изначально - это военна€ стратеги€, котора€ направлена на то, чтобы заставить атакующего тратить как можно больше времени на преодоление каждого уровн€ защиты, нежели предотвратить наступление противника.

 онцепци€ Defense in Depth делит организацию защиты инфраструктуры на три контролируемые части:

  • ‘изическа€: сюда относ€тс€ все меры по ограничению физического доступа к »“-инфраструктуре неавторизованных лиц. Ќапример, охранник офиса, системы — ”ƒ, камеры видеонаблюдени€, сигнализаци€, телекоммуникационные шкафы с замками и так далее.
  • “ехническа€: сюда относ€тс€ все хардварные и софтовые средства защиты информации, призванные контролировать сетевой доступ к объектам информационной системы, межсетевой экран, средства антивирусной защиты рабочих станций, прокси-серверы, системы аутентификации и авторизации.
  • јдминистративна€: сюда относ€тс€ все политики и процедуры информационной безопасности, прин€тые в организации. ƒанные документы призваны регулировать управление защитой, распределение и обработку критичной информации, использование программных и технических средств в компании, а также взаимодействие сотрудников с информационной системой, сторонними организаци€ми и другими внешними субъектами.

ћногоуровневый подход -это как защита корол€ в его замке. ≈сли произойдет нападение, захватчикам потребуетс€ пройти несколько уровней обороны, включа€ стражей на входе и другие преп€тстви€, прежде чем они смогут добратьс€ до корол€ (актива).

„тобы лучше пон€ть важность DiD, давайте углубимс€ в изучение трех основных принципов информационной безопасности, так называемой триады CIA:

  •  онфиденциальность (Confidentiality)
  • ÷елостность (Integrity)
  • ƒоступность (Availability)

 аждый принцип играет жизненно важную роль в обеспечении информационной безопасности любой организации. ¬ следующем подразделе вы узнаете о характеристиках конфиденциальности, целостности и доступности, а также о том, как они используютс€ в отрасли дл€ обеспечени€ безопасности наших сетей.


 онфиденциальность

ѕоскольку все больше людей подключаютс€ к сет€м и обмениваютс€ информацией, будь то их частна€ сеть дома, корпоративна€ сеть в офисе или даже »нтернет, конфиденциальность €вл€етс€ серьезной проблемой.

 аждый день организации генерируют новые данные, отправл€€ и получа€ сообщени€ между устройствами. ѕредставьте себе организацию, котора€ использует электронную почту в качестве единственной платформы обмена сообщени€ми.  аждый человек создает сообщение электронной почты, которое €вл€етс€ данными, и эти данные используют некоторое пространство дл€ хранени€ в локальной системе.  огда адресат получает электронное письмо, оно сохран€етс€ на компьютере получател€. ¬ажно, чтобы сообщение получили только те, кому оно адресовано, посторонние лица его увидеть не должны.

 огда эти данные передаютс€ по сети, их также можно перехватить. ѕоэтому специалист по безопасности также должен принимать во внимание следующие вопросы: €вл€етс€ ли соединение безопасным? явл€етс€ ли протокол св€зи безопасным? явл€етс€ ли сеть безопасной?

 онфиденциальность (Confidentiality) гарантирует, что сообщени€ и другие данные будут хранитьс€ в тайне от посторонних лиц или устройств. ¬ области информационных технологий конфиденциальность реализуетс€ в виде шифровани€ данных. Ћюди используют устройства дл€ выполнени€ задач, будь то отправка электронной почты, загрузка файла или даже отправка сообщени€ в мессенджере со смартфона. ¬ажно всегда защищать эти сообщени€.

ƒанные обычно существуют в следующих состо€ни€х:

  • ƒанные в состо€нии поко€
  • ƒанные в движении (транзит)
  • »спользуемые данные

ƒанные в состо€нии поко€ Ч это данные, которые не используютс€ ни приложением, ни системой. ¬ данный момент они хран€тс€ на носител€х, таких как жесткий диск (HDD) в локальной или удаленной системе.  огда данные наход€тс€ в состо€нии поко€, они у€звимы дл€ злоумышленников, пытающихс€ либо украсть, либо изменить их. —пециалисты по безопасности реализуют как методы аутентификации, так и алгоритмы шифровани€ дл€ защиты любых данных в состо€нии поко€. ѕримером может служить использование BitLocker в операционной системе Microsoft Windows 10, котора€ позвол€ет администратору создавать зашифрованный контейнер, а затем пользователь может поместить файлы в эту специальную область пам€ти и заблокировать ее.

ѕосле того, как содержимое BitLocker заблокировано (закрыто) пользователем, и контейнер, и его содержимое шифруютс€. —ледовательно, доступ предоставл€етс€ только в том случае, если пользователь предоставл€ет правильные учетные данные дл€ открыти€ и расшифровки содержимого. ≈сли злоумышленник украдет зашифрованный контейнер, он не сможет просмотреть содержимое из-за шифровани€ данных.

ƒанные в движении определ€ютс€ как данные, которые передаютс€ между источником и пунктом назначени€. ѕредставьте, что есть сотрудники, которые работают дистанционно или работают в удаленном месте вдали от офиса. Ётим люд€м может потребоватьс€ часто подключатьс€ к корпоративной сети дл€ доступа к сетевым ресурсам, например, при доступе или работе с документами, наход€щимис€ на файловом сервере.  ак специалисты в области кибербезопасности, мы должны быть осведомлены о том, какие типы защиты или механизмы безопасности существуют дл€ защиты данных, передаваемых между устройством пользовател€ и файловым сервером.  роме того, устройства отправл€ют и получают сообщени€ почти каждую секунду, и некоторые из этих сообщений обмениваютс€ с использованием небезопасных протоколов, что позвол€ет злоумышленнику перехватывать сообщени€ (данные) по мере их передачи по сети. ≈сли данные передаютс€ по сети в незашифрованном формате, злоумышленник может увидеть все содержимое в виде открытого текста и собрать конфиденциальную информацию, такую как логины и пароли.

Ёто всего лишь несколько возможных ситуаций, которые могут возникнуть, когда данные наход€тс€ в движении. Ќекоторые рекомендуемые действи€ заключаютс€ в том, чтобы всегда, когда это возможно, использовать защищенные сетевые протоколы и гарантировать, что удаленные сотрудники, используют виртуальную частную сеть (VPN) дл€ шифровани€ трафика между устройством пользовател€ и корпоративной сетью.

„тобы лучше пон€ть необходимость VPN, представьте, что организаци€ имеет несколько филиалов и хочет Ђрасшаритьї ресурсы из головного офиса в удаленный филиал. »спользование »нтернета небезопасно, особенно дл€ передачи корпоративных данных между филиалами. ќдним из решений может быть использование Wide Area Network (WAN), предоставл€емой интернет-провайдером (ISP). ≈сли организаци€ решает использовать WAN, это означает, что за эту услугу придетс€ платить, а дл€ некоторых компаний это решение может оказатьс€ не по карману. ¬ качестве альтернативы, если организаци€ имеет подключение к »нтернету и брандмауэры наход€тс€ в каждом офисе, специалист по безопасности может настроить VPN между двум€ устройствами брандмауэра. Ётот тип VPN известен как site-to-site VPN.

Ќа следующем рисунке показано представление site-to-site VPN:

Site-to-site VPN

 ак показано на рисунке, site-to-site VPN устанавливает безопасное зашифрованное соединение между головным офисом и удаленными филиалами через »нтернет. —ледовательно, любые сообщени€, которые перемещаютс€ между офисами, шифруютс€ и отправл€ютс€ через туннель VPN, защища€ сообщени€ от неавторизованных пользователей.

—уществует также другой тип VPN - с удаленным доступом (remote access VPN). Ётот тип позвол€ет пользователю установить VPN-туннель между конечным устройством, таким как ноутбук, и брандмауэром организации. Ётот тип VPN позвол€ет сотрудникам, работающим дома или на ходу, безопасно подключатьс€ к сети организации и получать доступ к сетевым ресурсам. »мейте в виду, что на устройстве сотрудника должен быть установлен VPN-клиент, который используетс€ дл€ установлени€ безопасного соединени€ между компьютером и корпоративным брандмауэром.

Ќа следующем рисунке приведен пример VPN с удаленным доступом:

VPN с удаленным доступом

»спользуемые данные Ч это данные, к которым в данный момент обращаетс€ или использует приложение. ¬ этом состо€нии данные наиболее у€звимы. ¬ качестве примера используемых данных представьте, что вы открываете PDF-документ с помощью приложени€ дл€ чтени€ PDF-файлов. ѕрежде чем приложение сможет успешно открыть файл PDF, документ необходимо расшифровать, если файл защищен паролем. ѕосле ввода правильного парол€ документ будет представлен пользователю в незашифрованном виде. ¬ажно обеспечить посто€нную безопасность системы и приложений, которые обращаютс€ к данным и/или используют их.

“аким образом, конфиденциальность Ч это защита ваших активов от посторонних лиц или устройств.


÷елостность

÷елостность (Integrity) играет важную роль в нашей повседневной жизни, это степень сформированности, собранности, про€вление гармонии соотношени€ и взаимодействи€ частей. ¬ышло немного по-философски, но тот же принцип необходим и в сети. ѕредставьте, что вы получили письмо от друга через местное отделение почты и открыв его, кажетс€, что с его содержимым все в пор€дке.  ак получатель, вы могли бы предположить, что содержимое письма осталось неизменным в процессе доставки, но как вы можете проверить, было ли содержимое изменено человеком или устройством по пути? ¬ сети очень важно обеспечить, чтобы данные или сообщени€ не измен€лись в процессе передачи между источником и получателем.

¬ кибербезопасности используютс€ специальные алгоритмы хешировани€, чтобы помочь пользовател€м и устройствам проверить, было ли сообщение изменено или нет при его передаче. јлгоритмы хешировани€ создают односторонний криптографический хэш (дайджест, он же контрольна€ сумма), который €вл€етс€ математическим представлением сообщени€. Ёто означает, что только это сообщение может выдавать одно и то же хэш-значение. јлгоритмы хешировани€ создают одностороннюю функцию, котора€ делает практически невозможным изменение и определение содержимого самого сообщени€.

Ќа следующем рисунке показан процесс хешировани€ сообщени€:

ѕроцесс хешировани€

 ак показано на рисунке, сообщение проходит через криптографический алгоритм, который создаЄт одностороннюю хэш-функцию сообщени€.  огда пользователь или устройство хочет отправить сообщение адресату, и сообщение, и его хеш-значение упаковываютс€ вместе и отправл€ютс€ по сети.  огда получатель получает вход€щее сообщение, он выполн€ет свою собственную функцию хешировани€ сообщени€ и вычисл€ет его хеш-значение.

«атем получатель сравнивает хеш-значение, полученное от отправител€, с хеш-значением, которое он высчитал. ≈сли оба значени€ хеш-функций совпадают, это означает, что сообщение не было изменено во врем€ передачи и целостность сохранена. ќднако, если хэши не совпадают, это указывает на то, что сообщение было подвергнуто изменению, и получатель просто удалит его. ѕомимо этого, хэширование также помогает убедитьс€ в том, что сообщение не было искажено в результате каких-либо сбоев или неполадок в сети.


ƒоступность

—уществуют типы кибератак, которые блокируют или затрудн€ют доступ законных пользователей к ресурсу. ƒругими словами, злоумышленники пытаютс€ нарушить доступность (availability) данных и ресурсов. ¬ области кибербезопасности доступность гарантирует, что данные и ресурсы всегда доступны дл€ пользователей и систем, которым разрешен доступ к этим ресурсам.

ѕростым примером кибератаки, котора€ может быть использована дл€ нарушени€ доступности сети, €вл€етс€ атака Ђраспределенный отказ в обслуживанииї Distributed Denial of Service (DDoS). Ётот тип атаки запускаетс€ из нескольких географических точек и нацелен на одну систему или сеть. «лоумышленник направл€ет к объекту атаки огромное количество легитимных запросов или другого типа трафика, в результате чего, система перегружаетс€ и становитс€ неспособной обработать запросы от других пользователей. ÷ель состоит в том, чтобы сделать целевую систему или сеть непригодными дл€ использовани€ или недоступными дл€ других пользователей.

Cloudflare (www.cloudflare.com) обеспечивает неограниченную защиту от DDoS-атак дл€ пользователей. јдминистратор может перенести свои записи DNS в Cloudflare дл€ управлени€ службами DNS. “аким образом, Cloudflare находитс€ между общедоступным сервером и остальной частью »нтернета. ≈сли на ресурс будет направлен DDoS-трафик из любой точки мира, он должна будет проходить через сеть Cloudflare, что см€гчит атаку.

¬озможно вы считаете, что дл€ злоумышленников важно, чтобы сетевые ресурсы и данные были всегда доступны, чтобы их можно было взломать или украсть. Ќо на самом деле существуют злоумышленники, цель которых - сделать так, чтобы эти ресурсы не были больше доступны дл€ пользователей.

ѕросто представьте что злоумышленник взломает систему управлени€ энергосистемой вашего города или района. ≈сли хакеру удастс€ отключить эту систему, то не будет электричества, и это затронет большинство потребителей и организаций. ¬ таких ситуаци€х важно, чтобы специалисты внедрили меры безопасности, которые смогут защитить критически важные процессы, системы и сети от взлома.


ќбъединение трех принципов

Ќекоторые организации став€т одни принципы выше других. Ќапример, компани€ может больше внимание удел€ть на защите своих данных с помощью различных систем аутентификации и шифровани€. Ётот принцип фокусируетс€ на конфиденциальности. —осредоточение внимани€ на одном компоненте, таком как конфиденциальность, в большей степени, чем на других, повлечет меньшее внимание к другим - целостности и/или доступности.

¬ы можете задатьс€ вопросом: и в чЄм здесь проблема? ѕредставьте себе, что организаци€ примен€ет самые строгие меры безопасности дл€ предотвращени€ любого несанкционированного доступа к своим системам и сети. „тобы авторизованный пользователь мог получить доступ к этим ресурсам, ему необходимо будет предоставить, возможно, несколько проверок своей личности, например, при многофакторной аутентификации (MFA), и даже пароли дл€ открыти€ файлов. ¬ результате доступ к ресурсам будет усложнен дл€ всех, включа€ авторизованных пользователей, поэтому доступность немного пострадает.

Ќа следующем рисунке показана триада принципов и точка фокусировки в центре:

“риада принципов

 лючевой момент заключаетс€ в том, чтобы всегда обеспечивать баланс при реализации конфиденциальности, целостности и доступности в любой системе и сети. ¬ажно удел€ть одинаковое внимание всем основным направлени€м просто дл€ того, чтобы не было недостатка ни в одном аспекте информационной безопасности.


—кидки 50% в Merion Academy

¬ыбрать курс