Что такое корпоративная безопасность?


Корпоративная безопасность — это многогранная проблема, которая охватывает внутренние и корпоративные бизнес-секреты компании, а также данные сотрудников и заказчиков, к которым применяются законы о конфиденциальности. Корпоративная безопасность становится все более важной, поскольку крупные международные компании, например Facebook, Yahoo!, Target, Home Depot и Equifax, столкнулись с большими штрафами и вмешательством правительства из-за потери конфиденциальных данных клиентов в результате атак злоумышленников. Если раньше крупные организации уделяли основное внимание защите своего кода или коммерческой тайны от конкурентов и фальсификаторов, то теперь они столкнулись с новыми законами о конфиденциальности данных в США и ЕС, которые могут налагать серьезные финансовые санкции на организации за ненадлежащее использование или потерю данных потребителей. Переход к использованию облачной инфраструктуры для поддержки бизнес-процессов приводит к возникновению новых задач в области корпоративной безопасности в сфере ИТ.

Узнайте, как обеспечить защиту организации от угроз

Узнайте, как обеспечить защиту организации от угроз

Подробнее 

На практике в сфере обеспечения корпоративной безопасности основное внимание уделяется эксплуатации ЦОД, сети и веб-серверов, но технически ее базовый компонент — кадровые ресурсы. По мнению некоторых исследователей в области безопасности, социальная инженерия является первопричиной двух третей всех успешных атак злоумышленников. При социоинженерных атаках злоумышленники пользуются слабостями человеческой природы, честностью сотрудников или их легковерностью для получения доступа к сети или информационным ресурсам. Фишинговые атаки по электронной почте проводятся с целью заставить сотрудников перейти по ссылкам для скачивания и установки вредоносного ПО. В атаках с применением голосового фишинга (или VoIP-фишинга) злоумышленники используют разговоры по телефону с различными сотрудниками для получения инсайдерской информации. Это ведет к нарушению безопасности сети, например утечке паролей. Смишинг (SMS-фишинг), атаки с «приманкой», спирфишинг и атаки через заражение сайта (water holing) — все это похожие способы взлома, основанные на процессах социальной инженерии. Эти векторы атак могут поставить под угрозу даже самые надежные системы безопасности сети, и им можно противостоять только путем повышения осведомленности сотрудников за счет обучения, проверки и анализа.

Автоматические атаки злоумышленников основаны на сценариях и нацелены на такие ресурсы ЦОД, как веб-серверы и онлайн-приложения, через постоянные точки входа, например экраны входа в систему, контактные формы, запросы поиска в базах данных и процессы внутреннего администрирования. Распространенными примерами атак скриптовых ботов являются взломы с внедрением MySQL-кода и использование уязвимостей межсайтовых сценариев. Возможность отправлять код на сервер через незащищенные формы может привести к потере всей базы данных, в том числе всей заполняемой информации, паролей и конфиденциальных финансовых данных заказчиков. Взлом с внедрением кода отличается от взлома пароля, в результате которого взломщик может получить полный административный доступ или возможность установить бэкдоры (лазейки) на сервер через FTP и командную строку. Успешные злоумышленники обычно тратят от 30 до 90 дней на разведку скомпрометированной сетевой системы с внутренним доступом, прежде чем начать процесс передачи информации из базы данных или установки вредоносного удаленного кода.

Почему корпоративная безопасность важна?

Важность корпоративной безопасности можно проиллюстрировать, посмотрев на роль шифрования в интернет-коммуникациях. При отправке электронного письма или введении пароля пользователя для входа на веб-сайт, данные передаются от точки к точке через ряд сторонних каналов, где они потенциально могут быть перехвачены и прочитаны злоумышленниками с несанкционированным доступом, если они не зашифрованы. Такую угрозу создают, в частности, неавторизованные агенты, которые используют программное обеспечение, установленное в телекоммуникационной сети, у интернет-провайдера или на локальных каналах Wi-Fi, для перехвата пакетов. Ценность информации, передаваемой по этим соединениям, может быть разной, но ни одна корпорация или другая организация со сложной структурой не захочет, чтобы ее коммерческие секреты, общение с заказчиками и внутренние обсуждения могли контролироваться третьими сторонами со злым умыслом по открытым каналам. Возможность доступа к незашифрованным паролям и информации для входа в систему может поставить под угрозу не только отдельные учетные записи и данные, но и всю корпоративную сеть, если злоумышленник получит доступ к ЦОД.

Как следствие, для большинства веб-сайтов и мобильных приложений теперь применяется шифрование HTTPS с помощью сертификатов SSL/TLS по различным каналам взаимодействия пользователей. В ЦОД внедрены функции безопасности военного класса, в том числе биометрические данные, системы закрытого входа и круглосуточный мониторинг объектов для предотвращения несанкционированного физического доступа. Программы обучения для ИТ-специалистов могут повысить бдительность в отношении признаков социоинженерных атак. Даже когда физический доступ жестко контролируется, крупные организации по-прежнему сталкиваются с атаками злоумышленников из самых отдаленных уголков планеты. Хакерская деятельность может даже спонсироваться правительствами таких стран, как Россия, Китай, Иран и КНДР.

Атаки, спонсируемые государством, могут быть нацелены на военно-промышленные секреты, связанные с разработкой программ вооружений, авиационной наукой и техникой или передовыми исследованиями в других отраслях, в которых важна конфиденциальность информации. Атаки, спонсируемые государством, также могут быть нацелены на медиакомпании (например, взлом киностудии Sony в Северной Корее) в рамках пропагандистской деятельности или представлять собой попытки уличить государственных чиновников в коррупции посредством утечки конфиденциальных данных.

На самом высоком уровне команды хакеров, спонсируемые государством, или злоумышленники, стремящиеся привлечь внимание общественности, могут нацеливаться на атаки со значительной степенью влияния. Такие атаки равносильны терроризму и могут привести к человеческим жертвам, что сопоставимо с «кибервойной». Вирус Stuxnet — лишь один из примеров последствий промышленного шпионажа и взлома спецслужбами. Эти группы, а также преступники и злоумышленники, стремящиеся привлечь внимание общественности, могут атаковать важные компоненты социальной инфраструктуры, например электростанции, телекоммуникации или промышленное производство, чтобы вызвать аварии или нанести физический ущерб объектам, спровоцировав панику и хаос. Преступники же обычно стремятся только украсть информацию о кредитных картах и данные для доступа доступ к банковским счетам и криптовалюте с целью получения личной финансовой выгоды. Миллионы номеров кредитных карт уже доступны для продажи в «Темной сети» по цене от $1 за карту. Атаки злоумышленников, нацеленные на личную информацию потребителей, могут привести к краже личных данных, мошенническим платежам или присвоению финансовых средств, которые властям будет трудно обнаружить или остановить, не прибегая к повсеместному запрету со стороны правоохранительных органов или международных агентств.

Архитектура корпоративной безопасности

Архитектура корпоративной безопасности должна быть нацелена на предотвращение физического доступа злоумышленников, социальной инженерии и атак скриптовых ботов, а также на защиту систем ввода паролей от взлома и каналов ввода пользовательских данных от удаленного внедрения кода. Сетевой брандмауэр считается главным средство защиты от атак злоумышленников. Большинство современных программных пакетов сетевых брандмауэров предоставляют возможность сканирования пакетных данных в режиме реального времени на предмет наличия потенциальных вирусов, вредоносного ПО, червей и программ-вымогателей. Проблема антивирусного сканирования заключается в том, что оно представляет собой подход к безопасности постфактум, основанный на определении вредоносного ПО профессиональными агентствами до того, как оно может быть обнаружено. При атаках нулевого дня код средства использования уязвимостей, который еще не был обнаружен или классифицирован экспертами по безопасности, используется для проникновения в сеть, программную платформу, устройство с микропрограммой или операционную систему. Поскольку от атак нулевого дня невозможно защититься заранее, компаниям необходимо внедрять многоуровневые политики безопасности, которые эффективно изолируют и сдерживают угрозы уже после того, как они неизбежно возникнут.

Использование шифрования при передаче данных и установка настроек брандмауэра для авторизованного доступа пользователей — два фундаментальных аспекта обеспечения корпоративной безопасности после ограничения физического доступа. На большинстве платформ с системами входа теперь действуют процедуры блокировки, которые отключают пользователей после 5 или более попыток входа в систему с неправильным паролем для предотвращения взлома. Количество попыток входа в систему неопознанными пользователями, которые происходят неоднократно с одного IP-адреса, можно уменьшить с помощью блокировки IP-адресов. Программное обеспечение брандмауэра интегрируется со средством антивирусного сканирования, которое сопоставляет передаваемые пакеты данных с известными сигнатурами вредоносного ПО в режиме реального времени. Это делается с целью выявления вредоносных файлов и предотвращения случайной установки вирусов, червей и троянов в рамках фишинговых атак или скачивания фишинговых файлов. Можно установить брандмауэры веб-приложений (WAF), которые обеспечивают дополнительный уровень защиты веб-форм для предотвращения выполнения межсайтовых сценариев и атак с внедрением MySQL-кода. Антивирусное программное обеспечение таких поставщиков, как Symantec, McAfee, Trend Micro, Kaspersky, Bitdefender и т. д., в настоящее время является важным аспектом обеспечения корпоративной безопасности. Кроме того, многие крупные организации используют службы CDN для распознавания и предотвращения DDoS-атак в производственной среде.

Основные лучшие методики обеспечения корпоративной безопасности

Текущая рабочая парадигма лучших методик обеспечения корпоративной безопасности заключается в применении всех доступных отраслевых методов физической защиты, брандмауэров, шифрования, защиты от мошенничества, обнаружения злоумышленников, WAF, антивирусов и т. д. При этом необходимо понимание того, что злоумышленники по-прежнему найдут методы проникновения в системы, взлома оборудования и кражи данных. Согласно принципам максимального сокращения вреда, целью должно быть обнаружение и идентификация злоумышленников в кратчайшие сроки при одновременном создании систем с улучшенной изоляцией данных для предотвращения распространения векторных атак. Микросегментация предназначена для защиты каждой отдельной виртуальной машины в корпоративной сети за счет изоляции, предотвращающей горизонтальное перемещение угроз на другие объекты из единой точки входа. Модель демилитаризованной зоны (DMZ) основана на брандмауэрах, преградах и средствах изоляции, отделяющих веб-процессы от локальной сети за счет повышенного уровня изоляции, усиленной прокси-серверами на периметре во внешнем кольце защиты. VMware vSAN Datastore используется для шифрования корпоративных баз данных, а VMcrypt Encryption — для шифрования ресурсов хранения, архивов и файлов резервных копий.

Повышение административных привилегий — еще одна важная проблема, которую нельзя игнорировать при обеспечении корпоративной безопасности. Права суперпользователей и администраторов должны строго контролироваться и мгновенно обнаруживаться при применении неавторизованными пользователями. Мониторинг сети в режиме реального времени все чаще включает в себя аналитику, поддерживаемую машинным обучением и искусственным интеллектом. Такая аналитика помогает обнаруживать злоумышленников, несанкционированную передачу конфиденциальных данных и проблемы, связанные с повышением административных привилегий. Программные платформы и операционные системы веб-серверов без установленных исправлений являются основными причинами взлома сетей и утечки данных. В связи с этим компании должны проявлять особую бдительность при внесении необходимых обновлений в производственную среду. Автоматизированное обновления системы безопасности значительно повышают скорость отклика при внесении важных исправлений. Безагентный антивирус можно установить на уровне гипервизора и настроить для автоматического принятия мер безопасности в рамках реагирования на вредоносные программы или атаки с проникновением в систему без вмешательства человека. Это сокращает время отклика в облачных ЦОД с миллионами виртуальных машин, работающих одновременно.

Продукты, решения и ресурсы VMware, связанные с корпоративной безопасностью

VMware NSX — ведущая корпоративная платформа виртуализации сети и системы безопасности

VMware NSX Data Center предоставляет комплексную платформу виртуализации сети уровней 2–7 и системы безопасности, что дает возможность управлять всей сетью из единой консоли.

Решения по обеспечению корпоративной безопасности

VMware встраивает средства корпоративной безопасности в инфраструктуру, что обеспечивает непревзойденную визуализацию и защиту приложений и пользователей на всех уровнях: от конечных устройств до облака.

VMware Bitglass — брокер безопасности облачного доступа нового поколения

Брокер безопасности облачного доступа (CASB) Bitglass нового поколения обеспечивает комплексную защиту данных и защиту от угроз в режиме реального времени для любого облачного приложения.

Splunk Enterprise Security

Splunk Enterprise Security использует возможности поиска и формирования отчетов платформы Splunk, чтобы предоставить специалистам по безопасности общее представление о состоянии безопасности в организации.

PhoenixNAP Data Security Cloud

PhoenixNAP — глобальный поставщик ИТ-сервисов, специализирующийся на кибербезопасности и соблюдении нормативных требований, чьи прогрессивные решения модели «инфраструктура как услуга» предоставляются из стратегических периферийных расположений по всему миру.

Обеспечение встроенной унифицированной системы безопасности с учетом контекста с помощью решений VMware

Защитите данные и приложения, используя контрольные точки в имеющейся инфраструктуре. Узнайте, как внедрить встроенную систему безопасности с помощью VMware.