Защита корпоративной информации становится сегодня все более актуальной задачей. Увеличивается количество потенциальных угроз для информационной безопасности компаний, растет сложность методов борьбы с ними. Задача защитить предприятие от опасности извне ложится на плечи ИТ-службы.

По данным исследования аналитического центра компании Perimetrix, наибольшие опасения у компаний вызывают инсайдеры: в 76% случаев главной угрозой называли их. Халатность служащих на втором месте — 67%. И лишь потом идут вирусы (59%), хакеры (47%) и спам (46%).

«Объяснения этому достаточно простые, — говорит руководитель аналитического центра Perimetrix Владимир Ульянов. — Прежде всего, внешние угрозы достаточно хорошо изучены. Работники ИТ и ИБ-подразделений имеют богатый опыт и способны успешно отражать атаки извне. Внутренние же нарушители — дело относительно новое. И самостоятельно, без привлечения экспертов со стороны, решить проблему мало кому удается. Кроме того, следует учесть, что обычно ущерб от утечек значительно превосходит убытки, причиненные внешними угрозами».

В числе главных подозреваемых — сотрудники и гости предприятия, а также представители организаций-партнеров, которые имеют доступ к корпоративной сети предприятия. «Сегодня очень велики риски утечки конфиденциальной информации путем ее выноса на различных носителях или передачи через сеть (электронную почту, FTP, web и пр.)», — комментирует ведущий инженер отдела систем и методов обеспечения информационной безопасности компании «Микротест» Илья Яблонко. Причинами доступа посторонних к сети компаний, как правило, являются слабая политика аутентификации и авторизации, наличие уязвимых мест в различных элементах сети (рабочих станциях, серверах и т. д.) и неэффективно работающая служба распространения обновлений ПО.

С этими угрозами сегодня бороться труднее всего, и эффективная защита от них встречается нечасто. Самостоятельно службы безопасности и ИТ не смогут справиться с этой проблемой — необходима поддержка руководства, которому нужно понимать важность проблем ИБ. По словам Ильи Яблонко, прежде всего необходимо разработать концепцию и политику ИБ и следить за тем, чтобы различные регламенты и положения использовались эффективно. Нужно также проводить независимые аудиты ИБ, тщательно анализировать их результаты и самое главное — следовать рекомендациям аудиторов.

Технические средства, направленные на борьбу с инсайдерами, как правило, повышают уровень защищенности сети предприятия в целом.

«К сожалению, большинство применяемых сегодня решений — «вчерашний день«, — констатирует Владимир Ульянов. — В основе таких продуктов лежит морфологический анализ — информация, покидающая периметр компании, проверяется на совпадение со списком слов, указывающих на конфиденциальное содержание. Однако эффективность подобных решений даже в самом лучшем случае не превысит 80%. Утечки все равно будут продолжаться. Кроме того, никак не защищены рабочие станции. Ведь не обязательно злоумышленник будет пересылать секреты по почте, он может воспользоваться обычной флэшкой».

Сегодня в разработке находятся решения, призванные устранить существующие недостатки известных способов защиты от внутренних угроз. «Одна из передовых концепций — это SDL (Secret Documents Lifecycle), позволяющая защитить конфиденциальные документы на любом этапе, с момента создания до удаления», — делится информацией Владимир Ульянов.

Аналитики Perimetrix прогнозируют рост спроса именно на комплексные решения по защите от внутренних угроз. «Разумеется, некоторые клиенты могут ограничиться, например, зашифрованным хранилищем конфиденциальных документов с возможностью построения аналитических отчетов о доступе к данным. Но это будут лишь исключения. Крупные компании, которые заботятся о безопасности, предпочтут полностью перекрыть пути утечек», — прогнозирует Владимир Ульянов.

Внешние угрозы для информационной безопасности предприятия неразрывно связаны с внутренними и, как правило, используют некомпетентность сотрудников на местах, большинство из которых совершенно не образованны в плане информационной безопасности. В результате становятся возможными заражение локальных компьютеров троянскими программами (дистанционный контроль компьютера злоумышленниками), неосознанная передача конфиденциальных данных через подставные веб-сервисы (фишинг) и многое другое.

Чтобы обезопасить предприятие от таких угроз, необходимо обеспечить эффективную защиту периметра сети с использованием не только межсетевых экранов, но и систем обнаружения атак и несанкционированной активности (IDS/IPS), а также систем контроля контента, считает Илья Яблонко.

Дополнительно не помешает защитить сеть на уровне рабочих станций и серверов. Классические антивирусные решения, системы предотвращения атак и несанкционированной активности на уровне хоста, системы контроля внешних носителей (как правило, флеш-карт) помогают решить эти проблемы.

По статистике, решения по антивирусной защите получают наибольшее распространение. «Но нельзя сказать, что отсутствует понимание того, что защита должна быть всесторонней. В том числе нельзя забывать и о профилактических мерах, способных предотвратить потерю или искажение данных, а именно — резервном сохранении информации», — полагает ведущий технический специалист Symantec в России и странах СНГ Рамиль Яфизов.

Еще одной весьма грозной опасностью являются распределенные атаки класса «отказ в обслуживании» (DDoS). Суть явления — в «бомбардировке» сервера или рабочей станции запросами с разных машин. В результате возникает перегрузка, что в лучшем случае приводит к затруднению работы системы, в худшем — к ее остановке. «Сеть компании может оказаться как плацдармом для запуска DDoS-атаки на другие сети (ваши компьютеры заражаются программами-ботами, с помощью которых злоумышленники запускают DDoS-атаки на удаленные ресурсы), так и жертвой DDoS-атаки», — комментирует Илья Яблонко.

Для борьбы с DDoS-атаками существуют специализированные дорогостоящие решения, такие как Cisco Guard, которые предназначены для использования операторами связи. Использование систем защиты от DDoS непосредственно предприятиями нецелесообразно, так как при DDoS-атаках обычно в первую очередь «засоряется» канал от оператора к заказчику, и любые системы защиты от DDoS на стороне заказчика становятся неэффективными.

Комплексные средства ИБ в Сибири сегодня востребованы слабо. Но рост спроса и заинтересованности заказчиков есть, и это радует местных интеграторов. «В настоящее время заказчиков интересуют в основном классические решения по защите периметра сетей с использованием межсетевых экранов, решения по построению VPN (в том числе на базе сертифицированных по требованиям ФСБ России VPN-серверов), а также антивирусная защита серверов и рабочих станций», — комментирует Ульянов.

«Спрос на средства ИБ в Сибири не превышает средний по России. Местный рынок находится на стадии развития и обладает большим потенциалом. Мы ожидаем его будущего роста, связанного как с интересом со стороны сибирских заказчиков, так и с большей работой в регионах по информированию об угрозах и мерах защиты и противодействия», — резюмирует Владимир Ульянов.

Специалисты Symantec выделили основные внешние угрозы, которым может подвергнуться сеть любого предприятия:

— бот (позволяет дистанционно контролировать компьютер, заражая его и устанавливая связь с центральным сервером или серверами);

— отказ в обслуживании (DDoS) (эти атаки нарушают работу системы и/или сети или препятствуют доступу к информации);

— шпионское и рекламное ПО (программное обеспечение, которое непрерывно запускает рекламу или активно шпионит за действиями пользователя в онлайне);

— вредоносный код (инструкции или код, специально предназначенные для причинения ущерба компьютерным файлам и/или системам);

— спам (любое сообщение e-mail, полученное из неизвестного источника без явного запроса);

— фишинг (попытка заставить пользователя поверить, что он получил подлинное сообщение e-mail из солидной организации);

— уязвимость (слабое звено в системе, которое позволяет злоумышленнику или вредоносной программе получить доступ к данным этой системы);

— дезориентирующие программы (программы, которые сообщают ложные сведения о состоянии компьютера, информируя пользователя об угрозах, обычно не существующих или фиктивных).