«Сетевая безопасность» — это широкое понятие, которое описывает защиту доступности, конфиденциальности и целостности всех вычислительных ресурсов от атак и сбоев. Для обеспечения безопасности сети применяются средства защиты от вредоносных программ, межсетевые экраны, системы предотвращения вторжений, технологии предотвращения утечки данных и др.
Для обеспечения безопасности в сеть добавляются специальные средства защиты. Их совершенствовали на протяжении многих лет и будут продолжать улучшать, ведь мы все больше узнаем, как нужно защищать сеть, а злоумышленники постоянно осваивают новые способы атак.
Чтобы применить для защиты самые лучшие средства, необходимо сначала узнать про уязвимости сети и текущий ландшафт угроз. Также важно понять, какие имеются типы защитных средств, чтобы правильно выбрать вендоров, решения и конфигурации для своей сети.
Угрозы — потенциальная возможность нарушить конфиденциальность, доступность и целостность ресурсов. Угрозы могут касаться несанкционированного раскрытия чувствительных данных, несанкционированной модификации информации, а также отказа в обслуживании.
Ландшафт угроз состоит из доступной информации об угрозах, злоумышленниках и векторе угроз, который позволяет осуществить атаку. Злоумышленник — это человек или группировка, которые намереваются причинить ущерб, используя существующие угрозы.
Например, при краже ноутбука злоумышленником является вор. Вектор угрозы — это направление атаки, например, незапертая дверь или ноутбук, не закрепленный на столе.
Угроза может реализоваться только в том случае, если в системе безопасности имеется уязвимость, которую можно эксплуатировать. Уязвимость — это слабое место или недостаток средств защиты, которую злоумышленники могут использовать для нарушения политик безопасности.
Продолжим пояснение на примере ноутбука: небольшой вес и портативность — характеристики, которые привлекают многих покупателей. Но эти же характеристики облегчают его кражу. Средства обеспечения безопасности, такие как запирающиеся двери и тросовые замки, затрудняют действия злоумышленника и снижают вероятность кражи, что уменьшает общий риск.
Конфиденциальность, целостность и доступность — основная триада информационной безопасности (Confidentiality, Integrity, and Availability, CIA), которая определяет цель процесса обеспечения ИБ. В этом процессе задействовано множество стратегий и действий, которые входят в один из трех этапов: предотвращение, обнаружение и реагирование.
Основные элементы этапа предотвращения, которые реализуются с применением точно задокументированной политики:
Обнаружение подразумевает мониторинг и журналирование активности в системе. В случае возникновения компрометации или вредоносной активности системы обнаружения должны уведомить об этом ответственное лицо/лица. Процесс обнаружения имеет смысл только тогда, когда за ним следует своевременное, запланированное реагирование.
Реагирование — это тщательно спланированная коррекция после инцидента, которая включает в себя блокирование текущей атаки, обновление системы с помощью нового пакета исправлений или изменение конфигурации межсетевого экрана.
Важно понимать основные концепции сетевой безопасности. Если вы не имеете представления, что такое уязвимость и кто такие злоумышленники, вы не сумеете правильно выбрать средства защиты от них. Например, вам не придет в голову, что личность пользователя нужно проверить перед тем, как предоставить ему доступ к системе. Чтобы выбрать подходящего вам вендора и решение, нужно иметь основные познания о безопасности.
Контроль доступа — это тип контроля безопасности, с которым знаком практически каждый. Большинству людей приходится пользоваться паролем для входа в систему. Пароль может потребоваться для доступа к сети, приложению или файлу. В среднем у пользователя бывает, как минимум, 10 паролей.
Контроль доступа выполняется в четыре этапа: идентификация, аутентификация, авторизация и учет (IAAA). Идентификация — процесс распознавания пользователя по его уникальному идентификатору, например по имени пользователя.
Аутентификация — проверка подлинности по учетным данным. Например, система может проверить подлинность пользователя, сравнивая введенный им пароль с учетными данными, хранящимися в БД. Для аутентификации также могут использоваться, например, удостоверение личности или одноразовый пароль. После проверки пользователя системой выполняется авторизация — предоставление разрешения на доступ.
Заключительная часть, учет, предназначена для отслеживания пользователей, получивших права доступа, чтобы выявлять неправомерные действия в системе. Сегодня долговременные пароли — не единственный вариант. Существует другие опции: одноразовые пароли, сгенерированные с помощь аппаратных или программных средств, смарт-карты и биометрические данные. Нужно тщательно выбирать, какой вариант лучше подойдет для каждого сетевого ресурса.
Сегментация сети — это разделение сети на более мелкие, логически обособленные части для того, чтобы добавить между ними защитные средства. В результате повышается уровень производительности и безопасности. Использование виртуальных сетей VLAN — это распространенный метод сегментации сети, как в локальной, так и в облачной инфраструктуре. Когда речь идет об облачных технологиях, используется термин «виртуальное частное облако (VPC)».
Традиционная сеть в физическом дата-центре имела четко очерченный периметр. Он проходил там, где внутренние сети дата-центра соединялись с внешними сетями. В настоящее время понятие периметра размывается, но мы по-прежнему используем для его защиты такие технологии, как:
межсетевые экраны, а также системы обнаружения и предотвращения вторжений Когда вы «выстраиваете» периметр, необходимо решить, какие данные, голосовая и видеоинформация могут проходить через него. В зависимости от типа трафика будут соответствующим образом настраиваться механизмы контроля.
Шифрование обеспечивает конфиденциальность и целостность данных при передаче или хранении. Данные преобразуются в нечитаемую форму с помощью ключа шифрования. Существует два основных типа шифрования — симметричное и асимметричное.
Симметричное шифрование использовали еще древние египтяне. И хотя с тех пор алгоритмы шифрования стали гораздо сложнее, мы применяем ту же концепцию. Например, для обеспечения конфиденциальности сессии интернет-банкинга можно применить симметричное шифрование. Для гарантии подлинности веб-сайта банка можно использовать ассиметричное шифрование, чтобы безопасно обменяться ключами для симметричного шифрования этой сессии.
Хеширование — трансформация произвольного массива данных по определенному алгоритму в строку фиксированной длины, состоящую из случайных символов. Обычно хеш-значение короче исходных данных. Оно служит ключом для обеспечения целостности исходного сообщения или данных.
Алгоритмы хеширования — один из способов проверки целостности данных. Применять их так же просто, как вам прочесть это предложение. Откуда вы знаете, что прочли именно то, что было напечатано? Вдруг предложение изменили случайно или намеренно?
Хеш-функции используются для подтверждения того, что буквы (или биты) не заменили случайно. Если же хеш защищен шифрованием, можно быть уверенным, что текст не изменил злоумышленник. Хеширование широко применяется для безопасного хранения паролей, защиты файлов и обеспечения целостности сообщений.
Основные элементы, которые способствуют обеспечению многоуровневой защиты сети — это люди, операции и технологии. После выявления и оценки уровня рисков в вашей компании, вы можете определить, что потребуется для обеспечения безопасности сети. Сюда входят: тип технологии, которую необходимо использовать для обеспечения безопасности периметра; реагирование на оповещения, которые генерируют межсетевые экраны; обнаружение и предотвращение вторжений, а также журналы событий. Начнем с межсетевых экранов.
Межсетевые экраны (МСЭ) — традиционное защитное средство. Их стали применять для сетей и оконечных систем более 25 лет назад. Одна из основных функций МСЭ — фильтрация трафика. МСЭ пропускает или блокирует конкретный трафик. Одним из первых МСЭ, который отфильтровал нежелательный трафик, был пакетный фильтр.
Вендоры разработали много различных способов анализа и автоматической классификации трафика, что привело к появлению разных вариаций МСЭ, например, первых пакетных фильтров, МСЭ следующего поколения и облачных МСЭ.
В отличие от функции фильтрации пакетов МСЭ, система обнаружения и предотвращения вторжений ведет мониторинг сети на наличие вредоносных действий, регистрирует подозрительные действия и сообщает о них, а также реагирует на инциденты сетевой безопасности и потенциальные угрозы. МСЭ пропускает желательный трафик, а остальной блокирует.
Система обнаружения вторжений (IDS) ищет трафик, которого быть не должно. Она сфокусирована на поиске трафика от злоумышленников. По мере развития технологии кто-то обязательно должен был задаться вопросом: «Если мы знаем, что трафик исходит от хакера, почему мы просто регистрируем его в журнале событий? Почему бы не избавиться от такого трафика сразу после обнаружения?» В результате развития технологий появились системы предотвращения вторжений (IPS).
Система IPS создана для действий. Когда она понимает, что проходящий трафик исходит от злоумышленника, она уничтожает этот трафик. В идеале это отличный план. Но на деле эти системы сложно правильно настроить. При неверной настройке они даже могут действовать наоборот: пропускать вредоносный трафик и отсекать нормальный. Поэтому большинство компаний останавливаются на системе обнаружения вторжений и журналировании, а также полагаются на систему управления событиями безопасности (SIEM) и команду реагирования на инциденты.
Виртуальная частная сеть (VPN) защищает конфиденциальность данных, проходящих по вашей сети. В основном это достигается с помощью шифрования, хотя также используется аутентификация. Существует три варианта VPN-шифрования, особенно для приложений, которые пользователи используют в своих ноутбуках или телефонах для удаленного подключения к офису. Это IPSec, SSL/TLS и SSH. Эти протоколы также находят и другое применение.
IPSec — это набор протоколов шифрования, который подходит практически для любого сценария, поскольку он реализуется на 3-м уровне модели OSI («Взаимосвязь открытых систем»), принятой в качестве стандарта ISO/IEC 7498. 3 уровень — это сетевой уровень, по которому данные, голосовая и видеоинформация передаются в нужное место назначения в сети. Таким образом, применение IPSec обеспечит конфиденциальность ваших данных, которые будут доставляться к месту назначения в зашифрованном формате. Кроме VPN-соединений, этот протокол часто применяется для статических соединений «точка-точка» между площадками компании.
Протокол TLS (Transport Layer Security) основан на протоколе SSL (Secure Sockets Layer). Он мог бы называться SSL 4.0, но в 1999 году право собственности на него перешло от компании Netscape к IETF (Internet Engineering Task Force), и он был переименован. TLS предлагает возможность шифрования как для VPN, так и для любого веб-соединения. Это может быть соединение через браузер с банком, Amazon или с любым другим сайтом, перед URL-адресом которого вы видите значок замка, что означает «соединение защищено».
Протокол SSH (Secure SHell, «защищенная оболочка») в первую очередь предназначен для безопасного удаленного доступа к компьютерам. Также его часто используют сетевые администраторы для удаленного управления серверами, маршрутизаторами и коммутаторами. С помощью SSH можно выполнять мониторинг и конфигурирование.
Если у вашей компании есть контент, книги, руководства и т. д., которыми вы хотите поделиться с клиентом, но при этом контролировать их использование, то вам потребуются технические средства защиты авторских прав (ТСЗАП). Программы ТСЗАП знакомы большинству людей, использующих компьютер.
Если вы пользовались стриминговыми сервисами Netflix или Amazon для просмотра фильмов или слушали музыку на Spotify или iTunes, вы сталкивались с ТСЗАП. Вы можете читать электронную книгу на Kindle, но не можете поделиться этой книгой с кем-либо. Тех. средства защиты авторских прав приложения Kindle обычно не позволяют этого, хотя бывают исключения в зависимости от прав на книгу.
Система предотвращения утечки данных (DLP) — именно то решение, которое необходимо компании, чтобы не допустить отправку электронных писем, содержащих чувствительную информацию, например, номер кредитной карты, постороннему лицу.
Инструменты DLP отслеживают трафик, который не должен выходить за пределы компании, чтобы не произошло утечки, и останавливают такую передачу. По крайней мере, в идеале. Систему DLP сложно правильно настроить, но к этому следует стремиться, чтобы защитить вашу компанию от случайных утечек данных.
Самый важный метод обеспечения безопасности, который необходим любой организации — это мониторинг. Очень важно следить за атаками, угрозами, утечкой данных, злоумышленниками и т. д. В сфере безопасности следует исходить из предположений, что ресурсы компании будут пытаться взломать, и что пользователи будут допускать ошибки. Затем необходимо следить за атаками и готовиться к ответным действиям. Одна из самых больших проблем среднего бизнеса заключается в том, что в компании даже не знают, что ее атакуют.
Требуются устройства для регистрации событий, чтобы вы были в курсе, что уже произошло и что сейчас происходит в вашей сети. После регистрации событий записи следует отправить на центральный syslog-сервер для анализа.
Технология анализа называется Security Information Event Manager (SIEM). Задачей SIEM-системы является корреляция событий и поиск индикаторов компрометации (IoC). Если IoC обнаружен, аналитик должен рассмотреть событие и определить, необходимо ли предпринять какие-то действия, например, для прекращения атаки или восстановления систем после атаки.