И поскольку корпоративная сеть начинает опираться на ресурсы интернета, в перечень потенциальных опасностей для компании попадают все существующие на сегодня угрозы информационной безопасности.
Параллельное становление нескольких региональных подразделений одной компании (например, в случае последующего слияния и поглощения (M&A) предполагает, что ИТ-инфраструктура каждого из них развивалась независимо друг от друга с применением различных технологий, в том числе в области информационной безопасности. "Объединение таких офисов приведет к появлению проблем в организации централизованного управления разнородными продуктами. Последствием могут стать сложности при разграничении доступа в части коммуникаций. Объединение в единую сеть нескольких территориальных подразделений увеличивает количество точек соединения ЛВС с интернетом, что естественным образом повышает риск реализации несанкционированного доступа в единую сеть", – комментирует Андрей Комаров, директор департамента аудита и консалтинга Group-IB.
В дополнение к этому появляется необходимость обеспечения защиты сразу по двум векторам – во время передачи данных между офисами по внешним каналам связи, а также при работе во внутренних сетях офисов, причем как со стороны используемых каналов связи, так и для обеспечения устойчивого функционирования самих каналов. Все это требует наличия комплексного подхода к защите от внешних и внутренних угроз.
Масштаб проблем
Наибольший урон современным организациям наносит почтовый спам и распространение вирусов, DDoS-атаки, фишинг, черви, аномалии в протоколах. В дополнение к этому у корпоративных клиентов все чаще появляется потребность ограничивать и контролировать действия своих сотрудников в сети, например заблокировать сайты, содержащие нежелательный контент, ограничить доступ к социальным сетям, предотвратить возможные каналы утечек информации.
Популярность классов угроз ИБ, % от общего числа инцидентов
Источник: iSSP, 2012
Согласно статистике компании Symantec, в 2011 г. количество только заблокированных атак, совершенных с помощью вредоносного ПО, возросло на 81% и превысило 5,5 млрд. А количество уникальных кодов вредоносных программ достигло 403 млн, хотя в 2010 г. их было лишь 286 млн. Если говорить о web-атаках, их стало больше на 36%, в результате ежедневно совершается более 4,5 тыс. атак в день.
Хищения с банковских счетов организаций, российский рынок
Источник: Group IB, 2012
Давая предварительную оценку данным 2012 г., аналитики Symantec ожидают увеличения количества и сложности целевых атак. Используемые технологии и эксплойты станут доступны для массовых атак не столь высокого уровня сложности, а вирусописатели намного активнее будут использовать социальные сети для распространения вредоносных программ, что требует от компаний любого масштаба повышенного контроля периметра сети.
По данным Groub-IB, внешние угрозы в отношении корпоративных инфраструктур по-прежнему очень актуальны в связи с большим количеством атак на системы интернет-банкинга и инцидентов, связанных с хищением конфиденциальной информации. Например, возможность хищения денег с банковского счета зависит от получения злоумышленниками аутентификационных данных к системе дистанционного банковского обслуживания. Информация похищается внешними злоумышленниками, которые эксплуатируют уязвимости в периметре защиты организации. Таким образом, за первую половину 2012 г. компьютерным мошенникам удалось совершить 4588 хищений с банковских счетов российских компаний на общую сумму $474,1 млн.
Современные сети – виртуальный периметр
Традиционно создание системы информационной безопасности ассоциируется с организацией защиты периметра. "Объединение нескольких локальных сетей – это всегда увеличение периметра – количественное и качественное. После такого объединения всегда появляются новые места, возможности и средства утечек информации”, – отмечает главный аналитик InfoWatch Николай Федотов.
Однако для территориально распределенных компаний периметр становится скорее абстрактным понятием. Кроме разбросанных по разным регионам и даже странам офисов, в сети современных организаций входят мобильные и домашние пользователи. Поэтому многие эксперты считают, что периметра больше нет как такового. Сети WAN охватывают большие пространства и для них актуальны лишь задачи обеспечения конфиденциальности и целостности трафика, а также защита офисов на шлюзах.
Впрочем, поставщики средств защиты уже производят решения для обеспечения полноценной комплексной защиты от современных угроз. Такие продукты могут работать на стороне операторов связи, защищая предоставляемые ими каналы, или в самих организациях, обеспечивая безопасность передачи информации, а также охрану шлюзов.
Локальная защита или сервис оператора?
Большинство отечественных территориально распределенных бизнес-структур самостоятельно защищаются от внешних угроз. Однако мировой опыт подсказывает, что иногда эту задачу логично переложить на плечи поставщика телекоммуникационных услуг. "Идеальным решением было бы, если бы оператор связи создал для своих клиентов полноценную защиту от всех видов сетевых атак, включая фильтрацию трафика от вирусов, спама и хакерской активности. Разумеется, к этому необходимо добавить резервирование каналов на физическом уровне и возможность прозрачной замены вышедшего из строя канала связи на резервный. В качестве дополнительной услуги можно было бы также ввести URL и content-фильтрацию web-трафика", – перечисляет основные требования бизнеса Андрей Зеренков, эксперт по информационной безопасности компании Symantec.
В действительности почти все корпоративные клиенты крупных операторов потребляют услуги шифрования канала передачи данных. Это базовый уровень защиты клиента со стороны оператора связи, который позволяет обеспечить конфиденциальность передаваемой информации. Однако спектр возможных сервисов не ограничивается шифрованием.
Сегодня телекоммуникационные операторы могут предложить заказчикам комплексный сервис, избавляя их от необходимости самостоятельной защиты множества конечных устройств и офисных локальных сетей. "Мы наблюдаем рост интереса к услуге защиты от DDoS-атак, поскольку такие угрозы уже стали элементом конкурентной борьбы, и многим предприятиям требуется обеспечивать беспрерывное функционирование своих порталов и сервисов, простой которых может привести к финансовым потерям, – отмечает Александр Блинов, старший менеджер дирекции по маркетингу бизнес-сегмента компании "ВымпелКом". – С точки зрения оператора связи, мы видим растущую потребность рынка в услугах ИБ, которые смогли бы обеспечить комплексную защиту сотрудников и систем организаций от наиболее распространенных угроз. В наши планы входит расширение линейки продуктов по обеспечению информационной безопасности".
В данном контексте наиболее выгодные условия могут предложить провайдеры высокого уровня и как можно большего территориального охвата. Если говорить о защите, операторы физического и канального уровня могут сделать не так много. На сетевом и транспортном уровне появляется возможность предоставления услуги MPLS и шифрования VPN, межсетевых экранов и средства защиты от DDoS-атак. На прикладном уровне операторы способны предоставить десятки видов программных средств защиты. Все это означает скорое развитие аутсорсинга в сфере ИБ, причем рост спроса будет прямо пропорционален потерям. Многие аналитики говорят о скором буме "облачных" решений для обеспечения безопасности. Но пока неясно, насколько отечественные компании готовы довериться партнеру.
"Коллективная защита обходится дешевле и позволяет сконцентрировать в нужном месте лучшие кадры, которые в ИБ "решают все", – резюмирует Николай Федотов. – Именно поэтому последние годы наблюдается отчетливая тенденция передачи функций защиты информации от пользователей к операторам связи по модели SaaS".
Андрей Шуклин