Информационная и сетевая защита SMB компаний


Алексей Полунин

Hits: 21840

В информационную эпоху никуда не скрыться от проблем, связанных с информационной безопасностью. Точнее, от проблем, возникающих при несоблюдении требований информационной безопасности. Бытует устойчивое мнение, что такие проблемы удел лишь крупных компаний, чьи данные интересны потенциальным злоумышленникам. Однако информационные ресурсы предприятий малого и среднего бизнеса все чаще становятся объектами нападения.

SMB и информационные угрозы

Существует несколько методик классификации компаний по их масштабу. Это требования законодательства, определяющего критерии для организаций, которые претендуют на статус малого предприятия, открывающего путь к определенным льготам. Это общепризнанная деловая практика в той или иной отрасли экономики. Это, наконец, международные критерии.
С точки зрения информационной безопасности (ИБ) указанные методики не представляют особой ценности, так как для большинства предприятий информационные системы служат лишь для обеспечения основной деятельности. Поэтому для классификации компаний с позиции ИБ нужно исходить из числа компьютеризированных рабочих мест, а так же от объема и ценности обрабатываемой информации. Последний критерий имеет законодательное обоснование, в частности, требованиями закона "О персональных данных". Это далеко небесспорный документ, но рано или поздно он окончательно вступит в силу и затронет деятельность многих десятков тысяч компаний, большая часть из которых вполне может быть отнесена к категории SMB.
В данном обзоре мы рассмотрим современные тенденции по обеспечению ИБ для небольших предприятий и варианты решения этих задач. Чьи потребности в ИБ мы будем анализировать, и кого же мы будем защищать? Усредненный портрет нашего клиента таков: число компьютеризированных рабочих мест от 10 до 100, возможная филиальная сеть офисов компании и поддержание удаленной работы сотрудников. Оставим за скобками требования упомянутого закона "О персональных данных", это отдельная тема, но компаниям, отнесенным к операторам персональных данных, придется их учитывать при выборе и построении системы информационной безопасности.
Очевидно, что ИБ является составной частью общей безопасности предприятия. Поэтому определим, какие информационные угрозы бывают, и какая должна быть общая стратегия противодействия им.
В общем случае все угрозы можно условно разделить на внутренние и внешние. К первым относятся целенаправленные или случайные действия сотрудников компании, вторые связаны с обстоятельствами, которые нам не подконтрольны. Если угрозы первой группы можно уменьшить организационными мерами, то предотвращение внешних информационных угроз требует разносторонних усилий.
В настоящее время малые предприятия становятся предметом для хакерских атак не столько с целью доступа к конфиденциальной информации, сколько к получению контроля над вычислительными ресурсами компании. Безусловно, попавшие в руки злоумышленникам ценные данные (ПИН-коды, пароли к системам Интернет-банкинга, учетные данные сотрудников и т.п.) не будут ими выброшены за ненадобностью. Более того, превращение сети малого предприятия в зомби-сеть (ботнет) способно принести киберпреступникам неплохой и постоянный доход. Не стоит забывать, что сеть компании и, особенно, ее веб-сайт в свою очередь могут стать и предметом атаки со стороны ботнетов. По данным Андрея Бугаенко, директор по информационным технологиям компании "Синтерра", стоимость атаки класса DDoS, проводимой с помощью таких ботнетов, начинается от 30 долл. За 100 долл. в день злоумышленники готовы организовать атаку мощностью от 100 до 400 Мбит/с. В одном из зарегистрированных случаев интенсивность крупной атаки, локализованной "Синтеррой", составляла 125 млн. обращений за 15 мин. Вообще же малая стоимость и высокая эффективность DDoS-атак делают беззащитными веб-сайты практически всех компаний, вне зависимости от их масштаба. В приведенном примере пострадавшей стороной стал один из многочисленных туроператоров. Подтверждением высокого уровня угрозы DDoS-атак можно считать факт, что в первой десятке запросов в Яндексе на эту тему половину составляет поиск инструментов для ее осуществления.
Арсенал киберпреступников изменился мало, для захвата компьютеров все так же используются троянские программы, сетевые черви и классические вирусы. Как цель атаки, малые и средние предприятия в этом случае ничем не отличаются от владельцев домашних компьютеров. Вряд ли кто-то из хакеров для создания ботнета станет целенаправленно пытаться получить контроль над группой компьютеров конкретной компании, насчитывающей порядка 10 – 100 машин.
Зато произошли заметные перемены в способах проникновения на компьютеры. "Топорные" прямые рассылки зараженных файлов через электронную почту если не исчезли, то потеряли свою былую эффективность. На первое место вышли методы, основанные на заманивании пользователей для посещения определенных информационных ресурсов, на деле являющихся очагами заражения.
При оценке информационных рисков для SMB предприятий не стоит забывать о целенаправленных атаках. Это могут быть не только попытки заблокировать работу компании как в случаях с DDoS-атаками, но также получить скрытый доступ к данным конкретных сотрудников. Это может быть непосредственное проникновение на компьютер, перехват сетевого трафика и сообщений электронной почты. Справедливости ради необходимо отметить, что такие действия требуют высокой квалификации со стороны злоумышленников и стоят довольно дорого. К тому же сортировка и анализ похищенной информации тоже представляет собой неординарную задачу с негарантированным результатом.
В общем случае, для малых и средних компаний основные информационные риски заключаются в попадании их сетевой инфраструктуры под контроль злоумышленников, а так же нарушении нормальной работы предприятия при целевых сетевых атаках. Последняя угроза становится все более актуальной. Сегодня Интернет-бизнес набирает обороты, многие предприятия переносят свою деятельность в Глобальную сеть, внедряют системы унифицированных коммуникаций и совместной работы. Все это заставляет по-новому взглянуть на обеспечение информационной безопасности малых и средних компаний.

 

Стратегия защиты

Очень часто можно слышать мнение, что выработка стратегии информационной защиты представляет собой уникальную задачу, при решении которой необходимо учитывать особенности бизнеса компании. Отчасти это мнение справедливо, особенно для крупных предприятий, чьи информационные риски так же могут быть уникальными. Небольшим и средним компаниям вполне можно рекомендовать универсальную стратегию обеспечения информационной безопасности. Для этого вспомним, какие специфические особенности в области информационных технологий присущи данным компаниям.
Во-первых, проблемы связанные с отсутствием квалифицированного персонала. Редкая компания может похвастаться таким сотрудником. Обычно роль ИТ-специалиста выполняет или продвинутый пользователь, или приходящий администратор, у которого на обслуживании еще с десяток фирм. По данным Батыра Шихмурадова, менеджера управления продуктового маркетинга "Лаборатории Касперского", 87% небольших компаний не имеют собственного ИТ-специалиста.
В этом случае размышлять о выделенном специалисте в области ИБ становится просто не прилично. Даже если компания имеет штатных сисадминов, то и это не означает решение вопросов обеспечения ИБ. По данным исследования "Софтинформ", проведенного в прошлом году среди предприятий разного масштаба, в 35% компаний вообще никто не отвечает за данные вопросы. В 33% компаниях эта обязанность возложена на ИТ-отделы. Лишь только в 19% предприятий ИБ является предметом заботы или специализированного отдела, или отдела внутренней безопасности.
Во-вторых, банальное отсутствие финансирования, в SMB компаниях часто живут по пословице "пока гром не грянет…" Это касается не только ИБ, но и всей ИТ-инфраструктуры. Любой сисадмин, работающий в небольшой фирме, может рассказать много историй о том, как ему приходилось изыскивать внутренние резервы, например, для "оживления" компьютера в бухгалтерии.
В-третьих, низкая компьютерная грамотность пользователей, действия которых зачастую становятся основной угрозой информационной безопасности. Страсть офисных работников к социальным сетям, сетевым играм и чатам стала настоящей эпидемией. Помимо прямой потери рабочего времени, эти увлечения открывают пути распространения вредоносного кода.
Сводя воедино информационные угрозы SMB компаниям и их реальных потенциал в ИТ-области, можно выработать некоторые стратегические рекомендации. При этом следует учитывать факт, что нельзя гарантированно защититься от всех мыслимых и немыслимых угроз. Есть известное правило "80-20", согласно которому для решения 80% задачи необходимо только 20% ресурсов, а на решение оставшихся 20% задачи потребуется выделение еще 80% ресурсов. Как показывает практика, основные информационные угрозы для малых и средних компаний попадают в первые 80% и поэтому могут быть предотвращены достаточно простыми и проверенными методами защиты.
Значительную долю угроз снимает установка и правильная настройка (это главное!) обычного маршрутизатора и межсетевого экрана. С их помощью легко можно осуществлять надежную фильтрацию трафика и блокировку неразрешенных сервисов.
Так же полезна функция анализа "на лету" содержимого трафика для выявления разного рода вредоносного программного кода. Эта мера защиты становится актуальной, так как все больше сайтов в Интернете попадают в категорию потенциально опасных.
Для упорядочивания пользования ресурсами Глобальной сети и контроля за действиями сотрудников стоит установить корпоративный proxy-сервер.
Особое внимание надо уделять защите почтовых сервисов компании, для чего осуществлять контроль трафика и на сервере, и на рабочих местах пользователей. Впрочем, заметная доля SMB компаний, даже имея свой домен в Интернете, предпочитают пользоваться публичными почтовыми сервисами или услугами своих хостинг-провайдеров. По данным Батыра Шихмурадова, только 23% компаний имеют собственный почтовый сервер внутри офиса.
Не стоит забывать об установке антивирусного программного обеспечения на компьютеры пользователей. Впрочем, так же необходимо настроить сами компьютеры, ведь по умолчанию в наиболее распространенной операционной системе открыто лишком много лазеек для злоумышленников.
Единственное, что проблематично реализовать в рамках обороны сети SMB компании, это защита от атак, вызывающих отказ в обслуживании. Решение этой проблемы лучше отдать на аутсорсинг.
Все перечисленные методы защиты хорошо известны, но всегда остается главный вопрос – как и в какой комбинации ими следует пользоваться?

 

Пути решения вопросов защиты

Малым и средним компаниям доступна большая гибкость при решении вопросов информационной безопасности. Они могут выбрать различные аппаратные комплексы, специализированное программное обеспечение для установки на стандартные серверы или обратиться к внешним поставщикам, предоставляющим услуги информационной безопасности.

Аппаратные решения обеспечения ИБ небольших компаний представлены, главным образом, в категории UTM (Unified Threat Management). Этой теме был посвящен обзор, написанный в начале 2009 г. С той поры прошло немало времени и на рынке появились новые устройства, заслуживающие внимания.

Компания Check Point Software Technologies буквально на днях анонсировало обновление своих устройств, которые ориентированы на сегмент небольших компаний. В том числе это решение Safe@Office N. Индекс в конце названия подчеркивает, что в данной серии нового оборудования реализована поддержка стандарта IEEE 802.11n. Клиентам предлагается выбор из шести моделей, ориентированных на различное число пользователей и имеющих разный набор интерфейсов. Все модели имеют одинаковую функциональность и способны реализовать комплексную защиту. Поддерживается межсетевой экран, антивирусная и антиспамовая защита, фильтрация веб-трафика, а так же система предотвращения вторжений Check Point SmartDefense. По заверениям представителей компании, эта система позволяет защитить сетей от атак типа "отказ в обслуживании". SmartDefense позволяет вести контроль за работой пользователей с интернет-ресурсами, к примеру, при использовании FTP, систем мгновенных сообщений, одноранговых файлообменных сетей.

Израильская компания PineApp предлагает аппаратное решение SeCure-SoHo, предназначенное для защиты сетей, обслуживающих до 100 пользователей. В этот продукт интегрированы межсетевой экран с поддержкой VPN, механизм фильтрации веб-трафика, а так же самостоятельное решение Mail-SeCure, служащее для антивирусной и антиспамовой защиты почтовых серверов. По данным компании, почтовая защита основана на 11 алгоритмах антиспама и обеспечивает до 98,5% фильтрации. Так же устройство поддерживает многоуровневую оборону от вирусов, в том числе благодаря эвристическому механизму обнаружения саморазмножающихся вирусов. В решении SeCure-SoHo реализованы политики управления безопасностью, позволяющие администратору определять правила для всей организации.

Отечественный лекарь от вирусов, компания Dr.Web выпустила решение Office Shield, которое создано на аппаратной платформе высокой степени надежности. Данное решение позиционируется как сервер централизованной антивирусной и антиспамовой защиты рабочих станций и файловых серверов Windows, почтового и Интернет-трафика. Сейчас прелагается две модели, поддерживающие до 50 и 250 пользователей. В состав Dr.Web Office Shield входит решение Enterprise Suite, обеспечивающее централизованную защиту компьютеров и серверов, модуль для интернет-шлюзов Unix, защищающий доступ пользователей внутренней сети к ресурсам Интернет. Так же в решении включен модуль Dr.Web Mail Gateway, который предназначен для антивирусной и антиспамовой защиты почтового трафика. Стандартными модулями решения выступают межсетевой экран, VPN сервер, DHCP и DNS серверы. Есть встроенная точка доступа Wi-Fi.

Программные решения по комплексному обеспечению ИБ небольших предприятий столь же популярны, как и их аппаратные аналоги. Рассмотрим некоторые из этих продуктов, по нашему мнению, наиболее подходящие для SMB компаний.

Российская компания Entensys для обеспечения ИБ небольших предприятий предлагает продукт UserGate Proxy&Firewall. Это комплексное решение для организации общего доступа в Интернет из локальной сети, учета трафика и защиты корпоративной сети от внешних угроз. В продукт включены антивирусные модули компаний "Лаборатория Касперского" и Panda Security, которые производят сканирование всех типов сетевого трафика, включая почтовый, веб и FTP -трафик. В дополнение к антивирусной проверке в UserGate имеется межсетевой экран для защиты внешних вторжений. Встроенный модуль фильтрации трафика BrightCloud позволяет блокировать доступ к нежелательным ресурсам, как в отдельности, так и по категориям сайтов. Продукт UserGate также позволяет контролировать приложения, установленные на клиентских машинах, разрешая или запрещая тому или иному приложению выход в Интернет. С помощью UserGate можете организовать доступ в Интернет для сотрудников компании через proxy-сервер, одновременно работать с несколькими Интернет-провайдерами. В решении включена поддержка протоколов IP-телефонии, что позволяет создать современную коммуникационную инфраструктуру компании.

Решение Kaspersky Small Office Security предназначено для комплексной защиты рабочих станций и серверов под управлением операционной системы Windows. Этот продукт поставляется в виде коробочной версии и включает все необходимые компоненты для быстрой установки и запуска, поэтому, как считают представители компании, для работы с ним не понадобятся специальные ИТ-навыки. В данной версии реализованы новое антивирусное ядро, обеспечивающее высокий уровень обнаружения угроз, а также эвристический анализатор, блокирующий новые вредоносные программы. Для компаний, имеющих несколько офисов, а так же серверы под управлением Linux, "Лаборатория Касперского" рекомендует создавать решение для ИБ на основе Kaspersky Open Space Security. В решение входят средства централизованного управления антивирусной защитой Kaspersky Administration Kit, а также приложения, защищающие рабочие места и серверы Windows.

Решение компании Kerio под названием WinRoute Firewall может применяться на предприятиях различного масштаба. Этот многофункциональный продукт позволяет не только защищаться от сетевых угроз с помощью firewall уровня приложений, хорошей антивирусной защиты и блокировщика трафика Р2Р, но также эффективно управлять деятельностью сотрудников компании в Интернете. Для этого предусмотрены механизмы определения политик и прав доступа, мониторинга Интернет-трафика и фильтрации веб-контента. Для небольших предприятий может быть полезна функция управления полосой пропускания для пользователей и возможность подключения по резервному каналу. Для удаленных сотрудников WinRoute Firewall поддерживает очень удобные в работе VPN-соединения. Сейчас этот продукт так же доступен в версии для использования на платформе VMware.

Компания Trend Micro предлагает полностью русифицированный продукт Worry Free Business Security, разработанный с учетом потребностей небольших предприятий. В продукт включены все необходимые технологии защиты – антивирусная и противошпионная защита, персональный межсетевой экран, система обнаружения сетевых атак, ограничение доступа к веб-сайтам на основе категорий, защита от Интернет-угроз с помощью внешнего сервиса оценки репутации URL, автоматическое выявление компьютеров без критических обновлений Windows. В данном продукте реализована технология SmartScan, призванная снизить вычислительную нагрузку на рабочие станции и адаптировать скорость сканирования к текущему уровню загрузки процессора. По данным компании, при разработке продукта преследовалась цель сделать централизованное управление простым и прозрачным, а так же автоматизировать все рутинные операции, что позволило бы обойтись без квалифицированного администратора. Обеспечить безопасность электронной переписки может Advanced-версия Worry Free Business Security, которая включает в себя модуль для корпоративного почтового сервера.

Если малой компании повезло и в ее распоряжении имеется хороший системный администратор, то для решения вопросов ИБ им может быть собрана система из бесплатных продуктов, работающих на UNIX-платформах. Если квалификация сисадмина не позволяет самостоятельно собрать такое решение, а это весьма нетривиальная задача, то он может воспользоваться широким выбором бесплатных и условно-бесплатных сборок. Сейчас доступно множество таких решений, в частности SmoothWall, IPCop, eBox, SME Server и другие. Лично мне больше нравится сборка ClarkConnect, которая с прошлого года носит название ClearOS.

По мнению многих специалистов по информационной безопасности, сегодня на отечественном рынке пока нет особого спроса среди малых и средних компаний на услуги по аутсорсингу информационной безопасности. Такой шаг всегда вызывает определенный скепсис у руководителей российских компаний, вне зависимости от их масштаба. По данным ряда опросов, большая часть специалистов в области ИБ склоняются передавать сторонней организации фильтрацию контента, защиту от массовых вирусных и спам-эпидемий, а так же от DDoS-атак. При этом отмечается необходимость всесторонней юридической проработки и заключение договора, содержащего четкие требования SLA.
В свою очередь операторы связи готовы предоставлять подобные услуги. Так, по мнению Барта Стаеленса, директора по стратегическому маркетингу в России и СНГ компании Orange Business Services, передача обеспечения информационной безопасности на аутсорсинг единому провайдеру телекоммуникационных и интеграционных услуг имеет существенные преимущества, которые начинают все больше осознаваться корпоративными заказчиками – помимо уверенности в качестве и надежности предоставляемых услуг, к таким преимуществам также относится существенная минимизация расходов за счет экономии на приобретении собственного оборудования и содержании высококвалифицированных специалистов.
Схожего мнения придерживается Леонид Гуштуров, генеральный директор компании "Комкор", предоставляющей услуги под торговой маркой "АКАДО Телеком". По его словам, зачастую у небольших предприятий отсутствует возможность обеспечения качественной защиты информации, поскольку для этого требуется приобретать оборудование, содержать квалифицированный персонал и заботиться о своевременной поддержке и обслуживании средств защиты. В то же время, интерес к таким услугам растет пропорционально развитию ИТ-систем предприятий и повышению квалификации пользователей. Чем больше возможностей у тех и у других - тем больше внимания приходится уделять вопросам безопасности. Использование предлагаемых оператором услуг в области защиты информации позволяет организовать данную процедуру максимально эффективно.

Компания "АКАДО Телеком" предоставляет услуги по информационной безопасности, как на основе индивидуального инструмента защиты, так и на базе централизованного инструмента защиты. Эти услуги включают защиту от наиболее распространенных видов атак, пакетную фильтрацию трафика клиентов и фильтрацию трафика различных сервисов. Так же предусмотрена функциональность proxy и NAT, поддерживается организация VPN.

Для небольших компаний Orange предлагает пакетное решение Easy Office, в которое входят элементы обеспечения ИБ. Так же компания подготовила к запуску решение Internet Umbrella для эффективной круглосуточной защиты сети клиента от DDoS-атак на уровне оператора связи, которое позволяет превентивными мерами предотвратить воздействие атаки на ресурсы клиента, а также позволяет ресурсам сети функционировать даже в условиях активно ведущейся DDoS атаки. Это решение предназначено в первую очередь для крупных компаний, но может использоваться и для нужд среднего и малого бизнеса. Оператор связи "Синтерра" имеет в своем пакете предложений для корпоративных клиентов услугу противодействия сетевым атакам, которая в первую очередь направлена на предотвращение DDoS-атак. Противодействие организуется с помощью специальной системы защиты на основе комбинации продукта Arbor Peakflow SP и собственной разработки компании, которая осуществляет непрерывный мониторинг трафика. При появлении пакетов подозрительного трафика включается механизм его блокировки и очистки. По свидетельству компании "Синтерра", благодаря этому решению удалось вовремя предотвратить DDoS-атаки на ряд известных сайтов Рунета.

Так же своим корпоративным клиентам предоставляют услуги по отражению DDoS-атак еще ряд операторов: РТКОММ, "Билайн", "Компания ТТК", "Уралсвязьинформ". По данным РТКОММ, стоимость таких услуг начинается от шести тыс. руб. в месяц.

Все большее распространение получают "облачные" сервисы по обеспечению информационной безопасности. В конце прошлого года Cisco приобрела поставщика SaaS-услуг компанию ScanSafe и сегодня предлагает операторам связи воспользоваться решениями информационной безопасности. По сути дела, операторы становятся посредниками между сервисом ScanSafe, обеспечивающим доступ в "чистый Интернет" и своими клиентами, которым предоставляют этот сервис от своего имени. Для реализации такой схемы работы ScanSafe передает оператору связи специальное приложение NetSuite, которое представляет собой CRM-систему, интегрированную с автоматизированной системой расчетов за услуги Security SaaS. По мнению Алексея Лукацкого, бизнес - консультанта по безопасности Cisco, такая схема работы выгодна для всех сторон. Операторы получают возможность предоставлять новые услуги без существенных капвложений, а их абоненты обеспечиваются высоким уровнем защиты своих информационных ресурсов с фиксированной и заранее прогнозированной стоимостью, гораздо ниже той, которую пришлось бы заплатить за создание собственной инфраструктуры безопасности.

Компания Trend Micro предлагает услугу Worry-Free Business Security Services, которая ориентирована на поддержку централизованной защитой территориально распределенных компаний, а также предприятий с большим числом мобильных сотрудников, работающих вне офиса. Для защиты электронной почты можно воспользоваться услугой Hosted E-mail Security, позволяющей очистить почтовый трафик от вирусов и спама без загрузки корпоративных серверов. Все операции по проверке и защите производятся автоматически в дата-центрах Trend Micro.

Уже не первый год Symantec предоставляет сервис MessageLabs Hosted Web Security, который работает на уровне доступа в Интернет. Основным назначением этого сервиса является перехват вирусов, шпионских программ, а так же блокирование других веб-угроз еще до их проникновения в сеть компании. Так же в рамках услуги предусмотрена блокировка доступа к нежелательным сайтам. Есть поддержка удаленно работающих сотрудников.

Похоже, на рынке назревает перелом в области обеспечения информационной безопасности SMB предприятий. Поставщики продуктов и услуг уже готовы, все большее число компаний осваивает Интернет как площадку для бизнеса и просвещение об угрозах начинает приносить свои плоды. Однако не стоит забывать, что ИБ не должна мешать основной работе предприятия, ведь в конечном итоге важен результат, а не процесс.

 


Комментарии (0):

Добавить комментарий

 
Ваше имя:
Ваш комментарий:
Решите задачку (ответ напишите цифрами):
Четыре + Один =

 
 
 
Наверх