Комплексная защита конечных точек

endpoint securityБурное развитие Интернета приводит к тому, что вредоносная активность постепенно смещает акценты с создания отдельных червей и вирусов, атакующих компьютеры в случайном порядке, к подготовленным целенаправленным атакам на корпоративные информационные системы. «Домашние» хакеры-энтузиасты ушли в прошлое, теперь на первый план выходят хорошо организованные и глобально распределенные криминальные предприятия, основной целью которых является получение дохода за счет сложно отслеживаемых незаконных финансовых схем.

Информация, предоставляющая определенную ценность (например, персональные данные, пароли, номера кредитных карт или стратегические планы развития организации), воруется из самых разных мест. Затем эта информация быстро реализуется на торгах через специальные координационные центры и используется злоумышленниками в своих целях. Преступные сообщества регулярно повышают квалификацию в стремлении увеличить размер доходов, а убытки предприятий, пострадавших от хакерских атак растут, что приводит к проблемам в бизнесе, потере доверия клиентов и ужесточению требований со стороны регулирующих органов.

Основной задачей служб информационной безопасности является защита корпоративных конечных точек, количество которых может варьироваться от нескольких десятков до нескольких тысяч. В данном случае под конечными точками понимаются все устройства, предназначенные для непосредственной работы пользователей – это настольные ПК, ноутбуки, планшеты и смартфоны. В попытке угнаться за постоянно эволюционирующими угрозами безопасности, сотрудники ИТ отделов устанавливают на конечные точки множество программных агентов, как правило разных производителей. Такими агентами являются антивирусы, хостовые IPS, средства управления пачтами и приложениями, системы шифрования и так далее. Каждый новый агент требует отдельного сервера управления, политики безопасности, настроенного профиля, расписания обновлений и предварительного тестирования, что приводит к значительному расходованию административных и вычислительных ресурсов организации. Кроме того, одновременный запуск независимых агентов может повлиять на стабильность работы операционной системы и приложений.

В целях сокращения расходов по администрированию и унификации механизмов защиты конечных точек мы рекомендуем использовать комплексные решения с единым программным модулем, который позволяет объединить различные компоненты безопасности. При выборе производителя необходимо убедиться, что решение соответствует требованиям стандартов безопасности, содержит средства защиты от большинства известных угроз, прозрачно для пользователей и имеет возможность централизованного управления.

Сетевая безопасность является важнейшим звеном общей системы безопасности организации, поэтому на нее выделяются значительные средства и ресурсы. Защита корпоративной сети организуется за счет комплексного, многоуровневого подхода, охватывающего все потенциальные уязвимости. Этот подход хорошо работает в контролируемой среде с высокопроизводительными серверами и мощными программными средствами анализа трафика. Конечные точки имеют ограниченные вычислительные мощности, но при этом часто содержат важные данные и конфиденциальную информацию, а также регулярно используются за пределами защищенной корпоративной сети. Поэтому новые реалии побуждают специалистов сосредоточить свое внимание именно на защите рабочей станции как потенциально уязвимом звене системы информационной безопасности.

Тенденции использования злоумышленниками уязвимостей конечных точек:

Социальная инженерия

Для того чтобы обойти технологические системы защиты периметра сети, злоумышленники концентрируют усилия на человеческом факторе – невнимательности сотрудников, работающих на конечных точках.

Пример 1:

При помощи фишинговой атаки пользователь перенаправляется на зараженный сайт, с которого происходит скрытая установка вредоносной программы (это может быть клавиатурный шпион для сбора конфиденциальных данных, троян для организации бот-сети или вирус для проникновения в корпоративную сеть).

Пример 2:

На территорию организации подбрасывается флешка, содержащая вредоносное ПО в виде файлов с безобидными, но интересными названиями. Существует большая вероятность, что сотрудник, нашедший флешку, попытается посмотреть эти файлы. Таким образом, вредоносное ПО попадает в корпоративную сеть в обход всех средств защиты.

Мобильность данных

Корпоративными стандартами становятся ноутбуки, планшеты, коммуникаторы, то есть такие устройства, могут быть подвергнуты нежелательному воздействию за пределами защищенного периметра сети организации. Наиболее громкие случаи утечки конфиденциальных данных связаны именно с утерей/хищением незащищенных мобильных устройств и незашифрованных флешек.

Ошибки в конфигурации

Управление безопасностью конечных точек представляет собой сложную проблему для ИТ-персонала. Настройка стандартной рабочей станций в организациях с сотнями пользователей представляет собой комбинацию из политик безопасности для разных агентов. Развертывание нескольких видов программного обеспечения, установка обновлений, поддержание политик и конфигурации в актуальном состоянии является довольно трудоемкой задачей, что неизбежно приводит к ошибкам при настройке параметров безопасности.

Непропатченные приложения

Уязвимости в стандартных сетевых протоколах позволяют злоумышленникам получать несанкционированный доступ к неконтролируемым или открытым портам. А ошибки программирования, нерегулярное обновление операционных систем и приложений подвергают конечные точки новому ряду атак и создают службе безопасности дополнительные проблемы.

На большинстве предприятий развернуты продукты, направленные на решение традиционных задач безопасности – это антивирусы и, возможно, персональные брандмауэры. Каждый раз, обновляя программное обеспечение на конечных точках, инженеры должны произвести строгий цикл испытаний, чтобы проверить совместимость всех клиентских модулей.

Существуют решения, которые позволяют объединить функциональность защиты конечных точек в едином программном агенте для выполнения всех задач безопасности. В результате снимается нагрузка с технического отдела, так как требуется тестирование всего одного агента, снижаются затраты на развертывание клиентских модулей, появляется возможность просмотра параметров безопасности с помощью единого интерфейса управления. Кроме того, пользователи рабочих станций выигрывают от большей прозрачности и разгруженности системы. Важным преимуществом таких решений является возможность удаленного развертывания и установки агентов, а также централизованное управление политикой безопасности с единой консоли управления. Унификация технологии безопасности конечных точек позволяет упростить процесс развертывания и управления функционалом, приводит к снижению общей стоимости владения средствами защиты. Для того чтобы правильно выбрать решение по защите конечных точек и обеспечить минимальное воздействие на рабочий процесс, организациям следует внимательно изучить продукты, представленные на рынке и определиться с необходимым набором средств безопасности.

Комплексная защита конечных точек должна включать:

1. Обнаружение и блокирование вредоносного программного обеспечения

Обнаружение и блокирование вредоносных программ, нацеленных на конечные точки, традиционно входит в задачи отдельных продуктов, таких как межсетевые экраны, шлюзы Email и Web безопасности, антивирусы на рабочих станциях. Межсетевые экраны уровня приложений являются необходимым компонентом сетевой инфраструктуры любой организации и осуществляют первичную обработку входящего и исходящего корпоративного трафика. Они позволяют блокировать нежелательный вредоносный поток, определяют, какие приложения могут получать доступ к сети, делают конечные точки невидимыми для хакеров и фактически являются первой линией защиты периметра организации.

Антивирусные приложения на рабочих станциях предназначены для предотвращения проникновения вирусов непосредственно на конечные точки. Практически любой современный антивирус использует комбинацию методов обнаружения вредоносного ПО на основе сигнатурного и эвристического анализа. Сигнатурный анализ осуществляет проверку файлов на наличие вирусов путем сравнения участков кода с сигнатурами из обновляемой базы данных. Эвристический анализ выявляет неизвестные вирусы путем сопоставления результатов эмулированного выполнения программы и поведенческого кода известных угроз. Дополнительным функционалом антивирусных программ может быть антишпионский модуль, который останавливает проникновение червей, троянов, рекламного ПО и клавиатурных шпионов на конечные точки. Он обеспечивает защиту в реальном времени от установки шпионских программ, а также обнаруживает и удаляет программы, которые были установлены ранее.

При реализации проектов по антивирусной защите часто упускаются из виду уязвимости веб-браузеров. Количество случаев фишинга и специальных Интернет атак, таких как попутные загрузки, межсайтовый скриптинг, вредоносные плагины и дополнения браузера, неуклонно растет.

2. Шифрование данных на мобильных устройствах и съемных носителях

Помимо кражи или утери ноутбуков, озабоченность вызывают съемные устройства хранения данных: USB носители, карты памяти, CD и DVD-диски, которые могут содержать большие объемы информации. Как только такое устройство попадет в чужие руки, открытые данные сразу же становятся доступны для использования. Решением является внедрение полного шифрования жестких дисков ноутбуков с предзагрузочной аутентификацией и шифрования съемных носителей. Шифрование представляет собой процесс преобразования данных в закрытую систему символов, нечитаемых никому, кроме тех, кто имеет ключ или пароль для расшифрования. Поддержка многофакторной аутентификации (смарт-карты, токены, биометрия) может обеспечить дополнительный уровень безопасности. Ранее шифрование было сложным громоздким процессом, загружающим операционную систему рабочей станции. Новые продукты по шифрованию не имеют таких проблем и устанавливаются в глобальном масштабе на миллионы компьютеров.

3. Контроль доступа к портам ввода/вывода

Разнообразие мобильных устройств, которые могут использоваться в качестве съемных носителей и подключаться через порты ввода/вывода рабочих станций значительно усложняет задачу защиты конечных точек от вредоносного ПО. К тому же бесконтрольный доступ пользователей к мобильным устройствам может привести как к случайной, так и к преднамеренной утечке конфиденциальных данных. Штатные средства, встроенные в операционную систему, не позволяют гибко назначать права доступа пользователей к портам ввода/вывода и контролировать перемещаемую информацию. Решение по управлению портами и устройствами, подключаемыми к рабочей станции, позволяет предприятиям централизованно контролировать использование всех съемных носителей и мобильных устройств в сети. Практическим преимуществом является возможность блокировать несанкционированную передачу важных данных на съемный носитель, а также производить принудительное шифрование данных на носителе, если они удовлетворяют заданным критериям.

4. Управление уязвимостями программного обеспечения

На конечной точке может быть установлено множество приложений, как корпоративного, так и развлекательного характера. Часто такие приложения, особенно наиболее распространенные (Java, Skype, Adobe, Mozilla и т.д.) имеют бреши безопасности, которые могут быть устранены только установкой соответствующих пачтей и обновлений. Если централизованное обновление операционных систем применяется достаточно часто, то приложения обновляются от случая к случаю, что приводит к значительным рискам безопасности. На каждой конечной точке необходимо иметь специальное ПО, которое будет регулярно анализировать все имеющиеся уязвимости и своевременно применять к ним патчи и обновления.

5. Контроль запуска и целостности приложений

ИТ персоналу необходимо контролировать, какие приложения запускаются пользователями во время работы. Приложения могут быть как нежелательными (например, развлекательного характера или нарушающие лицензионную политику), так и небезопасными (скачанные с Интернета и имеющие потенциальную уязвимость). Программный агент, установленный на конечную точку должен уметь определять, какие приложения разрешено запускать пользователю, а какие нет. Кроме того, он должен контролировать целостность критичных приложений, особенно на важных для организации системах (таких как банкоматы, рабочие места бухгалтеров, терминалы и т.д.).

6. Проверка соответствия требованиям политик безопасности

Перед предоставлением логического доступа в корпоративную сеть рекомендуется применять сканирование конечной точки на наличие вирусов и проверять соответствие основным положениям политик безопасности. Требования политик могут быть следующими: наличие последней версии антивирусного программного обеспечения и установленных критических патчей, отсутствие запущенных запрещенных программ или ветвей реестра и т.д. При невыполнении какого-либо из этих требований программный агент должен блокировать доступ устройства к корпоративной сети. Если сотрудник пользуется общественным компьютером, политика должна проверять, чтобы на машине не оставалась никаких конфиденциальных данных после такой сессии.

В сложных корпоративных сетях необходимо учитывать в политиках безопасности работу со специальными шлюзами и системами аутентификации разных производителей. Следует также поддерживать гостевой доступ, а также автоматическое восстановление и установку обновлений на несоответствующих политике конечных точках. Некоторые программные модули могут осуществлять блокировку или разрешение доступа в сеть на основе серийного номера и модели устройства, а также сканировать съемные носители на наличие вирусов.

7. Безопасный удаленный доступ к корпоративной сети

Распространенность мобильных устройств делает безопасный удаленный доступ необходимым требованием для использования корпоративных ресурсов. Решение состоит в установке агента удаленного доступа, простоте предоставления соединения и надежной процедуре аутентификации. Технология виртуальных частных сетей (VPN или SSL VPN) является наиболее распространенным средством безопасного удаленного доступа к сети предприятия. Такой канал связи защищает данные от перехвата и фальсификации путем установления безопасного зашифрованного туннеля между конечной точкой и центральным офисом. Некоторые решения по защите мобильных устройств (на базе iOS, Android и Symbian) способны предоставлять информацию о фактическом местоположении пользователя за счет сигнала сотовой связи. Безопасность удаленного доступа можно повысить, применяя многофакторную аутентификацию в дополнение к стандартному имени пользователя и паролю.

8. Централизованное управление защитой конечных точек

Администраторы должны иметь возможность централизованного управления средствами защиты конечных точек. Это позволяет контролировать политики безопасности, планировать расписания сканирования и создавать отчеты сразу для всех рабочих станций организации. Кроме того, важной функциональной особенностью является возможность удаленной настройки и развертывания клиентов, восстановления паролей, блокирования конечных точек.

Основные требования к решениям по защите конечных точек:

9. Прозрачность для пользователя

Программный агент должен оказывать влияние на деятельность конечного пользователя только когда это необходимо в соответствии с политикой безопасности, либо для предупреждения. Некоторые решения требуют загрузки сразу всех модулей агента на каждый компьютер, независимо от используемых компонентов и приобретенной лицензии. В результате “вхолостую” потребляется значительный объем ресурсов центрального процессора и оперативной памяти, что может привести к снижению производительности важных бизнес-приложений. При выборе решения необходимо учитывать соотношение между легкостью управления, влиянием на производительность и величиной вмешательства в работу пользователя. Гибкая конфигурация программного модуля и установка на конечные точки только необходимых компонентов безопасности позволяет улучшить общее впечатление пользователей, уменьшить число обращений в службу поддержки и в целом снизить стоимость владения решением.

10. Масштабируемость и доступность

Решение по безопасности конечных точек должно иметь возможность масштабироваться вместе с ростом организации. Ручное удаление и переустановка агентов на конечных точках и серверах управления может нарушить нормальные бизнес-процессы организации и привести к дополнительным затратам. Легкость развертывания агентов на сотнях, тысячах или даже десятках тысяч рабочих мест может быть значительным конкурентным преимуществом при выборе решения. Важным требованием к системе является локализация и поддержка русского языка, что позволяет пользователям нормально реагировать на сообщения во время работы программного модуля.

Очевидно, что наличие одного антивируса уже давно не обеспечивает необходимый уровень защиты конечных точек от современных угроз информационной безопасности. Распространение мобильных устройств, увеличение емкости съемных носителей, эволюция вредоносного ПО и новые типы атак требуют применения комплексного подхода к обеспечению конфиденциальности данных и работоспособности бизнес-приложений.

В настоящий момент на российском рынке представлено достаточное количество решений по защите конечных точек. При выборе продукта мы, прежде всего, рекомендуем обращать внимание на такие особенности как функциональность, совместимость с имеющимся ПО и совокупную стоимость владения. Довольно часто возникают ситуации, когда «польстившись» на невысокую начальную стоимость продукта организация через некоторое время меняет его на другой, более дорогой, но и лучше подходящий для конкретной информационной инфраструктуры.


Более подробную информацию о наших решениях по защите конечных точек Вы сможете получить, обратившись по адресу info@sovit.net, заполнив форму обратной связи или позвонив по телефону +7 (495) 120-2530.



СОВИТ

Аналитика

Архив

Новости

Архив