Концепция комплексной безопасности для эффективного решения насущных задач
Тезисы данного материала были представлены на VII международной конференции IDC IT Security Roadshow.
Состояние защищенности информационной среды все больше волнует сегодня службы информационной безопасности (ИБ) компаний. Кризис, пожалуй, даже обострил проблему защиты информации. Очевидно, что сокращения и увольнения работников негативно сказываются на системе ИБ; возрастает риск разглашения и утечки конфиденциальной информации, особенно в компаниях, где хорошо развиты различные ИТ-сервисы: в банках, государственных учреждениях, крупных телекоммуникационных и производственных компаниях.
В условиях, когда, с одной стороны, наблюдается рост угроз в корпоративном сегменте, а с другой, усиливается влияние законодательных актов, собственно защита информации становится насущной задачей не только для бизнеса, но и для государства.
Недооценка угроз
Тенденция недооценивать угрозы все еще очень распространена, особенно среди участников рынка, где служба ИБ пока находится в стадии становления. Зачастую компании полагают, что их информация не представляет ценности для злоумышленников, которыми могут оказаться не только внешние агенты, но и инсайдеры.
По словам аналитиков ФБР, практически каждая пятая компания (19%) считает, что на долю инсайдеров приходится свыше 60% всего ущерба от угроз ИБ, а 7% респондентов убеждены, что инсайдеры несут ответственность более чем за 80% всех потерь. Кроме того, свыше трети респондентов (39%) винят инсайдеров более чем в 20% всех своих потерь, связанных с реализацией угроз ИБ. Однако такой высокий уровень опасности не мешает подавляющему большинству организаций (75%) замалчивать утечки и другие внутренние инциденты.
Проактивная и гибкая защита
Как это ни парадоксально, но большинство угроз действительно невидимы. Нередко службы ИБ реагируют на инциденты безопасности слишком поздно. При этом статистика говорит о том, что даже в компании среднего размера в день происходит до 2,5 млрд инцидентов, каждую минуту фиксируется событие! Важно понимать, что поток атак неисчерпаем и представляет собой огромный айсберг, лишь малая часть которого находится над водой.
Естественно, что в такой агрессивной среде реагировать на угрозы постфактум крайне неэффективно. Чтобы принимать адекватные меры для блокирования и устранения угроз, необходимо комплексное решение, контролирующее события безопасности и определяющее их значимость. Проактивной защиты в режиме реального времени требуют внешний и внутренний периметр сети, Web-приложения, удаленные рабочие места, данные на переносных устройствах. Администраторам очень важно уметь грамотно выстраивать процессы управления столь большим количеством событий безопасности и максимально упрощать эти процессы.
Комплекс Eventia Suite от компании Check Point, в который входят Eventia Analyzer и Eventia Reporter, – это решение для обеспечения безопасности информации и управления событиями (security information and event management, SIEM). Централизованная система анализа событий безопасности и составления отчетов Eventia Suite уменьшает стоимость и сложность управления данными системы безопасности. Eventia Analyzer обеспечивает централизованное сопоставление данных журналов событий безопасности в режиме реального времени, а система подготовки отчетов Eventia Reporter позволяет отслеживать тенденции сетевой активности.
Однако управлять событиями безопасности сложно не только потому, что их насчитывается огромное количество, но и потому, что атаки постоянно меняются и усложняются качественно. Киберпреступность сегодня — это огромный бизнес. За последнее десятилетие выросло целое поколение хакеров-профессионалов, финансово мотивированных и технически хорошо подготовленных. Поэтому для компаний исключительно важно не просто разбирать уже произошедшие инциденты, а строить систему проактивной и гибкой защиты, способную отразить атаки прежде, чем появятся проблемы, и даже до того, как станет известно о потенциальных проблемах и уязвимостях.
Построение системы безопасности организации — процесс непрерывный. Вместе с задачами и структурой бизнес-процессов меняется информационная архитектура, а значит, и сама система ИБ. Угрозы безопасности также не стоят на месте и совершенствуются: все начиналось с подбора паролей, затем появился самораспространяющийся код, уязвимости, трояны и т. п. Чтобы адекватно выдерживать противостояние в этой «гонке вооружений», службам безопасности необходимо сформировать гибкую архитектуру, иметь возможность эффективно управлять политиками безопасности на нескольких уровнях. Созданные на основе единой архитектуры безопасности Check Point решения SmartCenter реализуют все аспекты управления средствами безопасности с единой консоли: от защиты периметра сети, внутренней и web-безопасности до защиты конечных точек сети. Такой комплексный подход обеспечивает лучшие характеристики управления безопасностью и низкую стоимость владения для системы защиты.
Защита пользователей
Очень многие организации, не говоря уже о домашних пользователях, относятся к безопасности конечных точек сети как к необязательной опции и, как правило, ограничиваются защитой периметра или антивирусной защитой. Но известно, что единственный ноутбук, принесенный сотрудником, вернувшимся из командировки, или обычный личный ноутбук способен блокировать работу всей сети. Бывает и обратная ситуация, когда внутри компании или организации рабочая станция защищена мощным межсетевым экраном, однако при подключении устройства к незнакомой сети конфиденциальные данные, которые на нем содержатся, оказываются абсолютно незащищенными и могут быть легко похищены.
Становится очевидно, что уровень защиты ноутбуков недостаточен. Необходимо защищать как подключения (и подключение к Интернету, и удаленный доступ к корпоративным данным), так и непосредственно данные, в том числе на случай кражи носителя (ноутбука, флэш-карты и т.п.). Здесь важно отметить, что 61% потерь данных происходит из-за неспособности компаний усилить политики безопасности.
В данном случае пользователям можно предложить единый клиент безопасности для комплексной защиты конечных точек сети Check Point Endpoint Security. Решение объединяет межсетевой экран, антивирусное и антишпионское ПО, средства контроля доступа к сети (NAC), программный контроль, средства защиты данных и организации удаленного доступа. Единая консоль управления позволяет администраторам легко и уверенно управлять политиками безопасности конечных точек сети.
Сomplex означает «комплексный», а не «сложный и запутанный»
Насколько сложной должна быть система ИБ? Этим вопросом задаются многие руководители предприятий и служб безопасности. Здесь существует по крайней мере два принципиально разных подхода. Сторонники первого придерживаются того, что решения для безопасности должны быть простыми. Достаточно установить традиционный межсетевой экран и антивирус, чтобы бизнес чувствовал себя защищенным. Однако подобная система будет достаточно уязвимой, если не сказать «дырявой».
Есть и другая точка зрения. Безопасность — сложная проблема и требует сложных решений. Действительно, угрозы безопасности постоянно меняются, и системы защиты для компаний всех размеров становятся более сложными. Администраторы недовольны тем, что они вынуждены использовать все большее число продуктов безопасности, аппаратных платформ, консолей управления и систем для ежедневного мониторинга. Сконфигурировать подобную комплексную систему безопасности и заставить все ее компоненты надежно работать — очень нелегкая и недешевая задача.
Эффективно решить все проблемы с ИБ одновременно вряд ли удастся. Важно уметь сфокусироваться на главном и действовать поэтапно. Обычно компаниям вначале следует защитить самое необходимое: шлюзы, рабочие станции, внедрить систему управления и мониторинга. По мере роста и развития бизнеса менеджмент компании и ИТ-администраторы будут предъявлять новые требования и к сервисам, и к производительности системы. Естественно, требования к уровню защиты окажутся более высокими. Соответственно и система ИБ должна быть гибкой и развиваться.
Check Point предлагает в этой сфере новый подход – архитектуру «Программные блейды» (Software blades). По мере появления новых потребностей в существующей системе безопасности будет активироваться новый функционал. Новая архитектура Check Point дает бизнесу единую платформу, на которую можно установить независимые, модульные и совместно взаимодействующие приложения безопасности, или программные блейды: например, межсетевой экран, виртуальную частную сеть (VPN), систему защиты от вторжений (IPS), антивирусное ПО, управление политиками безопасности. Архитектура позволяет заказчикам выбрать нужные программные блейды и затем объединить их в общий, централизованно управляемый шлюз безопасности. Из примерно 20 программных блейдов заказчики могут выбрать нужную защиту и затем динамично настроить шлюзы безопасности для своей сетевой среды.
При этом компания получает не только безопасность, но и простоту, гибкость, масштабируемость. Архитектура «Программные блейды» ориентирована на возможность повторного использования инфраструктуры, наращивания ее возможностей по мере появления новых потребностей. В результате значительно снижается совокупная стоимость владения и сохраняются вложенные инвестиции, что немаловажно в нынешних экономических условиях.