Новые возможности централизованного контроля
Защита периметра была и остается одной из важнейших задач информационной безопасности. Облачные приложения, доступ к корпоративным ресурсам с личных устройств, безусловно, размывают традиционный периметр, требуют применения неких дополнительных и специфических инструментов, однако основная часть операций все же по-прежнему выполняется в корпоративных сетях. Интернет-шлюз – ключевая точка контроля входящего и исходящего трафика, где возможно предотвращение атак на самых ранних стадиях и желательно с наименьшими затратами сил и времени ИТ-персонала.
Вопрос о том, нужно ли защищать только рабочие станции или только шлюзы, наилучшим образом решается комплексно: для максимальной защиты желательно и то и другое. Многие серьезные атаки на корпоративные системы начинались с того, что сотрудник случайно вставлял найденную флешку в служебный ПК. Однако массовая защита рабочих станций может создавать довольно много проблем как технического, так и организационного характера. Например, желательно получать сообщения о вирусах в виде единой статистики в отчетах о работе ПО, а не как сообщения на клиентских ПК.
Для централизованного контроля есть и еще одна причина: пользователь не может отключить его, в отличие от защитного ПО на рабочих станциях. Отключение компонентов защитных решений на клиентских ПК самими пользователями в России распространено широко. Каким бы ни было экономным с точки зрения потребления ресурсов решение, без него рабочая станция все же будет функционировать быстрей. Если права доступа пользователей не регламентированы достаточно жестко, риск, что какое-то ПО по своему усмотрению они удалят, остается высоким. С проблемами, вызванными таким поведением, потом будут разбираться сотрудники ИТ-департамента.
Два явления последних лет особенно критичны и влияют на необходимость качественного контроля веб-трафика на уровне прокси-сервера. Это фишинг корпоративного уровня и угрозы «нулевого дня».
Особенность Zero-Day Exploit в том, что ситуация на этом фронте меняется драматически быстро. Совсем необязательно ждать тотальных эпидемий новых зловредов. Хорошая, достаточно опасная и совсем новая уязвимость может быть куплена в Darknet недоброжелателями специально для сведения счетов с кем-либо, в том числе с конкретной компанией. Рынок такого специфического товара уже сложился. Предсказать момент появления подобной угрозы невозможно, поэтому особую важность приобретает регулярность обновлений защитного ПО. Обеспечить ее на интернет-шлюзе значительно проще, чем на всех рабочих станциях, и никакого влияния на бизнес-процессы апдейты не окажут.
Фишинг корпоративного уровня появился уже несколько лет назад, но по-прежнему противостоять ему крайне сложно. Сотрудники бухгалтерии получают совершенно обычное по форме письмо от поставщика с просьбой проверить детали выставленных счетов. Все реквизиты реальны, все обращения по имени-отчеству корректны. Однако к письму прикреплен исполняемый файл, расширение – exe. Шанс, что сотрудники бухгалтерии откроют такое приложение, очень велик. Распространены и фишинговые схемы, когда сотрудникам предлагается ввести корпоративные данные на мошеннических сайтах под различными благовидными предлогами.
Можно и нужно обучать и инструктировать весь персонал, как вести себя в такой ситуации, на что обращать внимание, чего ни в коем случае не делать при малейших подозрениях. Однако культура безопасного поведения в Сети не формируется за пару семинаров. Это задача необходимая, но требует много времени. Будет значительно надежней, если подозрительные письма просто не попадут к адресатам, скорей всего, все же доверчивым, а может быть, еще не обученным, а доступ к опасным сайтам будет закрыт.
Мониторинг доступа в Сеть, контроль использования веб-ресурсов, предотвращение утечки данных, создание возможностей для расследования инцидентов – все эти процедуры давно стали классическими для служб информационной безопасности. Необходимость их доказана и признана, известны впечатляющие кейсы, когда они сработали и когда их не провели надлежащим образом. Можно ли утверждать, что все или хотя бы подавляющее большинство крупных и средних российских компаний включили подобные действия в свои правила и политики безопасности? Что процедуры не только регламентированы, но и постоянно исполняются? Конечно нет.
Традиционный подход «гром не грянет – мужик не перекрестится» по-прежнему имеет высочайший приоритет. Вопрос оценки потенциального ущерба, сравнения его с ценой защиты все еще очень часто беспомощно повисает в воздухе. В условиях, когда все более значительная часть бизнеса тесно связана с работой онлайн, постоянными коммуникациями, пересылкой документов, использованием веб-приложений, пренебрежение контролем входящего и исходящего трафика становится чрезвычайно опасным.
Kaspersky Web Traffic Security
Как ответ на эти вызовы полтора года назад появилось приложение Kaspersky Web Traffic Security, компонент продукта Kaspersky Security для интернет-шлюзов. В январе этого года вышла значительно обновленная версия Kaspersky Web Traffic Security: теперь решение включает и прокси-сервер, и компоненты защиты веб-трафика.
Кроме изначально реализованной базовой функциональности (контроля и защиты HTTP-, HTTPS- и FTP-трафика, проходящего через прокси-сервер), в этой версии появились некоторые весьма любопытные возможности.
Ролевой доступ для администрирования и веб-серфинга и возможность создавать рабочие области для подразделений компании решают многие острые проблемы корпоративной ИБ. Тонкий баланс между удобством работы и защищенностью ресурсов фирмы часто зависит от возможности дифференцированно определять права разных категорий сотрудников.
Уже для компаний среднего размера характерна ситуация, когда сотрудникам одного подразделения, например маркетинга, для работы нужен доступ к определенным веб-ресурсам, а сотрудникам всех остальных подразделений он не только не нужен, но и просто вреден. Соцсети – типичный пример. В идеале нужно иметь возможность настраивать доступ в соответствии с индивидуальными требованиями и ограничениями, иначе сотрудники замучают администраторов просьбами сделать для них исключение из правил.
Такая дифференциация теперь появилась в Kaspersky Web Traffic Security. База адресов содержит более 150 миллионов записей, разбитых более чем на 70 категорий. Специально созданные категории позволяют использовать решение даже в учебных заведениях, так как включают полные списки нежелательных сайтов.
Еще одно нововведение связано с глобальным облачным трендом. Изначально Kaspersky Web Traffic Security позиционировался как утилита, интегрированная с развернутым прокси-сервером. Новая версия допускает и совершенно иной вариант. Продукт может быть применен непосредственно как интернет-шлюз с системой защиты. Его можно установить на голое «железо» или же развернуть как виртуальный сервер. Выбор всегда лучше, чем его отсутствие, и возможность виртуализации часто бывает неоценимой. Кроме того, подобная гибкость позволяет сокращать затраты на внедрение и поддержку системы защиты веб-трафика.
Интеграция пакета с Kaspersky Security Network обеспечивает репутационную фильтрацию: обнаружение нежелательных файлов и URL-адресов на основе данных из этой глобальной облачной сети или ее локальной версии Kaspersky Private Security Network (KPSN). Kaspersky Web Traffic Security также соответствует требованиями Общеевропейского регламента о персональных данных (General Data Protection Regulation, GDPR).
Другим важным нововведением является интеграция с платформой для противодействия целевым атакам Kaspersky Anti Targeted Attack (КАТА) на уровне песочницы. Интеграция с КАТА предоставляет дополнительные данные для углубленного анализа продвинутых угроз и позволяет автоматически блокировать компоненты атак и действия интернет-злоумышленников.
В решении также есть мониторинг, который позволяет постоянно отслеживать изменения состояния работы программы, сетевого трафика, количества проверенных и обнаруженных объектов, последних и часто встречающихся угроз, заблокированных пользователей и URL-адресов. Все это открывает возможности для качественного и эффективного расследования инцидентов.
* * *
Лет 20 назад доступ к Интернету непосредственно для исполнения служебных обязанностей был нужен относительно небольшому числу сотрудников. Теперь ситуация изменилась кардинально: число тех, кому на самом деле нужен Интернет для работы, а не для развлечения на рабочем месте, стремительно растет. Но это не значит, что людям меньше хочется развлечений или они вдруг стали очень осторожными. Минимизировать риски такого рода действенно помогает контроль веб-трафика.
Опубликовано 05.05.2020