Головна  /  Програми  /  1 найбільша загроза для корпоративних мереж пов'язана. Системи мережної безпеки класу UTM

1 найбільша загроза для корпоративних мереж пов'язана. Системи мережної безпеки класу UTM

Програми
05.09.2021

Відразу зазначимо, що системи захисту, яка 100% дасть результат на всіх підприємствах, на жаль, не існує. Адже з кожним днем ​​з'являються нові способи обходу і злому мережі (будь вона або домашня). Однак той факт, що багаторівневий захист - все ж кращий варіантдля забезпечення безпеки корпоративної мережі залишається незмінним.

І в цій статті ми розберемо п'ять найбільш надійних методів захисту інформації у комп'ютерних системах та мережах, а також розглянемо рівні захисту комп'ютера у корпоративній мережі.

Однак відразу обмовимося, що найкращим способомзахисту даних у мережі є пильність її користувачів. Всі співробітники компанії, незалежно від робочих обов'язків, повинні розуміти, і головне - дотримуватися всіх правил інформаційної безпеки. Будь-який сторонній пристрій (чи телефон, флешка або диск) не повинен підключатися до корпоративної мережі.

Крім того, керівництву компанії слід регулярно проводити бесіди та перевірки з техніки безпеки, адже якщо співробітники недбало ставляться до безпеки корпоративної мережі, то ніякий захист їй не допоможе.

Захист корпоративної мережі від несанкціонованого доступу

  1. 1. Отже, насамперед необхідно забезпечити фізичну безпеку мережі. Тобто доступ у всі серверні шафи та кімнати повинен бути наданий строго обмеженій кількості користувачів. Утилізація жорстких дисківі зовнішніх носіїв, що повинна проходити під найжорстокішим контролем. Адже, отримавши доступ до даних, зловмисники легко зможуть розшифрувати паролі.
  2. 2. Першою «лінією оборони» корпоративної мережі виступає міжмережевий екран, який забезпечить захист від несанкціонованого віддаленого доступу У той же час він забезпечить "невидимість" інформації про структуру мережі.

До основних схем міжмережевого екрану можна віднести:

  • - використання в його ролі фільтруючого маршрутизатора, який призначений для блокування та фільтрації вихідних та вхідних потоків. Всі пристрої в захищеній мережі мають доступ до Інтернету, але зворотний доступ до цих пристроїв з Інтернету блокується;
  • - Екранований шлюз, який фільтрує потенційно небезпечні протоколи, блокуючи їм доступ до системи.
  1. 3. Антивірусний захист є головним кордоном захисту корпоративної мережі від зовнішніх атак. Комплексний антивірусний захист мінімізує можливість проникнення в мережу «хробаків». В першу чергу необхідно захистити сервери, робочі станції та систему корпоративного чату.

На сьогоднішній день однією з провідних компаній з антивірусного захисту в мережі є Лабораторія Касперського, яка пропонує такий комплекс захисту, як:

  • - контроль – це комплекс сигнатурних та хмарних методівконтролю за програмами та пристроями та забезпечення шифрування даних;
  • - Забезпечення захисту віртуального середовища за допомогою установки «агента» на одному (або кожному) віртуальному хості;
  • - захист «ЦОД» (центр обробки даних) – керування всією структурою захисту та єдиної централізованої консолі;
  • - захист від DDoS-атак, цілодобовий аналіз трафіку, попередження про можливі атаки та перенаправлення трафіку на «центр очищення».

Це лише кілька прикладів із цілого комплексу захисту від «Лабораторії Касперського».

  1. 4. Захист. На сьогодні багато співробітників компаній здійснюють робочу діяльність віддалено (з дому), у зв'язку з цим необхідно забезпечити максимальний захист трафіку, а реалізувати це допоможуть шифровані тунелі VPN.

Одним із мінусів залучення «віддалених працівників» є можливість втрати (або крадіжки) пристрою, з якого ведеться роботи та подальшого отримання доступу до корпоративної мережі третім особам.

  1. 5. Грамотний захист корпоративної пошти та фільтрація спаму.

Безпека корпоративної пошти

Компанії, які обробляють велику кількість електронної пошти, в першу чергу схильні до фішинг-атаків.

Основними способами фільтрації спаму є:

  • - встановлення спеціалізованого ПЗ (дані послуги також пропонує «Лабораторія Касперського»);
  • - створення та постійне поповнення «чорних» списків ip-адрес пристроїв, з яких ведеться спам-розсилка;
  • - аналіз вкладень листа (має здійснюватися аналіз не лише текстової частини, а й усіх вкладень - фото, відео та текстових файлів);
  • - Визначення "масовості" листа: спам-листи зазвичай ідентичні для всіх розсилок, це і допомагає відстежити їх антиспам-сканерам, таким як "GFI MailEssentials" і "Kaspersky Anti-spam".

Це основні аспекти захисту інформації в корпоративній мережі, які працюють практично в кожній компанії. Але вибір захисту залежить також від самої структури корпоративної мережі.

У спробах забезпечити життєздатність компанії служби безпеки фокусують свою увагу на захисті мережевого периметра – сервісів, доступних з Інтернету. Образ похмурого зловмисника, який готовий нападати з будь-якої точки світу на сервіси компанії, що публікуються, не на жарт лякає власників бізнесу. Але наскільки це справедливо, враховуючи, що найцінніша інформація знаходиться аж ніяк не на периметрі організації, а в надрах її корпоративних мереж? Як оцінити пропорційність захищеності інфраструктури від зовнішніх і внутрішніх атак?

"Корабль у порту - це безпечно, але не з цією метою кораблі будуються"

Відчуття безпеки оманливе

В умовах тотальної інформатизації та глобалізації бізнес висуває нові вимоги до корпоративних мереж, на перший план виходять гнучкість та незалежність корпоративних ресурсів щодо його кінцевих користувачів: співробітників та партнерів. Тому сьогоднішні корпоративні мережі дуже далекі від традиційного поняття ізольованості (незважаючи на те, що спочатку вони охарактеризувались саме так).

Уявіть собі офіс: стіни захищають від зовнішнього світу, перегородки і стіни ділять загальну площу більш дрібні спеціалізовані зони: кухня, бібліотека, службові кімнати, робочі місця тощо. буд. додатковими засобами: відеокамерами, системами контролю доступу, усміхненими охоронцями… Заходячи в таке приміщення, ми почуваємося в безпеці, виникає відчуття довіри, доброзичливості. Однак варто визнати, що це відчуття - лише психологічний ефект, заснований на «театрі безпеки», коли метою заходів, що проводяться, є підвищення безпеки, але за фактом лише формується думка про її наявність. Адже якщо зловмисник справді захоче щось зробити, то перебування в офісі не стане непереборною складністю, а можливо навіть навпаки, знайдуться додаткові можливості.

Те саме відбувається і в корпоративних мережах. В умовах, коли існує можливість знаходження всередині корпоративної мережі, класичні підходи до безпеки виявляються недостатніми. Справа в тому, що методи захисту будуються виходячи з внутрішньої моделі загроз і націлені на протидію співробітникам, які можуть випадково чи навмисне, але без належної кваліфікації порушити безпекову політику. Але якщо всередині виявиться кваліфікований хакер? Вартість подолання мережевого периметра організації на підпільному ринку має практично фіксовану ціну кожної організації й у середньому вбирається у 500$. Так, наприклад, по чорному ринку хакерських послуг компанії Dell на квітень 2016 показаний наступний прейскурант:

У результаті, можна купити злом корпоративного поштової скриньки, обліковий запис якого швидше за все підійде до всіх інших корпоративних сервісів компанії через поширений принцип Single Sign-on авторизації. Або придбати поліморфні віруси, що не відстежуються для антивірусів, і за допомогою фішингової розсилки заразити необережних користувачів, тим самим заволодівши управлінням комп'ютера всередині корпоративної мережі. Для добре захищених мережевих периметрів використовуються недоліки людської свідомості, так, наприклад, купивши нові ідентифікаційні документи та отримавши дані про робоче та особисте життя співробітника організації через замовлення кібершпигунства, можна використовувати соціальну інженеріюта отримати конфіденційну інформацію.

Наш досвід проведення тестів на проникнення показує, що зовнішній периметр долається у 83% випадків, і у 54% це не потребує висококваліфікованої підготовки. При цьому за статистикою приблизно кожен п'ятий співробітник компанії готовий свідомо продати свої облікові дані, в тому числі віддаленого доступутим самим колосально спрощуючи подолання мережевого периметра. За таких умов внутрішній та зовнішній зловмисники стають невідмінними, що створює новий виклик безпеки корпоративних мереж.

Взяти критичні дані та не захистити

Усередині корпоративної мережі вхід у всі системи контролюється і доступний тільки для користувачів, що вже пройшли перевірку. Але ця перевірка виявляється згаданим раніше звичайним «театром безпеки», оскільки реальний стан справ виглядає дуже похмуро, і це підтверджується статистикою вразливостей корпоративних інформаційних систем. Ось деякі основні недоліки корпоративних мереж.

  • Словникові паролі

Як не дивно, використання слабких паролів властиве не тільки рядовому персоналу компаній, але й самим IT-адміністраторам. Так, наприклад, найчастіше в сервісах та обладнанні залишаються паролі, встановлені виробником за замовчуванням, або для всіх пристроїв використовується одне і те елементарне поєднання. Наприклад, одне з найпопулярніших поєднань - обліковий запис admin з паролем admin або password. Також популярні короткі паролі, що складаються з малих літер латинського алфавіту, і прості чисельні паролі, такі як 123456. Таким чином, досить швидко можна виконати перебір пароля, знайти правильну комбінацію та отримати доступ до корпоративних ресурсів.

  • Зберігання критичної інформації всередині мережі у відкритому вигляді

Уявімо ситуацію: зловмисник отримав доступ до внутрішньої мережі, тут може бути два варіанти розвитку подій. У першому випадку інформація зберігається у відкритому вигляді і компанія відразу ж несе серйозні ризики. В іншому випадку дані в мережі зашифровані, ключ зберігається в іншому місці – і компанія має шанси та час протистояти зловмиснику та врятувати важливі документи від крадіжки.

Щоразу, коли з'являється оновлення, одночасно з цим випускається технічний документ, в якому детально описується, які недоліки та помилки були виправлені в нової версії. Якщо було виявлено проблему, що з безпекою, то зловмисники починають активно досліджувати цю тему, знаходити пов'язані помилки і розробляти інструменти злому.

До 50% компаній або не оновлюють використовувані програми, або роблять це надто пізно. На початку 2016 року Королівський госпіталь Мельбурна постраждав від того, що його комп'ютери працювали під керуванням Windows XP. Спочатку потрапивши на комп'ютер відділення патології, вірус швидко поширився по мережі, заблокувавши на якийсь час автоматизовану роботу всього госпіталю.

  • Використання бізнес-додатків самостійної розробки без контролю захищеності

Основне завдання власної розробки – функціональна працездатність. Подібні додатки мають низький поріг захищеності, що часто випускаються в умовах дефіциту ресурсів та належної підтримки від виробника. Продукт фактично працює, виконує завдання, але при цьому його дуже просто зламати і отримати доступ до необхідних даних.

  • Відсутність ефективного антивірусного захисту та інших засобів захисту

Вважається, що сховане від зовнішнього погляду - захищено, тобто внутрішня мережа ніби перебуває у безпеці. Безпеки уважно стежать за зовнішнім периметром, а якщо він так добре охороняється, то у внутрішній хакер не потрапить. А за фактом у 88% випадків у компаніях не реалізовані процеси виявлення вразливостей, немає систем запобігання вторгненням та централізованого зберігання подій безпеки. У сукупності це не дозволяє ефективно забезпечувати безпеку корпоративної мережі.

При цьому інформація, яка зберігається всередині корпоративної мережі, має високий ступінь значущості для роботи підприємства: клієнтські бази в CRM-системах та білінгу, критичні показники бізнесу в ERP, ділова комунікація в пошті, документообіг, що міститься на порталах та файлових ресурсах тощо. п.

Кордон між корпоративною та публічною мережею став настільки розмитим, що повністю контролювати її безпеку стало дуже складно та дорого. Адже практично ніколи не використовують контрзаходи проти крадіжки чи торгівлі обліковими записами, недбалості мережевого адміністратора, загроз, що реалізуються через соціальну інженерію, та ін. Що змушує зловмисників користуватися саме цими прийомами подолання зовнішнього захисту та наблизитися до вразливої ​​інфраструктури з більш цінними відомостями.

Виходом може стати концепція інформаційної безпеки, в якій безпека внутрішньої та зовнішньої мережі забезпечується виходячи з єдиної моделі загроз, та з ймовірністю трансформації одного виду зловмисника в інший.

Зловмисники проти захисників – чия візьме?

Інформаційна безпека як стан можлива лише у випадку з невловимим Джо - через його непотрібність. Протиборство між зловмисниками та захисниками відбувається у принципово різних площинах. Зловмисники отримують вигоду внаслідок порушення конфіденційності, доступності або цілісності інформації, і чим ефективніша і результативніша їхня робота, тим більшу вигоду вони зможуть отримати. Захисники ж не отримують вигоди з процесу забезпечення безпеки зовсім, будь-який крок - це інвестиція, що не повертається. Саме тому набуло поширення ризик-орієнтоване управління безпекою, при якому увага захисників фокусується на найбільш дорогих (з точки зору оцінки збитків) ризиків з найменшою ціною їхнього перекриття. Ризики з ціною перекриття вище, ніж у ресурсу, що охороняється, усвідомлено приймаються або страхуються. Завдання такого підходу в тому, щоб якнайбільше підвищити ціну подолання найменш слабкої точки безпеки організації, тому критичні сервіси повинні бути добре захищені незалежно від того, де знаходиться даний ресурс- усередині мережі або на мережевому периметрі.

Ризик-орієнтований підхід - лише вимушений захід, що дозволяє існувати концепції інформаційної безпеки у реальному світі. За фактом, вона ставить захисників у скрутну позицію: свою партію вони грають чорними, лише відповідаючи на актуальні загрози.

Мережева та інформаційна безпека

Забезпечення безпеки корпоративної мережі

Висока безпека та відповідність нормативним вимогам є обов'язковими умовами у проектах з розгортання корпоративних мереж.

Для захисту власних інформаційних ресурсівпідприємства впроваджують в інфраструктуру рішення щодо забезпечення безпеки мережі, що гарантують безпеку мережі та комерційних даних на всіх рівнях:

  • міжмережевий екран
  • керовані VPN мережі
  • пошук та блокування спроб вторгнень у мережу
  • захист кінцевих точокобміну трафіком
  • корпоративна антивірусна система

Безпека підключень

Для працівників, які перебувають у відрядженнях або працюють із дому, послуга віддаленого доступу до корпоративної мережі стала робочою необхідністю.

Все більше організацій дозволяють партнерам здійснювати віддалений доступ до своїх мереж з метою зменшення витрат на обслуговування систем. Тому захист кінцевих точок обміну трафіком - одне з найважливіших завдань забезпечення безпеки мережі компанії.

Місця, де корпоративна мережа підключається до Інтернету, є периметром безпеки мережі. У цих точках перетинається вхідний та вихідний трафік. Трафік корпоративних користувачів виходить за межі мережі, а інтернет - запити від зовнішніх користувачів для отримання доступу до веб-додатків та програм електронної пошти входять до мережі компанії.

Через те, що у кінцевих точках виконується постійне підключення до Інтернету, яке зазвичай дозволяє проходження зовнішнього трафіку в корпоративну мережу, вона є основною метою атак зловмисників.

При побудові корпоративної мережі безпеки даних на межах мережі в точках виходу Інтернет встановлюють міжмережеві екрани. Ці пристрої дозволяють запобігти та блокувати зовнішні загрози при проведенні термінації VPN тунелів (див. рис. 1).


Рис.1 Периметр безпеки корпоративної мережі

Набір інтегрованих рішень для безпечних підключеньвід Cisco Systems забезпечує конфіденційність інформації. У мережі ведеться експертиза всіх кінцевих точок та методів доступу у всіх мережах компанії: LAN, WAN та бездротової мобільної мережі

Забезпечується повна доступність міжмережевого екрану та сервісів VPN. Функції міжмережевого екрана забезпечують фільтрацію рівня програм із збереженням стану для вхідного та вихідного трафіку, захищений вихідний доступ для користувачів та мережу DMZ для серверів, до яких необхідно здійснювати доступ з Інтернету.

Системний інтегратор ІЦ Телеком-Сервіс будує мережі корпоративної безпеки на базі багатофункціональних пристроїв захисту Cisco Systems, Juniper Networks та Huawei Technologies, що дозволяють скоротити кількість необхідних пристроїв у мережі.

Комплексні рішення щодо безпеки корпоративної мережі Cisco Systems, Juniper Networks та Huawei Technologies мають низку переваг, важливих для ефективного бізнесу:

  • скорочення ІТ-бюджетів на експлуатацію та обслуговування програмно-апаратного забезпечення
  • підвищення гнучкості мережі
  • зниження витрат на впровадження
  • зниження загальної вартості володіння
  • посилення контролю за допомогою єдиного управління та запровадження політик безпеки
  • підвищення прибутку та збільшення показників ефективності підприємства
  • зниження загроз безпеки для мережі та СГД
  • застосування ефективних політик безпеки та правил на кінцевих вузлах мережі: ПК, КПК та серверах
  • скорочення термінів впровадження нових рішень у галузі безпеки
  • ефективна профілактика мережі від вторгнень
  • інтеграція з ПЗ інших розробників у галузі безпеки та управління.
  • повномасштабне керування доступом до мережі

Продукти безпеки Cisco на всіх рівнях мережі

Безпека кінцевих точок:Програма-агент безпеки Cisco Cisco Security Agent захищає комп'ютери та сервери від атак черв'яків.

Вбудовані міжмережові екрани:модулі PIX Security Appliance, Catalyst 6500 Firewall Services Module та набір функцій міжмережевого екрану (firewall) захищають мережу всередині та по периметру.

Захист від мережевих вторгнень:Датчики IPS 4200 Series sensors, модулі служб IDS Catalyst 6500 (IDSM-2) або IOS IPS ідентифікують, аналізують та блокують зловмисний небажаний трафік.

Виявлення та усунення атак DDoS:Детектор аномалій трафіку Cisco Traffic Anomaly Detector XT та Guard XT забезпечують нормальну роботу у разі атак, що переривають роботу служби. Модулі служб детектора аномалій трафіку Cisco та Cisco Guard створюють стійкий захист від атак DdoSу комутаторах серії Catalyst 6500 та маршрутизаторах серії 7600.

Безпека контенту:модуль пристрою Access Router Content Engine module захищає бізнес-програми, що працюють з інтернет, забезпечує доставку веб-контенту без помилок.

Інтелектуальні служби адміністрування мережі та систем безпеки: у маршрутизаторах та комутаторах Cisco знаходять та блокують небажаний трафік та програми.

Менеджмент та моніторинг:

Продукти:

  • CiscoWorks VPN/Security Management Solution (VMS)
  • CiscoWorksSecurity Information Management System (SIMS) – система управління інформацією про стан безпеки
    • Вбудовані менеджери пристроїв: менеджер маршрутизаторів та пристроїв безпеки Cisco (SDM), менеджер пристроїв PIX (PDM), менеджер пристроїв адаптивної безпеки (ASDM) швидко та ефективно здійснюють відстеження, ведуть моніторинг служб безпеки та активності мережі.

    Технологія Network Admission Control (NAC) від Cisco

    Контроль доступу до мережі (Network Admission Control, NAC) – це набір технологій і рішень, фундаментом яких є загальногалузева ініціатива, реалізована під патронажем Cisco Systems.

    NAC використовує інфраструктуру мережі для контролю за дотриманням політики безпеки на всіх пристроях, які прагнуть отримати доступ до ресурсів мережі. Так знижується можлива шкода мережі від загроз безпеки.

    Безпечний віддалений доступ до корпоративної VPN співробітникам та партнерам багатофункціональні пристрої захисту забезпечують за допомогою протоколів SSLта IPsec VPN, вбудованих блокувальних сервісів для попередження та запобігання IPS вторгнень.

    Self-Defending Network - стратегія мережі, що самозахищається від Cisco

    Self-Defending Network є стратегією майбутнього, що розвивається від Cisco. Технологія дозволяє захистити бізнес-процеси підприємства шляхом виявлення та запобігання атакам, адаптації до внутрішніх та зовнішніх загроз мережі.

    Підприємства можуть ефективніше використовувати інтелектуальні можливості мережевих ресурсів, оптимізувати бізнес-процеси та скоротити витрати.

    Пакет керування безпекою Cisco

    Пакет управління безпекою Cisco являє собою набір продуктів і технологій, розроблених для масштабованого адміністрування і посилення політик безпеки для мережі Cisco, що само захищається.

    Інтегрований продукт Cisco дозволяє автоматизувати завдання управління безпекою за допомогою ключових компонентів: менеджера управління та Cisco Security MARS – системи моніторингу, аналізу та реагування.

    Менеджер управління системою безпеки Cisco має простий інтерфейс для налаштування міжмережевого екрану, VPN та системи захисту від вторгнень (IPS) на пристроях безпеки, міжмережевих екранах, маршрутизаторах та комутаторах Cisco.

    Саме такий результат дало опитування понад 1000 керівників IT-підрозділів великих та середніх європейських компаній, проведене на замовлення корпорації Intel. Метою опитування було бажання визначити проблему, яка більшою мірою хвилює фахівців галузі. Відповідь була цілком очікуваною, більше половини респондентів назвали проблему мережевої безпеки, проблему, яка потребує негайного рішення. Також цілком очікуваним можна назвати й інші результати опитування. Наприклад, фактор мережної безпеки лідирує серед інших проблем в області інформаційних технологій; ступінь його важливості зріс на 15% порівняно з ситуацією, що існувала п'ять років тому.
    За результатами опитування, понад 30% свого часу висококваліфіковані IT-фахівці витрачають на вирішення саме питань забезпечення безпеки. Ситуація, що склалася у великих компаніях (зі штатом понад 500 співробітників), ще тривожніша - близько чверті респондентів витрачають половину свого часу на вирішення цих питань.

    Баланс загроз та захисту

    На жаль, проблематика мережевої безпеки нерозривно пов'язана з основними технологіями, що використовуються в сучасних телекомунікаціях. Так сталося, що з розробки сімейства IP-протоколів пріоритет було віддано надійності функціонування мережі загалом. За часів появи цих протоколів мережна безпека забезпечувалася зовсім іншими способами, які просто неможливо використовувати в умовах Глобальної мережі. Можна голосно нарікати на недалекоглядність розробників, але кардинально змінити ситуацію практично неможливо. Зараз просто треба вміти захищатися від потенційних загроз.
    Головним принципом у цьому вмінні має бути баланс між потенційними загрозами для мережної безпеки та рівнем необхідного захисту. Повинна бути забезпечена сумірність між витратами на безпеку та вартістю можливої ​​шкоди від реалізованих загроз.
    Для сучасного великого та середнього підприємства інформаційні та телекомунікаційні технології стали основою ведення бізнесу. Тому вони виявилися найбільш чутливими до впливу загроз. Чим масштабніша і складніша мережа, тим більших зусиль потребує її захист. При цьому вартість створення загроз на порядки менша за витрати на їх нейтралізацію. Такий стан справ змушує компанії ретельно зважувати наслідки можливих ризиків від різних загроз та обирати відповідні засоби захисту від найбільш небезпечних.
    В даний час найбільші загрози для корпоративної інфраструктури становлять дії, пов'язані з несанкціонованим доступом до внутрішніх ресурсів та блокуванням нормальної роботи мережі. Існує досить велике числотаких загроз, але в основі кожної з них лежить сукупність технічних та людських факторів. Наприклад, проникнення шкідливої ​​програмиу корпоративну мережу може статися не тільки внаслідок нехтування з боку адміністратора мережі правилами безпеки, але також через надмірну цікавість співробітника компанії, який вирішив скористатися привабливим посиланням із поштового спаму. Тому не варто сподіватися, що навіть найкращі технічне рішенняу сфері безпеки стануть панацеєю від усіх бід.

    Рішення класу UTM

    Безпека завжди є відносним поняттям. Якщо її занадто багато, то помітно ускладнюється користування системою, яку ми збираємося захистити. Тому розумний компроміс стає першочерговим вибором у справі забезпечення безпеки мережі. Для середніх підприємств за російськими мірками такий вибір можуть допомогти зробити рішення класу UTM (Unified Threat Management або United Threat Management)позиціонуються як багатофункціональні пристрої мережної та інформаційної безпеки. За своєю суттю ці рішення є програмно-апаратними комплексами, в яких поєднані функції різних пристроїв: міжмережевого екрану (firewall), системи виявлення та запобігання вторгненням в мережу (IPS), а також функції антивірусного шлюзу (AV). Часто ці комплекси покладається рішення додаткових завдань, наприклад маршрутизації, комутації чи підтримки VPN мереж.
    Найчастіше постачальники рішень UTM пропонують використовувати їх у малому бізнесі. Можливо, такий підхід почасти виправданий. Але все ж таки малому бізнесу в нашій країні і простіше, і дешевше скористатися сервісом безпеки від свого інтернет-провайдера.
    Як будь-яке універсальне рішення обладнання UTM має свої плюси та мінуси. До перших можна віднести економію коштів і часу на впровадження в порівнянні з організацією захисту аналогічного рівня окремих пристроївбезпеки. Так само UTM є попередньо збалансованим і протестованим рішенням, яке цілком може вирішити широке коло завдань із забезпечення безпеки. Нарешті, рішення цього класу менш вимогливі до рівня кваліфікації технічного персоналу. З їх налаштуванням, керуванням та обслуговуванням цілком може впоратися будь-який фахівець.
    Основним мінусом UTM є факт, що будь-яка функціональність універсального рішення найчастіше менш ефективна, ніж аналогічна функціональність спеціалізованого рішення. Саме тому коли потрібна висока продуктивність або високий ступіньЗахищеності фахівці з безпеки вважають за краще використовувати рішення на основі інтеграції окремих продуктів.
    Однак, незважаючи на цей мінус рішення UTM стають затребуваними багатьма організаціями, які сильно відрізняються за масштабом та родом діяльності. За даними компанії Rainbow Technologies, такі рішення були успішно впроваджені, наприклад, для захисту сервера одного з Інтернет-магазинів побутової техніки, який піддавався регулярним DDoS-атакам Так само рішення UTM дозволило помітно скоротити обсяг спаму в поштової системиодного із автомобільних холдингів. Крім вирішення локальних завдань, є досвід побудови систем безпеки на базі рішень UTM для розподіленої мережі, що охоплює центральний офіс пивоварної компанії та її філії.

    Виробники UTM та їх продукти

    Російський ринок обладнання класу UTM сформований лише пропозиціями закордонних виробників. На жаль, ніхто з вітчизняних виробників поки не зміг запропонувати власних рішень у даному класіобладнання. Виняток становить програмне рішення Eset NOD32 Firewall, яке за повідомленням компанії було створено російськими розробниками.
    Як уже зазначалося, на російському ринкурішення UTM можуть бути цікавими переважно середніми компаніями, в корпоративній мережі яких налічується до 100-150 робочих місць. При відборі обладнання UTM для представлення в огляді головним критерієм вибору стала його продуктивність у різних режимах роботи, яка б змогла забезпечити комфортну роботу користувачів. Часто виробники вказують характеристики продуктивності для режимів Firewall, запобігання вторгненню IPS та захисту від вірусів AV.

    Рішення компанії Check Pointносить назву UTM-1 Edgeі являє собою уніфікований пристрій захисту, що поєднує міжмережевий екран, систему запобігання вторгненням, антивірусний шлюз, а також засоби побудови VPN та віддаленого доступу. Вхідний у рішення firewall контролює роботу з більшим числомдодатків, протоколів і сервісів, а також має механізм блокування трафіку, який явно не вписується в категорію бізнес-додатків. Наприклад, трафіку систем миттєвих повідомлень(IM) та однорангових мереж (P2P). Антивірусний шлюз дозволяє відстежувати шкідливий код у повідомленнях електронної пошти, трафіку FTP та HTTP. При цьому немає обмежень на обсяг файлів та здійснюється декомпресія архівних файлів "на льоту".
    Рішення UTM-1 Edge має розвинені можливості роботи у VPN мережах. Підтримується динамічна маршрутизація OSPF та підключення VPNклієнтів. Модель UTM-1 Edge W випускається із вбудованою точкою WiFi доступу IEEE 802.11b/g.
    За необхідності великомасштабних впроваджень UTM-1 Edge легко інтегрується із системою Check Point SMART, завдяки чому управління засобами безпеки значно спрощується.

    Компанія CiscoЗазвичай приділяє питанням мережевої безпеки підвищену увагу і пропонує широкий набір необхідних пристроїв. Для огляду ми вирішили обрати модель Cisco ASA 5510яка орієнтована на забезпечення безпеки периметра корпоративної мережі. Це обладнання входить до серії ASA 5500, що включає модульні системи захисту класу UTM. Такий підхід дозволяє адаптувати систему забезпечення безпеки до особливостей функціонування мережі конкретного підприємства.
    Cisco ASA 5510 поставляється в чотирьох основних комплектах - міжмережевого екрану, засобів побудови VPN, системи запобігання вторгненням, а також засобів захисту від вірусів та спаму. До рішення входять додаткові компоненти, такі як система Security Manager для формування інфраструктури управління при розгалуженій корпоративній мережі, та система Cisco MARS, яка має здійснювати моніторинг мережевого середовища та реагувати на порушення безпеки в режимі реального часу.

    Словацька компанія Esetпостачає програмний комплекс Eset NOD32 Firewallкласу UTM, що включає, окрім функцій корпоративного фаєрволу, систему антивірусного захисту Eset NOD32, засоби фільтрації поштового (антиспам) та веб-трафіку, системи виявлення та попередження мережевих атак IDS та IPS. Рішення підтримує створення мереж VPN. Цей комплекс побудований на основі серверної платформипрацює під керуванням Linux. Програмна частина пристрою розроблена вітчизняною компанією Leta IT, підконтрольній російському представництву Eset
    Це рішення дозволяє контролювати мережевий трафіку режимі реального часу підтримується фільтрація контенту за категоріями веб-ресурсів. Забезпечується захист від атак типу DDoS та блокуються спроби сканування портів. До рішення Eset NOD32 Firewall включена підтримка серверів DNS, DHCP та управління зміною пропускної спроможностіканалу. Контролюються трафік поштових протоколів SMTP, POP3.
    Так само дане рішеннявключає можливість створення розподілених корпоративних мереж за допомогою VPN з'єднань. При цьому підтримуються різні режими об'єднання мереж, алгоритми автентифікації та шифрування.

    Компанія Fortinetпропонує цілу родину пристроїв FortiGateкласу UTM, позиціонуючи свої рішення як здатні забезпечити захист мережі при збереженні високого рівня продуктивності, а також прозорої роботи інформаційних системпідприємства у режимі реального часу. Для огляду ми вибрали модель FortiGate-224B, яка орієнтована захисту периметра корпоративної мережі з 150 - 200 користувачами.
    Устаткування FortiGate-224B включає функціональність міжмережевого екрану, сервера VPN, фільтрацію web-трафіку, системи запобігання вторгнення, а також антивірусний та антиспамівський захист. Ця модель має вбудовані інтерфейси комутатора локальної мережідругого рівня та WAN-інтерфейси, що дозволяє обійтися без зовнішніх пристроївмаршрутизації та комутації. Для цього підтримується маршрутизація протоколами RIP, OSPF і BGP, а також протоколи автентифікації користувачів перед наданням мережевих сервісів.

    Компанія SonicWALLпропонує широкий вибір пристроїв UTM, з якого в даний оглядпотрапило рішення NSA 240. Це обладнання є молодшою ​​моделлю в лінійці, орієнтованою на використання як систему захисту корпоративної мережі середнього підприємства та філій великих компаній.
    В основі цієї лінійки лежить використання всіх засобів захисту від потенційних загроз. Це міжмережевий екран, система захисту від вторгнення, шлюзи захисту від вірусів та шпигунського. програмного забезпечення. Є фільтрація web-трафіку за 56 категоріями сайтів.
    Як одна з родзинок свого рішення компанія SonicWALL відзначає технологію глибокого сканування та аналізу трафіку, що надходить. Для виключення зниження продуктивності дана технологіявикористовує паралельну обробку даних багатопроцесорному ядрі.
    Це обладнання підтримує роботу з VPN, має розвинені можливості маршрутизації та підтримує різні мережеві протоколи. Також рішення від SonicWALL здатне забезпечити високий рівеньбезпеки при обслуговуванні трафіку VoIP за протоколами SIP та Н.323.

    З лінійки продукції компанія WatchGuardдля огляду було обрано рішення Firebox X550e, Яке позиціонується як система, що володіє розвиненою функціональністю для забезпечення мережевої безпеки та орієнтована на використання в мережах малих та середніх підприємств.
    В основі рішень класу UTM цього виробника є використання принципу захисту від змішаних мережевих атак. Для цього обладнання підтримує міжмережевий екран, систему запобігання атакам, антивірусний та антиспамівський шлюзи, фільтрацію web-ресурсів, а також систему протидії шпигунському програмному забезпеченню.
    У цьому обладнанні використовується принцип спільного захисту, згідно з яким мережевий трафік, перевірений за певним критерієм на одному рівні захисту, не перевіряться за цим же критерієм на іншому рівні. Такий підхід дозволяє забезпечувати високу продуктивність обладнання.
    Іншою перевагою свого рішення виробник називає підтримку технології Zero Day, яка забезпечує незалежність забезпечення безпеки від наявності сигнатур. Така особливість важлива з появою нових видів загроз, куди ще знайдено ефективне протидія. Зазвичай "вікно вразливості" триває від кількох годин до кількох днів. У разі використання технології Zero Day ймовірність негативних наслідків вікна вразливості помітно знижується.

    Компанія ZyXELпропонує своє рішення мережевого екрану класу UTM, орієнтованого використання у корпоративних мережах, що налічують до 500 користувачів. Це рішення ZyWALL 1050призначено для побудови системи мережевої безпеки, що включає повноцінний захист від вірусів, запобігання вторгненням та підтримку віртуальних приватних мереж. Пристрій має п'ять портів Gigabit Ethernet, які можуть налаштовуватися для використання як інтерфейси WAN, LAN, DMZ і WLAN залежно від конфігурації мережі.
    Пристрій підтримує передачу трафіку VoIP додатків протоколами SIP і Н.323 на рівні firewall і NAT, а також передачу трафіку пакетної телефонії в тунелях мережі VPN. При цьому забезпечується функціонування механізмів запобігання атакам і загрозам для всіх видів трафіку, включаючи VoIP-трафік, робота антивірусної системи з повною базою сигнатур, контентна фільтрація за 60 категоріями сайтів та захист від спаму.
    Рішення ZyWALL 1050 підтримує різних топологій приватних мереж, роботи в режимі VPN-концентратора та об'єднання віртуальних мережу зони із єдиними політиками безпеки.

    Основні характеристики UTM

    Думка фахівця

    Дмитро Костров, директор із проектів Дирекції технологічного захисту корпоративного центру ВАТ "МТС"

    Сфера застосування рішень UTM головним чином поширюється на компанії, що належать до підприємств малого та середнього бізнесу. Саме поняття Unified Threat Management (UTM) як окремий клас обладнання для захисту мережевих ресурсів було введено міжнародним агентством IDC, згідно з яким UTM-рішення - це багатофункціональні програмно-апаратні комплекси, в яких поєднані функції різних пристроїв. Зазвичай це міжмережевий екран, VPN, системи виявлення та запобігання вторгненням у мережу, а також функції антивірусного та антиспамівського шлюзів та фільтрації URL.
    Для того, щоб досягти дійсно ефективного захисту, пристрій повинен бути багаторівневим, активним і інтегрованим. При цьому багато виробників засобів захисту вже мають досить широку лінійку продуктів, що належать до UTM. Достатня простота розгортання систем, і навіть отримання системи " усі одному " робить ринок зазначених пристроїв досить привабливим. Сукупна вартість володіння та терміни повернення інвестицій при впровадженні даних пристроїв здаються дуже привабливими.
    Але це рішення UTM схоже на "швейцарський ніж" - є інструмент на кожен випадок, але щоб пробити в стіні дірку потрібний справжній дриль. Є також можливість, що поява захисту від нових атак, оновлення сигнатур тощо. не буде такими швидкими, на відміну від підтримки окремих пристроїв, що стоять у "класичній" схемі захисту корпоративних мереж. Також залишається проблема єдиної точки відмови.