Внутрисетевые системы контроля и управления доступом: задачи, функции и программные решения
Как сохранить безопасность внутри компании в условиях быстроразвивающейся сферы ИТ? На этот вопрос пытается ответить множество специалистов, поскольку информационная безопасность становится все более перспективной и сложной областью. Мировое сообщество проявляет интерес к текущей ситуации в IT-отрасли, где крупные структуры, в том числе торговые сети, банки и объекты энергетической и промышленной инфраструктуры, становятся жертвами многочисленных взломов и киберударов.
На международных и внутригосударственных конференциях и съездах, посвященных теме защиты информации, обостренный интерес к данной области подтверждается регулярно.
Одной из наиболее опасных угроз являются нарушения безопасности информационных систем компаний, создаваемые сотрудниками, имеющим доступ к конфиденциальной информации. Их действия могут быть как случайными, так и преднамеренными. Различные источники именуют внутренних нарушителей IT-безопасности по-разному, но все же можно выделить три основных типа: халатные, обиженные и манипулируемые, или внедренные.
Халатные работники, действующие незлонамеренно, могут нарушать правила хранения конфиденциальной информации из-за своей неосторожности, например, взяв работу на дом или в командировку, и потеряв при этом съемный диск. Несмотря на то, что это «безобидное» нарушение, ущерб от него может быть серьезным. Примером таких последствий может служить утечка личных данных 50 миллионов клиентов и семи миллионов таксистов компании Uber в 2016 году, произошедшая из-за небрежности программистов компании. Халатность сотрудников, по данным исследования Ernst&Young, проведенного в 2017-2018 гг., является основной угрозой кибербезопасности во всем мире, с этим согласны 77% респондентов.
Обиженные сотрудники, недовольные оценкой своей деятельности в компании или собственным местом в иерархии организации, часто действуют самостоятельно, пытаясь нанести материальный вред компании. Примером таких нарушений может служить случай с компанией StarNet в Молдавии в 2015 году, когда личные данные 53 тысяч физических и юридических лиц были опубликованы в сети.
Манипулируемые извне являются, возможно, самой опасной категорией нарушителей, имеющих заказчиков и способы обхода внутриорганизационной защиты. Такие сотрудники могут быть завербованными и внедренными в компанию, а иногда действуют под угрозой физических увечий и расправы.
Проводя грамотную политику информационной безопасности, необходимо предусмотреть разграничение прав доступа между специалистами организации. Как отмечает компания Ernst&Young, 89% банков во всем мире включили кибербезопасность в список приоритетов 2018 года. Очевидно, что информационные данные, ценные документы и материалы должны быть под надежной защитой.
Внутрисетевые системы контроля управления доступом являются неотъемлемой частью стратегии информационной безопасности компании. Хотя комплексное решение, способное на 100% защитить компанию от воздействия внутренних и внешних угроз, не существует, сегодня поставщики услуг в сфере ИТ-безопасности предлагают разные варианты, которые позволяют контролировать значительную часть угроз, выполняя ряд задач.
Первая и наиболее очевидная задача - блокировка несанкционированного доступа к корпоративной сети, которая решается с помощью межсетевого экранирования. Это позволяет определять политику безопасности с использованием объемного спектра контекстных данных и обеспечивать ее соблюдение. Безопасность контролируется посредством инновационных разработок последних лет, которые позволяют глубоко анализировать трафик и настроить политику безопасности. Современные системы позволяют проводить глубокий анализ пакетов, проводить аутентификацию пользователей и предотвращать вторжения (IPS, intrusion prevention system). Корпоративные межсетевые экраны, в которых нуждаются крупные компании, характеризуются масштабируемостью, надежностью и управляемостью.
Другая задача - исключение нецелевого использования служебной электронной почты путем проведения контент-анализа каждого письма. Для этого используются передовые разработки, которые позволяют анализировать не только формальное содержимое сообщения, но и вложения, которые могут быть как графическими, так и текстовыми, а также представленными в виде ссылки.
Важной задачей является исключение возможности нецелевого использования информационных ресурсов, которую решают с помощью применения средств против утечки конфиденциальных данных. Ряд программных продуктов позволяют проверять исходящий трафик на содержание в нем конфиденциальной информации. Тем не менее, проблема разглашения конфиденциальной информации сохраняется в чатах и других соцсетях, где данные остаются незащищенными.
Фильтрация web-трафика осуществляется за счет базы данных URL-адресов, классифицированных по темам записей. Автоматизированная система анализирует каждую запрашиваемую сотрудниками страницу и относит ее к определенной категории, такой как почтовая, порнографическая, туристическая и другие. Это позволяет администратору настроить группам пользователей права на доступ к страницам конкретных категорий.
Согласно исследованию компании InfoWatch, российские организации наиболее озабочены утечкой конфиденциальной информации (98% опрошенных). Другие опасности, которые волнуют организации значительно меньше, такие как искажение информации (62% опрошенных), сбои информационных систем из-за халатности сотрудников (15% опрошенных), потеря данных (7% опрошенных), кража оборудования (6% опрошенных) и другие проблемы (28% опрошенных).
Что такое система контроля и управления доступом?
Система контроля и управления доступом – это программно-аппаратный комплекс, который обеспечивает охрану объектов путем физической или сетевой охраны. Физическая охрана включает установку замков, наличие охранников, систем биометрической идентификации и другие подобные меры безопасности. Сетевая охрана включает использование логинов, паролей, администраторов и специальных программных продуктов.
Для организаций с развитой сетевой инфраструктурой стандартные средства, такие как межсетевые экраны, шлюзы безопасности или Интрасетевые системы предотвращения вторжений (IPS), могут быть недостаточными. Для эффективного управления доступом были созданы программные продукты – системы контроля доступа в сеть (NAC). Эти системы включают такие функции, как аутентификация пользователей, проверка соответствия политике безопасности и инвентаризацию устройств и сетевых приложений.
Контроль доступа в сеть осуществляется с помощью распознавания нового MAC- и IP-адреса. После отправки запрошенных данных от устройства на внутренние серверы, каждый из них принимает решение о степени соответствия устройства. Новое устройство может получить доступ к сети, который может быть полным или ограниченным в зависимости от его соответствия политике безопасности компании.
Программы NAC обеспечивают обновление ОС, антивируса, включение межсетевого экрана и других программных приложений. Для этого они заставляют компьютер выполнить условия политики безопасности.
С помощью NAC выполняется сегментирование сети компании и подключение пользователей к соответствующему сегменту VLAN.
Система контроля доступа может также контролировать устройства, подключенные дистанционно. Во время удаленного подключения к корпоративной сети также действуют политики безопасности, после чего принимается решение о доступе.
Для успешной работы любой системы контроля и управления доступом нужно определиться с ее целями. Необходимо взаимодействие разных отделов, отвечающих за работу сети, серверов и обеспечение информационной безопасности. Внедрение системы возможно только после тщательной проработки ее рабочей модели.
Контроль управления доступом внутри сети является одним из ключевых элементов информационной безопасности. Существует множество программных продуктов, предназначенных для решения этой задачи. Различные решения предназначены для разных типов компаний и организаций.
Компания GFI является одним из лидеров в разработке программных продуктов контроля доступа. Компания предлагает десятки решений, ориентированных на малые и средние бизнесы, а также на крупные корпорации. Одним из продуктов компании GFI является EndPointSecurity, программа, которая борется с угрозами, связанными с использованием USB-устройств. EndPointSecurity позволяет контролировать доступ к различным дискам, блокировать попытки кражи данных и обнаруживать вирусы и другие угрозы.
DeviceLock DLP Suite - это программный комплекс, который предлагает несколько модулей для контроля доступа к сетевым коммуникациям, почте и другим средствам обмена данными. Он позволяет контролировать доступ к сменным устройствам и отслеживать их использование. Утилита Ivanty Device Control создана для контроля доступа пользователей к портам ввода-вывода. Эта утилита предотвращает проникновение вредоносного ПО в сеть, а также утечку конфиденциальных данных.
Zecurion Zlock (Device Control) - еще одно решение, предлагаемое для контроля доступа к сети. Эта программа позволяет блокировать доступ к различным устройствам, таким как флеш-карты, USB-устройства и мобильные устройства. Она также включает модуль для контентной фильтрации и возможность блокировки доступа в интернет при нахождении компьютера вне корпоративной сети.
Symantec Endpoint Protection - это программа, которая позиционируется как самая быстрая и эффективная в своем классе. Она использует данные крупнейшей в мире гражданской сети анализа угроз. Программа предлагает гибкие средства настройки политики в зависимости от характеристик и расположения пользователей, а также единую консоль управления для физических и виртуальных платформ.
Цены на системы контроля доступа внутри корпоративной сети
В данном тексте будет рассмотрена ценовая политика вендоров, предлагающих системы контроля и управления доступом внутри сети. Цена на поставляемое программное обеспечение зависит от многих факторов, включая объем предоставляемых услуг и функционала программ, а также от расположения центрального офиса производителя. Влияют на ценовую политику и популярность программного обеспечения, производителей, а также другие субъективные факторы.
Среди наиболее доступных по стоимости программ современных вендоров стоит отметить GFI EndPointSecurity. Цены на лицензию за один год начинаются от 1 300 рублей для не более чем 150 устройств. В одну лицензию в зависимости от редакции ПО могут быть включены услуги и обслуживание для разного количества пользователей. Клиенты могут воспользоваться калькулятором на сайте производителя, а также узнать о текущих акциях и скидках, чтобы выбрать подходящий вариант.
Стоимость установки решения DeviceLock составляет 2000 рублей на один компьютер. При обслуживании от 1 до 49 компьютеров цена составляет 1900 рублей, на 50–199 компьютеров – 1700 рублей, на 100 и более компьютеров – цена рассчитывается индивидуально.
Цены на программы Ivanty Device Control и Zecurion Zlock (Device Control) также рассчитываются индивидуально по запросам покупателей.
Купить ПО Symantec Endpoint Protection оптом выгоднее. За одну лицензию можно заплатить 1865 рублей (при покупке на 1 год) или 3357 рублей (при покупке на 3 года). Тем самым, если планируется использовать лицензию более года, то годовое обслуживание будет дешевле.
Фото: freepik.com