Пять основных проблем ИБ в корпоративном секторе

31 Января, 2014 18:55
Константин Гончаров, «Лаборатория Касперского»
Обеспечение информационной безопасности в компании – намного более сложная задача, чем, скажем, в домашней сети. Причин здесь много: и человеческий фактор, и зоопарк антивирусных продуктов, и возможные целевые атаки киберпреступников. Четко обозначенные политики безопасности и качественные защитные решения помогут успешно противостоять любым угрозам.

При построении системы защиты корпоративной сети  ИТ-службе нужно учитывать ряд самых различных факторов. Общий их список может быть очень широким  — угрозы могут быть любые. В данной статье изложены лишь самые основные проблемы, с которыми сталкивается едва ли не каждая вторая компания.

Проблема №1. Человеческий фактор

Работая на своем домашнем компьютере, пользователь самостоятельно принимает решение о том, какие программы применять где их приобретать. С рабочей станцией дело, как правило, обстоит иначе: можно пользоваться только предустановленными приложениями, а для установки нового ПО необходимо получить разрешение у системного администратора. Большинство сотрудников относятся к такой политике с пониманием, однако бывают исключения, и в этом случае немалое значение приобретает человеческий фактор. Рассмотрим, например, ситуацию, когда сотрудник хочет «любой ценой» запустить определенную программу. Понимая, что ИT-служба не разрешит ее инсталляцию, он пытается нарушить установленные правила и выйти за рамки своих полномочий.

При этом сотрудник не знает, что его экземпляр программы (пусть даже легальной), загруженный с веб-сайта сомнительной репутации, уже инфицирован вредоносным кодом. Убедившись в том, что ему не удается установить свою программу на рабочем ПК, пользователь пытается установить ее дома на флешку, чтобы затем перенести ее на свой компьютер в офисе. И снова неудача: программа, содержащая вредоносный код, блокируется антивирусным ПО. Наконец, сотрудник решает установить программу на своем ноутбуке и взять его на работу. Он подключает ноутбук к сети и ему удается получить доступ в Интернет, а после ввода персонального логина и пароля — даже к корпоративному файловому серверу. Оказывается, брешь в системе ИT-безопасности корпоративной сети допускает подключение несанкционированных устройств. Пользователь добивается своего — но именно с этого момента начинаются проблемы у системного администратора.

Поскольку на ноутбуке сотрудника не установлено антивирусное ПО, сетевой червь с его компьютера будет распространяться через общие сетевые папки и заражать все файлы, к которым может получить доступ. Если другие узлы корпоративной сети защищены, то червь не представляет для них угрозы. Тем не менее, многие пользователи будут все время получать предупреждения от антивирусной программы, значительное количество совместно используемых корпоративных данных будет повреждено, а внутренняя сеть компании будет загружена по причине активности зловредного ПО, постоянно ищущего новые файлы для заражения. К тому же, восстановить данные из резервных хранилищ и установить источник возникновения проблемы бывает очень непросто.

Решение. Простая и понятная политика безопасности для всех сотрудников

Сегодня сотрудники получают доступ к корпоративным данным с помощью различных устройств – личных или принадлежащих компании, из дома или офиса, а также используя общедоступные Wi-Fi-сети. Во всех этих случаях должна применяться одна и та же политика безопасности, а для устройств, не удовлетворяющих ей, доступ должен быть запрещен. Такая политика должна обеспечивать полноценную антивирусную защиту, устанавливать необходимые ограничения на запуск программ и использование внешних устройств, а также предусматривать применение эффективного веб-фильтра для защиты от внешних угроз

Наиболее опасные виды онлайн-активности сотрудников с точки зрения IT-безопасности

type_online_act

Проблема №2. Зоопарк антивирусных решений от разных производителей в одной сети

Рассмотрим проблему на примере корпоративной сети большой компании с сотнями узлов и сложной серверной инфраструктурой. ИТ-служба регулярно создает резервные копии пользовательских данных, которые хранятся в централизованном файловом хранилище на сервере, защищенном антивирусным решением. В связи с ростом компании в корпоративной сети устанавливается антивирусное решение другого производителя для защиты рабочих станций. Однако оно не способно детектировать новый вредоносный код определенного типа. При проведении очередного резервного копирования данных серверный антивирус детектирует заражение. Чтобы разобраться в ситуации, ИТ-специалисты проводят полную проверку рабочих станций, но установленный на них антивирус снова ничего не обнаруживает. Единственным решением в этом случае является проведение проверки вручную при помощи специальных программ, что неудобно и требует значительных временных затрат.

Решение: Защитное решение одного производителя с удобной системой администрирования

Правильное защитное решение должно не только обеспечивать безопасность, но также быть удобным в управлении и включать, в том числе, централизованную систему мониторинга и реагирования на инциденты ИT-безопасности. Защита серверов и рабочих станций компании решениями одного производителя обеспечивает более полную интеграцию и, как следствие, более надежную защиту при минимальных затратах времени на выявление и решение проблем. Разумеется, антивирусная защита также должна эффективно использовать ресурсы системы

Наиболее широко применяемые меры по обеспечению информационной безопасности


type_infobezpeka

Проблема №3. Специфика небольших компаний

Малый бизнес сталкивается с теми же глобальными угрозами ИT-безопасности, что и крупные компании, однако здесь меньше сотрудников и бюджеты намного скромнее. Результаты исследования, проведенного «Лабораторией Касперского», показали, что в небольших компаниях на обеспечение ИT-безопасности выделяется в четыре раза меньше средств, чем на крупных предприятиях (в расчете на одного сотрудника).

Очевидно, что активность сотрудников необходимо контролировать: для соблюдения политики компании в области использования лицензий ИT-департамент должен располагать сведениями об установленном ПО, чтобы предотвратить запуск подозрительных приложений, представляющих угрозу ИT-безопасности. Однако индивидуальное определение уровня прав для каждого сотрудника может оказаться сложной задачей, требующей значительных временных затрат. Как и в первом примере, когда речь шла о сотруднике, который (возможно, непреднамеренно) подвергает риску безопасность корпоративной сети, это проблема не технологии, а кадров – вернее, их нехватки. Последняя, однако, не может служить оправданием низкого уровня ИT-безопасности.

Решение: Контроль запуска ПО с использованием облачных технологий

Кропотливая работа по определению уровня прав на использование ПО для каждого пользователя, департамента или вида деятельности может быть полезна, но на ее выполнение как правило не хватает времени. Довольно часто на 50 с лишним сотрудников компании приходится только один ИT-специалист. Но задачу разграничения прав можно также решить с помощью защитного решения. К примеру, в состав Kaspersky Endpoint Security 8 для Windows входит специальный облачный сервис, предоставляющий доступ к огромной базе легитимных приложений. Решение содержит заранее определенные категории программ. При этом ИT-специалист может сам определять категории программ, запуск которых будет разрешен или ограничен; также он может применять политику «разрешение по умолчанию» или «запрет по умолчанию» для всех узлов сети. В дальнейшем администратор может вручную настраивать белые и черные списки приложений в соответствии с меняющимися потребностями бизнеса. Кроме того, есть возможность установить отдельные категории для проприетарных программ в целях уменьшения риска использования пиратского ПО пользователями.

Проблема №4. Целевые атаки

Серьезная проблема для многих компаний — целевые атаки. Насколько сложно их проводить? Разумеется, целевая атака требует больше времени на подготовку, чем другие виды атак. Киберпреступник должен знать предполагаемую жертву, круг ее обязанностей, а также обладать информацией о возможных уязвимостях на ее компьютере.

Например, сотрудник, ставший объектом атаки, может получить электронное сообщение с доверенного адреса с вложением, которое на первый взгляд имеет отношение к его работе. При открытии вложения запускается эксплойт для определенной уязвимости в ПО, установленном на его рабочей станции. В результате киберпреступник получает тот же уровень привилегий в системе, что и данный сотрудник, и может получить доступ к конфиденциальным корпоративным данным. Что еще опаснее, такая атака может пройти незамеченной, обеспечив злоумышленнику доступ к конфиденциальной информации в течение длительного времени.

Решение: Управление установкой обновлений и регулярные проверки на наличие уязвимостей

Эта проблема не требует сложных решений: ИТ-служба должна располагать данными о том, какие программы установлены на каждом узле сети, какие версии ПО используются и необходимо ли обновление. Средство централизованного управления Kaspersky Security Center использует специальные базы уязвимостей ПО и предоставляет отчеты с рекомендациями по устранению конкретных проблем.

Проблема №5: Вредоносные программы

Рассмотренные выше проблемы в основном были связаны с человеческим фактором, уязвимостями ПО и одновременным использованием в сети антивирусных решений разных производителей. Однако вредоносное ПО как таковое представляет для компаний наиболее серьезную угрозу. Принимая в расчет увеличение количества внешних устройств и путей доступа к корпоративным данным, необходима защита от зловредных программ на уровне узлов сети. Ежедневно появляется более 70 000 новых образов вредоносного кода, а для потери важных данных или нарушения непрерывности бизнеса достаточно всего одного из них.

Решение: Комплексное антивирусное решение на базе передовых технологий

Эффективное решение для обеспечения ИT-безопасности корпоративной сети имеет несколько уровней защиты от внешних и внутренних угроз, сетевых атак и т. д. Антивирусный модуль должен работать таким же образом, используя различные технологии для защиты узлов корпоративной сети – как традиционные методы (например, сигнатурные базы), так и новые технологии (например, облачную защиту). Облачные технологии позволяют защитить рабочую станцию даже от новых, ранее не известных угроз, обеспечивая намного более оперативную реакцию по сравнению с традиционными методами защиты. Среди других важных технологий – отмена действий, совершенных вредоносной программой в системе, контроль доступа программ к конфиденциальным данным и блокирование несанкционированных попыток доступа к ним.

Подведем итоги 

Итак, определим основные требования к корпоративным защитным системам. Во-первых, это решение должно обеспечивать оптимальный уровень защиты узлов сети от вредоносных программ. Во-вторых, оно должно реализовать эффективное применение корпоративной политики безопасности и, притом, позволять регулировать веб-активность сотрудников, запуск ими программ и использование внешних устройств. Это ключевое требование наряду с защитой от вредоносного ПО. В-третьих, решение должно быть простым в установке и настройке (что особенно важно для небольших компаний), а также гибко настраиваемым, так как со временем потребности бизнеса могут меняться. Кроме того, с его помощью ИТ-служба имеет возможность осуществлять мониторинг уязвимостей приложений. И наконец, решение должно представлять собой интегрированную и масштабируемую систему обеспечения ИT-безопасности, где все пользовательские устройства (включая смартфоны и планшетные ПК), а также файловые и почтовые серверы защищены в равной степени, независимо от установленного на них ПО и аппаратных платформ.

Комментарии:

НОВЫЕ СТАТЬИ