Давайте поговорим про методы и технологии, которые помогают обеспечить безопасность периметра сети и предотвратить несанкционированный доступ к сетевым ресурсам. Цель - предоставить конкретный чеклист с рекомендациями, которые необходимо реализовать для обеспечения защиты данных.
1) Защитите инфраструктурные сервисы на периметре- Используйте выделенное решение для защиты почты. Это означает, что вашей организации следует использовать специализированное программное обеспечение или сервис для защиты электронной почты от спама, фишинга, а также проверять вложения и ссылки на предмет их заражений (делать это можно в “песочнице” - про это ниже).
- Используйте выделенное решение для защиты Web сервисов. Специальный Web Application Firewall (WAF), детектирующий основные виды атак именно на веб.сервисы, защита от ботов, защита от DDoS (атак класса “отказ в обслуживании”). Последнее лучше всего использовать как сервис оператора связи.
- Система инвентаризации (сканирования) периметра и обнаружения уязвимостей - External Attack Surface Management. Лучше всего использовать готовую платформу и получать уведомления об отклонениях/обнаружении новых неизвестных сервисов, доступных со стороны интернета (будь то сервер, каталог или доменное имя).
2) Защитите пользователей от Интернета и сегментируйте сеть- Контролируйте трафик пользователей на базе периметрового шлюза NGFW (МСЭ нового поколения, который умеет разбирать протоколы и распознавать разных пользователей).
- Включите HTTPS инспекцию. HTTPS (HyperText Transfer Protocol Secure) — это защищённый протокол передачи данных, который обеспечивает шифрование трафика между клиентом и сервером. HTTPS инспекция позволяет проверять даже зашифрованный трафик на наличие вредоносных программ и других угроз.
- Для пользователей блокируйте нежелательные ресурсы. Это означает, что ваша система безопасности блокирует доступ к определённым веб-сайтам и другим ресурсам, которые могут представлять угрозу для вашей сети.
- Блокируйте скачивание исполняемых (или других подозрительных) файлов без проверки. Исполняемые файлы — это файлы, которые могут запускать программы на вашем компьютере. Блокировка скачивания таких файлов помогает предотвратить распространение вредоносного программного обеспечения.
- Выполните интеграцию с «песочницей». Песочница — это изолированная среда, в которой можно запускать подозрительные файлы и программы, чтобы проверить их на наличие вредоносного кода. Интеграция с песочницей позволяет автоматически проверять файлы, загружаемые пользователями, на наличие угроз.
- Используйте контроль приложений (Application Control), модули антивируса и IPS (Intrusion Prevention System) — это позволит различать программы и потоки данных от них, при этом выделять в трафике попытки атак и вторжений и блокировать их. На базе этих модулей можно создать матрицу доступа для работы пользователей, прописав только те приложения и данные, с которыми им разрешено работать.
- Примените политику фильтрации на основе географических фильтров (Geo Policy). С учетом современных реалий фильтрация по адресам стран и регионов может существенно упростить защиту сети от атак.
- Разграничьте доступ между сегментами сети даже внутри сети с помощью межсетевого экрана, который контролирует потоки данных.
3) Организуйте безопасный удаленный доступ- Публикуйте приложения на МСЭ только через инструменты проксирования (proxy) с дополнительным контролем подключений и защитой.
- Используйте защищенный доступ - VPN , PAM системы, чтобы публиковать сервисы для удаленных пользователей, не делайте это напрямую.
- Используйте двухфакторную аутентификацию на случай кражи или компрометации пароля пользователя.
- Проверяйте, что подключающиеся пользователи соответствуют минимальным требованиям политики безопасности в частности защиты рабочих мест (NAC = Network Admission Control) в рамках концепции Zero Trust Access (доступ с нулевым уровнем доверия).
Подробнее об удаленном доступе и важные аспекты его защиты “на коленке” мы писали в
статье “Как безопасно(!) работать с подрядчиками”.
4) Следите, чтобы всегда был мониторинг и реагирование- Анализируйте журналы работы средств защиты (обычно на базе SIEM платформы или аналогичной) на предмет ложных срабатываний и выявления аномалий. False positive — это ложное уведомление системы безопасности, когда она ошибочно идентифицирует безопасный трафик как угрозу. Анализ логов, докрутка правил фильтрации, позволяет выявлять и устранять false positive, чтобы минимизировать нагрузку на дежурных специалистов, а также ускорить разбор инцидентов безопасности.
- Запланируйте регулярные проверки. Регулярные проверки позволяют убедиться, что ваша система безопасности работает эффективно и предотвращает потенциальные угрозы. Как минимум надо проверять, что работают как сами СЗИ (средства защиты), так и интерфейсы между ними (отправляют журналы, есть интеграция МСЭ и песочницы и т.д.)
- Используйте NTA/NDR решение. NTA (Network Traffic Analysis) и NDR (Network Detection and Response) — это технологии, которые анализируют сетевой трафик и обнаруживают аномалии и угрозы. Подобные платформы используются вместо NGFW или совместно с ними как второй уровень контроля, чтобы оперативно выявлять попытки кибератак и выигрывать время для своевременного предотвращения их последствий.
5) Не пренебрегайте обучением пользователей!- Есть мнение, что безопасность должна быть “социоцентричной” - то есть ориентирована на людей. Мы придерживаемся этого же мнения. Сотрудники должны знать, что можно, а что нельзя, необходимо вкладываться в их обучение. Как минимум должны быть понятные регламенты работы.
- Программа повышения осознанности сотрудников в вопросах информационной безопасности (awareness) необходима, чтобы снизить зависимость компании от случайных инцидентов на местах, усилить самое слабое и уязвимое звено (сотрудников). Делается это как учебными теоретическими курсами, так и практическими тестами на усвоение материала и распознавание социотехнических атак (фишинга).
Безопасность периметра сети является критически важным элементом для защиты информации и данных организации от угроз. Современные средства безопасности, такие как NGFW, обеспечивают комплексную защиту от различных типов атак и сетевых угроз. Развертывание NGFW поможет повысить безопасность сети и сократить риски утечки данных, сохраняя целостность и конфиденциальность информации. Поэтому важно инвестировать в современные технологии безопасности периметра сети для обеспечения защиты от постоянно возрастающих киберугроз.
Технологии и решения в информационной безопасности - сложная и тяжелая тема, разбираться в которой самостоятельно может быть долго и непродуктивно. Именно поэтому мы предлагаем вам бесплатную экспертную консультацию, которая даст вам конкретные шаги для организации надежной защиты данных.