Понятие локальной сети• Телекоммуникации и связь » Компьютерная сеть » Локальная вычислительная сеть
Понятие локальной сети• Телекоммуникации и связь » Компьютерная сеть » Локальная вычислительная сеть
изображение: dall-e
Локальная Вычислительная Сеть• Телекоммуникации и связь » Компьютерная сеть » Локальная вычислительная сеть (ЛВС• Телекоммуникации и связь » Компьютерная сеть » Локальная вычислительная сеть, LAN• Телекоммуникации и связь » Компьютерная сеть » Локальная вычислительная сеть — Local Area Network• Телекоммуникации и связь » Компьютерная сеть » Локальная вычислительная сеть) — это
объединение вычислительных устройств в единую информационную сеть с
использованием средств проводной или беспроводной связи.
Термин «Локальная сеть• Телекоммуникации и связь » Компьютерная сеть » Локальная вычислительная сеть» подразумевает территориальную (локальную)
ограниченность LAN• Телекоммуникации и связь » Компьютерная сеть » Локальная вычислительная сеть. Обычно это один офис или здание, реже – несколько близко
расположенных зданий.
ЛВС• Телекоммуникации и связь » Компьютерная сеть » Локальная вычислительная сеть необходима для того, чтобы объединить компьютеры• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Вычислительная техника » Компьютер
• Высокие технологии » Информационные технологии и телекоммуникации » Вычислительная техника » Компьютер в единую рабочую систему,
с помощью которой можно совместно использовать необходимые ресурсы (сетевой
принтер, сканер• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Вычислительная техника » Компьютер » Многофункциональное устройство
• Высокие технологии » Информационные технологии и телекоммуникации » Вычислительная техника » Компьютер » Многофункциональное устройство, файловое хранилище, доступ в Интернет• Телекоммуникации и связь » Компьютерная сеть » Интернет » Доступ в интернет и др.). Локальная сеть• Телекоммуникации и связь » Компьютерная сеть » Локальная вычислительная сеть
легко масштабируется и настраивается под текущие потребности компании.
Вместе с удобством ЛВС• Телекоммуникации и связь » Компьютерная сеть » Локальная вычислительная сеть идут и некоторые риски безопасности• Безопасность. Если все
компьютеры• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Вычислительная техника » Компьютер
• Высокие технологии » Информационные технологии и телекоммуникации » Вычислительная техника » Компьютер находятся в одной сети и в ней не настроен соответствующий уровень
безопасности• Безопасность, злоумышленнику не составит труда получить к ней доступ и в
дальнейшем скомпрометировать всю инфраструктуру организации.
Риски ИБ• Безопасность » Информационная безопасность в корпоративных сетях• Телекоммуникации и связь » Компьютерная сеть
Некорректная настройка политик, устаревшее оборудование, низкая квалификация
сотрудников — эти и другие факторы потенциально могут повлечь за собой риски
ИБ• Безопасность » Информационная безопасность. Можно выделить следующие главные риски:
Утечка конфиденциальной информации
Потеря или недоступность критичных данных
Распространение компрометирующих сведений
Уменьшение доверия к компании
Существует несколько стратегий управления рисками. Лучше всего не допускать
реализации риска, а для этого следует заниматься постройкой процессов ИБ• Безопасность » Информационная безопасность в
своей инфраструктуре.
Архитектура сети
Безопасность• Безопасность начинается с безопасной архитектуры. Существует множество
рекомендаций по настройке безопасной инфраструктуры в организации. Можно
выделить следующие лучшие практики:
Сегментация сети
Главной рекомендацией считается грамотная сегментация сети и разграничение
доступа. Популярной является трехуровневая структура:
На первом уровне будет находиться DMZ-зона, в которой будут находиться
публичные сервисы. Здесь также должны находиться межсетевые экраны• Безопасность » Компьютерная безопасность » Межсетевые экраны
• Информационные технологии » Информатика » Защита информации » Компьютерная безопасность » Межсетевые экраны
• Телекоммуникации и связь » Сети передачи данных » Сетевое оборудование » Межсетевой экран,
балансировщики нагрузки, веб-сервера• Телекоммуникации и связь » Компьютерная сеть » Серверы » Веб-серверы для обработки запросов и пограничные
маршрутизаторы
Второй уровень сегмент приложений (APP). Здесь данные передаются
веб-приложениям• Телекоммуникации и связь » Компьютерная сеть » Интернет » Веб-программирование » Веб-приложение, которые будут выполнять основную логику сервиса
Третий уровень сегмент баз данных (DB). Здесь могут находиться
различные БД, с которыми взаимодействуют приложения. Это могут быть каталоги
LDAP, хранилища крипто-ключей и паролей, базы данных SQL
2. Мониторинг сети• Телекоммуникации и связь » Компьютерная сеть » Управление компьютерной сетью » Мониторинг компьютерной сети
Для осуществления защиты информации• Информационные технологии » Информатика » Защита информации нужен непрерывный процесс мониторинга
событий ИБ• Безопасность » Информационная безопасность. Для этого компания может воспользоваться услугами SOC
(организовать свой или купить внешний). Аналитики SOC могут оперативно
реагировать на возникающие угрозы и принимать меры против распространения ВПО
по сети или компрометации инфраструктуры злоумышленниками. Важно отметить, что
для детектирования продвинутых атак у аналитиков SOC должны быть
соответствующие компетенции, т.к. зачастую логов с одного СЗИ может быть
недостаточно для вынесения вердикта, а автоматических правил корреляции для
новых угроз может на быть.
3. Установка СЗИ
Мониторинг сети• Телекоммуникации и связь » Компьютерная сеть » Управление компьютерной сетью » Мониторинг компьютерной сети невозможен без правильного выбора оборудования. На конечных
устройствах должны быть установлены DLP-системы, антивирусы• Безопасность » Компьютерная безопасность » Антивирусы
• Информационные технологии » Информатика » Защита информации » Компьютерная безопасность » Антивирусы и EDR. Внутри
подсетей должны быть установлены сетевые экраны• Телекоммуникации и связь » Сети передачи данных » Сетевое оборудование » Межсетевой экран IDS• Безопасность » Компьютерная безопасность
• Информационные технологии » Информатика » Защита информации » Компьютерная безопасность/IPS системы, системы NTA.
На периметре сети должны располагаться NGFW, Email• Коммуникации » Интернет-коммуникации » Электронная почта Security, WAF и пр.
Таким образом можно сформировать модель базовой настройки сети:
В данном примере идет разделение сети на уровни DMZ, приложений и данных.
Между уровнями сети стоят сетевые экраны• Телекоммуникации и связь » Сети передачи данных » Сетевое оборудование » Межсетевой экран, на конечных точках установлены АВЗ и
EDR.
Средства защиты информации в локальных сетях• Телекоммуникации и связь » Компьютерная сеть » Локальная вычислительная сеть
На рынке существует множество решений СЗИ. Некоторые возникли в последнее
время, другие существуют на рынке уже десятки лет. Некоторые решения могут
дублировать функционал других или же отличаться только названием. В данном
разделе будут рассмотрены только основные СЗИ, и будет сделан акцент на
задачах, которые они решают.
Межсетевые экраны• Безопасность » Компьютерная безопасность » Межсетевые экраны
• Информационные технологии » Информатика » Защита информации » Компьютерная безопасность » Межсетевые экраны
• Телекоммуникации и связь » Сети передачи данных » Сетевое оборудование » Межсетевой экран нового поколения (NGFW)
Межсетевые экраны• Безопасность » Компьютерная безопасность » Межсетевые экраны
• Информационные технологии » Информатика » Защита информации » Компьютерная безопасность » Межсетевые экраны
• Телекоммуникации и связь » Сети передачи данных » Сетевое оборудование » Межсетевой экран служат первой линией защиты, фильтруя входящий и исходящий
трафик на основе заданных правил безопасности• Безопасность. NGFW интегрирован с системами
IDS• Безопасность » Компьютерная безопасность
• Информационные технологии » Информатика » Защита информации » Компьютерная безопасность/IPS. Основное его отличие от FW — это то, что NGFW фильтрует трафик на
уровне приложений. Тем самым злоумышленник не сможет, например, направить
вредоносный трафик на другой порт и обойти защиту Firewall• Телекоммуникации и связь » Сети передачи данных » Сетевое оборудование » Межсетевой экран.
Anti-DDoS• Безопасность » Компьютерная безопасность » Атаки и эксплойты » Ddos-атака
• Информационные технологии » Информатика » Защита информации » Компьютерная безопасность » Атаки и эксплойты » Ddos-атака
Средства защиты от DDoS-атак• Безопасность » Компьютерная безопасность » Атаки и эксплойты » Ddos-атака
• Информационные технологии » Информатика » Защита информации » Компьютерная безопасность » Атаки и эксплойты » Ddos-атака предназначены для обнаружения и смягчения
распределенных атак, направленных на исчерпание ресурсов сети. Они могут
применяться для защиты критически важных сервисов и приложений, особенно тех,
которые доступны из Интернета. Эти решения могут включать в себя фильтрацию
трафика и распределение нагрузки.
Sandbox-решения
Sandbox-решения изолируют подозрительное содержимое, например, вложения в
электронных письмах• Коммуникации » Интернет-коммуникации » Электронная почта, в безопасной среде для анализа. Это позволяет выявить
вредоносное ПО до его запуска в локальной сети• Телекоммуникации и связь » Компьютерная сеть » Локальная вычислительная сеть. Такие решения полезны для
защиты от фишинга• Безопасность » Информационная безопасность » Фишинг
• Телекоммуникации и связь » Компьютерная сеть » Интернет » Фишинг
• Государство » Законы и право » Теория государства и права » Отрасль права » Информационное право » Компьютерные преступления » Преступления в сфере информационных технологий » Фишинг и других атак через электронную почту.
Сетевые шлюзы
Сетевые шлюзы служат точками доступа между различными сетями и могут выполнять
функции фильтрации трафика, шифрования и управления доступом. Они могут
использоваться для обеспечения безопасной связи между локальной сетью• Телекоммуникации и связь » Компьютерная сеть » Локальная вычислительная сеть и
внешними ресурсами, а также для контроля доступа к Интернет-ресурсам.
Средства АВЗ
Антивирусные программы• Безопасность » Компьютерная безопасность » Антивирусы
• Информационные технологии » Информатика » Защита информации » Компьютерная безопасность » Антивирусы необходимы для обнаружения и удаления вредоносного ПО
на устройствах в локальной сети• Телекоммуникации и связь » Компьютерная сеть » Локальная вычислительная сеть. Они могут работать в режиме реального
времени, сканируя файлы и процессы. Работают АВЗ по сигнатурному анализу, они
хороши в обнаружении известных угроз, но зачастую не могут обнаружить
продвинутые атаки злоумышленников.
NTA (Network Traffic Analysis• Математика » Математический анализ)
NTA-системы выявляют атаки с помощью комбинации способов: машинное обучение• Информационные технологии » Искусственный интеллект » Машинное обучение
• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Искусственный интеллект » Машинное обучение
• Высокие технологии » Информационные технологии и телекоммуникации » Искусственный интеллект » Машинное обучение,
поведенческий анализ, правила детектирования, индикаторы компрометации. Они
позволяют обнаруживать атаки как на ранних стадиях, так и когда злоумышленник
уже проник в инфраструктуру. Также NTA-системы анализируют трафик в
инфраструктуре организации, где зачастую действия злоумышленника могут
остаться незамеченными.
DLP (Data Loss Prevention)
Системы предотвращения утечек данных помогают контролировать и защищать
конфиденциальную информацию, предотвращая ее несанкционированный доступ и
утечку. DLP-решения могут анализировать трафик и действия пользователей, чтобы
предотвратить утечку данных• Государство » Законы и право » Теория государства и права » Отрасль права » Информационное право » Компьютерные преступления через различные каналы (например, электронная
почта• Коммуникации » Интернет-коммуникации » Электронная почта, USB-накопители• Информационные технологии » Информатика » Носитель информации » USB-носитель).
IDS• Безопасность » Компьютерная безопасность
• Информационные технологии » Информатика » Защита информации » Компьютерная безопасность/IPS системы
Системы обнаружения и предотвращения вторжений (IDS• Безопасность » Компьютерная безопасность
• Информационные технологии » Информатика » Защита информации » Компьютерная безопасность/IPS) отслеживают сетевой
трафик• Телекоммуникации и связь » Сети передачи данных » Сетевой Трафик на предмет подозрительной активности и могут реагировать на
потенциальные угрозы. IDS• Безопасность » Компьютерная безопасность
• Информационные технологии » Информатика » Защита информации » Компьютерная безопасность просто уведомляет администраторов о проблемах, тогда
как IPS может блокировать трафик в реальном времени.
EDR (Endpoint Detection and Response)
EDR (Endpoint Detection and Response) — это категория решений, предназначенных
для обнаружения и анализа вредоносной активности на конечных устройствах,
таких как рабочие станции, серверы и устройства Интернета вещей. В отличие от
антивирусных программ• Безопасность » Компьютерная безопасность » Антивирусы
• Информационные технологии » Информатика » Защита информации » Компьютерная безопасность » Антивирусы, которые сосредоточены на борьбе с распространенными и
стандартными угрозами, EDR-решения направлены на выявление целенаправленных
атак и сложных угроз. Тем не менее, EDR не может полностью заменить
антивирусные решения, так как обе технологии• Технологии решают разные задачи в области
ИБ• Безопасность » Информационная безопасность.
Каждое из этих средств защиты информации играет важную роль в обеспечении
безопасности локальных сетей• Телекоммуникации и связь » Компьютерная сеть » Локальная вычислительная сеть и может быть адаптировано в зависимости от
специфики организации и ее потребностей.
Актуальные угрозы ИБ• Безопасность » Информационная безопасность
Рассмотрим основные угрозы ИБ• Безопасность » Информационная безопасность, а также меры, которые могут защитить от этих
угроз:
DDoS-атаки• Безопасность » Компьютерная безопасность » Атаки и эксплойты » Ddos-атака
• Информационные технологии » Информатика » Защита информации » Компьютерная безопасность » Атаки и эксплойты » Ddos-атака (Distributed Denial of Service• Безопасность » Компьютерная безопасность » Атаки и эксплойты » Ddos-атака
• Информационные технологии » Информатика » Защита информации » Компьютерная безопасность » Атаки и эксплойты » Ddos-атака)
Атака, при которой злоумышленники пытаются перегрузить сетевые ресурсы,
отправляя огромное количество запросов с множества источников. Это может
привести к недоступности сервисов и ресурсов в локальной сети• Телекоммуникации и связь » Компьютерная сеть » Локальная вычислительная сеть.
Защищают:
NGFW
Anti-DDoS• Безопасность » Компьютерная безопасность » Атаки и эксплойты » Ddos-атака
• Информационные технологии » Информатика » Защита информации » Компьютерная безопасность » Атаки и эксплойты » Ddos-атака
WAF
Облачные решения
Man-in-the-Middle• Безопасность » Компьютерная безопасность » Атаки и эксплойты » Человек посередине
• Информационные технологии » Информатика » Защита информации » Компьютерная безопасность » Атаки и эксплойты » Человек посередине
• Информационные технологии » Информатика » Защита информации » Криптография » Криптографические атаки » Человек посередине (MitM• Безопасность » Компьютерная безопасность » Атаки и эксплойты » Человек посередине
• Информационные технологии » Информатика » Защита информации » Компьютерная безопасность » Атаки и эксплойты » Человек посередине
• Информационные технологии » Информатика » Защита информации » Криптография » Криптографические атаки » Человек посередине)
Злоумышленник перехватывает и изменяет коммуникации между двумя сторонами без
их ведома. Это может произойти, например, через незащищенные Wi-Fi-сети или с
помощью подмены маршрутизаторов.
Защищают:
NGFW
IDS• Безопасность » Компьютерная безопасность
• Информационные технологии » Информатика » Защита информации » Компьютерная безопасность/IPS
VPN
Сильные алгоритмы шифрования• Информационные технологии » Информатика » Защита информации » Криптография » Шифры » Алгоритм шифрования
Spoofing-атаки
Спуфинг• Безопасность » Компьютерная безопасность » Атаки и эксплойты
• Информационные технологии » Информатика » Защита информации » Компьютерная безопасность » Атаки и эксплойты — это атаки, в которых злоумышленник выдает себя за того, кем он не
является. Подмена может осуществляться через электронную почту, IP• Телекоммуникации и связь » Компьютерная сеть » Интернет » Протокол передачи данных » TCP/IP » IP-адрес, DNS• Телекоммуникации и связь » Компьютерная сеть » Интернет » DNS, и
т.д. Например, суть атаки ARP-spoofing• Безопасность » Компьютерная безопасность
• Информационные технологии » Информатика » Защита информации » Компьютерная безопасность в том, что злоумышленник отправляет
ложные ARP-сообщения в локальную сеть• Телекоммуникации и связь » Компьютерная сеть » Локальная вычислительная сеть, чтобы связать свой MAC-адрес• Информационные технологии » URI » MAC-адрес с
IP-адресом• Телекоммуникации и связь » Компьютерная сеть » Интернет » Протокол передачи данных » TCP/IP » IP-адрес другого устройства. Подобные атаки позволяют перехватывать трафик и
потенциально выполнять вредоносный код• Безопасность » Компьютерная безопасность » Компьютерный вирус
• Информационные технологии » Информатика » Защита информации » Компьютерная безопасность » Компьютерный вирус.
Защищают:
NGFW
NTA
Port Security
Сетевые сканирования и подслушивание (Sniffing)
Злоумышленники могут использовать инструменты для сканирования сети и
перехвата данных, передаваемых по незащищенным протоколам, таким как FTP или
HTTP.
Защищают:
NGFW
IDS• Безопасность » Компьютерная безопасность
• Информационные технологии » Информатика » Защита информации » Компьютерная безопасность/IPS
NTA
Вредоносные программы• Информационные технологии » Информатика » Защита информации
• Безопасность » Компьютерная безопасность » Компьютерный вирус
• Информационные технологии » Информатика » Защита информации » Компьютерная безопасность » Компьютерный вирус (Malware)
Вредоносное ПО, такое как вирусы• Безопасность » Компьютерная безопасность » Компьютерный вирус
• Информационные технологии » Информатика » Защита информации » Компьютерная безопасность » Компьютерный вирус
• Безопасность » Компьютерная безопасность » Компьютерный вирус » Вирусы и черви
• Информационные технологии » Информатика » Защита информации » Компьютерная безопасность » Компьютерный вирус » Вирусы и черви, черви• Безопасность » Компьютерная безопасность » Компьютерный вирус » Вирусы и черви
• Информационные технологии » Информатика » Защита информации » Компьютерная безопасность » Компьютерный вирус » Вирусы и черви и трояны, может быть внедрено в
локальную сеть• Телекоммуникации и связь » Компьютерная сеть » Локальная вычислительная сеть через зараженные устройства или электронные письма• Коммуникации » Интернет-коммуникации » Электронная почта. Они могут
повредить данные, украсть информацию или создать боты для дальнейших атак.
Защищают:
Средства АВЗ
Межсетевые экраны• Безопасность » Компьютерная безопасность » Межсетевые экраны
• Информационные технологии » Информатика » Защита информации » Компьютерная безопасность » Межсетевые экраны
• Телекоммуникации и связь » Сети передачи данных » Сетевое оборудование » Межсетевой экран
Фишинг• Безопасность » Информационная безопасность » Фишинг
• Телекоммуникации и связь » Компьютерная сеть » Интернет » Фишинг
• Государство » Законы и право » Теория государства и права » Отрасль права » Информационное право » Компьютерные преступления » Преступления в сфере информационных технологий » Фишинг
Злоумышленники могут попытаться обманом получить доступ к учетным записям
пользователей через поддельные веб-сайты или электронные письма• Коммуникации » Интернет-коммуникации » Электронная почта, что может
привести к компрометации учетных данных и доступу к локальной сети• Телекоммуникации и связь » Компьютерная сеть » Локальная вычислительная сеть.
Защищают:
Средства АВЗ
Решения типа Sandbox
Обучение сотрудников
Эксплуатация уязвимостей
Злоумышленники могут использовать известные уязвимости в программном
обеспечении• Безопасность » Компьютерная безопасность » Атаки и эксплойты
• Информационные технологии » Информатика » Защита информации » Компьютерная безопасность » Атаки и эксплойты или операционных системах• Информационные технологии » Информатика » Программирование » Платформы программирования » Операционные системы
• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Программирование » Платформы программирования » Операционные системы
• Высокие технологии » Информационные технологии и телекоммуникации » Программирование » Платформы программирования » Операционные системы для получения несанкционированного
доступа к системам в локальной сети• Телекоммуникации и связь » Компьютерная сеть » Локальная вычислительная сеть.
Защищают:
EDR
NTA
Утечки данных• Государство » Законы и право » Теория государства и права » Отрасль права » Информационное право » Компьютерные преступления
Сотрудники могут случайно или намеренно передавать конфиденциальные данные
внешним лицам, например, отправляя информацию по электронной почте• Коммуникации » Интернет-коммуникации » Электронная почта или
загружая ее в облачные хранилища.
Защищают:
DLP
Мониторинг и аудит доступа
Устаревшее ПО
Использование устаревшего программного обеспечения и операционных систем• Информационные технологии » Информатика » Программирование » Платформы программирования » Операционные системы
• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Программирование » Платформы программирования » Операционные системы
• Высокие технологии » Информационные технологии и телекоммуникации » Программирование » Платформы программирования » Операционные системы может
привести к уязвимостям, которые злоумышленники могут использовать для атак на
локальную сеть• Телекоммуникации и связь » Компьютерная сеть » Локальная вычислительная сеть.
Защищают:
Системы аудита активов
Системы управления уязвимостями
Заключение
В данной статье были рассмотрены основные средства защиты информации• Информационные технологии » Информатика » Защита информации, показаны
риски ИБ• Безопасность » Информационная безопасность и решения для управления этими рисками. В заключение успешное
обнаружение и предотвращение скрытых угроз в локальных сетях• Телекоммуникации и связь » Компьютерная сеть » Локальная вычислительная сеть требует
комплексного подхода, который включает в себя как технологические решения• Технологии, так
и организационные меры. Важно понимать, что ИБ• Безопасность » Информационная безопасность — это не результат, а
непрерывный процесс.
ⓘ
Автор: «РТ-Информационная безопасность• Безопасность » Информационная безопасность»
Единый центр компетенций в сфере технологического обеспечения корпоративной
системы информационной безопасности• Безопасность » Информационная безопасность Государственной корпорации «Ростех• Объект организация » Организации по алфавиту » Организации на Ро » Ростех (Ростехнологии)» и ее
организаций. АО «РТ-Информационная безопасность• Безопасность » Информационная безопасность» — организация прямого
управления Государственной корпорации «Ростех• Объект организация » Организации по алфавиту » Организации на Ро » Ростех (Ростехнологии)». Мы выделяем особую значимость
вопросу защиты информационных систем критической, в том числе промышленной
инфраструктуры и реализуем задачи в соответствии с указаниями руководства
страны• Государство в рамках обновленной Концепции национальной безопасности• Безопасность » Национальная безопасность
• Государство » Национальная безопасность Российской
Федерации.
