SMB и информационные угрозы
Используются несколько методик классификации компаний по масштабам деятельности: законодательное соответствие критериям для организаций, претендующих на статус малого предприятия, общепризнанная деловая практика в той или иной отрасли, наконец, международные критерии. С точки зрения информационной безопасности эти методики не представляют особой ценности, так как на большинстве предприятий информационные системы лишь обеспечивают основную деятельность. При классификации компаний лучше исходить из числа компьютеризированных рабочих мест, объема и ценности обрабатываемой информации.
Мы рассмотрим современные тенденции обеспечения ИБ небольших предприятий. Усредненный портрет подобной организации таков: число компьютеризированных рабочих мест варьируется от 10 до 100, возможна филиальная структура офисов и наличие удаленных сотрудников. Оставим за скобками требования закона «О персональных данных», но компаниям, расцениваемым как операторы ПД, придется их учитывать при выборе и построении ИБ-систем.
Все угрозы можно условно разделить на внутренние и внешние. К первым относятся целенаправленные или случайные действия сотрудников компании, а вторые связаны с обстоятельствами, которые руководству организации неподконтрольны. Если угрозы первой группы можно нивелировать организационными мерами, то предотвращение внешних угроз требует весьма разносторонних усилий.
Малые предприятия становятся объектами хакерских атак не столько с целью доступа к конфиденциальной информации, сколько ради получения контроля над их вычислительными ресурсами. Конечно, попавшие в руки злоумышленникам ценные данные (ПИН-коды, пароли к системам Интернет-банкинга, учетные данные сотрудников и т.п.) не будут ими выброшены за ненадобностью, но превращение локальной сети предприятия в зомби-сеть (ботнет) может принести киберпреступникам неплохой постоянный заработок.
В свою очередь, сеть предприятия, особенно его Web-сайт, становится объектом атаки со стороны ботнетов. По данным Андрея Бугаенко, директора по информационным технологиям компании «Синтерра», стоимость атаки класса DDoS, проводимой с помощью ботнетов, начинается от 30 долл. За 100 долл. в день злоумышленники готовы организовать атаку, мощность которой эквивалентна потоку запросов от 100 до 400 Мбит/с.
Малая стоимость и высокая эффективность DDoS-атак делают беззащитными Web-сайты практически всех компаний, вне зависимости от их масштабов. В приведенном примере жертвой оказался один из многочисленных туроператоров. Подтверждением высокого уровня угрозы DDoS-атак можно считать тот факт, что в первом десятке запросов «Яндекса» на эту тему половина связана с поиском инструментов для их осуществления.
Арсенал киберпреступников изменился мало, для установления контроля над ПК используются троянские программы, сетевые черви и классические вирусы. Как цели атак небольшие предприятия в таких случаях ничем не отличаются от владельцев домашних компьютеров. Вряд ли кто-то из хакеров с целью создания ботнета станет целенаправленно взламывать сеть конкретной компании, насчитывающей всего несколько десятков машин. Зато произошли заметные перемены в способах внедрения вредоносного кода на компьютеры. «Топорные» рассылки зараженных файлов через электронную почту заметно утратили былую эффективность. На первое место вышли методы, основанные на заманивании пользователей на ложные Web-ресурсы, которые являются очагами заражения.
При оценке информационных рисков для SMB не стоит забывать о целенаправленных атаках. Это могут быть попытки не только блокировать работу сайтов, как в случаях с DDoS-атаками, но и получать скрытый доступ к данным путем непосредственного проникновения на компьютеры, перехвата сетевого трафика и сообщений электронной почты. Справедливости ради отметим, что такие действия требуют высокой квалификации злоумышленников и стоят довольно дорого. К тому же сортировка и анализ похищенной информации представляют собой неординарные задачи с негарантированным результатом.
В общем случае основные информационные риски небольших компаний заключаются в попадании их ИТ-инфраструктур под контроль ботнетов и в нарушении нормальной работы при целевых атаках типа отказа в обслуживании. Последняя угроза становится все более актуальной по мере того, как Интернет-бизнес набирает обороты, а многие предприятия переносят свою деятельность в Глобальную сеть.
Стратегия защиты
Очень часто можно услышать, что выработка стратегии информационной защиты представляет собой уникальную задачу, при решении которой необходимо учитывать особенности бизнеса компании. Это абсолютно справедливо для крупных предприятий, чьи информационные риски также отличаются большой индивидуальностью. А вот небольшим фирмам вполне можно порекомендовать универсальную стратегию обеспечения ИБ. Для этого вспомним, какие специфические особенности в области ИТ присущи таким компаниям.
Во-первых, это отсутствие квалифицированного ИТ-персонала. Небольшое предприятие редко может похвастать хотя бы одним таким сотрудником; обычно роль ИТ-администратора играет или продвинутый пользователь, или приходящий системный администратор, у которого на обслуживании — еще с десяток фирм. По данным Батыра Шихмурадова, менеджера управления продуктового маркетинга «Лаборатории Касперского», 87% небольших компаний не имеют штатного ИТ-специалиста. В этом случае говорить о выделенном специалисте по ИБ просто неприлично. По данным исследования компании «Софтинформ», проведенного в прошлом году на предприятиях разного масштаба, в 35% из них вообще никто не отвечает за обеспечение ИБ, в 33% эта обязанность возложена на ИТ-отделы, и лишь в 19% ИБ является предметом заботы специализированного отдела или подразделения внутренней безопасности.
Во-вторых, у малых предприятий попросту отсутствует ИТ-бюджет: они чаще всего живут по правилу «пока гром не грянет». Любой системный администратор, работающий в небольшой фирме, может немало рассказать о том, как ему приходится по крупицам изыскивать внутренние резервы, например, для «оживления» компьютера в бухгалтерии.
В-третьих, следует упомянуть низкий уровень компьютерной грамотности пользователей, действия которых зачастую являются основной угрозой для информационной безопасности. Страсть офисных работников к социальным сетям, сетевым играм и чатам стала настоящей эпидемией, и помимо прямой потери рабочего времени это приводит к открытию путей для распространения вредоносного кода.
Сводя воедино информационные угрозы SMB-предприятий и их реальный потенциал в ИТ-области, можно выработать некоторые стратегические рекомендации. Конечно, невозможно гарантированно защититься от всех видов угроз. В области ИБ действует известное правило «80–20», согласно которому для устранения 80% угроз следует затратить лишь 20% ресурсов, а для решения оставшихся 20% задачи потребуется выделение 80% ресурсов. Как показывает практика, основные информационные угрозы для малых и средних компаний могут быть предотвращены достаточно простыми и проверенными методами.
Значительную долю проблем снимают установка и правильная настройка (это главное!) обычного маршрутизатора и межсетевого экрана. С их помощью легко осуществляются надежная фильтрация трафика и блокировка нежелательных сервисов. Очень полезна функция анализа «на лету» содержимого трафика для выявления вредоносного программного кода. Для упорядочивания пользования ресурсами Глобальной сети и контроля над действиями сотрудников необходимо установить корпоративный proxy-сервер.
Особое внимание следует уделять защите почтовых сервисов компании, для чего нужно контролировать трафик и на сервере, и на рабочих местах пользователей. Впрочем, заметная часть малых предприятий, даже имеющих свои домены в Интернете, предпочитают пользоваться публичными почтовыми сервисами или услугами хостинг-провайдеров. По данным Батыра Шихмурадова, только 23% компаний данной категории имеют почтовый сервер внутри офиса.
Разумеется, нельзя забывать об установке антивирусного программного обеспечения на компьютерах пользователей. Необходимо настроить сами компьютеры, ведь в настройках ОС Windows «по умолчанию» содержится слишком много лазеек для злоумышленников.
Проблематично реализовать в рамках обороны сети SMB лишь защиту от атак, вызывающих отказ в обслуживании. Решение этой проблемы лучше отдать на аутсорсинг оператору связи.
Все перечисленные методы защиты хорошо известны, но остается главный вопрос: как и в какой комбинации ими следует пользоваться?
Пути решения вопросов защиты
Малые и средние компании отличаются большой гибкостью при решении вопросов информационной защиты. Они могут выбирать различные аппаратные комплексы, специализированное ПО или обращаться к внешним поставщикам, предоставляющим услуги ИБ.
«Железная» оборона
Аппаратные решения для защиты небольших локальных сетей представлены, главным образом, в категории UTM (Unified Threat Management). Им был посвящен наш обзор «В расчете на средние потребности», который был опубликован в феврале 2009 года, но с той поры на рынке появились новые устройства, заслуживающие внимания.
Компания Check Point Software Technologies буквально на днях анонсировала обновление устройств для небольших заказчиков. В их числе указывается и решение Safe@Office N. Индекс N подчеркивает, что в данной серии оборудования реализована поддержка стандарта IEEE 802.11n.
Клиентам предлагаются шесть моделей, ориентированных на различное число пользователей и имеющих разные наборы интерфейсов. Все модели имеют одинаковую функциональность и могут реализовать комплексную защиту на базе функций межсетевого экрана, антивируса и антиспама, фильтрации Web-трафика и предотвращения вторжений Check Point SmartDefense. По заверениям представителей компании, эта система позволяет защищать сети предприятий от атак типа «отказ в обслуживании». SmartDefense дает возможность контролировать работу с Интернет-ресурсами пользователей, задействующих, к примеру, FTP, системы мгновенных сообщений или одноранговые файлообменные сети.
Израильская компания PineApp предлагает аппаратное решение SeCure-SoHo для защиты сетей, насчитывающих до 100 пользователей. В него интегрированы межсетевой экран с поддержкой VPN, механизм фильтрации Web-трафика, а также самостоятельное решение Mail-SeCure, служащее для антивирусной и антиспамовой защиты почтовых серверов. По данным PineApp, почтовая защита основана на 11 алгоритмах антиспама и обеспечивает точную фильтрацию до 98,5% входящей почты. Устройство поддерживает многоуровневую защиту от вирусов, в том числе благодаря эвристическому механизму обнаружения саморазмножающихся вирусов. В SeCure-SoHo реализованы политики управления ИТ-безопасностью.
Отечественный разработчик Dr.Web выпустил решение Office Shield, которое основано на аппаратной платформе высокой степени надежности и позиционируется как сервер централизованной антивирусной и антиспамовой защиты рабочих станций и файловых серверов Windows, почтового и Интернет-трафика. Предлагаются две модели, поддерживающие до 50 и 250 пользователей.
В состав Dr.Web Office Shield входит решение Enterprise Suite, которое обеспечивает централизованную защиту компьютеров и серверов, модуль для Интернет-шлюзов Unix, защищающий доступ внутренних пользователей к ресурсам Сети. В платформу включен модуль Dr.Web Mail Gateway, предназначенный для антивирусной и антиспамовой защиты почтового трафика. Стандартными модулями системы являются межсетевой экран, VPN-сервер, DHCP и DNS-серверы. Есть встроенная точка доступа WiFi.
Мягко, но надежно
Программные решения для комплексного обеспечения ИБ сегодня столь же популярны, как и аппаратные аналоги. Рассмотрим некоторые из этих продуктов, по нашему мнению, наиболее подходящие для SMB-предприятий.
Российская компания Entensys предлагает UserGate Proxy&Firewall — решение для организации общего доступа к Интернету из локальной сети, учета трафика и защиты корпоративной сети от внешних угроз. В него включены антивирусные модули «Лаборатории Касперского» и Panda Security, которые сканируют сетевой трафик всех типов, в том числе почтовый, Web- и FTP-трафик. В дополнение к антивирусной проверке в UserGate имеется межсетевой экран для блокировки вторжений извне.
Встроенный модуль фильтрации трафика BrightCloud обеспечивает блокировку доступа к нежелательным ресурсам как по отдельности, так и по группам сайтов. UserGate позволяет контролировать приложения на клиентских машинах, разрешая или запрещая им доступ к Интернету. С помощью UserGate можно организовать доступ к Сети сотрудников компании через proxy-сервер, одновременно работая с несколькими Интернет-провайдерами. В решение включена поддержка протоколов IP-телефонии, что дает возможность создать защищенную коммуникационную инфраструктуру предприятия.
Kaspersky Small Office Security предназначен для комплексной защиты рабочих станций и серверов под управлением операционной системы Windows. Этот продукт поставляется как коробочная версия и включает в себя все необходимые компоненты для быстрой установки и запуска, поэтому, утверждают представители «Лаборатории Касперского», для работы с ним не понадобятся специальные ИТ-навыки.
В данном комплекте реализованы новое антивирусное ядро, которое обеспечивает высокий уровень обнаружения угроз, а также эвристический анализатор, блокирующий новые вредоносные программы. Компаниям, имеющим несколько офисов, а также серверы под управлением Linux, «Лаборатория Касперского» рекомендует создавать ИБ-решения на основе продукта Kaspersky Open Space Security. В него входят средства централизованного управления антивирусной защитой Kaspersky Administration Kit наряду с приложениями, защищающими рабочие места и серверы Windows.
Решение Kerio под названием WinRoute Firewall может применяться на предприятиях разного масштаба. Этот многофункциональный продукт обеспечивает не только firewall уровня приложений, хорошую антивирусную защиту и блокировку трафика Р2Р, но и управление деятельностью сотрудников компании в Интернете. Для этих целей предусмотрены механизмы определения политик и прав доступа, мониторинга Интернет-трафика и фильтрации Web-контента. Небольшим предприятиям будет полезна функция управления полосой пропускания для пользователей и возможность подключения по резервному каналу. Для удаленных сотрудников WinRoute Firewall поддерживает удобные в работе VPN-соединения. Имеется версия продукта и для использования поверх платформы VMware.
Trend Micro предлагает полностью русифицированный продукт Worry Free Business Security, разработанный с учетом потребностей небольших предприятий. В него включены все необходимые технологии защиты — антивирусная и противошпионская защита, персональный межсетевой экран, система обнаружения сетевых атак, ограничение доступа к Web-сайтам на основе категорий и путем оценки репутации URL, автоматическое выявление компьютеров без критических обновлений Windows. В продукте реализована технология SmartScan, призванная снизить вычислительную нагрузку на рабочие станции и адаптировать скорость сканирования к текущему уровню загрузки процессора.
Как отмечают в Trend Micro, при разработке этого решения преследовалась цель сделать централизованное управление простым и прозрачным, попутно автоматизировав рутинные операции, что позволило бы обойтись без квалифицированного администратора. Обеспечить безопасность электронной переписки может Advanced-версия Worry Free Business Security, которая включает в себя модуль для корпоративного почтового сервера.
Если малой компании повезло, и в ее распоряжении имеется хороший системный администратор, то для решения ИБ-проблем он может собрать систему из бесплатных продуктов, работающих на UNIX-платформах. Если же его квалификация не позволяет самостоятельно заняться столь нетривиальной задачей, он может воспользоваться какой-либо из бесплатных или условно-бесплатных сборок. Сейчас доступно множество комплексных решений, таких как SmoothWall, IPCop, eBox, SME Server и другие (можно отметить сборку ClarkConnect, которая с прошлого года называется ClearOS).
Помощь извне
По мнению многих специалистов, в России малые и средние компании не демонстрируют особого спроса на услуги ИБ-аутсорсинга. Делегирование функций всегда вызывает определенный скепсис у руководителей российских предприятий, вне зависимости от их масштаба. По сведениям, опубликованным в журнале «Директор ИС», большая часть специалистов в области ИБ склоняются к тому, чтобы передавать сторонним организациям фильтрацию контента, защиту от массовых вирусных эпидемий и DDoS-атак. При этом отмечается необходимость всесторонней юридической проработки договоров, содержащих четкие требования SLA.
В свою очередь, операторы связи готовы предоставлять такие услуги. По мнению Барта Стаеленса, директора по стратегическому маркетингу в России и СНГ компании Orange Business Services, передача функций обеспечения ИБ на аутсорсинг единому провайдеру телекоммуникационных и ИТ-услуг имеет существенные преимущества. Это начинают все больше осознавать корпоративные заказчики, ведь помимо уверенности в качестве и надежности услуг к таким преимуществам относится минимизация расходов за счет отсутствия необходимости в покупке специального оборудования и содержании высококвалифицированных специалистов.
Схожего мнения придерживается Леонид Гуштуров, генеральный директор компании «Комкор», предоставляющей услуги под торговой маркой «Акадо Телеком». По его словам, у небольших предприятий часто нет возможности обеспечивать качественную защиту информации, поскольку для этого требуется приобрести оборудование, нанять специалистов и заботиться о своевременной поддержке средств защиты. Однако интерес к таким услугам растет пропорционально развитию корпоративных ИТ-систем и повышению квалификации пользователей. Чем больше возможностей у тех и других, тем больше внимания приходится уделять вопросам безопасности, и использование предлагаемых операторами услуг защиты информации позволяет решать их максимально эффективно.
«Акадо Телеком» предоставляет услуги обеспечения информационной безопасности на основе как индивидуального, так и централизованного инструментария защиты. Эти услуги включают в себя защиту от наиболее распространенных видов атак, пакетную фильтрацию трафика клиентов и фильтрацию трафика разных сервисов. Кроме того, предусмотрена функциональность proxy и NAT, поддерживается организация VPN.
Для небольших предприятий Orange предлагает пакетное решение Easy Office, в которое входят элементы обеспечения ИБ. Эта же компания подготовила решение Internet Umbrella для эффективной круглосуточной защиты сети заказчика от DDoS-атак на уровне оператора связи, которое за счет превентивных мер предотвращает атаки на Web-ресурсы клиента, а также позволяет ресурсам сети функционировать даже в условиях активно проводимой DDoS‑атаки. Это решение предназначено преимущественно для крупных организаций, но может использоваться и для нужд среднего и малого бизнеса.
«Синтерра» имеет в своем пакете предложений для корпоративных клиентов услугу противодействия сетевым атакам, которая, в первую очередь, направлена на предотвращение DDoS-атак. Противодействие организуется с помощью специальной системы защиты на основе комбинации продукта Arbor Peakflow SP и собственной разработки, отвечающей за непрерывный мониторинг трафика. При появлении пакетов подозрительного трафика включается механизм его блокировки и очистки. По свидетельству сотрудников «Синтерры», благодаря этому решению удалось вовремя предотвратить DDoS-атаки на ряд известных сайтов Рунета.
Корпоративным клиентам предоставляют услуги отражения DDoS-атак и еще ряд операторов, таких как «РТКомм», «Билайн», ТТК, «Уралсвязьинформ». По данным «РТКомм», стоимость этих услуг начинается от 6 тыс. руб. в месяц.
Большое распространение получают «облачные» сервисы обеспечения ИБ. В конце прошлого года Cisco приобрела поставщика SaaS-услуг ScanSafe и сегодня предлагает операторам связи воспользоваться его решениями. По сути, операторы становятся посредниками между сервисом ScanSafe, обеспечивающим доступ в «чистый» Интернет, и клиентами, которым они предоставляют этот сервис от своего имени. Для реализации такой схемы работы ScanSafe передает оператору связи специальное приложение NetSuite, которое представляет собой CRM-систему, интегрированную с автоматизированной системой расчетов за услуги Security SaaS. По мнению Алексея Лукацкого, бизнес-консультанта по безопасности Cisco, данная схема работы выгодна для всех сторон. Операторы могут предоставлять новые услуги без существенных капиталовложений, а абоненты получают высокий уровень защиты информационных ресурсов с фиксированной и заранее прогнозированной стоимостью.
Trend Micro предлагает услугу Worry-Free Business Security Services, которая ориентирована на централизованную защиту территориально-распределенных компаний и предприятий с большим числом сотрудников, работающих вне офиса. Для защиты электронной почты можно воспользоваться услугой Hosted E-mail Security, позволяющей очищать почтовый трафик от вирусов и спама без загрузки корпоративных серверов. Все операции проверки и защиты осуществляются автоматически в дата-центрах Trend Micro.
Symantec уже не первый год предоставляет сервис MessageLabs Hosted Web Security, который действует на уровне доступа к Интернету. Основным назначением этого сервиса является перехват вирусов, шпионских программ и блокирование других видов угроз еще до их проникновения в сеть компании. В рамках услуги предусмотрены блокировка доступа к нежелательным сайтам и поддержка удаленно работающих сотрудников.
Как мы видим, на рынке назревает перелом в области обеспечения информационной безопасности SMB-предприятий. Поставщики продуктов и услуг уже готовы к грядущим переменам. Все больше компаний осваивают Интернет как площадку для ведения бизнеса, и для них важно строить ИБ-защиту так, чтобы этот процесс не превратился в их основную заботу. В конечном счете, бизнесу важен не процесс, а результат.