По словам Виктора Карпова, ведущего системного архитектора группы компаний Angara, к сегодняшнему дню в любой организации сложилась своя подсистема сетевой безопасности. При этом в большинстве компаний подход к ИБ сетевой инфраструктуры направлен на защиту от воздействий извне, поскольку априори предполагается, что пользователи, процессы и устройства внутри сетевого периметра являются доверенными. Мониторинг и контроль действий внутри сети осуществляются либо в меньшей степени, либо отсутствуют вовсе.
«С учетом размытия границ периметра сети и повышения мобильности пользователей, которое происходит в последнее время, такое решение сложно назвать правильным, потому что пользователь может быть скомпрометирован, а устройство, которое еще недавно было безопасным, после выхода за пределы сети могло быть заражено сетевым червем», – поясняет Виктор Карпов в ходе своего доклада «Обеспечение сетевой безопасности в текущих реалиях – наш взгляд». Согласно исследованию Positive Technologies, приводит статистику он, во время внешних пентестов исследователи смогли получить доступ к ресурсам локальной сети в 93% компаний.
Виктор Карпов отметил, что любое средство защиты не является панацеей, средства работают только в комплексе. Для достижения комплексного подхода в сетевой безопасности группа компаний Angara рекомендует следовать четкому алгоритму. В первую очередь необходимо определить поверхность защиты, то есть ресурсы, которые могут стать конечной целью злоумышленников. Далее определяются информационные потоки, как эти объекты взаимодействуют с сетевой инфраструктурой. Здесь важно понять, что передается, куда, откуда, кем, в какое время, посредством каких протоколов и с использованием каких приложений. После этого разрабатывается и корректируется архитектура. Делается это для того, чтобы средства защиты и контроля находились именно в тех местах, где проходит трафик. По результатам разработки проверяется достаточность средств защиты и внедряются политики. Причем настоятельно рекомендуется избегать слишком широких разрешающих правил. Последний шаг – это организация постоянного мониторинга и поддержки сети, чтобы следить, что происходит в инфраструктуре, и иметь возможность вовремя адаптироваться.
Алексей Лукацкий, бизнес-консультант по информационной безопасности Cisco, привел примеры нескольких продуктов вендора, которые решают задачи мониторинга современной внутренней инфраструктуры и позволяют выявлять большое количество нарушений политик безопасности, которые традиционные средства защиты, к сожалению, не видят. Решение по мониторингу сети Cisco Stealthwatch выявляет и анализирует угрозы, которые происходят внутри сети. Платформа Cisco Tetration позволяет собирать данные, которые обрабатываются в рамках VDI или контейнера, и видеть трафик на уровне конкретного узла. Оба этих продукта прекрасно дополняют друг друга, поскольку Stealthwatch – это классический инструмент мониторинга внутренней инфраструктуры, а Tetration – это инструмент application security.
После выступления спикеров прошли традиционные сессия вопросов и ответов, а также интерактивный квиз, победитель которого получил от компаний-партнеров памятный презент.