Всегда легче предотвратить беду, чем исправлять ее последствия. Отсутствие в компании инструментов контроля веб-трафика может привести к плачевным результатам. При этом средства контроля должны быть не только многофункциональными и надежными, но и максимально простыми в установке, настройке и поддержке.
Интернет-трафик остается одним из наиболее серьезных источников угроз информационной безопасности, с которыми сталкиваются компании любого размера и рода деятельности. Более того, потенциальная опасность бесконтрольного использования сотрудниками корпоративного трафика растет из года в год. На смену статическим сайтам пришли интерактивные веб-ресурсы с обновляемой в реальном времени информацией, веб-приложения, социальные сети, блоги и множество других источников контента, зачастую бесконтрольно генерируемого обычными пользователями. Что же касается злоумышленников, то и они не сидят без дела, а продолжают усложнять алгоритмы атак и совершенствовать вредоносное ПО, маскируя и защищая его от обнаружения. Но самой большой проблемой был и остается человеческий фактор. Чаще всего сотрудники компаний, сами того не зная, посещают зараженные сайты, переходят по ссылкам в фишинговых письмах или во вредоносных сообщениях в соцсетях, открывая несанкционированный доступ в корпоративную сеть и к содержащимся в ней ресурсам, в том числе конфиденциальным и критически важным для бизнеса.
По различным аналитическим данным, в тех компаниях, где не обеспечивается должным образом контроль веб-трафика и защита сетевого периметра, вредоносным ПО заражено от 50 до 75% рабочих компьютеров. А если учесть все шире распространяемую модель BYOD (Bring Your Own Device), в число зараженных попадают не только корпоративные, но и личные устройства пользователей — ноутбуки, планшеты, смартфоны. Из этих компьютеров злоумышленники создают бот-сети, которые затем используются для рассылки спама, целенаправленных распределенных атак и других киберпреступлений.
Давно миновали те времена, когда вредоносное ПО создавалось хакерами-одиночками из «спортивного» интереса, а атаки на интернет-ресурсы компаний совершались лишь затем, чтобы продемонстрировать ИТ-специалистам уязвимости в защите. Киберпреступность сегодня — это прибыльная индустрия, построенная по тем же принципам, что и легальный ИТ-рынок. Существуют «теневые» группы разработчиков, специализирующихся на написании вредоносного ПО. Их «продукты» может приобрести любой желающий, причем покупателям нередко гарантируется «защита» вредоносного ПО от детектирования популярными средствами информационной безопасности. Появляются не только абсолютно новые способы и алгоритмы атак, но активно модернизируются уже существующие и испытанные временем. Такие угрозы, как подмена сайта или адреса DNS-сервера, заражение «законопослушной» программы вредоносным кодом, а также целенаправленные DDoS-атаки по-прежнему не теряют своей актуальности. В этой ситуации специалистам по информационной безопасности необходимо помнить о постоянном росте и увеличении количества атак, а также учитывать тот факт, что сами пользователи очень слабо осведомлены о правилах безопасной работы в Сети. Поэтому вся ответственность ложится на сотрудников ИБ-отделов, выбирающих решения для защиты корпоративной сети и ИТ-инфраструктуры.
Продукты для защиты интернет-трафика выпускаются многими разработчиками, и одним из безусловных лидеров на этом рынке является компания Cisco, решения которой используются по всему миру на протяжении многих лет. Они могут быть развернуты абсолютно в любой среде — в центре обработки данных, в головном офисе компании, в удаленном филиале и т. д.
В продуктовом портфеле Сisco имеется целый ряд инструментов для защиты веб-трафика, но мы хотели бы рассказать об одной линейке — программно-аппаратных шлюзах Web Security Appliance. Их аналитические возможности базируются на разработках группы по исследованиям и аналитике информационной безопасности Talos Security Intelligence and Research Group — ведущей в отрасли организации, специализирующейся на аналитике угроз. Важно отметить, что Talos располагает самой крупной в мире распределенной сетью обнаружения угроз.
Технологии Talos Group позволяют анализировать огромный объем телеметрических данных, получаемых от Cisco. Речь идет о многих миллиардах электронных писем и веб-запросов, образцах вредоносного программного кода, а также о примерах сетевых атак. Talos Group ежедневно исследует приблизительно 16 млрд. веб-запросов, проводит их тщательный анализ и выпускает обновления для баз безопасности, которые синхронизируются со всеми устройствами Web Security Appliance. Исследовательский центр Talos ежесуточно публикует около 8 млн. описаний новых угроз. Благодаря тому, что анализ и выпуск обновлений осуществляется практически в режиме реального времени, шлюзы Web Security Appliance способны защитить пользователя от любых инцидентов, в том числе от атак «нулевого дня». Фактически данные решения обеспечивают защиту на протяжении всего «жизненного цикла» атаки. До ее совершения выполняются регулярная синхронизация и обновление списков безопасных сайтов и доверенных соединений, в ходе нападения — анализ файлов «на лету», а если атака уже совершена, то с помощью Web Security Appliance можно в кратчайшие сроки проанализировать ее последствия и дать рекомендации по устранению уязвимостей, которыми воспользовались злоумышленники.
Помимо защиты от атак и мониторинга угроз, шлюзы Web Security Appliance предоставляют возможность полностью контролировать веб-трафик, генерируемый сотрудниками компании. Системные администраторы и специалисты по информационной безопасности могут установить любые, в том числе максимально детализированные пользовательские политики доступа. Достаточно сказать, что Web Security Appliance поддерживает огромное количество приложений. С помощью политик безопасности можно ограничить использование как приложений целиком, так и их отдельных функций (чат, обмен сообщениями, пересылка файлов, передача видео и аудио и т. д.), внести ограничения по времени работы с ними и пропускной способности интернет-канала. Это означает, что системному администратору не придется блокировать приложение или веб-сайт полностью, вызывая тем самым негативную реакцию сотрудников, однако он может свести к минимуму риски от использования того или иного ресурса.
В ряду угроз информационной безопасности присутствуют не только внешние атаки, но и внутренние, инсайдерские утечки. В Web Security Appliance имеются встроенные функции предотвращения таких утечек (DLP), которые можно настроить в соответствии с контекстными правилами. Кроме того, шлюз может быть интегрирован с DLР-cистемами от сторонних производителей. Интеграция реализуется посредством протокола проверки и контроля трафика ICAP.
Устройства Web Security Appliance могут защищать сеть предприятия от внешних атак и внутренних утечек как самостоятельно, так и в составе комплексного интегрированного решения, включающего в себя другие разработки Cisco: систему Advanced Malware Protection для обнаружения и отражения «на лету» вредоносного кода; Cognitive Threat Analytics — средство расширенного анализа лог-файлов, получаемых от Web Security Appliance; Cisco Cloud Web Security — облачное решение для защиты SaaS-сервисов; Cisco OpenDNS — облачный сервис по анализу DNS-запросов, а также ряд других продуктов.
Развертывание Web Security Appliance в корпоративной сети осуществляется достаточно быстро и удобно. Кроме того, важно отметить, что Cisco WSA поставляется не только в программно-аппаратном исполнении, но и в виде виртуальной машины.
Линейка Web Security Appliance включает в себя несколько моделей, различающихся мощностью аппаратных ресурсов. Для крупных предприятий предназначена модель S680, поддерживающая работу от 6 до 12 тыс. пользователей, для средних компаний — S380 (1,5–6 тыс. пользователей), а для малого бизнеса — S170 (до 1,5 тыс. пользователей). Для достижения полной отказоустойчивости и резервирования рекомендуется устанавливать не менее двух устройств WSA. Как внедрение, так и последующую поддержку решений Cisco по защите веб-трафика осуществляют локальные партнеры вендора, в частности компания Softline, в штате которой работает достаточное количество сертифицированных инженеров.
Как обосновать для бизнеса необходимость использования такого рода решений? На наш взгляд, простое перечисление возможностей и функций вряд ли станет решающим аргументом. Гораздо нагляднее оказывается подсчет убытков, которые ежедневно или ежечасно теряет компания по причине выхода из строя сетевых ресурсов либо вследствие кражи или утечки конфиденциальной информации.
Годовой отчет Cisco по информационной безопасности за 2016 год