В банковской сети – всё под контролем
Корпоративную сеть можно назвать ключевым элементом и кровеносной системой современного предприятия. Любой сбой, связанный с работой сетевой инфраструктуры, в итоге ведет к ухудшению качества обслуживания клиентов, снижению доступности информационных систем, финансовым и репутационным потерям для бизнеса. Как любой живой организм, сеть нуждается в постоянном наблюдении и контроле «здоровья» и работоспособности. Для решения этой задачи используются инструменты защиты и мониторинга.
Они анализируют сетевой трафик и своевременно выявляют проблемы, связанные с перегрузкой устройств и каналов, несанкционированными вторжениями и кибератаками, необычным поведением систем и «железа», которое также может быть обусловлено действиями вредоносного ПО и злоумышленников. Наконец, сетевой мониторинг позволяет вовремя обнаружить и устранить последствия сбоя того или иного оборудования. Поэтому создание и поддержка стабильной и работоспособной сети – это общая задача не только ИТ-, но и ИБ-специалистов любого предприятия.
Бизнес растет и развивается. Соответственно возрастает и нагрузка на корпоративную сеть. Наличие самого современного оборудования не решит всех проблем. Необходимы инструменты сетевого мониторинга. К счастью, многие заказчики это понимают. В нашу компанию TS Solution обратился Анатолий Скородумов, начальник управления ИБ Банка «Санкт-Петербург». Перед заказчиком стояли следующие проблемы. Во-первых, отсутствовали решения для подробного анализа трафика внутри сегментов корпоративной сети. Во-вторых, существовала необходимость организовать хранение статистики передаваемых данных. Это было нужно, в том числе и для расследования ИБ-инцидентов. Требовались средства контроля внутрисетевого трафика, облегчающие обнаружение угроз информационной безопасности. Еще одна немаловажная задача касалась мониторинга действий пользователей в сети, включая контроль приложений и сервисов. Но нельзя забывать и о специфике бизнеса заказчика. Компании финансового сектора предъявляют особые требования к надежности и безопасности ИТ-инфраструктуры, поэтому первостепенные требования были следующие:
· Решение должно использовать существующее мультивендорное сетевое оборудование в качестве источника информации о данных, передаваемых в сети.
· Статистика данных мониторинга должна храниться в системе на протяжении как минимум одного месяца с целью построения типового профиля сети и использования этих данных для выявления аномалий в автоматическом режиме.
Поиск решения
В результате исследования рынка, специфики заказчика и особенностей поставленных задач, был сделан выбор в пользу продуктов компании Flowmon Networks. Это известный европейский вендор, фигурирующий в аналитических отчетах Gartner. Штаб-квартира Flowmon Networks расположена в Чехии. Компания предоставляет своим заказчикам комплексную платформу для мониторинга сетевого трафика, предназначенную для обеспечения безопасной работы крупных информационных систем и предотвращения атак на информационные ресурсы организации. У специалистов TS Solution уже был успешный опыт внедрения продуктов Flowmon Networks в российских компаниях, поэтому мы решили развернуть пилотный проект в Банке «Санкт-Петербург». По результатам проекта были реализованы все поставленные задачи, при этом решения компании Flowmon Networks показались заказчику удобными как для мониторинга сетевой инфраструктуры, так и для предотвращения инцидентов информационной безопасности.
Вместо дней и часов – минуты
Что самое сложное в устранении неполадок при работе сети? Большинство системных администраторов скажет, что труднее всего найти проблемный участок, «слабое звено». Как утверждает Николай Брыков, технический инженер представительства Flowmon Networks в России, СНГ и странах Балтии, основной сложностью в решении любых ИТ и ИБ задач является скорость нахождения проблемного места или сегмента. «Иногда, чтобы решить проблему долгого ответа файлового сервера либо некорректного поведения DNS-сервера, инженер тратит часы или даже дни. Flowmon позволяет сократить это время до считаных минут благодаря удобному интерфейсу, широкому спектру доступной сетевой статистики, очень гибко настраиваемой системе вывода информации, а также возможности хранить данные телеметрии в длительной ретроспективе. Это преимущество сыграло решающую роль в реализации проекта», – рассказывает он.
Мониторинг и проактивная защита
Какая функциональность была реализована в ходе проекта? В первую очередь заказчик получил возможность детального анализа трафика внутри сегментов сети. Здесь за основу была взята ролевая модель предоставления доступа к системе. Она показала себя очень удобной и практичной. Теперь инженеры и другие специалисты из разных департаментов банка и его филиалов получают доступ только к тем данным, которые им необходимы для работы. При этом никакого пересечения с коллегами больше не наблюдается. Сохраняется статистика передаваемых данных: кто, что, когда и куда передавал. Это очень помогает для расследования различных инцидентов, связанных с информационной безопасностью, причем как внешних, так и внутренних. Реализован мониторинг действий в сети каждого пользователя, в том числе и контроль приложений и сервисов. Это помогает предотвращать инсайдерские угрозы, которые в последнее время набирают обороты. Пользователь может «слить» чувствительную для бизнеса информацию в сеть намеренно или по недоразумению. И в том и в другом случае решение от компании Flowmon Networks безагентным способом анализирует его действия и предупреждает о попытке утечки данных. Наконец, внутрисетевой трафик контролируется и с помощью поведенческого анализа. Дело в том, что развитие «Интернета вещей» и корпоративной мобильности, а также широкое распространение модели BYOD приводит к тому, что сигнатурный анализ антивирусами либо IDS (система обнаружения вторжений) не способны выявить новые атаки или атаки, источником которых является объект внутри сети.
Опубликовано 02.09.2020