Фильтр в сети: какие IT-решения защищают данные компаний

Уровень киберугроз для бизнеса растет. Как на них должна реагировать корпоративная IT-инфраструктура?

главный редактор dev.ua

14 мая 2018, 10:30

Фильтр в сети: какие IT-решения защищают данные компаний — фото: u-tad.com

Рост киберугроз добавляет головной боли IT-специалистам и руководителям крупных компаний, задача которых – обеспечивать безопасность данных. В киберзащите организаций и предприятий обнаруживается все больше новых дыр. Через них в руки злоумышленников утекает критически важная информация, а разнообразное зловредное ПО проникает в систему и уничтожает важные файлы, стопорит работу критически важных систем и сервисов.

Смена корпоративного статуса IT

Раньше IT воспринимались многими менеджерами исключительно как вспомогательная услуга для бизнеса. Но из-за значительно возросших в последние несколько лет кибер-рисков нормальная и беспрерывная работа предприятия уже не представляется возможной без наличия современной IT-инфраструктуры и обеспечения ее безопасности. Компаниям приходится внедрять целый комплекс мер, чтобы уберечь свои ценные конфиденциальные данные.

"Каждый компьютер сотрудника в обязательном порядке укомплектован антивирусом со сканером трафика, который, в случае обнаружения подозрительной активности, информирует об этом общую мониторинговую систему. Также мы используем анализаторы сетевого трафика со встроенным файерволом, которые тоже позволяют минимизировать риски в сфере сетевой безопасности", – рассказывает менеджер технической инфраструктуры и клиентских сервисов компании JTI Украина Роман Мамаев.

Каждое письмо для сотрудника этой компании из внешнего источника выделено особым тегом. Так получатель обращает внимание на то, что письмо пришло от адресата вне компании.

У многих крупных компаний начинают появляться даже более продвинутые системы, которые позволяют не нагромождать инфраструктуру и обходиться минимумом софта и железа для гарантированной IT-безопасности. Ведь ее обеспечение ни в коем случае не должно быть излишне сложным.

Сеть как сенсор

Современный подход состоит в том, чтобы превратить уже существующую IT-инфраструктуру предприятия в инструмент по борьбе с киберугрозами. "Зоопарка решений" быть не должно. Новые инструменты позволяют системам самостоятельно, с помощью алгоритмов машинного обучения, обнаруживать угрозы и реагировать на инциденты. Сама корпоративная сеть начинает работать как сенсор", – говорит директор департамента телекоммуникаций компании ИТ-Интегратор Борис Калачев.

В компании ИТ-Интегратор рассказывают, что отечественные крупные предприятия и корпорации все чаще начинают использовать комплекс современных решений, превращающих IT-инфраструктуру в фильтр потенциальных угроз и вирусов. В частности, комплекс решений от компании Cisco.

В него входят:

Cisco StealthWatch. Эта система способна обнаруживать аномальную и зловредную активность в корпоративных сетях. Она пришла на замену стандартным средствам защиты периметра объекта. Вплоть до недавнего времени специалисты по информационной безопасности в компаниях просто отделяли корпоративную сеть от внешнего мира и защищали ее от вторжений.

Грубо говоря, руководствовались теми же базовыми методами, что и при организации физической охраны объекта. Сейчас это можно расценивать только как первый шаг. Ведь старый метод позволяет контролировать только тот трафик, который идет наружу, и тот, который приходит вовнутрь. Что происходит внутри сети, особенно если данные зашифрованы, приходилось порой только догадываться.

Этот компонент может быть дополнен новой технологией Encrypted Traffic Analytics - для того, чтобы заглядывать в самые темные уголки корпоративной сети, которые стандартные средства защиты не способны рассмотреть, если трафик шифруется. А заниматься расшифровкой всего массива данных не очень рационально. На это тратится много времени и ресурсов.

Новое решение позволяет, не расшифровывая трафик, понимать, угрожает ли он безопасности компании. Приватность данных сотрудников без лишнего повода, таким образом, тоже не нарушается.

Еще один компонент, который можно добавить в систему – Cisco Identity Services Engine (ISE). Он отвечает за проактивные действия (реагирование, сдерживание угрозы), контролирует все устройства, которые подключаются к сети: от компьютеров до телефонов и принтеров. Инструмент оценивает, насколько те или иные устройства защищены от вирусов и насколько они безопасны для сети. Потом анализируется профиль поведения каждого устройства. Например, компьютер пользователя Х. В течение недели он использовал такие-то приложения, заходил на такие-то сайты в определенное время.

Это поведение сравнивается с типичным поведением пользователя за длительный период. Сразу можно отследить аномалии. В зависимости от полученных данных для каждого гаджета создается профиль: либо он нормальный, с типичным поведением, либо на него стоит обратить внимание и, возможно, отключить от корпоративной сети – отправить его в карантин, пока идет расследование инцидента.

"Тот же зловред Petya, либо его аналог, с высокой долей вероятности могут быть идентифицированы, так как их действия будут расценены как нетипичное поведение пользователя или сетевая активность. И самое главное – могут быть автоматически заблокированы и переведены в карантинную зону", – говорит инженер-консультант отдела сетевых решений компании ИТ-Интегратор Вячеслав Синьков.

Промышленные компании увидели угрозу

Новый класс систем безопасности отличается от существующих тем, что не приходится устанавливать никакие программы мониторинга (end user behavior analytics) на конечные устройства в сети. Здесь нужно понимать, что последние могут излишне нагружать устройства. Ведь при таком анализе придется использовать ресурсы каждой взятой в отдельности системы.

Такие решения по кибербезопасности от Cisco в Украине применяются в основном в крупных компаниях – около 500 сотрудников и больше. Как отмечают в ИТ-Интеграторе, в данный момент наблюдается бум заказов на такие продукты со стороны промышленных компаний. Особенно в новых промышленных системах, где есть много датчиков, сенсоров и контроллеров. Менеджмент этих компаний часто сталкивается с проблемой: непонятно, какие процессы происходят внутри сети, насколько они могут быть опасны, и что именно является источником угрозы. Похожими проблемами озадачен и менеджмент многих украинских банков.

Проблема стала актуальной после волны атак Black Energy на объекты в энергетическом секторе. Когда у сотен тысяч потребителей электричества в отдельных областях Украины в конце 2016 года в результате атаки в буквальном смысле слова дома пропал свет. Аудит ИТ-систем таких предприятий показал, что они были заражены еще задолго до атаки – за полгода-год. И злоумышленники просто ждали удобного момента, чтобы "повернуть рубильник". То есть не было средств, которые бы позволили обнаружить вирус на стадии проникновения в систему.

Компании из энергетического сектора озадачились, как бороться с такими инцидентами. Купить дорогостоящий софт и железо, но не уметь с ним работать и настраивать – равноценно выброшенным деньгам. Вначале необходимо разобраться с информационными потоками внутри корпоративной сети. Некоторые компании совместно с Cisco уже проходят этот этап.

"Совместно с партнерами ИТ-Интегратор проводит аудиты текущего состояния систем информационной безопасности, разрабатываются эффективные архитектуры и дорожные карты перехода от состояния "как есть", к состоянию "лучших отраслевых рекомендаций", проводятся пилотные внедрения специализированных решений. Иными словами, большинство крупных украинских предприятий сделали только первый шаг на пути к системам безопасности, отвечающим духу времени. Но самое главное, что они его сделали. Ведь первый шаг всегда самый сложный", – утверждает Борис Калачев из ИТ-Интегратор.