Внутрисетевые системы контроля и управления доступом: задачи, функции и программные решения

Информация в XXI веке — одна из основных социальных ценностей. Поэтому частные лица, организации и даже государственные структуры ведут кибервойны с целью уничтожения главных ценностей своих соперников — информационных систем. Одна из современных ИТ-угроз — внутренняя безопасность, которую можно подготовить к «обороне» с помощью ряда логических действий и программных решений. Как, зачем и когда их использовать — разберемся в этой статье.

Угрозы внутри сети, или Почему контроль доступа так необходим компании

Информационная безопасность сегодня — одна из перспективных, сложных и быстроразвивающихся сфер IT. Ситуация в IT-отрасли как никогда интересует мировое сообщество, многочисленные взломы и киберудары по таким крупным структурам, как торговые сети, банки, объекты энергетической и промышленной инфраструктуры вызывают тревогу. Обостренный интерес к данной области подтверждают регулярно проводимые международные и внутригосударственные конференции и съезды по теме защиты информации.

Считается, что наиболее опасные внутрисетевые угрозы создаются сотрудниками, допущенными к конфиденциальной информации компаний. Их неправомерные действия могут быть как случайными, так и преднамеренными. В разных источниках внутренние нарушители ИТ-безопасности именуются по-разному, однако основные их типы таковы:

• халатные;
• обиженные;
• манипулируемые, или внедренные.

Халатные (неосторожные) работники встречаются в любом коллективе. Они действуют незлонамеренно, вследствие своей несобранности могут нарушить правила хранения конфиденциальной информации: например, взять работу на дом, в командировку, при этом потерять съемный диск или допустить к этой информации знакомых. Несмотря на «безобидный» характер нарушения, ущерб от него может быть самым плачевным. Так, в 2016 году от рук хакеров пострадала компания Uber, у которой были украдены личные данные 50 миллионов клиентов и семи миллионов таксистов со всего мира. Это произошло из-за небрежности программистов компании, нарушивших элементарные принципы безопасности и хранивших все пароли в одном месте. Хакеры сумели продать хозяевам базы данных свое молчание за 100 тысяч долларов и не стали выкладывать данные в Сеть, но об этом случае через год все равно стало известно[1]. По данным исследования Ernst&Young, проведенному в 2017–2018 гг., 77% респондентов во всем мире считают халатность сотрудников основной угрозой кибербезопасности[2].

Обиженные сотрудники часто недовольны оценкой их деятельности в компании, низким материальным вознаграждением за свой труд или собственным местом в иерархии организации. Как правило, эта категория нарушителей не планирует уходить из компании, но пытается нанести ей материальный вред — уничтожить документальную информацию или материальные ценности. При этом нарушитель действует самостоятельно. Известны случаи передачи важной на взгляд сотрудника информации теневым структурам или прессе. В эту же разновидность можно отнести людей, которые собрались уволиться из фирмы, не сообщив об этом начальству, и начали действовать в ущерб работодателю. Они могут скопировать клиентскую базу и тем самым зарекомендовать себя у нового наемщика или использовать ее с целью создания собственного конкурентоспособного бизнеса. В 2015 году из-за злонамеренных действий сотрудника компанией StarNet в Молдавии персональная информация (в том числе паспортные данные) 53-х тысяч физических и юридических лиц попала в Сеть.

Манипулируемые извне — третья и, возможно, самая опасная категория нарушителей, поскольку у них есть заказчики. Такие сотрудники могут быть завербованными и внедренными в компанию с целью похищения конкретной информации. Иногда они действуют под страхом физических увечий и расправы, но чаще — с целью получения серьезной материальной суммы в качестве вознаграждения. Их опасность заключается также в возможном оснащении техническими устройствами для обхода внутриорганизационной защиты.

Как видим, цели и причины неправомерных действия у нарушителей безопасности информационных систем бывают разными. Но в любом случае информационные данные, ценные документы и материалы должны быть под надежной защитой. Продумывая политику информационной безопасности компании, необходимо выстроить грамотную стратегию, разграничив права доступа между специалистами организации.

Задачи и возможности внутрисетевых систем контроля управления доступом

Комплексного решения, способного на 100% защитить компанию от воздействия внутренних и внешних угроз, не существует. Но поставщики услуг в сфере ИТ-безопасности предлагают разные варианты, которые позволяют контролировать значительную часть угроз, выполняя ряд задач.

Задача блокировки от несанкционированного доступа к корпоративной сети решается с помощью межсетевого экранирования, которое позволяет, используя объемный спектр контекстных данных, определять политику безопасности и обеспечивать ее соблюдение. Благодаря инновационным разработкам последних лет появляются возможности глубокого анализа трафика и гибкой настройки политики. Наиболее современные системы позволяют проводить глубокий анализ пакетов, аутентификацию пользователей, предотвращать вторжения (IPS, intrusion prevention system). Корпоративные межсетевые экраны, в которых испытывают потребности крупные компании, характеризуются масштабируемостью, надежностью и управляемостью.

Для исключения нецелевого использования служебной электронной почты необходим контент-анализ каждого письма. Передовые разработки дают возможность анализировать не только формальное содержимое сообщения, но и вложения, которые могут быть как графическими, так текстовыми или представленными в виде ссылки.

Решения, к которым прибегают для исключения возможности нецелевого использования информационных ресурсов, подразумевают применение средств против утечки конфиденциальных данных. Ряд программных продуктов проверяют исходящий трафик на содержание в нем такой информации. Но для этого администратор вручную указывает те данные, которые не должны быть утеряны. Однако эта проблема не решена до конца. Возможность разглашения конфиденциальной информации сохраняется в чатах, форумах, почтовых сервисах. С целью предотвращения подобных действий многие работодатели, которые хранят массу персональной информации о клиентах (к примеру, банки), блокируют соцсети и другие популярные сайты.

Фильтрация web-трафика осуществляется за счет базы данных URL-адресов, классифицированной по темам записей. Каждая запрашиваемая сотрудниками страница отфильтровывается и затем относится к определенной категории: почтовой, порнографической, туристической и другим. В случае необходимости автоматизированная система проводит анализ контента и определяет тематику страницы. Этот способ помогает администратору настроить группам пользователей права на доступ к страницам конкретных категорий.

Как работает система контроля и управления доступом?

Системы контроля и управления доступом подразумевают физическую и сетевую охрану. К первой относятся охранники, всякого рода замки, системы биометрической идентификации, которые организуют пропускной режим в здание, фиксируют время входа и выхода сотрудников. Аналогичной защиты требуют и информационные системы: замками в ней становятся логины и пароли, а сторожами — администраторы и специальные программные продукты.

Для организаций с развитой сетевой инфраструктурой стандартных средств информационной безопасности (межсетевые экраны, шлюзы безопасности или IPS) недостаточно. Для эффективной работы по управлению доступом созданы программные продукты Network Access Control (NAC). Они осуществляют:

• контроль доступа в сеть за счет аутентификации;
• проверку соответствия политике безопасности состояния подключаемых технических устройств;
• инвентаризацию устройств и сетевых приложений корпоративной сети;
• ограничивают гостевой доступ к ресурсам.

Контроль доступа в сеть осуществляется благодаря распознаванию нового MAC- и IP-адреса (для устройств VPN — по итогам построение туннеля, для систем на базе DHCP — после запроса DHCP от нового устройства). Сервер принятия решений инициирует проверку устройства на безопасность. После отправки запрошенных данных от устройства на внутренние серверы (антивирус, сервер обновлений программного обеспечения, LDAP) каждым из них принимается решение о степени соответствия устройства. В итоге новое устройство получает доступ к сети, который может быть полным или ограниченным.

Наипростейший способ применения NAC — запрет на доступ устройств, не отвечающих политике информационной безопасности компании. Условиями доступа в сеть могут быть установленный корпоративный антивирус, регулярные обновления ОС и т.д. Несоблюдение хотя бы одного правила станет основанием для запрета доступа в сеть.

Во многих компаниях с помощью виртуальных локальных сетей (VLAN) выполняется сегментирование — разделение сетей по отделам и структурам компании. По отношению сотрудника к конкретному подразделению NAC позволяет подключить его к соответствующему сегменту VLAN. Для этого необходима корпоративная служба каталогов.

Контроль доступа осуществляется и за счет разделения сети на рабочий и карантинный сегменты. В карантинный попадают устройства, не соответствующие установленной политике. В этой «зоне» установлены серверы обновлений, которые приводят компьютеры или иные устройства в соответствие с принятой политикой ИТ-безопасности. То есть в этом случае NAC не только проверяет устройство на соответствие условиям политики безопасности, но и заставляет выполнять ее. Программы NAC сопутствуют обновлению ОС, антивируса, включению межсетевого экрана. В случае соответствия условиям компьютер вновь относится к рабочему сегменту.

Число сегментов корпоративной сети компании может быть неограниченным. При помощи NAC на основании информации, получаемой от компьютеров, доступ к определенным ресурсам может быть предоставлен сотрудникам, гостям, партнерам и другим категориям пользователей, относящихся к установленным в сети сегментам.

NAC может контролировать и состояние устройств, подключенных дистанционно. Во время удаленного подключения к корпоративной сети также проводится проверка компьютера на соответствие политике безопасности, после чего принимается решение.

Ряд производителей предлагает системы предотвращения вторжений на уровне хоста. Эти решения часто сочетаются с решениями на базе сети: внедрением коммутаторов доступа и специализированных устройств.

Для успешного функционирования любой системы контроля и управления доступом компании нужно определиться с целями. Для этого необходимо взаимодействие разных отделов, отвечающих за работу сети, серверов и за обеспечение информационной безопасности. Внедрение системы возможно только после тщательной проработки ее рабочей модели.

Готовые решения в сфере контроля доступа внутри сети

На каждую проблему найдется решение. Программ контроля управления доступом существует множество. Например, грамотную работу с клиентами осуществляет компания GFI, предлагающая более десяти программных продуктов, ориентированных как на малый и средний бизнес с поддержкой окружений малой мощности, так и на крупные организации. Компания предлагает разнообразные решения для обеспечения эффективной информационной безопасности.

Программа GFI EndPointSecurity, например, борется с проблемами, вызванными использованием USB-устройств, которые, по исследованиям консалтинговой компании Gartner, являются одной из опаснейших угроз сетям. ПО дает возможность администраторам вести журнал активности действий со всевозможных дисков: медиа-проигрывателей, карт памяти, CD-дисководов, карманных компьютеров, сетевых карт, мобильных телефонов и других устройств. Кроме того, GFI EndPointSecurity блокирует попытки краж данных за счет полного контроля доступа к съемным дискам; предупреждает внедрения вирусов и неавторизованного ПО; ведет полный сетевой контроль при помощи уникальной защиты.

Дополнительный бонус — компания GFI предлагает своим потенциальным клиентам, которые не определились с выбором системы. Для них предусмотрена бесплатная онлайн-демонстрация, которая проводится с подключением к серверу с установленной программой, во время которого специалисты демонстрируют все функции ПО.

Программный комплекс DeviceLock DLP Suite включает несколько модулей, которые могут быть лицензированы в разных комбинациях в зависимости от задач служб безопасности. Компоненты ПО обеспечивают контекстный контроль каналов сетевых коммуникаций на компьютерах, полный поиск по базам данных теневого копирования и событийного протоколирования, механизмы фильтрации файлов и данных, переданных с или на сменные устройства, по почте и т.д.; сканирует сетевые ресурсы, обнаруживая файлы с критическим содержимым. Эти и другие функции программы позволяют управлять контролем доступа в крупных корпоративных сетях.

Утилита Ivanty Device Control создана с целью контроля доступа пользователей к портам ввода-вывода. Решение предупредит проникновение вредоносного ПО в сеть, предотвратит утечку конфиденциальных данных, запретит использование неавторизованных съемных устройств.

Еще один лидер в области решений по контролю доступа — программа Zecurion Zlock (Device Control), которая работает по четырем направлениям: запрет использования флеш-карт, контроль применения USB-устройств, мобильных устройств, контентная фильтрация. Есть возможность блокировки доступа в интернет при нахождении компьютера вне корпоративной сети. Эта опция удобна для контроля удаленных сотрудников. Последняя версия Zecurion Zlock 8.0 включает модуль поведенческого анализа, позволяющий автоматически выявлять подозрительную активность пользователей.

Разработчики программы Symantec Endpoint Protection позиционируют ее как самую быструю и эффективную защиту на рынке подобных ПО, благодаря использованию данных крупнейшей в мире гражданской сети анализа угроз. К преимуществам программы также относятся гибкие средства настройки политики в зависимости от характеристик и расположения пользователей, один удобный клиент и консоль управления для физических и виртуальных платформ.

Цены на системы контроля доступа внутри корпоративной сети

Ценовая политика вендоров систем контроля и управления доступом внутри сети зависит от объема предлагаемых услуг и функционала программ, расположения центрального офиса производителя и стоимости рабочей силы. Влияют на популярность ПО разработчика и множество других субъективных факторов, о которых производители предпочитают не сообщать.

Одна из самых доступных по стоимости программ современных вендоров — GFI EndPointSecurity. Цены стартуют от 1300 рублей за лицензию на один год (до 150 устройств). В зависимости от редакции ПО, в одну лицензию входит обслуживание от одного до неограниченного числа пользователей. Для удобства клиентов на сайте есть раздел «Расчет стоимости», а также «Акции и скидки», благодаря которым можно самостоятельно выбрать подходящий вариант.

Решение DeviceLock стоит 2000 рублей за установку на один компьютер, — если требуется обслуживание от 1 до 49 компьютеров, 1900 рублей — при инсталляции на 50–199 компьютеров, 1700 рублей — на 100 и более компьютеров.

Цены на программы Ivanty Device Control и Zecurion Zlock (Device Control) рассчитываются индивидуально по запросам покупателей.

Выражение «оптом дешевле» полностью отвечает условиям покупки ПО Symantec Endpoint Protection. За одну лицензию можно заплатить 1865 рублей (при покупке на 1 год) или 3357 рублей (при покупке на 3 года). Таким образом, если вы собираетесь пользоваться лицензией дольше, годовое обслуживание выйдет дешевле.