Delfit Blog

Игнорируете ли вы проблемы IT безопасности и предпочитаете ликвидировать последствия от возникающих проблем по мере их возникновения? Это плохая идея. Ниже рассматриваются наихудшие сценарии.

ИТ-безопасность это как страхование: на первый взгляд неразумные траты денег, но до тех пор, пока проблема не возникла.

Учитывая восточнославянский менталитет «авось пронесет», думаю, что данный пост будет особо полезен. Не даром же у нас существуют такие поговорки как: пока гром не грянет, мужик не перекрестится…

Итак, предприятия должны разумно планировать и развертывать технологии IT-безопасности. Точно так же, как водитель не будет страховать ржавую «копейку» 1981 года на $ 1 млн., компания не должна принимать такие меры по обеспечению безопасности, которые стоят больше, чем сама компания.

Многие предприятия склонны игнорировать ключевые меры безопасности и просто ликвидировать последствия, если возникает проблема. Является ли это хорошей идеей? Рассмотрим несколько наихудших сценариев и увидим, как превратить проблему в выгоду.

Игнорирование защиты от вредоносных программ: Зачем тратить деньги на антивирусное программное обеспечение и фильтрацию трафика? Пусть весь мировой вредоносный цифровой поток проходит через рабочие места ваших сотрудников!

Худшее из того, что может произойти: Инфицирование систем вредоносным кодом приводит к полной остановке работы и сделает их доступными для внешних атак и краже данных. К сожалению, вряд ли кто-то извне поможет вам сохранить ваши бизнес-секреты. С другой стороны, некоторые утверждают, что во многих операционных системах, таких как Linux, Macintosh и Windows Vista не нужны сторонние программы защиты от вредоносного кода благодаря встроенным мерам безопасности и/или отсутствию интереса злоумышленников к этим системам. Выбор за вами.

Игнорирование спам-фильтров: Как и защита от вредоносных программ, спам-фильтры довольно дорогостоящи. Они могут даже вызвать потерю легальной электронной почты.

Худшее из того, что может произойти: Почтовые ящики становятся перегруженными спамом, работники тратят время и нервы чтобы вычистить почту от нежелательных писем, что однозначно приводит к снижению производительности труда. Если вы можете спокойно жить в такой ситуации, можете не использовать фильтры. С другой стороны, осуществляя плату за технологии фильтрации, вы стимулируете доработки программного обеспечения, чтобы оно не препятствовало легальным сообщениям.

Неиспользование паролей: Пароли трудно запомнить, ими трудно управлять и это раздражает.

Худшее из того, что может случиться: Простые пароли легко взломать, а сотрудники, как правило, сложные пароли записывают где-то и потом теряют эти записи, создавая реальную угрозу безопасности. На самом деле, если подойти к этому вопросу должным образом, политику безопасности вашей компании можно улучшить. Вместо простого использования паролей, необходимо рассмотреть возможность использования технологий двойной аутентификации, например, биометрии (сканер отпечатков пальцев) или смарт-карт.

Прекращение обучения сотрудников: Обучение стоит дорого и отнимает много времени, что часто раздражает сотрудников.

Худшее из того, что может произойти: неподготовленные сотрудники непреднамеренно могут подвергнуть систему различным типам атак. Обучение, к счастью, может принимать различные формы, от руководства пользователя и веб-справки, до официальных занятий. Определите, какой подход вам больше подходит, анализируйте уровень знаний ваших сотрудников.

Нешифрованные данные на ноутбуке: Шифрование данных может быть неудобным и долговременным процессом. Также, если ключи шифрования теряются, то важные данные тоже могут быть утеряны навсегда.

Худшее из того, что может произойти: Украв ноутбук, воры могут получить доступ к конфиденциальной коммерческой информации. С другой стороны, если ноутбуки не содержат каких-либо важных данных, шифрование не требуется. Проблема решается ограничением удаленного доступа к критически важным данным в защищенной сети. Кроме того, вы можете запретить сотрудникам хранить любые конфиденциальные данные на ноутбуках или любых других портативных устройствах.

Игнорирование проблем беспроводной безопасности: Вы не шифруете данные, передаваемые беспроводным способом, и не сканируете эфир на наличие точек доступа поблизости.

Худшее из того, что может произойти: Ваша беспроводная сеть подвергнется атаке воров данных. Нападающие могут также использовать вашу незащищенную беспроводную сеть в качестве точки проникновения к данным проводной сети. С учетом этих многочисленных угроз, а также относительной простоты и низкой стоимости мер беспроводной безопасности, все-таки необходимо их использовать.

Отключение инструментов сетевой безопасности: Кому нужны брандмауэры, системы обнаружения и предотвращения вторжений и VPN (виртуальные частные сети)?

Худшее из того, что может произойти: Проникнуть в вашу сеть не составит особого труда. Необходимо выбрать методы и технологии защиты исходя из топологии вашей сети и потребности в защите данных.

Игнорирование технологий IT-безопасности это однозначно большой риск. Разумная стратегия состоит в том, чтобы тщательно выбирать технологии и методы, которые наиболее подходят для вашей сети.

Одним словом, за безопасность нужно платить, а за ее отсутствие – расплачиваться!

По материалам itsec.org.ua

Popularity: 1% [?]

Безопасность

 Распечатать запись

Совместная работа систем обнаружения и предотвращения вторжений обеспечивает наибольший уровень безопасности.

Концепция уровневой безопасности имеет ключевое значение для защиты сети любого размера, и для большинства компаний это означает, что необходимо развертывать как системы обнаружения вторжений (IDS) так и системы предотвращения вторжений (IPS). Когда речь заходит о IPS и IDS, вопрос состоит не в том, какие технологии нужно добавить к вашей инфраструктуре безопасности, а в том, что обе необходимы для обеспечения максимальной защиты от вредоносного трафика. В самом деле, разработчики таких систем все чаще объединяют эти две технологии в одном устройстве.

Преимущества IDS

В основном, IDS устройства пассивны, они наблюдают за пакетами данных, передающихся по сети, мониторят определенные порты, сравнивают трафик с определенным набором правил и посылают оповещения, если обнаруживают что-либо подозрительное. IDS может обнаружить несколько видов вредоносного трафика, который может пропустить обычный брандмауэр, включая сетевые атаки на определенные службы, может выдать данные по атакам на приложения, обнаружить попытки неавторизованного доступа и действия вредоносных программ, вирусов, троянов и червей. Большинство продуктов IDS используют несколько методов обнаружения угроз, обычно основанных на определенных сигнатурах и детальном анализе протоколов.

IDS фиксирует события, которые зарегистрированы датчиками в базе данных, генерирует оповещения и посылает их администратору сети. Поскольку IDS дает широкое представление об активности в сети, оно также может быть использовано при выявлении проблем, связанных с политикой безопасности, документировании существующих угроз, а также мешают пользователям нарушать политики безопасности.

Основной недостаток IDS - большое количество ложных срабатываний, некоторый допустимый трафик помечается как вредоносный. Необходима настройка устройства для обеспечения максимальной точности правильных срабатываний при обнаружении угроз с одновременным сведением к минимуму количества ложных срабатываний. Такие устройства должны регулярно подстраиваться к новым угрозам обнаруженным в сети. Также необходима подстройка при изменении структуры сети. Поскольку технологии совершенствовались в последние несколько лет, количество ложных срабатываний уменьшается. Тем не менее, полной их ликвидации при сохранении строгого контроля, добиться невозможно – даже на IPS, которые некоторые считают следующим шагом в эволюции IDS.

IPS Преимущества

В основном IPS имеют все черты хороших IDS, но они также могут остановить опасный трафик при вторжении в сеть. В отличие от IDS, IPS сидят в середине транспортных потоков сети, активно пресекая попытки нападения. Они могут остановить атаки путем отключения сетевого соединения или блокирования сессии пользователя, от которого происходят нападения, блокируя доступ к учетным записям пользователя, IP-адресам или блокирует доступ к хосту, сервису или приложению.

Кроме того, IPS может реагировать на угрозы, обнаруженные в двух других направлениях. Они могут перенастроить другие системы контроля безопасности, такие как брандмауэр или маршрутизатор, чтобы блокировать атаку. Некоторые IPS устройства могут даже применить патчи, если хост имеет особую уязвимость. Кроме того, некоторые IPS могут удалять вредоносное содержимое пакетов, возможно даже удаление зараженного вложения из файла электронной почты до пересылки ее пользователю.

Двойная защита

Поскольку IDS и IPS устройства находятся в разных точках сети, они могут – и должны – быть использованы одновременно. IPS продукты установлены «по периметру» сети и позволяют блокировать атаки немедленно, как, например, атаки червей и вирусов, даже самые новые угрозы могут быть заблокированы. IDS продукты, установленные внутри брандмауэра будет контролировать внутреннюю активность, чтобы противостоять инсайдерским угрозам и придадут большую наглядность в безопасности событий в прошлом и настоящем.

Выбор продукта, который предлагает обе технологии может быть наиболее экономичным и эффективным подходом. В одном устройстве вы можете включить IDS со стороны сети и включить IPS из разных источников. Это практически виртуальные устройства.

По материалам itsec.org.ua

Popularity: 2% [?]

Безопасность

 Распечатать запись

Ответы на наиболее часто задаваемые вопросы о системах NAC(network access control – контроль сетевого доступа).

Что такое NAC? Сетевые системы контроля доступа представляет собой сочетание аппаратных и программных технологий, которые динамически контролирует доступ к сети. Само по себе это не полное решение, но оно работает во взаимодействии с другими системами безопасности, чтобы обеспечить более совершенный уровень безопасности.

В данной статье даны ответы на часто задаваемые вопросы об этой технологии.

NAC продукты непрерывно сканируют компьютеры и другие устройства, которые могут подключаться к сети, и проверяют их соответствие политике безопасности предприятия, разрешают или запрещают доступ, а также обеспечивают карантин и защиту любого устройства.

Где стоит NAC?

NAC может применяться как на шлюзе в сеть, так и внутри сети или конечном устройстве как клиентское программное обеспечение.

Что такое внутрипотоковый (inline) NAC?

Внутрипотоковые NAC устройства могут быть размещены в различных критических точках сети(например, межсетевой экран) и сочетать в себе все элементы NAC – обнаружение, принятие необходимых мер и устранение уязвимых мест – в «одной коробке.

Что такое внепотоковые NAC?

Внепотоковые NAC решения могут находиться вне сети, работая в связке с такими устройствами, как сетевые коммутаторы и маршрутизаторы, и принимают решения в зависимости от сообщений, отправляемых по сети этими устройствами, когда новое устройство подключается к сети и ему предоставляется или запрещается доступ через коммутатор или маршрутизатор.

Кто продает NAC решения?

Большинство решений, реализующие NAC-технологии, основаны на Cisco’s Network Admission Control, Microsoft’s Network Access Protection (NAP) и Trusted Computing Group’s Trusted Network Connect (TNG). Многие производители систем безопасности сетей разработали NAC-решения, основанные на них.

Как они работают друг с другом?

Cisco и Microsoft заключили партнерское соглашение по разработке интероперабельной архитектуры, что позволит NAC от Cisco работать с Microsoft NAP. Однако не планируются какие-либо еще совместные разработки архитектуры.

Что такое TNG?

The Trusted Computing Group было анонсировано в мае 2007 года для взаимодействия TNC и NAP.

Что такое IETF NAC?

Internet Engineering Task Force занимается стандартизацией протоколов, которые являются общими для решений, предлагаемых Cisco, Microsoft и Trusted Computer Group, которая будет основой для одной NAC спецификации.

По материалам itsec.org.ua

Popularity: 2% [?]

Безопасность

 Распечатать запись

Хранить архивы ваших данных в безопасности также важно, как и защищать вашу сеть.

Стихийные бедствия не предупреждают нас о своем визите, так что буря, пожар, землетрясение или другое бедствие может быть особенно разрушительным, когда поражает неподготовленного человека.

Большинство компаний делают регулярно копии своих особо важных данных. Но что произойдет, если резервная копия находятся в офисе, который однажды залило водой?

Простое резервное копирование данных недостаточно. Необходимо предпринять такие шаги, которые будут гарантировать информации живучесть и сохранность после катастрофы.

Вот что нужно делать:

Побольше пессимизма. Попробуйте представить себе наихудшие сценарии возможной катастрофы: инциденты, которые могут разрушить ваши ключевые ИТ-ресурсы. Затем, попробуйте представить себе, каким образом вы будете восстанавливаться после таких разрушительных событий. Определите те данные, которые нужны будут в первую очередь, чтобы была возможность продолжить работу как можно быстрее, а также те архивные данные, которые будут полезны в будущем.

Спланируйте ваши действия. Подходы к архивированию данных можно разделить на две основные категории: внутренние и онлайновые. Оба метода имеют свои преимущества и недостатки. Внутренние архивы обеспечивают контроль за сохранностью и неприкосновенностью данных, но требуют для хранения файлов собственные носители, а также необходимо оборудовать место, где данные будут в безопасности, будут надежно сохранены и в то же время доступны. При онлайн-архивировании автоматически сохраняется важная информация на внешних носителях провайдера, экономя время, необходимое для организации внутреннего резервного копирования. Но при онлайн резервном копировании открытым остается вопрос безопасности и надежности провайдера.

Выберите носитель. Если Ваша компания будет использовать внутреннюю стратегию резервного копирования, вы должны выбрать носитель. На протяжении многих лет предприятия используют различные средства резервного копирования, такие как дискеты, кассеты для стриммера, компакт-диски и так далее. Сегодня, лучшим выбором для резервного копирования большинства предприятий является DVD. Эти диски компактны, недороги, относительно прочны и совместимы. Портативные USB/eSATA устройства хранения данных являются еще одной альтернативой носителя, но они являются более дорогими и сложными в организационном плане.

Сейчас внешние жесткие диски с высокой пропускной способностью продаются по вполне доступной цене и многие предприятия осуществляют резервное копирование данных путем копирования файлов с компьютера на внешний жесткий диск. Это не плохая идея в краткосрочной перспективе, потому что данные сохраняются относительно быстро и резервное копирование можно выполнять несколько раз в день. Но архивы должны сохраняться и длительное время, поэтому требуется носитель, который может быть физически перемещен в другое помещение. В конце концов, вы же не хотите, чтобы пожар, наводнение или другое стихийное бедствие разрушило основные и резервные данные одновременно.

Создание резервных копий. Используя технологии резервного копирования, которые Вы выбрали, в первую очередь делайте архивы данных, которые не могут быть быстро восстановлены: данные о клиентах, финансовая документация и собственное программное обеспечение. С другой стороны, не имеет смысла тратить время и свободное пространство на носителе, сделав копии широко распространенных и открытых данных.

Создайте и придерживайтесь графика резервного копирования. Данные, которые крайне важны, должны архивироваться в почасовом или даже более частом режиме, в то время как другие данные могут быть архивированы с периодом от одного дня до недели. Посмотрите на ваши данные и определите, какие файлы являются наиболее важными. Необходимо определить, какие данные нужно архивировать часто (особо значимые данные для работы предприятия), а какие редко, потому что они редко изменяются.

Выберите безопасное и надежное место. Если вы храните резервные копии в сети(онлайн), вам нужно будет выбрать провайдера(датацентр) для хранения данных. Выберите провайдера, который находится вдали от вашего предприятия, и находится в таком месте, которое делает хранение данных безопасным и одновременно доступным. Если ваше предприятие находится недалеко от реки или океана, выберите стратегию внутреннего хранения. Если Ваша компания находится вблизи лесных массивов, что делает его уязвимым от стихийного огня, посмотрите в сторону удаленных провайдеров. Возможные места хранения – удаленный офис со спутниковой связью, банковский сейф или защищенное хранилище (архив). Наиболее дорогостоящим методом хранения особо ценных и часто изменяемых данных является построение геокластера. Постройте на большом расстоянии точно такое же хранилище данных, как и на вашем предприятии и соедините их защищенным оптоволоконным каналом связи (желательно с резервированием). Данные в основном хранилище должны автоматически дублироваться в резервное хранилище. Иногда расстояния между такими удаленными «близнецами» может исчисляться тысячами километров, но если Ваши данные стоят дороже – то цель оправдывает средства.

Резервное копирование являются жизненно важным ключом для восстановления деятельности предприятия после аварии, но оно принесет пользу, только если данные будут храниться безопасно и доступно для быстрого восстановления.

По материалам itsec.org.ua

Popularity: 2% [?]

Безопасность

 Распечатать запись

Botnet’ы! Сама мысль о botnet-инфицированных компьютерах в офисе, краже данных, хостинге мошеннических веб-сайтов и участие в DoS атаках способна вызвать достаточную панику у любого руководителя. Это не удивительно, потому что botnet’ы в настоящее время считается одним из ведущих Интернет-угроз безопасности.

Эта статья предназначена для того, чтобы доступно изложить основную информацию о том, как такие вредоносные сети создаются и управляются – это поможет вам не стать ее жертвой.

Botnet(буквально – сеть зомби) – это набор компьютеров, которые были инфицированы программными роботами. Зараженные системы могут быть объединены в сеть “зомби”, которые выполняют различные команды автоматически по сигналу от удаленных командиров (”botmaster“). Например, червь Storm, который распространяется через спам, является наиболее распространенным botnet-агентом и его распространенность в период «расцвета» по разным оценкам колебалась от 1 млн. до 25 млн. компьютеров. Суммарная мощность сети Storm сравнима с мощью суперкомпьютеров и при организации нападений на любой веб-сайт сеть не оставит ему никаких шансов на существование.

Были предприняты различные попытки для уничтожения или подчинения сети Storm, но вредоносная программа оказалась удивительно устойчивой. Еще хуже, пока эксперты по безопасности пытались сражаться со Storm’ом, появилась более серьезная угроза: Nugache. Как и Storm, Nugache является сетью, спроектированной для создания неупорядоченных атак.

Угрозы Botnet-сетей

Botnet может подвергнуть зараженный им компьютер, а также другие компьютеры, расположенные с зараженным в одной сети, различным угрозам, в том числе:

Spyware: зомби можно приказать контролировать и похитить личные или финансовые данные.

Adware: Зомби можно дать команду загружать и отображать рекламные сообщения. Некоторые зомби заставляют браузеры инфицированных систем посещать определенные веб-сайты.

Спам: Большинство нежелательной почты отправляется от зомби. Владельцы зараженных компьютеров, как правило, даже не представляют, что их машина используется для совершения преступлений.

Фишинг: Зомби могут использовать компьютер как площадку для размещения фишинг-сайтов.

DoS атаки: Наиболее опасная угроза от сетей зомби это организация распределенной DoS атаки, которой тяжело противодействовать, поскольку один зараженный компьютер передает другому(и так по всей сети) команду отсылать массовые запросы для организации перегрузки определенного веб-сайта.

Обнаружение и борьба с Botnet’ами

Поскольку botnet-атаки используют различные методы, необходимы различные инструменты для обнаружения вредоносных программ и смягчения их последствий, в том числе:

Анти-вредоносные программы: Анти-вредоносные программы могут прекратить действие вредоносной программы-червя и запретить пользователям скачивать их. Они могут произвести проверку системы на наличие червей, троянских коней и других типов угроз.

IDS’ы (системы обнаружения вторжений): Обнаружив отклонения от обычного трафика в сети, IDS может определить начала DoS атаки, предоставляя сетевому администратору время принимать ответные действия, например, блокировать IP-адреса, с которых происходит атака.

IPS’ы (системы предупреждения вторжений): IPS предназначены принимать немедленные решения – такие, как блокировка определенных IP-адресов – по мере возникновения отклонения от нормального трафика, что, вероятно, ослабит воздействие DoS атаки. ASIC (application-specific integrated circuit – специализированная интегральная схема) на основе IPS – мощное средство для глубокого анализа, необходимое для выявления и блокирования DoS атаки, функционирующее как автоматический выключатель.

Honeypot: Данная технология заключается в намеренном предоставлении «слабого места» в сети для привлечения вероятных атак. Это может отвлечь внимание сетевых червей, пытающихся зомбировать сеть, от критически важных машин в сети. Этот метод используется для получения раннего предупреждения о нападении. Кроме того, honeypot дает возможность экспертам проанализировать методы проникновения вредоносных программ, выявить слабые места в сетевой безопасности, что позволяет правильно подобрать средства воздействия на попытки внедрения вредоносного кода или отражения DoS атаки.

Botnet’ы вряд ли когда-нибудь исчезнут. Все признаки указывают на то, что они со временем станут только сильнее. Бдительность и актуальность антивредоносных программ и принятие неотложных мер по смягчению последствий нападения являются наилучшими средствами, которые можно предпринять.

По материалам itsec.org.ua

Popularity: 3% [?]

Безопасность

 Распечатать запись