Внутрисетевые системы контроля и управления доступом: задачи, функции и программные решения

В настоящее время информация является ключевой социальной ценностью в XXI веке. Большинство частных лиц, организаций и государственных структур активно ведут кибервойны, которые направлены на разрушение главных ценностей своих конкурентов - информационных систем. Одним из главных вызовов ИТ-сферы является вопрос внутренней безопасности. Однако, с помощью ряда логических действий и специальных программных решений, возможно подготовить систему к "обороне". В этой статье мы разберемся, как и зачем использовать эти решения в настоящее время.

Как сохранить безопасность внутри компании в условиях быстроразвивающейся сферы ИТ? На этот вопрос пытается ответить множество специалистов, поскольку информационная безопасность становится все более перспективной и сложной областью. Мировое сообщество проявляет интерес к текущей ситуации в IT-отрасли, где крупные структуры, в том числе торговые сети, банки и объекты энергетической и промышленной инфраструктуры, становятся жертвами многочисленных взломов и киберударов.

На международных и внутригосударственных конференциях и съездах, посвященных теме защиты информации, обостренный интерес к данной области подтверждается регулярно.

Одной из наиболее опасных угроз являются нарушения безопасности информационных систем компаний, создаваемые сотрудниками, имеющим доступ к конфиденциальной информации. Их действия могут быть как случайными, так и преднамеренными. Различные источники именуют внутренних нарушителей IT-безопасности по-разному, но все же можно выделить три основных типа: халатные, обиженные и манипулируемые, или внедренные.

Халатные работники, действующие незлонамеренно, могут нарушать правила хранения конфиденциальной информации из-за своей неосторожности, например, взяв работу на дом или в командировку, и потеряв при этом съемный диск. Несмотря на то, что это «безобидное» нарушение, ущерб от него может быть серьезным. Примером таких последствий может служить утечка личных данных 50 миллионов клиентов и семи миллионов таксистов компании Uber в 2016 году, произошедшая из-за небрежности программистов компании. Халатность сотрудников, по данным исследования Ernst&Young, проведенного в 2017-2018 гг., является основной угрозой кибербезопасности во всем мире, с этим согласны 77% респондентов.

Обиженные сотрудники, недовольные оценкой своей деятельности в компании или собственным местом в иерархии организации, часто действуют самостоятельно, пытаясь нанести материальный вред компании. Примером таких нарушений может служить случай с компанией StarNet в Молдавии в 2015 году, когда личные данные 53 тысяч физических и юридических лиц были опубликованы в сети.

Манипулируемые извне являются, возможно, самой опасной категорией нарушителей, имеющих заказчиков и способы обхода внутриорганизационной защиты. Такие сотрудники могут быть завербованными и внедренными в компанию, а иногда действуют под угрозой физических увечий и расправы.

Проводя грамотную политику информационной безопасности, необходимо предусмотреть разграничение прав доступа между специалистами организации. Как отмечает компания Ernst&Young, 89% банков во всем мире включили кибербезопасность в список приоритетов 2018 года. Очевидно, что информационные данные, ценные документы и материалы должны быть под надежной защитой.

Внутрисетевые системы контроля управления доступом являются неотъемлемой частью комплексного уровня ИТ-безопасности любой компании. Однако, не существует идеального и комплексного решения, которое бы на 100% защитило бы компанию от всех возможных угроз – как внутренних, так и внешних.

Несмотря на это, поставщики услуг в сфере ИТ-безопасности предлагают различные варианты, которые позволяют контролировать значительную часть угроз, выполняя ряд задач. Одна из таких задач – блокировка несанкционированного доступа к корпоративной сети. Для ее решения применяют межсетевое экранирование, которое позволяет определить политику безопасности и обеспечить ее соблюдение, используя объемный спектр контекстных данных. Современные системы могут проводить глубокий анализ пакетов, аутентифицировать пользователей и предотвращать вторжения. Корпоративные межсетевые экраны, которые характеризуются масштабируемостью, надежностью и управляемостью, наиболее востребованы крупными компаниями.

Другая задача – исключение нецелевого использования служебной электронной почты. Для ее решения применяют контент-анализ каждого письма. Передовые разработки позволяют анализировать формальное содержимое сообщения, а также вложения, представленные в виде ссылок или текста.

Еще одна проблема, с которой сталкиваются многие компании – это утечка конфиденциальной информации. Для исключения ее возможности, применяются решения, которые позволяют проверять исходящий трафик на содержание такой информации. Но такой подход не решает проблему полностью. Например, возможность разглашения конфиденциальной информации сохраняется в чатах, форумах и почтовых сервисах. Многие работодатели, которые хранят массу персональной информации о клиентах, блокируют соцсети и другие популярные сайты для предотвращения подобных действий.

Для фильтрации web-трафика применяется база данных URL-адресов, классифицированная по темам записей. Каждая запрашиваемая сотрудниками страница отфильтровывается и затем относится к определенной категории: почтовой, порнографической, туристической и другим. В случае необходимости автоматизированная система проводит анализ контента и определяет тематику страницы. Это помогает администратору настроить группам пользователей права на доступ к страницам конкретных категорий.

Согласно исследованию компании InfoWatch, российские организации наиболее беспокоят утечка конфиденциальной информации (98% опрошенных). Остальные угрозы вызывают меньшее беспокойство: 62% опрошенных беспокоятся об искажении информации, 15% - сбои информационных систем из-за халатности сотрудников, 7% - потеря данных, 6% - кража оборудования, а 28% указали на другие проблемы.

В чем заключается работа системы контроля и управления доступом в компании? На самом деле, такие системы представляют собой сочетание физической и сетевой охраны. К физической охране относятся различные замки, системы биометрической идентификации, а также наличие охранников, которые контролируют доступ в здание и фиксируют время входа и выхода сотрудников.

С другой стороны, информационные системы также требуют подобной защиты. Безопасность здесь обеспечивают логины и пароли, администраторы и специальные программные продукты.

Для компаний с развитой сетевой инфраструктурой стандартных средств информационной безопасности мало. Для решения этой проблемы созданы программные продукты, известные как "системы управления доступом к сети" (Network Access Control). Они позволяют проводить контроль доступа к сети, аутентифицируя пользователей и подключаемые устройства, а также убеждаться в соответствии технических устройств политике безопасности.

Кроме того, NAC осуществляет инвентаризацию сетевых приложений и устройств корпоративной сети, а также ограничивает доступ гостей к ресурсам.

Что касается конкретно контроля доступа в сеть, его осуществляют благодаря распознаванию нового MAC- и IP-адреса. Сервер принятия решений проводит проверку каждого устройства на безопасность, после чего новое устройство получает доступ к сети, который может быть полным или ограниченным.

Существует также простой способ использования NAC, который заключается в запрете доступа устройств, не соответствующих политике ИТ-безопасности компании. В этом случае условиями доступа в сеть могут быть установленный корпоративный антивирус, регулярные обновления операционной системы и другие параметры. Несоблюдение хотя бы одного из этих правил станет основанием для запрета доступа в сеть.

С помощью виртуальных локальных сетей (VLAN) во многих компаниях выполняется сегментация сетей, что позволяет разделять их по отделам и структурам компании. NAC позволяет подключить сотрудников к соответствующему сегменту VLAN, для чего необходима корпоративная служба каталогов.

Контроль доступа может осуществляться и путем разделения сети на рабочий и карантинный сегменты. В карантинном сегменте располагаются устройства, не соответствующие установленной политике безопасности, а все новые устройства проверяются на соответствие. Если какое-то устройство не удовлетворяет условиям политики безопасности, оно получает доступ только к серверам обновлений, которые приводят его в соответствие с требованиями. Затем оно вновь размещается в рабочем сегменте.

Число сегментов корпоративной сети может быть бесконечным. NAC позволяет предоставлять доступ к определенным ресурсам для различных категорий пользователей, включая сотрудников, гостей, партнеров и других пользователей, принадлежащих к определенным сетевым сегментам.

Наконец, NAC может контролировать и состояние устройств, подключенных дистанционно. Для удаленного доступа к сети проводится проверка компьютера на соответствие политике безопасности, после чего принимается решение.

Существуют системы предотвращения вторжений на уровне хоста, которые обычно сочетаются с решениями на базе сети, включая коммутаторы доступа и специализированные устройства.

Для внедрения любой системы контроля и управления доступом компании нужно определить цели и понимать взаимоотношения между разными отделами, отвечающими за работу сети, серверов и обеспечение безопасности информации. Работа любой системы возможна только после тщательной проработки ее рабочей модели.

Готовые решения в области контроля доступа внутри корпоративных сетей

Возможности программного обеспечения для контроля доступа насчитывают несколько десятков. Компания GFI входит в число лидеров рынка и предоставляет более десяти программных продуктов, ориентированных как на малый и средний бизнес, так и на крупные организации. Разнообразные решения обеспечивают эффективную информационную безопасность сетей.

Программа GFI EndPointSecurity борется с проблемами, связанными с использованием USB-устройств. Данные устройства, по исследованиям консалтинговой компании Gartner, являются одной из наиболее опасных угроз для сетей. ПО GFI EndPointSecurity контролирует действия с любых дисков: медиа-проигрывателей, карт памяти, CD-дисководов, карманных компьютеров, сетевых карт, мобильных телефонов и других устройств. При этом программа блокирует попытки кражи данных путем полного контроля доступа к съемным дискам, предупреждает внедрения вирусов и неавторизованного программного обеспечения, обеспечивает уникальную защиту и полный сетевой контроль.

Компания GFI предлагает своим потенциальным клиентам бесплатную онлайн-демонстрацию программного обеспечения, которая проводится с подключением к серверу с установленной программой. В ходе данной демонстрации специалисты компании демонстрируют все функции ПО, что поможет определиться с выбором системы.

Программный комплекс DeviceLock DLP Suite включает несколько модулей, которые могут быть лицензированы в разных комбинациях в зависимости от задач служб безопасности. Компоненты ПО обеспечивают контекстный контроль каналов сетевых коммуникаций на компьютерах, полный поиск по базам данных теневого копирования и событийного протоколирования, механизмы фильтрации файлов и данных, переданных с или на сменные устройства, по электронной почте и т.д. Программа способна сканировать сетевые ресурсы, обнаруживая файлы с критическим содержимым. Эти и другие функции DeviceLock DLP Suite позволяют управлять контролем доступа в крупных корпоративных сетях.

Утилита Ivanty Device Control создана для контроля доступа пользователей к портам ввода-вывода. Решение предотвратит проникновение вредоносного программного обеспечения в сеть, убережет от утечки конфиденциальных данных, запретит использование неавторизованных съемных устройств.

Еще одной лидирующей программой в области решений по контролю доступа является Zecurion Zlock (Device Control). Она позволяет запретить использование флеш-карт, контролировать применение USB-устройств и мобильных устройств, а также фильтровать контент. Есть возможность блокировки доступа в интернет при нахождении компьютера вне корпоративной сети, что удобно для контроля удаленных сотрудников. Последнее обновление программы включило модуль поведенческого анализа, который автоматически выявляет подозрительную активность пользователей.

Программное обеспечение Symantec Endpoint Protection позиционируется как самое быстрое и эффективное на рынке решений контроля доступа. Данный программный комплекс использует данные крупнейшей в мире гражданской сети анализа угрозю К преимуществам Symantec Endpoint Protection относятся гибкие настройки политики в зависимости от расположения пользователей, один удобный клиент и консоль управления для физических и виртуальных платформ.

Существует множество факторов, которые влияют на формирование цен на системы контроля доступа внутри корпоративной сети. Вендоры учитывают объем предоставляемых услуг и функциональных возможностей ПО, местонахождение центрального офиса производителя, стоимость рабочей силы, а также многие другие субъективные факторы.

Компания GFI предлагает одну из самых доступных по стоимости программ среди современных вендоров - GFI EndPointSecurity. За лицензию на один год, (до 150 устройств), цена начинается от 1300 рублей. В одну лицензию в зависимости от редакции ПО может входить обслуживание от одного до неограниченного числа пользователей. На сайте есть раздел "Расчет стоимости" и "Акции и скидки", чтобы клиенты могли самостоятельно выбрать наиболее подходящий вариант.

Решение DeviceLock будет стоить 2000 рублей при установке на один компьютер, 1900 рублей при инсталляции на 50-199 компьютеров и 1700 рублей на 100 и более компьютеров. Если требуется обслуживание от 1 до 49 компьютеров, то цена составит 2000 рублей.

Цены на программы Ivanty Device Control и Zecurion Zlock (Device Control) рассчитываются индивидуально по запросу покупателей.

По правилу "оптом дешевле", можно приобрести ПО Symantec Endpoint Protection. Если покупка осуществляется на 1 год, то одну лицензию можно приобрести за 1865 рублей, а на 3 года - за 3357 рублей. Таким образом, если вы планируете воспользоваться лицензией более длительное время, то годовое обслуживание обойдется дешевле.

Фото: freepik.com