Тема IT безопасности сегодня одна из ключевых в организации любого бизнеса. Как защитить важную информацию, как организовать безопасный обмен данными, как обьединить локально разграниченные офисы, как сохранить безопасную работу с корпоративной почтой, — это далеко не полный список вопросов, которые стоят перед управленцами как на старте, так и в разгаре хозяйственной деятельности. Учитывая скорость информатизации бизнеса и темпы развития навыков вредителей различных масштабов, разработчики программного обеспечения также предлагают рынку множество продуктов, ориентироваться в смысле и назначении которых становится все тяжелее с каждым днем. Давайте попробуем в этой публикации рассмотреть самые базовые фрагменты IT инфраструктуры современной компании, которые следует обезопасить в первую очередь, и виды защиты, которые наиболее подходят для этих случаев.

Рабочие станции пользователей

Конечно же, рабочие компьютеры сотрудников являются основным источником привлечения проблем в корпоративную сеть обмена данными, и именно их защитой, как правило, занимаются антивирусные программы. Антивирус обнаруживает нехарактерные активности, сравнивает их с базой угроз и предпринимает (либо советует предпринять) различные сценарии действий: переместить в карантин, заблокировать и т д. Некогда считалось, что этого вида защиты будет достаточно для того, чтобы работать спокойно и без угроз. Но, к сожалению, разработчики антивирусного программного обеспечения идут на шаг позади злоумышленников, которые постоянно совершенствуют свой вредоносный код, и нам всем стоит задуматься над усилением защиты IT периметра другими средствами и методами.

Корпоративная почта

После нашумевших вирусных атак, которые остановили работу множества компаний Украине, многие обращают особое внимание вопросам безопасности работы с электронной почтой. Защита корпоративной почты от вирусного кода — очень важная часть информационной безопасности. Частично с этой миссией справляются антивирусные программы, но в случаях с вирусами шифровальщиками они оказываются бесполезными, так как действия злоумышленников разворачиваются в другой, неподвластной обнаружению антивирусами, плоскости. Выявлять аномальные активности и сообщать о них призваны DLP-системы, которые постоянно занимаются мониторингом активностей в локальной сети.

Переносные устройства информации и переносные компьютеры

Многие аудиты айти-безопасности начинаются с того, что аудитор просит подключить в локальную сеть его персональный ноут-бук (либо же подключить его флешку к компьютеру, который находится в сети). Конечно же этого категорически делать нельзя, поскольку надежность переносного устройства всегда под сомнением. Оно может принести в локальную сеть вредоносный код и запустить необратимые процессы уничтожения данных, например. Решают в современном бизнесе эти вопросы по-разному: запрещают использовать переносные накопители, подключают переносные компьютеры только в гостевую изолированную сеть, административно ограничивают обмен конфиденциальными данными, предварительно шифруя информацию. Но кроме административных мер помогают контролировать процесс обмена информацией DLP- системы, они обнаруживают потенциально опасные процессы (например, он отлавливает пересылку по почте файла, который содержит в названии ключевое слово «конфиденциально»), и сигнализируют об опасности. И тут мы подходим к важному вопросу — кто же должен реагировать на такие тревоги? Что происходит дальше, после того, как сработала DLP система? Далее в работу вступают SIEM системы, они в реальном времени обеспечивают анализ событий (тревог) безопасности, которые исходят от сетевых устройств и приложений, и обеспечивают реакцию до того, как будет нанесен существенный ущерб инфраструктуре предприятия (например, будет удалена/передана ключевая для бизнеса информация).

Базы данных

Не стоит забывать и о защите баз данных, решения для обеспечение защиты баз данных от угроз, которые находятся в локальной сети, и которые идут из-вне — серьезный вызов для специалистов по безопасности. Например, мало кто уделяет много внимания процессу внесения изменений в инфраструктуру. А именно во время изменений (миграций, обновлений, дополнительных настроек) сильно возрастает риск возникновения ситуаций, которые грозят потерей баз данных. Очень важно иметь регламент внесения изменений, который будет содержать пункты, как минимум, о предварительном резервировании, а также алгоритм тестирований после внесения каких-либо изменений. Конечно же не стоит забывать также и о защищенном подключении к базам данных, которые находятся, например, в облаке. Ведь тысячи ботов постоянно сканируют просторы интернета на предмет выявления каких-то уязвимостей или стандартных паролей.

Это не все цели злоумышленников, есть еще веб-сервисы, интернет-банки и удаленные сервера, работу которых также необходимо анализировать и включать в план по обеспечению безопасности инфраструктуры. В следующих публикациях мы рассмотрим детальнее структуру близкой к идеалу схемы обеспечения IT безопасности предприятия и поделимся информацией о программных продуктах, которые помогают ее реализовывать.

А пока мы очень надеемся, что эта информация будет Вам полезной и заставит еще раз обратить внимание на вопрос IT безопасности и его особенности сегодня. Ведь темп информатизации бизнеса в Украине только за последние годы показал сумасшедшую динамику, а такие сопутствующие вопросы, как управление IT инфраструктурой, защиту от угроз, анализ стоимости владения и учет затрат на поддержание только начинают тревожить руководителей и владельцев.  И очень важно сейчас понимать, что безопасность айти — это не только антивирусы и специальное программное обеспечение, это в первую очередь планирование и систематизированное управление инфраструктурой, обучение и административное сопровождение пользователей инфраструктуры и грамотное внесение изменений в нее.