IT ManagerБезопасностьУправление ИБ

Новые возможности централизованного контроля

Ольга Мельник | 05.05.2020

Новые возможности централизованного контроля

Защита периметра была и остается одной из важнейших задач информационной безопасности. Облачные приложения, доступ к корпоративным ресурсам с личных устройств, безусловно, размывают традиционный периметр, требуют применения неких дополнительных и специфических инструментов, однако основная часть операций все же по-прежнему выполняется в корпоративных сетях. Интернет-шлюз – ключевая точка контроля входящего и исходящего трафика, где возможно предотвращение атак на самых ранних стадиях и желательно с наименьшими затратами сил и времени ИТ-персонала.

Вопрос о том, нужно ли защищать только рабочие станции или только шлюзы, наилучшим образом решается комплексно: для максимальной защиты желательно и то и другое. Многие серьезные атаки на корпоративные системы начинались с того, что сотрудник случайно вставлял найденную флешку в служебный ПК. Однако массовая защита рабочих станций может создавать довольно много проблем как технического, так и организационного характера. Например, желательно получать сообщения о вирусах в виде единой статистики в отчетах о работе ПО, а не как сообщения на клиентских ПК.

Для централизованного контроля есть и еще одна причина: пользователь не может отключить его, в отличие от защитного ПО на рабочих станциях. Отключение компонентов защитных решений на клиентских ПК самими пользователями в России распространено широко. Каким бы ни было экономным с точки зрения потребления ресурсов решение, без него рабочая станция все же будет функционировать быстрей. Если права доступа пользователей не регламентированы достаточно жестко, риск, что какое-то ПО по своему усмотрению они удалят, остается высоким. С проблемами, вызванными таким поведением, потом будут разбираться сотрудники ИТ-департамента.

Два явления последних лет особенно критичны и влияют на необходимость качественного контроля веб-трафика на уровне прокси-сервера. Это фишинг корпоративного уровня и угрозы «нулевого дня».

Особенность Zero-Day Exploit в том, что ситуация на этом фронте меняется драматически быстро. Совсем необязательно ждать тотальных эпидемий новых зловредов. Хорошая, достаточно опасная и совсем новая уязвимость может быть куплена в Darknet недоброжелателями специально для сведения счетов с кем-либо, в том числе с конкретной компанией. Рынок такого специфического товара уже сложился. Предсказать момент появления подобной угрозы невозможно, поэтому особую важность приобретает регулярность обновлений защитного ПО. Обеспечить ее на интернет-шлюзе значительно проще, чем на всех рабочих станциях, и никакого влияния на бизнес-процессы апдейты не окажут.

Фишинг корпоративного уровня появился уже несколько лет назад, но по-прежнему противостоять ему крайне сложно. Сотрудники бухгалтерии получают совершенно обычное по форме письмо от поставщика с просьбой проверить детали выставленных счетов. Все реквизиты реальны, все обращения по имени-отчеству корректны. Однако к письму прикреплен исполняемый файл, расширение – exe. Шанс, что сотрудники бухгалтерии откроют такое приложение, очень велик. Распространены и фишинговые схемы, когда сотрудникам предлагается ввести корпоративные данные на мошеннических сайтах под различными благовидными предлогами.

Можно и нужно обучать и инструктировать весь персонал, как вести себя в такой ситуации, на что обращать внимание, чего ни в коем случае не делать при малейших подозрениях. Однако культура безопасного поведения в Сети не формируется за пару семинаров. Это задача необходимая, но требует много времени. Будет значительно надежней, если подозрительные письма просто не попадут к адресатам, скорей всего, все же доверчивым, а может быть, еще не обученным, а доступ к опасным сайтам будет закрыт.

Мониторинг доступа в Сеть, контроль использования веб-ресурсов, предотвращение утечки данных, создание возможностей для расследования инцидентов – все эти процедуры давно стали классическими для служб информационной безопасности. Необходимость их доказана и признана, известны впечатляющие кейсы, когда они сработали и когда их не провели надлежащим образом. Можно ли утверждать, что все или хотя бы подавляющее большинство крупных и средних российских компаний включили подобные действия в свои правила и политики безопасности? Что процедуры не только регламентированы, но и постоянно исполняются? Конечно нет.

Традиционный подход «гром не грянет – мужик не перекрестится» по-прежнему имеет высочайший приоритет. Вопрос оценки потенциального ущерба, сравнения его с ценой защиты все еще очень часто беспомощно повисает в воздухе. В условиях, когда все более значительная часть бизнеса тесно связана с работой онлайн, постоянными коммуникациями, пересылкой документов, использованием веб-приложений, пренебрежение контролем входящего и исходящего трафика становится чрезвычайно опасным.

Kaspersky Web Traffic Security

Как ответ на эти вызовы полтора года назад появилось приложение Kaspersky Web Traffic Security, компонент продукта Kaspersky Security для интернет-шлюзов. В январе этого года вышла значительно обновленная версия Kaspersky Web Traffic Security: теперь решение включает и прокси-сервер, и компоненты защиты веб-трафика.

Кроме изначально реализованной базовой функциональности (контроля и защиты HTTP-, HTTPS- и FTP-трафика, проходящего через прокси-сервер), в этой версии появились некоторые весьма любопытные возможности.

Ролевой доступ для администрирования и веб-серфинга и возможность создавать рабочие области для подразделений компании решают многие острые проблемы корпоративной ИБ. Тонкий баланс между удобством работы и защищенностью ресурсов фирмы часто зависит от возможности дифференцированно определять права разных категорий сотрудников.

Уже для компаний среднего размера характерна ситуация, когда сотрудникам одного подразделения, например маркетинга, для работы нужен доступ к определенным веб-ресурсам, а сотрудникам всех остальных подразделений он не только не нужен, но и просто вреден. Соцсети – типичный пример. В идеале нужно иметь возможность настраивать доступ в соответствии с индивидуальными требованиями и ограничениями, иначе сотрудники замучают администраторов просьбами сделать для них исключение из правил.

Такая дифференциация теперь появилась в Kaspersky Web Traffic Security. База адресов содержит более 150 миллионов записей, разбитых более чем на 70 категорий. Специально созданные категории позволяют использовать решение даже в учебных заведениях, так как включают полные списки нежелательных сайтов.

Еще одно нововведение связано с глобальным облачным трендом. Изначально Kaspersky Web Traffic Security позиционировался как утилита, интегрированная с развернутым прокси-сервером. Новая версия допускает и совершенно иной вариант. Продукт может быть применен непосредственно как интернет-шлюз с системой защиты. Его можно установить на голое «железо» или же развернуть как виртуальный сервер. Выбор всегда лучше, чем его отсутствие, и возможность виртуализации часто бывает неоценимой. Кроме того, подобная гибкость позволяет сокращать затраты на внедрение и поддержку системы защиты веб-трафика.

Интеграция пакета с Kaspersky Security Network обеспечивает репутационную фильтрацию: обнаружение нежелательных файлов и URL-адресов на основе данных из этой глобальной облачной сети или ее локальной версии Kaspersky Private Security Network (KPSN). Kaspersky Web Traffic Security также соответствует требованиями Общеевропейского регламента о персональных данных (General Data Protection Regulation, GDPR).

Другим важным нововведением является интеграция с платформой для противодействия целевым атакам Kaspersky Anti Targeted Attack (КАТА) на уровне песочницы. Интеграция с КАТА предоставляет дополнительные данные для углубленного анализа продвинутых угроз и позволяет автоматически блокировать компоненты атак и действия интернет-злоумышленников.

В решении также есть мониторинг, который позволяет постоянно отслеживать изменения состояния работы программы, сетевого трафика, количества проверенных и обнаруженных объектов, последних и часто встречающихся угроз, заблокированных пользователей и URL-адресов. Все это открывает возможности для качественного и эффективного расследования инцидентов. 

*    *   *

Лет 20 назад доступ к Интернету непосредственно для исполнения служебных обязанностей был нужен относительно небольшому числу сотрудников. Теперь ситуация изменилась кардинально: число тех, кому на самом деле нужен Интернет для работы, а не для развлечения на рабочем месте, стремительно растет. Но это не значит, что людям меньше хочется развлечений или они вдруг стали очень осторожными. Минимизировать риски такого рода действенно помогает контроль веб-трафика.

кибербезопасность

Горячие темы: Аксиомы кибербезопасности

Журнал: Журнал IT-Manager [№ 04/2020], Подписка на журналы

Kaspersky lab | Лаборатория Касперского


Поделиться:

ВКонтакт Facebook Google Plus Одноклассники Twitter Livejournal Liveinternet Mail.Ru

Также по теме

Другие материалы рубрики

Мысли вслух

Слишком сложно добросовестному поставщику строить базу для предоставления конкретных услуг конкретному клиенту. Слишком просто заказчику выйти из отношений. Поэтому процветают только стандартные простые услуги.
Иван Козлов :: 14.07.2020
Можно ли, поняв, что половина информации не доходит до серого вещества, отсеиваемая «вратами сортировки», что-нибудь с этим сделать?
Уже довольно многие согласны с тем, что в крупных организациях необходимо создавать т. н. «службы заказчика», предоставляющие аутсорсинг ИТ-услуг.

Компании сообщают

Мероприятия