Внутрисетевые системы контроля и управления доступом: задачи, функции и программные решения

В современном мире информация стала одной из ключевых социальных ценностей. В связи с этим, люди, организации и даже правительственные структуры прибегают к кибервойнам, чтобы уничтожить главные ценности своих конкурентов - их информационные системы. Одним из современных угроз в сфере информационных технологий является внутренняя безопасность, которую можно подготовить к «обороне» при помощи логических действий и специальных программных решений. В данной статье мы рассмотрим вопросы использования таких программ и методов защиты информационных систем внутри организаций, а также цели и перспективы их применения.

Как сохранить безопасность внутри компании в условиях быстроразвивающейся сферы ИТ? На этот вопрос пытается ответить множество специалистов, поскольку информационная безопасность становится все более перспективной и сложной областью. Мировое сообщество проявляет интерес к текущей ситуации в IT-отрасли, где крупные структуры, в том числе торговые сети, банки и объекты энергетической и промышленной инфраструктуры, становятся жертвами многочисленных взломов и киберударов.

На международных и внутригосударственных конференциях и съездах, посвященных теме защиты информации, обостренный интерес к данной области подтверждается регулярно.

Одной из наиболее опасных угроз являются нарушения безопасности информационных систем компаний, создаваемые сотрудниками, имеющим доступ к конфиденциальной информации. Их действия могут быть как случайными, так и преднамеренными. Различные источники именуют внутренних нарушителей IT-безопасности по-разному, но все же можно выделить три основных типа: халатные, обиженные и манипулируемые, или внедренные.

Халатные работники, действующие незлонамеренно, могут нарушать правила хранения конфиденциальной информации из-за своей неосторожности, например, взяв работу на дом или в командировку, и потеряв при этом съемный диск. Несмотря на то, что это «безобидное» нарушение, ущерб от него может быть серьезным. Примером таких последствий может служить утечка личных данных 50 миллионов клиентов и семи миллионов таксистов компании Uber в 2016 году, произошедшая из-за небрежности программистов компании. Халатность сотрудников, по данным исследования Ernst&Young, проведенного в 2017-2018 гг., является основной угрозой кибербезопасности во всем мире, с этим согласны 77% респондентов.

Обиженные сотрудники, недовольные оценкой своей деятельности в компании или собственным местом в иерархии организации, часто действуют самостоятельно, пытаясь нанести материальный вред компании. Примером таких нарушений может служить случай с компанией StarNet в Молдавии в 2015 году, когда личные данные 53 тысяч физических и юридических лиц были опубликованы в сети.

Манипулируемые извне являются, возможно, самой опасной категорией нарушителей, имеющих заказчиков и способы обхода внутриорганизационной защиты. Такие сотрудники могут быть завербованными и внедренными в компанию, а иногда действуют под угрозой физических увечий и расправы.

Проводя грамотную политику информационной безопасности, необходимо предусмотреть разграничение прав доступа между специалистами организации. Как отмечает компания Ernst&Young, 89% банков во всем мире включили кибербезопасность в список приоритетов 2018 года. Очевидно, что информационные данные, ценные документы и материалы должны быть под надежной защитой.

Контроль доступа в компаниях: основные задачи и возможности

Не существует единого решения, которое позволило бы гарантировать 100% безопасность от угроз, как изнутри, так и снаружи. Тем не менее, существует множество вариантов, которые помогают компаниям контролировать угрозы, выполнять задачи и защищаться от потенциальных рисков.

В первую очередь, блокировка несанкционированного доступа к корпоративной сети может быть обеспечена межсетевым экранированием. Такой подход позволяет определять политику безопасности путем анализа объемных контекстных данных и обеспечивать соблюдение возможных мер безопасности. Современные системы позволяют также проводить глубокий анализ трафика и гибко настраивать политику безопасности. В настоящее время корпоративные межсетевые экраны отличаются масштабируемостью, надежностью и управляемостью.

Для исключения нецелевого использования служебной электронной почты может быть использован контент-анализ каждого письма. Современные инструменты позволяют анализировать не только текстовое содержание сообщения, но также и вложения, включая графические элементы и ссылки.

Решения, направленные на исключение нецелевого использования информационных ресурсов, могут включать применение средств против утечки конфиденциальных данных. Некоторые программные продукты сканируют исходящий трафик на наличие конфиденциальной информации. Однако, в большинстве случаев администратор должен вручную указать, какие данные не должны быть утеряны. В результате такие подходы не гарантируют полностью защиту информации от разглашения, например, при использовании чата или других онлайн-сервисов. Чтобы минимизировать риски, многие работодатели, такие как банки, блокируют доступ к социальным сетям и другим популярным сайтам.

Фильтрация web-трафика может быть реализована через базу данных URL, объединенную по тематикам записей. Каждая запрашиваемая страница отфильтровывается и затем относится к определенной категории. Если это необходимо, автоматизированная система проводит анализ контента и определяет тематику страницы. Этот подход помогает администратору настроить группам пользователей права доступа к страницам конкретных категорий.

Согласно исследованию компании InfoWatch, российские организации наиболее озабочены утечкой конфиденциальной информации, которую назвали главной угрозой. Одинаково важными также были считаются искажение информации и сбои информационных систем из-за халатности сотрудников. В то же время, другие угрозы, такие как потеря данных, кража оборудования и другие, не были оценены как особенно важные.

В чем заключается работа системы контроля и управления доступом в компании? На самом деле, такие системы представляют собой сочетание физической и сетевой охраны. К физической охране относятся различные замки, системы биометрической идентификации, а также наличие охранников, которые контролируют доступ в здание и фиксируют время входа и выхода сотрудников.

С другой стороны, информационные системы также требуют подобной защиты. Безопасность здесь обеспечивают логины и пароли, администраторы и специальные программные продукты.

Для компаний с развитой сетевой инфраструктурой стандартных средств информационной безопасности мало. Для решения этой проблемы созданы программные продукты, известные как "системы управления доступом к сети" (Network Access Control). Они позволяют проводить контроль доступа к сети, аутентифицируя пользователей и подключаемые устройства, а также убеждаться в соответствии технических устройств политике безопасности.

Кроме того, NAC осуществляет инвентаризацию сетевых приложений и устройств корпоративной сети, а также ограничивает доступ гостей к ресурсам.

Что касается конкретно контроля доступа в сеть, его осуществляют благодаря распознаванию нового MAC- и IP-адреса. Сервер принятия решений проводит проверку каждого устройства на безопасность, после чего новое устройство получает доступ к сети, который может быть полным или ограниченным.

Существует также простой способ использования NAC, который заключается в запрете доступа устройств, не соответствующих политике ИТ-безопасности компании. В этом случае условиями доступа в сеть могут быть установленный корпоративный антивирус, регулярные обновления операционной системы и другие параметры. Несоблюдение хотя бы одного из этих правил станет основанием для запрета доступа в сеть.

С помощью виртуальных локальных сетей (VLAN) во многих компаниях выполняется сегментация сетей, что позволяет разделять их по отделам и структурам компании. NAC позволяет подключить сотрудников к соответствующему сегменту VLAN, для чего необходима корпоративная служба каталогов.

Контроль доступа может осуществляться и путем разделения сети на рабочий и карантинный сегменты. В карантинном сегменте располагаются устройства, не соответствующие установленной политике безопасности, а все новые устройства проверяются на соответствие. Если какое-то устройство не удовлетворяет условиям политики безопасности, оно получает доступ только к серверам обновлений, которые приводят его в соответствие с требованиями. Затем оно вновь размещается в рабочем сегменте.

Число сегментов корпоративной сети может быть бесконечным. NAC позволяет предоставлять доступ к определенным ресурсам для различных категорий пользователей, включая сотрудников, гостей, партнеров и других пользователей, принадлежащих к определенным сетевым сегментам.

Наконец, NAC может контролировать и состояние устройств, подключенных дистанционно. Для удаленного доступа к сети проводится проверка компьютера на соответствие политике безопасности, после чего принимается решение.

Существуют системы предотвращения вторжений на уровне хоста, которые обычно сочетаются с решениями на базе сети, включая коммутаторы доступа и специализированные устройства.

Для внедрения любой системы контроля и управления доступом компании нужно определить цели и понимать взаимоотношения между разными отделами, отвечающими за работу сети, серверов и обеспечение безопасности информации. Работа любой системы возможна только после тщательной проработки ее рабочей модели.

Внутри корпоративных сетей существует множество проблем, связанных с контролем доступа. Однако, на каждую проблему существует решение, благодаря многим программам контроля доступа. Компания GFI является одним из главных игроков на рынке программного обеспечения управления доступом. Она предлагает более десяти программных продуктов, ориентированных как на малый и средний бизнес с поддержкой окружений малой мощности, так и на крупные организации. У компании есть разнообразные решения, которые обеспечивают эффективную информационную безопасность.

Программа GFI EndPointSecurity имеет в своем арсенале мощные инструменты, которые борются с проблемами, вызванными использованием USB-устройств, которые, по исследованиям консалтинговой компании Gartner, являются одной из опаснейших угроз сетям. Эта программа дает возможность администраторам вести журнал активности действий со всевозможных дисков, а также блокирует попытки краж данных и предупреждает внедрения вирусов и неавторизованного ПО.

Программный комплекс DeviceLock DLP Suite включает несколько модулей, которые могут быть лицензированы в разных комбинациях в зависимости от задач служб безопасности. Компоненты ПО обеспечивают контекстный контроль каналов сетевых коммуникаций на компьютерах, полный поиск по базам данных теневого копирования и событийного протоколирования, механизмы фильтрации файлов и данных и многое другое.

Утилита Ivanty Device Control создана с целью контроля доступа пользователей к портам ввода-вывода. Решение предотвратит утечку конфиденциальных данных и запретит использование неавторизованных съемных устройств.

Еще одна ведущая компания в области решений по контролю доступа - программа Zecurion Zlock (Device Control), которая работает в четырех направлениях: запрет использования флеш-карт, контроль применения USB-устройств, мобильных устройств, контентная фильтрация. Есть возможность блокировки доступа в интернет при нахождении компьютера вне корпоративной сети. Эта опция удобна для контроля удаленных сотрудников.

Разработчики программы Symantec Endpoint Protection, являющейся самой быстрой и эффективной защитой на рынке благодаря использованию данных крупнейшей в мире гражданской сети анализа угроз, предоставляют гибкие средства настройки политики в зависимости от характеристик и расположения пользователей, а также один удобный клиент и консоль управления для физических и виртуальных платформ.

Существует множество факторов, которые влияют на формирование цен на системы контроля доступа внутри корпоративной сети. Вендоры учитывают объем предоставляемых услуг и функциональных возможностей ПО, местонахождение центрального офиса производителя, стоимость рабочей силы, а также многие другие субъективные факторы.

Компания GFI предлагает одну из самых доступных по стоимости программ среди современных вендоров - GFI EndPointSecurity. За лицензию на один год, (до 150 устройств), цена начинается от 1300 рублей. В одну лицензию в зависимости от редакции ПО может входить обслуживание от одного до неограниченного числа пользователей. На сайте есть раздел "Расчет стоимости" и "Акции и скидки", чтобы клиенты могли самостоятельно выбрать наиболее подходящий вариант.

Решение DeviceLock будет стоить 2000 рублей при установке на один компьютер, 1900 рублей при инсталляции на 50-199 компьютеров и 1700 рублей на 100 и более компьютеров. Если требуется обслуживание от 1 до 49 компьютеров, то цена составит 2000 рублей.

Цены на программы Ivanty Device Control и Zecurion Zlock (Device Control) рассчитываются индивидуально по запросу покупателей.

По правилу "оптом дешевле", можно приобрести ПО Symantec Endpoint Protection. Если покупка осуществляется на 1 год, то одну лицензию можно приобрести за 1865 рублей, а на 3 года - за 3357 рублей. Таким образом, если вы планируете воспользоваться лицензией более длительное время, то годовое обслуживание обойдется дешевле.

Фото: freepik.com