สร้างความมั่นใจในความปลอดภัยในเครือข่ายองค์กร การวิเคราะห์ภัยคุกคามความปลอดภัยของเครือข่าย การจัดระบบความปลอดภัยของเครือข่ายองค์กร

ภัยคุกคามและช่องโหว่ของเครือข่ายองค์กรแบบมีสาย

ในระยะเริ่มแรกของการพัฒนาเทคโนโลยีเครือข่าย ความเสียหายจากไวรัสและการโจมตีคอมพิวเตอร์ประเภทอื่น ๆ มีน้อย เนื่องจากการพึ่งพาเทคโนโลยีสารสนเทศของเศรษฐกิจโลกมีน้อย ปัจจุบัน ในบริบทของการพึ่งพาธุรกิจอย่างมีนัยสำคัญในการเข้าถึงและแลกเปลี่ยนข้อมูลทางอิเล็กทรอนิกส์และจำนวนการโจมตีที่เพิ่มขึ้นอย่างต่อเนื่อง ความเสียหายจากการโจมตีเล็กน้อยส่วนใหญ่ที่นำไปสู่การสูญเสียเวลาของคอมพิวเตอร์นั้นประเมินเป็นล้านดอลลาร์ และ ความเสียหายรวมต่อปีต่อเศรษฐกิจโลกมีมูลค่านับหมื่นล้านดอลลาร์

ข้อมูลที่ประมวลผลบนเครือข่ายองค์กรมีความเสี่ยงเป็นพิเศษ ซึ่งได้รับการอำนวยความสะดวกโดย:
การเพิ่มปริมาณข้อมูลที่ประมวลผล ส่ง และจัดเก็บบนคอมพิวเตอร์
การกระจุกตัวของข้อมูลในระดับความสำคัญและการรักษาความลับที่แตกต่างกันในฐานข้อมูล
ขยายการเข้าถึงของกลุ่มผู้ใช้ไปยังข้อมูลที่เก็บไว้ในฐานข้อมูลและทรัพยากรเครือข่ายคอมพิวเตอร์
การเพิ่มจำนวนงานระยะไกล
การใช้อินเทอร์เน็ตทั่วโลกและช่องทางการสื่อสารต่างๆ อย่างแพร่หลาย
ระบบอัตโนมัติของการแลกเปลี่ยนข้อมูลระหว่างคอมพิวเตอร์ของผู้ใช้

การวิเคราะห์ภัยคุกคามที่พบบ่อยที่สุดซึ่งเครือข่ายองค์กรแบบใช้สายสมัยใหม่ถูกเปิดเผย แสดงให้เห็นว่าแหล่งที่มาของภัยคุกคามอาจแตกต่างกันตั้งแต่การบุกรุกของผู้โจมตีไปจนถึงไวรัสคอมพิวเตอร์โดยไม่ได้รับอนุญาต ในขณะที่ข้อผิดพลาดของมนุษย์ถือเป็นภัยคุกคามด้านความปลอดภัยที่สำคัญมาก มีความจำเป็นต้องคำนึงว่าแหล่งที่มาของภัยคุกคามความปลอดภัยสามารถอยู่ได้ทั้งภายใน CIS - แหล่งข้อมูลภายในและภายนอก - แหล่งข้อมูลภายนอก การแบ่งแยกนี้มีเหตุผลอย่างสมบูรณ์ เนื่องจากสำหรับภัยคุกคามเดียวกัน (เช่น การโจรกรรม) มาตรการรับมือสำหรับแหล่งที่มาภายนอกและภายในจะแตกต่างกัน ความรู้เกี่ยวกับภัยคุกคามที่เป็นไปได้ รวมถึงจุดอ่อนของ CIS เป็นสิ่งจำเป็นในการเลือกมาตรการรักษาความปลอดภัยที่มีประสิทธิภาพสูงสุด

ข้อผิดพลาดที่พบบ่อยและเป็นอันตรายที่สุด (ในแง่ของจำนวนความเสียหาย) คือข้อผิดพลาดโดยไม่ได้ตั้งใจของผู้ใช้ ผู้ปฏิบัติงาน และผู้ดูแลระบบที่ให้บริการ CIS บางครั้งข้อผิดพลาดดังกล่าวนำไปสู่ความเสียหายโดยตรง (ข้อมูลที่ป้อนไม่ถูกต้อง ข้อผิดพลาดของโปรแกรมที่ทำให้ระบบหยุดหรือล่มสลาย) และบางครั้งก็สร้างจุดอ่อนที่ผู้โจมตีสามารถถูกโจมตีได้ (ซึ่งมักเป็นข้อผิดพลาดด้านผู้ดูแลระบบ)

จากข้อมูลของสถาบันมาตรฐานและเทคโนโลยีแห่งชาติของสหรัฐอเมริกา (NIST) พบว่า 55% ของการละเมิดความปลอดภัย IP เป็นผลมาจากข้อผิดพลาดโดยไม่ได้ตั้งใจ การทำงานใน IP ทั่วโลกทำให้ปัจจัยนี้ค่อนข้างเกี่ยวข้อง และแหล่งที่มาของความเสียหายอาจเป็นได้ทั้งการกระทำของผู้ใช้ขององค์กรและผู้ใช้เครือข่ายทั่วโลก ซึ่งเป็นอันตรายอย่างยิ่ง ในรูป รูปที่ 2.4 แสดงแผนภูมิวงกลมที่แสดงข้อมูลทางสถิติเกี่ยวกับแหล่งที่มาของการละเมิดความปลอดภัยใน CIS

การโจรกรรมและการปลอมแปลงอยู่ในอันดับที่สองในแง่ของความเสียหาย คดีส่วนใหญ่ที่สอบสวนพบว่าผู้กระทำผิดเป็นพนักงานเต็มเวลาขององค์กรที่คุ้นเคยกับตารางการทำงานและมาตรการป้องกันเป็นอย่างดี การมีอยู่ของช่องทางข้อมูลที่มีประสิทธิภาพในการสื่อสารกับเครือข่ายทั่วโลกโดยไม่มีการควบคุมการดำเนินงานที่เหมาะสมสามารถอำนวยความสะดวกในกิจกรรมดังกล่าวได้มากขึ้น

ข้าว. 2.4. แหล่งที่มาของการละเมิดความปลอดภัย

พนักงานที่ถูกกระทำผิดแม้กระทั่งอดีตพนักงานก็คุ้นเคยกับขั้นตอนในองค์กรและสามารถก่อให้เกิดอันตรายได้อย่างมีประสิทธิภาพ ดังนั้นเมื่อพนักงานถูกไล่ออก จะต้องเพิกถอนสิทธิ์การเข้าถึงทรัพยากรข้อมูลของเขา

ความพยายามโดยเจตนาเพื่อให้ได้รับการเข้าถึงโดยไม่ได้รับอนุญาตผ่านการสื่อสารภายนอกคิดเป็นประมาณ 10% ของการละเมิดที่เป็นไปได้ทั้งหมด แม้ว่าค่านี้ดูไม่สำคัญนัก แต่ประสบการณ์บนอินเทอร์เน็ตแสดงให้เห็นว่าเซิร์ฟเวอร์อินเทอร์เน็ตเกือบทุกเครื่องถูกพยายามบุกรุกหลายครั้งต่อวัน การทดสอบโดยหน่วยงานคุ้มครองระบบสารสนเทศ (สหรัฐอเมริกา) แสดงให้เห็นว่า 88% ของคอมพิวเตอร์มีจุดอ่อนในแง่ของความปลอดภัยของข้อมูลที่สามารถใช้เพื่อรับการเข้าถึงโดยไม่ได้รับอนุญาต ควรพิจารณากรณีการเข้าถึงโครงสร้างข้อมูลขององค์กรจากระยะไกลแยกกัน

ก่อนที่จะสร้างนโยบายความปลอดภัย จำเป็นต้องประเมินความเสี่ยงต่อสภาพแวดล้อมคอมพิวเตอร์ขององค์กรและดำเนินการตามความเหมาะสม เห็นได้ชัดว่าต้นทุนขององค์กรในการติดตามและป้องกันภัยคุกคามด้านความปลอดภัยไม่ควรเกินความสูญเสียที่คาดไว้

สถิติที่ให้ไว้สามารถบอกฝ่ายบริหารและพนักงานขององค์กรได้ว่าควรมุ่งความพยายามไปที่จุดใดเพื่อลดภัยคุกคามด้านความปลอดภัยต่อเครือข่ายและระบบขององค์กรอย่างมีประสิทธิภาพ แน่นอนว่าจำเป็นต้องแก้ไขปัญหาและมาตรการด้านความปลอดภัยทางกายภาพเพื่อลดผลกระทบด้านลบต่อความปลอดภัยของข้อผิดพลาดของมนุษย์ แต่ในขณะเดียวกันก็จำเป็นต้องให้ความสำคัญอย่างจริงจังที่สุดในการแก้ไขปัญหาความปลอดภัยของเครือข่ายเพื่อป้องกันการโจมตีองค์กร เครือข่ายและระบบทั้งจากภายนอกและภายในระบบ


วันนี้ในบล็อกของเรา เราได้ตัดสินใจที่จะกล่าวถึงประเด็นด้านความปลอดภัยของเครือข่ายองค์กร และมิคาอิล Lyubimov ผู้อำนวยการด้านเทคนิคของ LWCOM จะช่วยเราในเรื่องนี้

เหตุใดหัวข้อความปลอดภัยของเครือข่ายนี้จึงมีความเกี่ยวข้องอย่างยิ่งในโลกสมัยใหม่

เนื่องจากความพร้อมใช้งานของอินเทอร์เน็ตบรอดแบนด์ที่เกือบจะเป็นสากล การดำเนินการบนอุปกรณ์ส่วนใหญ่จึงดำเนินการผ่านเครือข่าย ดังนั้นสำหรับ 99% ของภัยคุกคามสมัยใหม่ เครือข่ายจึงเป็นช่องทางในการส่งภัยคุกคามจากต้นทางไปยังเป้าหมาย แน่นอนว่าการแพร่กระจายโค้ดที่เป็นอันตรายสามารถทำได้โดยใช้สื่อแบบถอดได้ แต่ปัจจุบันมีการใช้วิธีนี้น้อยลงเรื่อยๆ และบริษัทส่วนใหญ่ได้เรียนรู้มานานแล้วที่จะจัดการกับภัยคุกคามดังกล่าว

เครือข่ายข้อมูลคืออะไร?

ก่อนอื่นมาวาดสถาปัตยกรรมของเครือข่ายข้อมูลองค์กรแบบคลาสสิกในรูปแบบที่เรียบง่ายและเข้าใจได้

เครือข่ายการรับส่งข้อมูลเริ่มต้นด้วยสวิตช์เลเยอร์การเข้าถึง สถานที่ทำงานเชื่อมต่อโดยตรงกับสวิตช์นี้: คอมพิวเตอร์ แล็ปท็อป เครื่องพิมพ์ อุปกรณ์มัลติฟังก์ชั่น และอุปกรณ์อื่นๆ เช่น จุดเข้าใช้งานไร้สาย ดังนั้นคุณสามารถมีอุปกรณ์ได้มากมาย มันสามารถเชื่อมต่อกับเครือข่ายในสถานที่ที่แตกต่างกันโดยสิ้นเชิง (ชั้นหรือแม้แต่อาคารที่แยกจากกัน)

โดยทั่วไปแล้ว เครือข่ายข้อมูลองค์กรจะถูกสร้างขึ้นโดยใช้โทโพโลยีแบบ "ดาว" ดังนั้นการโต้ตอบของทุกส่วนระหว่างกันจะถูกรับประกันโดยอุปกรณ์ระดับหลักของเครือข่าย ตัวอย่างเช่น สามารถใช้สวิตช์เดียวกันได้ โดยปกติจะเป็นเวอร์ชันที่มีประสิทธิภาพและใช้งานได้มากกว่าเท่านั้น เมื่อเทียบกับสวิตช์ที่ใช้ในระดับการเข้าถึง

เซิร์ฟเวอร์และระบบจัดเก็บข้อมูลมักจะถูกรวมไว้ในที่เดียว และจากมุมมองของเครือข่ายข้อมูล สามารถเชื่อมต่อโดยตรงกับอุปกรณ์หลักหรืออาจมีอุปกรณ์การเข้าถึงบางส่วนที่มีไว้สำหรับวัตถุประสงค์เหล่านี้โดยเฉพาะ

ต่อไป เรามีอุปกรณ์สำหรับเชื่อมต่อกับเครือข่ายข้อมูลภายนอก (เช่น อินเทอร์เน็ต) โดยทั่วไป เพื่อวัตถุประสงค์เหล่านี้ บริษัทต่างๆ จะใช้อุปกรณ์เช่นเราเตอร์ ไฟร์วอลล์ และพร็อกซีเซิร์ฟเวอร์ประเภทต่างๆ นอกจากนี้ยังใช้เพื่อจัดระเบียบการสื่อสารกับสำนักงานของบริษัทที่กระจายตัวและเพื่อเชื่อมต่อพนักงานที่อยู่ห่างไกล

นี่คือสถาปัตยกรรมของเครือข่ายท้องถิ่นที่เข้าใจง่ายและเหมือนกันกับความเป็นจริงสมัยใหม่

ภัยคุกคามในปัจจุบันจัดอยู่ในประเภทใด

มากำหนดเป้าหมายหลักและเวกเตอร์การโจมตีภายในการสื่อสารเครือข่ายกันดีกว่า

เป้าหมายการโจมตีที่พบบ่อยและง่ายที่สุดคืออุปกรณ์ของผู้ใช้ ซอฟต์แวร์ที่เป็นอันตรายสามารถเผยแพร่ได้อย่างง่ายดายในทิศทางนี้ผ่านเนื้อหาบนแหล่งข้อมูลบนเว็บหรือทางอีเมล

ในอนาคต ผู้โจมตีที่สามารถเข้าถึงเวิร์กสเตชันของผู้ใช้แล้ว สามารถขโมยข้อมูลที่เป็นความลับหรือพัฒนาการโจมตีผู้ใช้รายอื่นหรืออุปกรณ์อื่น ๆ บนเครือข่ายองค์กรได้

เป้าหมายการโจมตีถัดไปที่เป็นไปได้คือเซิร์ฟเวอร์ การโจมตีประเภทหนึ่งที่เป็นที่รู้จักมากที่สุดต่อทรัพยากรที่เผยแพร่คือการโจมตี DoS และ DDoS ซึ่งใช้เพื่อขัดขวางการดำเนินงานที่เสถียรของทรัพยากรหรือทำให้ล้มเหลวโดยสิ้นเชิง

การโจมตียังสามารถส่งตรงจากเครือข่ายภายนอกไปยังแอปพลิเคชันที่เผยแพร่เฉพาะ เช่น ทรัพยากรบนเว็บ เซิร์ฟเวอร์ DNS อีเมล การโจมตียังสามารถส่งตรงจากภายในเครือข่าย - จากคอมพิวเตอร์ของผู้ใช้ที่ติดไวรัสหรือจากผู้โจมตีที่เชื่อมต่อกับเครือข่าย ไปยังแอปพลิเคชัน เช่น การแชร์ไฟล์หรือฐานข้อมูล



นอกจากนี้ยังมีประเภทของการโจมตีแบบเลือกสรรและการโจมตีที่อันตรายที่สุดอย่างหนึ่งคือการโจมตีบนเครือข่ายนั่นคือเมื่อเข้าถึงเครือข่ายนั้น ผู้โจมตีที่สามารถเข้าถึงเครือข่ายสามารถเริ่มการโจมตีต่อไปนี้บนอุปกรณ์แทบทุกชนิดที่เชื่อมต่อกับเครือข่าย รวมถึงเข้าถึงข้อมูลใดๆ อย่างลับๆ ได้ด้วย สิ่งสำคัญที่สุดคือ การโจมตีประเภทนี้ที่ประสบความสำเร็จนั้นค่อนข้างยากต่อการตรวจจับ และไม่สามารถรักษาด้วยวิธีมาตรฐานได้ ที่จริงแล้วคุณมีผู้ใช้ใหม่หรือที่แย่กว่านั้นคือผู้ดูแลระบบที่คุณไม่รู้อะไรเลย

เป้าหมายของผู้โจมตีอีกประการหนึ่งอาจเป็นช่องทางการสื่อสาร ควรเข้าใจว่าการโจมตีช่องทางการสื่อสารที่ประสบความสำเร็จไม่เพียงแต่ช่วยให้คุณอ่านข้อมูลที่ส่งผ่านช่องทางเหล่านั้นเท่านั้น แต่ยังส่งผลที่ตามมาเช่นเดียวกันกับการโจมตีเครือข่าย เมื่อผู้โจมตีสามารถเข้าถึงทรัพยากรทั้งหมดของเครือข่ายคอมพิวเตอร์ท้องถิ่น

จะจัดระเบียบการป้องกันการถ่ายโอนข้อมูลที่มีความสามารถและเชื่อถือได้ได้อย่างไร?

ประการแรก เราสามารถนำเสนอแนวปฏิบัติและคำแนะนำระดับโลกสำหรับการจัดการการป้องกันเครือข่ายข้อมูลองค์กร ซึ่งได้แก่ ชุดเครื่องมือที่จะช่วยให้คุณสามารถหลีกเลี่ยงภัยคุกคามที่มีอยู่ส่วนใหญ่ได้โดยใช้ความพยายามเพียงเล็กน้อย หรือที่เรียกว่าขั้นต่ำที่ปลอดภัย

ในบริบทนี้จำเป็นต้องแนะนำคำว่า "ขอบเขตการรักษาความปลอดภัยของเครือข่าย" เนื่องจาก ยิ่งคุณควบคุมแหล่งที่มาของภัยคุกคามได้ใกล้ชิดมากขึ้นเท่าไร คุณก็ยิ่งลดจำนวนวิธีการโจมตีที่ผู้โจมตีสามารถใช้ได้มากขึ้นเท่านั้น ในกรณีนี้ ต้องมีขอบเขตสำหรับการเชื่อมต่อทั้งภายนอกและภายใน

ก่อนอื่น เราขอแนะนำให้รักษาความปลอดภัยอินเทอร์เฟซกับเครือข่ายสาธารณะ เนื่องจากภัยคุกคามจำนวนมากที่สุดมาจากเครือข่ายเหล่านั้น ในปัจจุบัน มีเครื่องมือรักษาความปลอดภัยเครือข่ายเฉพาะจำนวนหนึ่งที่ออกแบบมาโดยเฉพาะสำหรับการจัดระเบียบการเชื่อมต่ออินเทอร์เน็ตอย่างปลอดภัย

คำศัพท์ต่างๆ เช่น NGFW (ไฟร์วอลล์ยุคถัดไป) และ UTM (Unified Threat Management) ถูกนำมาใช้กันอย่างแพร่หลายเพื่ออ้างถึงคำเหล่านี้ อุปกรณ์เหล่านี้ไม่เพียงแต่รวมฟังก์ชันการทำงานของเราเตอร์แบบคลาสสิก ไฟร์วอลล์ และพร็อกซีเซิร์ฟเวอร์เท่านั้น แต่ยังให้บริการรักษาความปลอดภัยเพิ่มเติม เช่น การกรอง URL และการกรองเนื้อหา โปรแกรมป้องกันไวรัส ฯลฯ นอกจากนี้ อุปกรณ์เหล่านี้มักจะใช้ระบบการตรวจสอบเนื้อหาบนคลาวด์ ซึ่งช่วยให้ คุณสามารถสแกนข้อมูลที่ส่งทั้งหมดเพื่อหาภัยคุกคามได้อย่างรวดเร็วและมีประสิทธิภาพ แต่สิ่งสำคัญคือความสามารถในการรายงานภัยคุกคามที่ระบุย้อนหลังได้นั่นคือเพื่อระบุภัยคุกคามในกรณีที่เนื้อหาที่ติดไวรัสถูกถ่ายโอนไปยังผู้ใช้แล้ว แต่ผู้ผลิตได้รับข้อมูลเกี่ยวกับความเป็นอันตรายของซอฟต์แวร์นี้ในภายหลัง

สิ่งต่างๆ เช่น การตรวจสอบการรับส่งข้อมูล HTTPS และการวิเคราะห์แอปพลิเคชันอัตโนมัติช่วยให้คุณสามารถควบคุมไม่เพียงแต่การเข้าถึงไซต์เฉพาะเท่านั้น แต่ยังอนุญาต/ห้ามการทำงานของแอปพลิเคชัน เช่น Skype, Team Viewer และอื่นๆ อีกมากมาย และอย่างที่คุณทราบ ส่วนใหญ่แล้ว โปรโตคอล HTTP และ HTTPS ทำงานมาเป็นเวลานานและเครื่องมือเครือข่ายมาตรฐานก็ไม่สามารถควบคุมการทำงานได้

นอกจากนี้ ภายในอุปกรณ์เดียว คุณยังสามารถรับระบบป้องกันการบุกรุกซึ่งมีหน้าที่หยุดการโจมตีที่มุ่งเป้าไปที่ทรัพยากรที่เผยแพร่ คุณยังสามารถรับเซิร์ฟเวอร์ VPN เพิ่มเติมสำหรับการทำงานระยะไกลที่ปลอดภัยของพนักงานและการเชื่อมต่อสาขา ป้องกันสแปม ระบบควบคุมบอตเน็ต แซนด์บ็อกซ์ ฯลฯ ทั้งหมดนี้ทำให้อุปกรณ์ดังกล่าวเป็นเครื่องมือรักษาความปลอดภัยเครือข่ายแบบครบวงจรอย่างแท้จริง

หากบริษัทของคุณยังไม่ได้ใช้โซลูชันดังกล่าว เราขอแนะนำเป็นอย่างยิ่งให้เริ่มใช้งานทันที เนื่องจากถึงเวลาแห่งประสิทธิผลแล้ว และเราสามารถพูดด้วยความมั่นใจว่าอุปกรณ์ดังกล่าวได้พิสูจน์ความสามารถที่แท้จริงในการจัดการกับกลุ่มใหญ่แล้ว จำนวนภัยคุกคามซึ่งยังไม่เกิดขึ้นเมื่อ 5 ปีที่แล้ว สมัยนั้นของพวกนี้เพิ่งออกสู่ตลาด มีปัญหามากมาย ราคาค่อนข้างแพงและประสิทธิภาพต่ำ

จะเลือกไฟร์วอลล์รุ่นถัดไปได้อย่างไร

ขณะนี้มีอุปกรณ์เครือข่ายจำนวนมากในตลาดที่มีการประกาศฟังก์ชันการทำงานที่คล้ายกัน แต่มีเพียงไม่กี่เครื่องเท่านั้นที่สามารถให้การป้องกันที่มีประสิทธิภาพอย่างแท้จริง สิ่งนี้อธิบายได้จากข้อเท็จจริงที่ว่าผู้ผลิตเพียงไม่กี่รายเท่านั้นที่มีเงินทุนและลงทุนจริงในการพัฒนาภัยคุกคามในปัจจุบันอย่างไม่หยุดยั้ง เช่น อัปเดตฐานข้อมูลทรัพยากรที่อาจเป็นอันตรายอย่างต่อเนื่อง ให้การสนับสนุนโซลูชันอย่างต่อเนื่อง ฯลฯ

พันธมิตรหลายรายจะพยายามขายโซลูชันที่ทำกำไรให้พวกเขาขายให้กับคุณ ดังนั้นราคาของโซลูชันจึงไม่สอดคล้องกับความสามารถที่แท้จริงในการต่อต้านภัยคุกคามเสมอไป โดยส่วนตัวแล้ว ฉันแนะนำให้หันไปหาวัสดุจากศูนย์การวิเคราะห์อิสระ เช่น รายงานของ NSS Labs เพื่อเลือกอุปกรณ์ ในความคิดของฉัน พวกมันแม่นยำและเป็นกลางมากกว่า

นอกจากภัยคุกคามจากภายนอกแล้ว ทรัพยากรของคุณยังถูกโจมตีจากภายในอีกด้วย สิ่งที่เรียกว่า “ขั้นต่ำที่ปลอดภัย” ที่ควรใช้ในเครือข่ายท้องถิ่นของคุณคือการแบ่งส่วนออกเป็น VLAN เช่น เครือข่ายส่วนตัวเสมือน นอกเหนือจากการแบ่งส่วนแล้ว จำเป็นต้องใช้นโยบายการเข้าถึงระหว่างกัน อย่างน้อยก็ใช้รายการการเข้าถึงมาตรฐาน (ACL) เนื่องจากการมี VLAN ในการต่อสู้กับภัยคุกคามสมัยใหม่ไม่ได้ให้อะไรเลยในทางปฏิบัติ

ตามคำแนะนำแยกต่างหาก ฉันจะสรุปความต้องการในการใช้การควบคุมการเข้าถึงโดยตรงจากพอร์ตอุปกรณ์ อย่างไรก็ตาม จำเป็นต้องจำขอบเขตเครือข่าย เช่น ยิ่งคุณใช้นโยบายใกล้กับบริการที่ได้รับการป้องกันมากเท่าไรก็ยิ่งดีเท่านั้น ตามหลักการแล้ว นโยบายดังกล่าวควรนำไปใช้กับสวิตช์การเข้าถึง ในกรณีเช่นนี้ ขอแนะนำให้ใช้กฎง่ายๆ 4 ข้อเป็นนโยบายความปลอดภัยขั้นต่ำที่สุด:

  • ปิดการใช้งานพอร์ตสวิตช์ที่ไม่ได้ใช้ทั้งหมดโดยผู้ดูแลระบบ
  • อย่าใช้ VLAN ที่ 1;
  • ใช้แผ่นกรอง MAC บนสวิตช์การเข้าถึง
  • ใช้การตรวจสอบโปรโตคอล ARP
วิธีแก้ปัญหาที่ยอดเยี่ยมคือการใช้ไฟร์วอลล์เดียวกันกับระบบป้องกันการบุกรุกตามเส้นทางการส่งข้อมูล และใช้โซนปลอดทหารในเชิงสถาปัตยกรรมด้วย วิธีที่ดีที่สุดคือใช้การรับรองความถูกต้องของอุปกรณ์ที่เชื่อมต่อโดยใช้โปรโตคอล 802.1x โดยใช้ระบบ AAA ต่างๆ (ระบบการรับรองความถูกต้อง การอนุญาต และระบบบัญชี) สำหรับการควบคุมการเข้าถึงเครือข่ายแบบรวมศูนย์ โดยทั่วไปแล้ว โซลูชันเหล่านี้มีการอ้างอิงโดยใช้คำทั่วไปในหมู่ผู้ผลิต NAC (การควบคุมการเข้าถึงเครือข่าย) ตัวอย่างของระบบเชิงพาณิชย์ระบบหนึ่งคือ Cisco ISE



ผู้โจมตียังสามารถโจมตีช่องสัญญาณได้ ควรใช้การเข้ารหัสที่รัดกุมเพื่อปกป้องช่องสัญญาณ หลายคนละเลยสิ่งนี้แล้วจ่ายผลที่ตามมา ช่องทางที่ไม่ได้รับการปกป้องไม่เพียงแต่เป็นข้อมูลสำหรับการโจรกรรมเท่านั้น แต่ยังรวมถึงความเป็นไปได้ในการโจมตีทรัพยากรขององค์กรเกือบทั้งหมดอีกด้วย ลูกค้าของเรามีเหตุการณ์แบบอย่างจำนวนมากในการปฏิบัติของพวกเขาเมื่อมีการโจมตีระบบโทรศัพท์ขององค์กรโดยการจัดการการสื่อสารผ่านช่องทางการถ่ายโอนข้อมูลที่ไม่ปลอดภัยระหว่างสำนักงานส่วนกลางและสำนักงานระยะไกล (เช่น เพียงใช้อุโมงค์ GRE) บริษัทต่างๆ ได้รับบิลสุดบ้าระห่ำ!

คุณสามารถบอกเราเกี่ยวกับเครือข่ายไร้สายและ BYOD ให้เราทราบได้อย่างไร

ฉันต้องการเน้นหัวข้อการทำงานระยะไกล เครือข่ายไร้สาย และการใช้อุปกรณ์ของคุณเองแยกกัน จากประสบการณ์ของผม ทั้งสามสิ่งนี้เป็นหนึ่งในช่องโหว่ด้านความปลอดภัยที่ใหญ่ที่สุดในบริษัทของคุณ แต่ในขณะเดียวกันพวกเขาก็เป็นหนึ่งในข้อได้เปรียบทางการแข่งขันที่ยิ่งใหญ่ที่สุด

กล่าวโดยย่อ ฉันขอแนะนำให้ห้ามการใช้เครือข่ายไร้สาย การทำงานระยะไกล หรือการทำงานผ่านอุปกรณ์มือถือของคุณเองโดยเด็ดขาด โดยอ้างถึงกฎเกณฑ์ขององค์กร หรือให้บริการเหล่านี้อย่างละเอียดถี่ถ้วนที่สุดเท่าที่จะเป็นไปได้จากมุมมองด้านความปลอดภัย โดยเฉพาะอย่างยิ่งเนื่องจากโซลูชันที่ทันสมัย ให้โอกาสในการทำเช่นนี้อย่างดีที่สุด

ในแง่ของการทำงานระยะไกล ไฟร์วอลล์ Next Generation หรืออุปกรณ์ UTM เดียวกันสามารถช่วยคุณได้ แนวทางปฏิบัติของเราแสดงให้เห็นว่ามีโซลูชันที่เสถียรจำนวนหนึ่ง (รวมถึง Cisco, Checkpoint, Fortinet, Citrix) ที่ช่วยให้คุณสามารถทำงานกับอุปกรณ์ไคลเอนต์ได้หลากหลาย ขณะเดียวกันก็มอบมาตรฐานสูงสุดสำหรับการระบุพนักงานระยะไกล ตัวอย่างเช่น การใช้ใบรับรอง การตรวจสอบสิทธิ์แบบสองปัจจัย รหัสผ่านแบบครั้งเดียวที่ส่งทาง SMS หรือสร้างขึ้นโดยใช้รหัสพิเศษ คุณยังสามารถตรวจสอบซอฟต์แวร์ที่ติดตั้งบนคอมพิวเตอร์ที่มีการพยายามเข้าถึงได้ เช่น สำหรับการติดตั้งการอัพเดตที่เหมาะสมหรือการเรียกใช้โปรแกรมป้องกันไวรัส

ความปลอดภัยของ Wi-Fi เป็นหัวข้อที่สมควรได้รับบทความของตัวเอง ในโพสต์นี้ ฉันจะพยายามให้คำแนะนำที่สำคัญที่สุด หากคุณกำลังสร้าง Wi-Fi ขององค์กร โปรดพิจารณาประเด็นด้านความปลอดภัยที่เป็นไปได้ทั้งหมดที่เกี่ยวข้องด้วย

อย่างไรก็ตาม Wi-Fi เป็นแหล่งรายได้แยกต่างหากสำหรับบริษัทของเรา เราจัดการกับพวกเขาอย่างมืออาชีพ: โครงการเพื่อจัดเตรียมห้างสรรพสินค้าและศูนย์การค้า ศูนย์ธุรกิจ คลังสินค้าพร้อมอุปกรณ์ไร้สาย รวมถึงการใช้โซลูชันที่ทันสมัย ​​เช่น การวางตำแหน่ง ดำเนินการในโหมดไม่หยุดนิ่ง และจากผลการสำรวจทางวิทยุของเรา ในทุก ๆ วินาทีของสำนักงานและคลังสินค้า เราจะพบเราเตอร์ Wi-Fi ในบ้านอย่างน้อยหนึ่งตัวที่พนักงานเชื่อมต่อกับเครือข่ายเอง โดยปกติแล้วพวกเขาจะทำเช่นนี้เพื่อความสะดวกในการทำงาน เช่น เพื่อออกไปห้องสูบบุหรี่พร้อมกับแล็ปท็อป หรือเพื่อเคลื่อนไหวอย่างอิสระภายในห้อง เป็นที่ชัดเจนว่าไม่มีการใช้กฎความปลอดภัยขององค์กรกับเราเตอร์ดังกล่าวและมีการแจกจ่ายรหัสผ่านให้กับเพื่อนร่วมงานที่มีชื่อเสียง จากนั้นจึงแจกจ่ายให้กับเพื่อนร่วมงานของเพื่อนร่วมงาน จากนั้นไปยังแขกที่มาดื่มกาแฟ และส่งผลให้เกือบทุกคนสามารถเข้าถึงเครือข่ายขององค์กรได้ ในขณะที่มันควบคุมไม่ได้โดยสิ้นเชิง

แน่นอนว่าการปกป้องเครือข่ายจากการเชื่อมต่ออุปกรณ์ดังกล่าวนั้นคุ้มค่า วิธีหลักในการทำเช่นนี้คือ: การใช้การอนุญาตบนพอร์ต การกรองโดย MAC ฯลฯ จากมุมมองของ Wi-Fi ควรใช้วิธีการเข้ารหัสอัลกอริธึมที่แข็งแกร่งและวิธีการตรวจสอบสิทธิ์ระดับองค์กรสำหรับเครือข่าย แต่ควรเข้าใจว่าวิธีการรับรองความถูกต้องขององค์กรไม่ใช่ทุกวิธีจะมีประโยชน์เท่าเทียมกัน ตัวอย่างเช่น อุปกรณ์ Android ในซอฟต์แวร์บางรุ่นอาจเพิกเฉยต่อใบรับรองเครือข่าย Wi-Fi สาธารณะตามค่าเริ่มต้น ดังนั้นจึงทำให้การโจมตี Evil Twin เกิดขึ้นได้ หากใช้วิธีการตรวจสอบสิทธิ์ เช่น EAP GTC คีย์จะถูกส่งเป็นข้อความที่ชัดเจนและสามารถสกัดกั้นการโจมตีนี้ได้อย่างสมบูรณ์ เราขอแนะนำให้ใช้การรับรองความถูกต้องของใบรับรองในเครือข่ายองค์กรเท่านั้น เช่น นี่เป็นวิธี TLS แต่โปรดจำไว้ว่าจะเพิ่มภาระให้กับผู้ดูแลระบบเครือข่ายอย่างมาก

มีวิธีอื่น: หากใช้งานระยะไกลในเครือข่ายองค์กร คุณสามารถบังคับอุปกรณ์ที่เชื่อมต่อผ่าน Wi-Fi ให้ใช้ไคลเอนต์ VPN ได้เช่นกัน นั่นคือจัดสรรส่วนเครือข่าย Wi-Fi ให้กับพื้นที่ที่ไม่น่าเชื่อถือในตอนแรกและท้ายที่สุดคุณจะได้รับตัวเลือกการทำงานที่ดีโดยลดต้นทุนการจัดการเครือข่ายให้เหลือน้อยที่สุด

ผู้ผลิตโซลูชัน Wi-Fi ระดับองค์กร เช่น Cisco, Ruckus ซึ่งปัจจุบันคือ Brocade, Aruba ซึ่งปัจจุบันคือ HPE นอกเหนือจากโซลูชัน Wi-Fi มาตรฐาน ยังให้บริการครบวงจรสำหรับการตรวจสอบความปลอดภัยของสภาพแวดล้อมไร้สายโดยอัตโนมัติ . นั่นคือสิ่งต่างๆ เช่น WIPS (ระบบป้องกันการบุกรุกแบบไร้สาย) ทำงานได้ค่อนข้างดีสำหรับพวกเขา ผู้ผลิตเหล่านี้ได้ติดตั้งเซ็นเซอร์ไร้สายที่สามารถตรวจสอบสเปกตรัมความถี่ทั้งหมดได้ จึงทำให้พวกเขาสามารถตรวจสอบภัยคุกคามที่ค่อนข้างร้ายแรงได้โดยอัตโนมัติ

ตอนนี้ เรามาพูดถึงหัวข้อต่างๆ เช่น BYOD (นำอุปกรณ์มาเอง) และ MDM (การจัดการอุปกรณ์เคลื่อนที่) แน่นอนว่าอุปกรณ์เคลื่อนที่ใดๆ ที่จัดเก็บข้อมูลองค์กรหรือเข้าถึงเครือข่ายขององค์กรอาจเป็นสาเหตุของปัญหาได้ หัวข้อด้านความปลอดภัยสำหรับอุปกรณ์ดังกล่าวไม่เพียงแต่เกี่ยวข้องกับการรักษาความปลอดภัยในการเข้าถึงเครือข่ายองค์กรเท่านั้น แต่ยังรวมถึงการจัดการนโยบายแบบรวมศูนย์สำหรับอุปกรณ์เคลื่อนที่ด้วย เช่น สมาร์ทโฟน แท็บเล็ต แล็ปท็อปที่ใช้ภายนอกองค์กร หัวข้อนี้มีความเกี่ยวข้องมาเป็นเวลานาน แต่ตอนนี้มีเพียงโซลูชันที่ใช้งานได้จริงเท่านั้นที่ปรากฏในตลาดซึ่งช่วยให้คุณสามารถจัดการกลุ่มอุปกรณ์เคลื่อนที่ที่หลากหลายได้

น่าเสียดายที่ไม่สามารถพูดถึงพวกเขาได้ในโพสต์นี้ แต่โปรดทราบว่ามีวิธีแก้ไขปัญหาต่างๆ และในปีที่แล้ว เราพบว่าการนำโซลูชัน MDM ไปใช้จาก Microsoft และ MobileIron ได้รับความนิยมอย่างมาก

คุณพูดถึง "ความปลอดภัยขั้นต่ำ" แล้ว "ความปลอดภัยสูงสุด" คืออะไร?

ครั้งหนึ่งมีภาพยอดนิยมบนอินเทอร์เน็ต: แนะนำให้ติดตั้งไฟร์วอลล์จากผู้ผลิตที่มีชื่อเสียงทีละรายเพื่อปกป้องเครือข่าย เราไม่สนับสนุนให้คุณทำเช่นเดียวกัน แต่อย่างไรก็ตาม มีความจริงอยู่บ้าง การมีอุปกรณ์เครือข่ายที่มีการวิเคราะห์ลายเซ็นไวรัส เช่น จาก SOFOS และติดตั้งโปรแกรมป้องกันไวรัสจาก Kaspersky Lab ในที่ทำงานของคุณจะมีประโยชน์อย่างยิ่ง ดังนั้นเราจึงมีระบบป้องกันสองระบบจากโค้ดที่เป็นอันตรายซึ่งไม่รบกวนซึ่งกันและกัน

มีเครื่องมือรักษาความปลอดภัยข้อมูลเฉพาะจำนวนหนึ่ง:

ดีแอลพี.ตลาดนำเสนอเครื่องมือรักษาความปลอดภัยข้อมูลเฉพาะทาง ซึ่งได้รับการพัฒนาและมุ่งเป้าไปที่การแก้ไขภัยคุกคามเฉพาะ ปัจจุบัน DLP (Data Loss Prevention) หรือระบบป้องกันข้อมูลรั่วไหลกำลังได้รับความนิยม โดยทำงานทั้งในระดับเครือข่าย บูรณาการเข้ากับสภาพแวดล้อมการส่งข้อมูล และโดยตรงบนแอปพลิเคชันเซิร์ฟเวอร์ เวิร์กสเตชัน และอุปกรณ์มือถือ

เราค่อนข้างจะออกห่างจากหัวข้อเครือข่าย แต่ภัยคุกคามจากการรั่วไหลของข้อมูลยังคงมีอยู่เสมอ โดยเฉพาะอย่างยิ่ง โซลูชันเหล่านี้เริ่มมีความเกี่ยวข้องกับบริษัทที่การสูญเสียข้อมูลก่อให้เกิดความเสี่ยงและผลที่ตามมาในเชิงพาณิชย์และชื่อเสียง เมื่อ 5 ปีที่แล้ว การใช้งานระบบ DLP ค่อนข้างยากเนื่องจากความซับซ้อนและความจำเป็นในการดำเนินกระบวนการพัฒนาสำหรับแต่ละกรณีเฉพาะ ดังนั้นเนื่องจากต้นทุนดังกล่าว บริษัทหลายแห่งจึงละทิ้งโซลูชันเหล่านี้หรือเขียนโซลูชันของตนเองขึ้นมาเอง ขณะนี้ระบบตลาดมีความสมบูรณ์เพียงพอ ดังนั้นฟังก์ชันการรักษาความปลอดภัยที่จำเป็นทั้งหมดจึงสามารถรับได้ทันทีที่แกะกล่อง

ในตลาดรัสเซีย ระบบเชิงพาณิชย์ส่วนใหญ่นำเสนอโดยผู้ผลิต Infowatch (ด้านล่างเป็นภาพจากผู้ผลิตรายนี้เกี่ยวกับวิธีการนำเสนอโซลูชันใน บริษัท ขนาดใหญ่) และ MacAfee ที่รู้จักกันดี

วัฟ.เนื่องจากการพัฒนาบริการการค้าทางอินเทอร์เน็ต เช่น ธนาคารทางอินเทอร์เน็ต เงินอิเล็กทรอนิกส์ อีคอมเมิร์ซ บริการประกันภัย ฯลฯ เครื่องมือพิเศษในการปกป้องทรัพยากรบนเว็บจึงเป็นที่ต้องการเมื่อเร็วๆ นี้ คือ WAF - ไฟร์วอลล์แอปพลิเคชันเว็บ

อุปกรณ์นี้ช่วยให้คุณสามารถขับไล่การโจมตีที่มุ่งเป้าไปที่ช่องโหว่ของไซต์ได้ นอกเหนือจากการโจมตี DoS แบบเลือกสรรแล้ว เมื่อไซต์ถูกระงับโดยคำขอที่ถูกต้อง สิ่งเหล่านี้อาจเป็นการโจมตีแบบแทรก SQL, การเขียนสคริปต์ข้ามไซต์ เป็นต้น ก่อนหน้านี้ อุปกรณ์ดังกล่าวถูกซื้อโดยธนาคารเป็นหลัก และไม่เป็นที่ต้องการจากลูกค้ารายอื่น และ พวกเขาใช้เงินเป็นจำนวนมาก ตัวอย่างเช่น ต้นทุนของโซลูชันการทำงานเริ่มต้นที่ 100,000 ดอลลาร์ ขณะนี้ตลาดนำเสนอโซลูชันจำนวนมากจากผู้ผลิตที่มีชื่อเสียง (Fortinet, Citrix, Positive Technologies) ซึ่งคุณจะได้รับโซลูชันที่ใช้งานได้เพื่อปกป้องเว็บไซต์ของคุณด้วยเงินที่สมเหตุสมผล (น้อยกว่าจำนวนที่ระบุไว้ก่อนหน้านี้ 3-5 เท่า) ).

การตรวจสอบองค์กรต่างๆ โดยเฉพาะผู้ที่สนับสนุนการรักษาความปลอดภัยของตนเอง กำลังใช้เครื่องมือตรวจสอบอัตโนมัติ โซลูชันเหล่านี้มีราคาแพง แต่ช่วยให้คุณสามารถย้ายฟังก์ชันผู้ดูแลระบบจำนวนหนึ่งไปยังระบบอัตโนมัติซึ่งเป็นที่ต้องการอย่างมากสำหรับธุรกิจขนาดใหญ่ โซลูชันดังกล่าวจะสแกนเครือข่ายอย่างต่อเนื่องและตรวจสอบระบบปฏิบัติการและแอปพลิเคชันที่ติดตั้งทั้งหมดเพื่อหาช่องโหว่ด้านความปลอดภัยที่ทราบ ความทันเวลาของการอัปเดต และการปฏิบัติตามนโยบายองค์กร โซลูชันที่มีชื่อเสียงที่สุดในพื้นที่นี้อาจเป็นโซลูชันที่มีชื่อเสียงที่สุดไม่เพียง แต่ในรัสเซียเท่านั้น แต่ทั่วโลกยังเป็นผลิตภัณฑ์จากเทคโนโลยีเชิงบวก

เสียม.คล้ายกับโซลูชั่น SIEM เหล่านี้เป็นระบบที่ออกแบบมาเพื่อตรวจจับสถานการณ์ฉุกเฉินที่เกี่ยวข้องกับเหตุการณ์ที่เกี่ยวข้องกับความปลอดภัยโดยเฉพาะ แม้แต่ชุดมาตรฐานของไฟร์วอลล์สองสามตัว แอปพลิเคชันเซิร์ฟเวอร์หลายสิบเครื่อง และเดสก์ท็อปนับพันเครื่องก็สามารถสร้างการแจ้งเตือนได้นับหมื่นรายการต่อวัน หากคุณมีบริษัทขนาดใหญ่และมีอุปกรณ์ Edge หลายสิบเครื่อง ก็จะเป็นไปไม่ได้เลยที่จะเข้าใจข้อมูลที่ได้รับจากอุปกรณ์เหล่านั้นด้วยตนเอง การควบคุมบันทึกที่รวบรวมไว้โดยอัตโนมัติจากอุปกรณ์ทั้งหมดช่วยให้ผู้ดูแลระบบและพนักงานรักษาความปลอดภัยข้อมูลดำเนินการได้ทันที โซลูชัน SIEM จาก Arcsight (ส่วนหนึ่งของผลิตภัณฑ์ HPE) และ Q-RADAR (ส่วนหนึ่งของผลิตภัณฑ์ IBM) ค่อนข้างเป็นที่รู้จักในตลาด

และสุดท้าย: คุณสามารถให้คำแนะนำอะไรแก่ผู้ที่มีส่วนร่วมอย่างจริงจังในการจัดการปกป้องทรัพยากรไอทีของตนได้?

แน่นอนว่าเมื่อจัดระเบียบความปลอดภัยด้านไอทีสำหรับองค์กร ไม่ควรลืมกฎระเบียบด้านการบริหาร ผู้ใช้และผู้ดูแลระบบควรทราบว่าแฟลชไดรฟ์ที่พบนั้นไม่สามารถใช้บนคอมพิวเตอร์ได้ เช่นเดียวกับที่พวกเขาไม่สามารถติดตามลิงก์ที่น่าสงสัยในอีเมลหรือเปิดไฟล์แนบที่น่าสงสัยได้ สิ่งสำคัญมากคือการบอกและอธิบายว่าลิงก์และไฟล์แนบใดที่ยังไม่ได้รับการยืนยัน ในความเป็นจริง ไม่ใช่ทุกคนที่เข้าใจว่าไม่จำเป็นต้องเก็บรหัสผ่านบนกระดาษโน้ตที่ติดอยู่บนจอภาพหรือโทรศัพท์ ซึ่งคุณต้องเรียนรู้ที่จะอ่านคำเตือนที่แอปพลิเคชันเขียนถึงผู้ใช้ ฯลฯ คุณควรอธิบายให้ผู้ใช้ทราบว่าใบรับรองความปลอดภัยคืออะไรและข้อความที่เกี่ยวข้องกับใบรับรองนั้นหมายถึงอะไร โดยทั่วไป จำเป็นต้องคำนึงถึงไม่เพียงแต่ด้านเทคนิคของปัญหาเท่านั้น แต่ยังต้องปลูกฝังวัฒนธรรมการใช้ทรัพยากรไอทีขององค์กรโดยพนักงานด้วย
ฉันหวังว่าคุณจะพบโพสต์ที่ยอดเยี่ยมนี้น่าสนใจและมีประโยชน์

นี่เป็นผลลัพธ์ที่ได้รับจากการสำรวจหัวหน้าแผนกไอทีมากกว่า 1,000 คนของบริษัทในยุโรปขนาดใหญ่และขนาดกลาง ซึ่งได้รับมอบหมายจาก Intel Corporation วัตถุประสงค์ของการสำรวจคือเพื่อระบุปัญหาที่เป็นข้อกังวลมากที่สุดสำหรับผู้เชี่ยวชาญในอุตสาหกรรม คำตอบค่อนข้างคาดหวัง โดยผู้ตอบแบบสอบถามมากกว่าครึ่งระบุปัญหาด้านความปลอดภัยของเครือข่าย ซึ่งเป็นปัญหาที่ต้องแก้ไขทันที ผลการสำรวจอื่นๆ ก็ค่อนข้างคาดหวังเช่นกัน ตัวอย่างเช่น ปัจจัยด้านความปลอดภัยของเครือข่ายนำไปสู่ปัญหาอื่นๆ ในด้านเทคโนโลยีสารสนเทศ ความสำคัญของมันเพิ่มขึ้น 15% เมื่อเทียบกับสถานการณ์เมื่อห้าปีที่แล้ว
จากผลการสำรวจ ผู้เชี่ยวชาญด้านไอทีที่มีคุณสมบัติสูงใช้เวลามากกว่า 30% ในการแก้ไขปัญหาด้านความปลอดภัย สถานการณ์ในบริษัทขนาดใหญ่ (ที่มีพนักงานมากกว่า 500 คน) ยิ่งน่าตกใจมากขึ้น โดยผู้ตอบแบบสำรวจประมาณหนึ่งในสี่ใช้เวลาครึ่งหนึ่งในการแก้ไขปัญหาเหล่านี้

ความสมดุลของภัยคุกคามและการป้องกัน

อนิจจา ปัญหาด้านความปลอดภัยของเครือข่ายเชื่อมโยงกับเทคโนโลยีพื้นฐานที่ใช้ในโทรคมนาคมสมัยใหม่อย่างแยกไม่ออก มันเกิดขึ้นเมื่อพัฒนาตระกูลโปรโตคอล IP ลำดับความสำคัญจะอยู่ที่ความน่าเชื่อถือของเครือข่ายโดยรวม ในขณะที่โปรโตคอลเหล่านี้ปรากฏ ความปลอดภัยของเครือข่ายได้รับการประกันในรูปแบบที่แตกต่างกันโดยสิ้นเชิง ซึ่งไม่สมจริงเลยที่จะใช้ในบริบทของเครือข่ายทั่วโลก คุณสามารถบ่นเกี่ยวกับสายตาสั้นของนักพัฒนาได้ แต่แทบจะเป็นไปไม่ได้เลยที่จะเปลี่ยนแปลงสถานการณ์อย่างรุนแรง ตอนนี้ คุณเพียงแค่ต้องสามารถป้องกันตัวเองจากภัยคุกคามที่อาจเกิดขึ้นได้.
หลักการสำคัญในทักษะนี้ควรจะเป็น สร้างความสมดุลระหว่างภัยคุกคามที่อาจเกิดขึ้นต่อความปลอดภัยของเครือข่ายและระดับการป้องกันที่ต้องการ- ต้องมั่นใจในความสอดคล้องระหว่างต้นทุนด้านความปลอดภัยและต้นทุนของความเสียหายที่อาจเกิดขึ้นจากภัยคุกคามที่เกิดขึ้น
สำหรับองค์กรขนาดใหญ่และขนาดกลางสมัยใหม่ เทคโนโลยีสารสนเทศและโทรคมนาคมได้กลายเป็นพื้นฐานสำหรับการดำเนินธุรกิจ ดังนั้นพวกเขาจึงกลายเป็นผู้ที่อ่อนไหวต่อผลกระทบของภัยคุกคามมากที่สุด ยิ่งเครือข่ายมีขนาดใหญ่และซับซ้อนมากขึ้นเท่าใด ก็ยิ่งต้องใช้ความพยายามในการปกป้องเครือข่ายมากขึ้นเท่านั้น นอกจากนี้ ต้นทุนในการสร้างภัยคุกคามยังมีขนาดน้อยกว่าต้นทุนในการต่อต้านภัยคุกคามเหล่านั้น สถานการณ์นี้บังคับให้บริษัทต่างๆ ต้องชั่งน้ำหนักผลที่ตามมาจากความเสี่ยงที่อาจเกิดขึ้นจากภัยคุกคามต่างๆ อย่างรอบคอบ และเลือกวิธีการป้องกันที่เหมาะสมจากภัยคุกคามที่อันตรายที่สุด
ในปัจจุบัน ภัยคุกคามที่ยิ่งใหญ่ที่สุดต่อโครงสร้างพื้นฐานขององค์กรมาจากการกระทำที่เกี่ยวข้องกับการเข้าถึงทรัพยากรภายในโดยไม่ได้รับอนุญาต และการบล็อกการทำงานปกติของเครือข่าย มีภัยคุกคามดังกล่าวค่อนข้างมาก แต่แต่ละภัยคุกคามนั้นขึ้นอยู่กับปัจจัยทางเทคนิคและมนุษย์รวมกัน ตัวอย่างเช่น การเจาะโปรแกรมที่เป็นอันตรายเข้าไปในเครือข่ายองค์กรสามารถเกิดขึ้นได้ไม่เพียงแต่เป็นผลมาจากการละเลยกฎความปลอดภัยของผู้ดูแลระบบเครือข่ายเท่านั้น แต่ยังเนื่องมาจากความอยากรู้อยากเห็นมากเกินไปของพนักงานบริษัทที่ตัดสินใจใช้ประโยชน์จากลิงก์ที่ดึงดูดจากสแปม อีเมล. ดังนั้นคุณไม่ควรหวังว่าแม้แต่โซลูชันทางเทคนิคที่ดีที่สุดในด้านความปลอดภัยก็จะกลายเป็นยาครอบจักรวาลสำหรับความเจ็บป่วยทั้งหมด

โซลูชันคลาส UTM

ความปลอดภัยเป็นแนวคิดที่เกี่ยวข้องกันเสมอ หากมีมากเกินไป การใช้ระบบที่เราจะปกป้องก็จะยากขึ้นอย่างเห็นได้ชัด ดังนั้นการประนีประนอมที่สมเหตุสมผลจึงกลายเป็นตัวเลือกแรกในการรับรองความปลอดภัยของเครือข่าย สำหรับองค์กรขนาดกลางตามมาตรฐานของรัสเซียการตัดสินใจในชั้นเรียนอาจช่วยตัวเลือกดังกล่าวได้ UTM (การจัดการภัยคุกคามแบบรวมหรือการจัดการภัยคุกคามแบบรวม)อยู่ในตำแหน่งที่เป็นอุปกรณ์เครือข่ายมัลติฟังก์ชั่นและอุปกรณ์รักษาความปลอดภัยข้อมูล หัวใจสำคัญของโซลูชันเหล่านี้คือระบบซอฟต์แวร์และฮาร์ดแวร์ที่รวมฟังก์ชันต่างๆ ของอุปกรณ์ต่างๆ ได้แก่ ไฟร์วอลล์ ระบบตรวจจับและป้องกันการบุกรุก (IPS) รวมถึงฟังก์ชันของเกตเวย์ป้องกันไวรัส (AV) บ่อยครั้งที่คอมเพล็กซ์เหล่านี้ได้รับมอบหมายให้แก้ไขงานเพิ่มเติม เช่น การกำหนดเส้นทาง การสลับ หรือการสนับสนุนเครือข่าย VPN
บ่อยครั้งที่ผู้ให้บริการโซลูชัน UTM นำเสนอโซลูชันสำหรับธุรกิจขนาดเล็ก บางทีแนวทางนี้อาจสมเหตุสมผลบางส่วน แต่ถึงกระนั้น การใช้บริการรักษาความปลอดภัยจากผู้ให้บริการอินเทอร์เน็ตก็ง่ายกว่าและราคาถูกกว่าสำหรับธุรกิจขนาดเล็กในประเทศของเรา
เช่นเดียวกับโซลูชันสากลอื่นๆ อุปกรณ์ UTM ก็มีข้อดีและข้อเสียเหมือนกัน- ประการแรกคือการประหยัดต้นทุนและเวลาในการใช้งานเมื่อเปรียบเทียบกับการจัดการการป้องกันในระดับเดียวกันจากอุปกรณ์รักษาความปลอดภัยที่แยกจากกัน UTM ยังเป็นโซลูชันที่มีความสมดุลและผ่านการทดสอบแล้ว ซึ่งสามารถแก้ไขปัญหาด้านความปลอดภัยที่หลากหลายได้อย่างง่ายดาย ท้ายที่สุด โซลูชันของคลาสนี้ไม่ต้องการระดับคุณสมบัติของบุคลากรทางเทคนิคมากนัก ผู้เชี่ยวชาญทุกคนสามารถจัดการการตั้งค่า การจัดการ และการบำรุงรักษาได้
ข้อเสียเปรียบหลักของ UTM คือความจริงที่ว่าฟังก์ชันการทำงานใด ๆ ของโซลูชันสากลมักจะมีประสิทธิภาพน้อยกว่าฟังก์ชันเดียวกันของโซลูชันเฉพาะทาง นั่นคือเหตุผลที่เมื่อจำเป็นต้องมีประสิทธิภาพสูงหรือระดับความปลอดภัยสูง ผู้เชี่ยวชาญด้านความปลอดภัยจึงนิยมใช้โซลูชันโดยพิจารณาจากการรวมผลิตภัณฑ์แต่ละรายการเข้าด้วยกัน
อย่างไรก็ตาม แม้จะมีข้อเสียนี้ แต่โซลูชัน UTM ก็เป็นที่ต้องการของหลายองค์กรซึ่งมีขนาดและประเภทของกิจกรรมที่แตกต่างกันอย่างมาก จากข้อมูลของ Rainbow Technologies โซลูชันดังกล่าวได้รับการติดตั้งอย่างประสบความสำเร็จ เช่น เพื่อปกป้องเซิร์ฟเวอร์ของร้านค้าออนไลน์ของเครื่องใช้ในครัวเรือนแห่งหนึ่งซึ่งถูกโจมตี DDoS เป็นประจำ โซลูชัน UTM ยังช่วยลดปริมาณสแปมในระบบอีเมลของเจ้าของรถยนต์คันหนึ่งได้อย่างมาก นอกเหนือจากการแก้ปัญหาในท้องถิ่นแล้ว เรายังมีประสบการณ์ในการสร้างระบบรักษาความปลอดภัยโดยใช้โซลูชัน UTM สำหรับเครือข่ายแบบกระจายซึ่งครอบคลุมสำนักงานกลางของบริษัทผลิตเบียร์และสาขาต่างๆ

ผู้ผลิต UTM และผลิตภัณฑ์ของตน

ตลาดรัสเซียสำหรับอุปกรณ์คลาส UTM นั้นเกิดขึ้นจากข้อเสนอจากผู้ผลิตต่างประเทศเท่านั้น น่าเสียดายที่ไม่มีผู้ผลิตในประเทศรายใดที่สามารถเสนอโซลูชันของตนเองในอุปกรณ์ประเภทนี้ได้ ข้อยกเว้นคือโซลูชันซอฟต์แวร์ไฟร์วอลล์ Eset NOD32 ซึ่งตามที่บริษัทระบุว่าสร้างขึ้นโดยนักพัฒนาชาวรัสเซีย
ตามที่ระบุไว้แล้ว ในตลาดรัสเซีย โซลูชัน UTM อาจเป็นที่สนใจของบริษัทขนาดกลางเป็นหลักซึ่งมีเครือข่ายองค์กรมีงานมากถึง 100-150 ตำแหน่ง เมื่อเลือกอุปกรณ์ UTM ที่จะนำเสนอในการทบทวน เกณฑ์การคัดเลือกหลักคือประสิทธิภาพในโหมดการทำงานต่างๆ ซึ่งสามารถรับประกันประสบการณ์ผู้ใช้ที่สะดวกสบาย ผู้ผลิตมักระบุข้อกำหนดด้านประสิทธิภาพสำหรับโหมดไฟร์วอลล์, การป้องกันการบุกรุก IPS และโหมดการป้องกันไวรัส AV

สารละลาย จุดตรวจเรียกว่า UTM-1 ขอบและเป็นอุปกรณ์รักษาความปลอดภัยแบบครบวงจรที่รวมเอาไฟร์วอลล์ ระบบป้องกันการบุกรุก เกตเวย์ป้องกันไวรัส รวมถึง VPN และเครื่องมือการเข้าถึงระยะไกล ไฟร์วอลล์ที่รวมอยู่ในการควบคุมโซลูชันทำงานได้กับแอปพลิเคชัน โปรโตคอล และบริการจำนวนมาก และยังมีกลไกในการบล็อกการรับส่งข้อมูลที่ไม่เหมาะสมกับหมวดหมู่ของแอปพลิเคชันทางธุรกิจอย่างชัดเจน ตัวอย่างเช่น การรับส่งข้อมูลข้อความโต้ตอบแบบทันที (IM) และเพียร์ทูเพียร์ (P2P) เกตเวย์ป้องกันไวรัสช่วยให้คุณตรวจสอบโค้ดที่เป็นอันตรายในข้อความอีเมล การรับส่งข้อมูล FTP และ HTTP ในกรณีนี้ ไม่มีข้อจำกัดเกี่ยวกับขนาดของไฟล์และการบีบอัดไฟล์เก็บถาวรจะดำเนินการ "ทันที"
โซลูชัน UTM-1 Edge มีความสามารถขั้นสูงสำหรับการทำงานในเครือข่าย VPN รองรับการกำหนดเส้นทางแบบไดนามิก OSPF และการเชื่อมต่อไคลเอนต์ VPN รุ่น UTM-1 Edge W มาพร้อมกับจุดเข้าใช้งาน WiFi IEEE 802.11b/g ในตัว
เมื่อจำเป็นต้องมีการใช้งานขนาดใหญ่ UTM-1 Edge จะทำงานร่วมกับ Check Point SMART ได้อย่างราบรื่น เพื่อทำให้การจัดการความปลอดภัยง่ายขึ้นอย่างมาก

บริษัทซิสโก้เดิมทีให้ความสำคัญกับปัญหาด้านความปลอดภัยของเครือข่ายมากขึ้นและมีอุปกรณ์ที่จำเป็นมากมาย สำหรับการรีวิวเราตัดสินใจเลือกรุ่น ซิสโก้ ASA 5510ซึ่งมุ่งเน้นไปที่การสร้างความมั่นใจด้านความปลอดภัยของขอบเขตเครือข่ายองค์กร อุปกรณ์นี้เป็นส่วนหนึ่งของซีรีส์ ASA 5500 ซึ่งรวมถึงระบบป้องกันคลาส UTM แบบโมดูลาร์ แนวทางนี้ช่วยให้คุณสามารถปรับระบบรักษาความปลอดภัยให้เข้ากับลักษณะเฉพาะของการทำงานของเครือข่ายขององค์กรใดองค์กรหนึ่งได้
Cisco ASA 5510 มาในสี่ชุดหลัก ได้แก่ ไฟร์วอลล์ เครื่องมือ VPN ระบบป้องกันการบุกรุก ตลอดจนเครื่องมือป้องกันไวรัสและป้องกันสแปม โซลูชันประกอบด้วยส่วนประกอบเพิ่มเติม เช่น ระบบ Security Manager สำหรับการสร้างโครงสร้างพื้นฐานการจัดการสำหรับเครือข่ายองค์กรที่กว้างขวาง และระบบ Cisco MARS ที่ออกแบบมาเพื่อตรวจสอบสภาพแวดล้อมเครือข่ายและตอบสนองต่อการละเมิดความปลอดภัยแบบเรียลไทม์

สโลวัก บริษัทอีเซ็ทจัดหาแพ็คเกจซอฟต์แวร์ ไฟร์วอลล์ Eset NOD32คลาส UTM ซึ่งรวมถึงนอกเหนือจากฟังก์ชันไฟร์วอลล์ขององค์กรแล้ว ระบบป้องกันไวรัส Eset NOD32, เมล (ป้องกันสแปม) และเครื่องมือกรองการรับส่งข้อมูลเว็บ, ระบบตรวจจับและป้องกันการโจมตีเครือข่าย IDS และ IPS โซลูชันนี้รองรับการสร้างเครือข่าย VPN คอมเพล็กซ์นี้สร้างขึ้นบนแพลตฟอร์มเซิร์ฟเวอร์ที่ใช้ Linux ส่วนซอฟต์แวร์ของอุปกรณ์ได้รับการพัฒนาแล้ว บริษัท ในประเทศ Leta ITควบคุมโดยสำนักงานตัวแทนรัสเซียของ Eset
โซลูชันนี้ช่วยให้คุณตรวจสอบการรับส่งข้อมูลเครือข่ายแบบเรียลไทม์ รองรับการกรองเนื้อหาตามหมวดหมู่ของทรัพยากรบนเว็บ ให้การป้องกันการโจมตี DDoS และบล็อกความพยายามในการสแกนพอร์ต โซลูชันไฟร์วอลล์ Eset NOD32 ประกอบด้วยการรองรับเซิร์ฟเวอร์ DNS, DHCP และการควบคุมการเปลี่ยนแปลงแบนด์วิดท์ของช่องสัญญาณ มีการควบคุมการรับส่งข้อมูลของโปรโตคอลเมล SMTP และ POP3
โซลูชันนี้ยังรวมถึงความสามารถในการสร้างเครือข่ายองค์กรแบบกระจายโดยใช้การเชื่อมต่อ VPN ในเวลาเดียวกัน รองรับโหมดการรวมเครือข่าย การรับรองความถูกต้อง และอัลกอริธึมการเข้ารหัสที่หลากหลาย

บริษัทฟอร์ติเน็ตนำเสนออุปกรณ์ทั้งตระกูล ฟอร์ติเกตคลาส UTM ซึ่งวางตำแหน่งโซลูชันของตนให้มีความสามารถในการป้องกันเครือข่ายในขณะที่ยังคงรักษาประสิทธิภาพในระดับสูง ตลอดจนการดำเนินงานระบบข้อมูลองค์กรที่เชื่อถือได้และโปร่งใสในแบบเรียลไทม์ สำหรับรีวิวเราเลือก รุ่น FortiGate-224Bซึ่งมีวัตถุประสงค์เพื่อปกป้องขอบเขตของเครือข่ายองค์กรที่มีผู้ใช้ 150 - 200 ราย
อุปกรณ์ FortiGate-224B ประกอบด้วยฟังก์ชันไฟร์วอลล์ เซิร์ฟเวอร์ VPN การกรองการรับส่งข้อมูลเว็บ ระบบป้องกันการบุกรุก ตลอดจนการป้องกันไวรัสและการป้องกันสแปม รุ่นนี้มีสวิตช์ LAN เลเยอร์ 2 และอินเทอร์เฟซ WAN ในตัว ทำให้ไม่จำเป็นต้องใช้อุปกรณ์กำหนดเส้นทางและสวิตช์ภายนอก เพื่อจุดประสงค์นี้ รองรับการกำหนดเส้นทางโดยใช้โปรโตคอล RIP, OSPF และ BGP รวมถึงโปรโตคอลการตรวจสอบผู้ใช้ก่อนให้บริการเครือข่าย

บริษัท โซนิควอลล์มีอุปกรณ์ UTM ให้เลือกมากมาย ซึ่งโซลูชันนี้รวมอยู่ในรีวิวนี้ เอ็นเอสเอ 240- อุปกรณ์นี้เป็นรุ่นน้องในกลุ่มผลิตภัณฑ์ซึ่งมีวัตถุประสงค์เพื่อใช้เป็นระบบรักษาความปลอดภัยสำหรับเครือข่ายองค์กรขององค์กรขนาดกลางและสาขาของบริษัทขนาดใหญ่
บรรทัดนี้ขึ้นอยู่กับการใช้ทุกวิธีในการป้องกันภัยคุกคามที่อาจเกิดขึ้น สิ่งเหล่านี้ได้แก่ ไฟร์วอลล์ ระบบป้องกันการบุกรุก เกตเวย์ป้องกันไวรัสและสปายแวร์ มีการกรองการเข้าชมเว็บตาม 56 หมวดหมู่ของเว็บไซต์
ในฐานะหนึ่งในไฮไลท์ของโซลูชั่น SonicWALL กล่าวถึงเทคโนโลยีการสแกนเชิงลึกและการวิเคราะห์ทราฟฟิกที่เข้ามา เพื่อหลีกเลี่ยงไม่ให้ประสิทธิภาพลดลง เทคโนโลยีนี้จึงใช้การประมวลผลข้อมูลแบบขนานบนคอร์แบบมัลติโปรเซสเซอร์
อุปกรณ์นี้รองรับ VPN มีความสามารถในการกำหนดเส้นทางขั้นสูง และรองรับโปรโตคอลเครือข่ายต่างๆ นอกจากนี้ โซลูชันจาก SonicWALL ยังสามารถให้การรักษาความปลอดภัยระดับสูงเมื่อให้บริการการรับส่งข้อมูล VoIP โดยใช้โปรโตคอล SIP และ H.323

จากสายผลิตภัณฑ์ บริษัท วอทช์การ์ดโซลูชั่นถูกเลือกเพื่อการตรวจสอบ ไฟร์บ็อกซ์ X550eซึ่งวางตำแหน่งเป็นระบบที่มีฟังก์ชันการทำงานขั้นสูงเพื่อรับรองความปลอดภัยของเครือข่ายและมุ่งเป้าไปที่การใช้งานในเครือข่ายขององค์กรขนาดเล็กและขนาดกลาง
โซลูชันคลาส UTM ของผู้ผลิตรายนี้ใช้หลักการป้องกันการโจมตีเครือข่ายแบบผสม เพื่อให้บรรลุเป้าหมายนี้ อุปกรณ์ดังกล่าวจึงรองรับไฟร์วอลล์ ระบบป้องกันการโจมตี เกตเวย์ป้องกันไวรัสและป้องกันสแปม การกรองทรัพยากรเว็บ รวมถึงระบบป้องกันสปายแวร์
อุปกรณ์นี้ใช้หลักการป้องกันร่วมกัน ซึ่งการรับส่งข้อมูลเครือข่ายที่ตรวจสอบด้วยเกณฑ์ที่กำหนดในระดับการป้องกันหนึ่งจะไม่ได้รับการตรวจสอบด้วยเกณฑ์เดียวกันในอีกระดับหนึ่ง วิธีการนี้ช่วยให้อุปกรณ์มีประสิทธิภาพสูง
ข้อดีอีกประการหนึ่งของโซลูชันคือ ผู้ผลิตเรียกร้องให้มีการสนับสนุนเทคโนโลยี Zero Day ซึ่งช่วยให้มั่นใจได้ถึงความเป็นอิสระด้านความปลอดภัยจากการมีลายเซ็น คุณลักษณะนี้มีความสำคัญเมื่อภัยคุกคามประเภทใหม่ๆ เกิดขึ้นโดยที่ยังไม่ได้รับการตอบโต้อย่างมีประสิทธิภาพ โดยปกติแล้ว “หน้าต่างแห่งช่องโหว่” จะกินเวลาตั้งแต่หลายชั่วโมงไปจนถึงหลายวัน เมื่อใช้เทคโนโลยี Zero Day โอกาสที่จะเกิดผลกระทบด้านลบจากหน้าต่างช่องโหว่จะลดลงอย่างเห็นได้ชัด

บริษัทไซเซลนำเสนอโซลูชันไฟร์วอลล์ระดับ UTM ซึ่งมุ่งเป้าไปที่การใช้งานในเครือข่ายองค์กรที่มีผู้ใช้มากถึง 500 คน นี้ โซลูชั่น ZyWALL 1050ออกแบบมาเพื่อสร้างระบบรักษาความปลอดภัยเครือข่ายทั้งการป้องกันไวรัสเต็มรูปแบบ การป้องกันการบุกรุก และการสนับสนุนเครือข่ายส่วนตัวเสมือน อุปกรณ์มีพอร์ต Gigabit Ethernet ห้าพอร์ต ซึ่งสามารถกำหนดค่าเพื่อใช้เป็นอินเทอร์เฟซ WAN, LAN, DMZ และ WLAN ขึ้นอยู่กับการกำหนดค่าเครือข่าย
อุปกรณ์รองรับการส่งการรับส่งข้อมูลแอปพลิเคชัน VoIP ผ่านโปรโตคอล SIP และ H.323 ที่ไฟร์วอลล์และระดับ NAT เช่นเดียวกับการส่งการรับส่งข้อมูลโทรศัพท์แพ็คเก็ตในอุโมงค์ VPN ในขณะเดียวกันก็รับประกันการทำงานของกลไกในการป้องกันการโจมตีและภัยคุกคามสำหรับการรับส่งข้อมูลทุกประเภท รวมถึงการรับส่งข้อมูล VoIP การทำงานของระบบป้องกันไวรัสพร้อมฐานข้อมูลลายเซ็นเต็มรูปแบบ การกรองเนื้อหาสำหรับเว็บไซต์ 60 หมวดหมู่ และการป้องกันสแปม
โซลูชัน ZyWALL 1050 รองรับโทโพโลยีเครือข่ายส่วนตัวที่หลากหลาย ทำงานในโหมดตัวรวม VPN และรวมเครือข่ายเสมือนเข้าเป็นโซนด้วยนโยบายความปลอดภัยที่สม่ำเสมอ

ลักษณะสำคัญของ UTM

ความคิดเห็นของผู้เชี่ยวชาญ

Dmitry Kostrov ผู้อำนวยการโครงการของคณะกรรมการคุ้มครองเทคโนโลยีของศูนย์องค์กรของ MTS OJSC

ขอบเขตของโซลูชัน UTM ใช้กับบริษัทที่จัดประเภทเป็นธุรกิจขนาดเล็กและขนาดกลางเป็นหลัก แนวคิดของ Unified Threat Management (UTM) ซึ่งเป็นอุปกรณ์แยกต่างหากสำหรับการปกป้องทรัพยากรเครือข่ายได้รับการแนะนำโดยหน่วยงานระหว่างประเทศ IDC ตามที่โซลูชัน UTM คือระบบซอฟต์แวร์และฮาร์ดแวร์มัลติฟังก์ชั่นที่รวมฟังก์ชันต่างๆ ของอุปกรณ์ต่างๆ โดยทั่วไปจะรวมถึงไฟร์วอลล์, VPN, ระบบตรวจจับและป้องกันการบุกรุกเครือข่าย ตลอดจนฟังก์ชันเกตเวย์ป้องกันไวรัสและสแปม และฟังก์ชันการกรอง URL
เพื่อให้บรรลุการป้องกันที่มีประสิทธิภาพอย่างแท้จริง อุปกรณ์จะต้องมีหลายระดับ ใช้งานอยู่ และบูรณาการ ในเวลาเดียวกันผู้ผลิตอุปกรณ์รักษาความปลอดภัยหลายรายมีผลิตภัณฑ์ที่เกี่ยวข้องกับ UTM ค่อนข้างหลากหลายอยู่แล้ว ความเรียบง่ายที่เพียงพอของการติดตั้งระบบ รวมถึงระบบออลอินวัน ทำให้ตลาดสำหรับอุปกรณ์เหล่านี้ค่อนข้างน่าสนใจ ต้นทุนรวมในการเป็นเจ้าของและผลตอบแทนจากการลงทุนเมื่อใช้งานอุปกรณ์เหล่านี้ดูน่าสนใจมาก
แต่โซลูชัน UTM นี้เหมือนกับ "มีดสวิส" - มีเครื่องมือสำหรับทุกสถานการณ์ แต่หากต้องการเจาะรูบนกำแพงคุณต้องใช้สว่านจริง นอกจากนี้ยังมีความเป็นไปได้ที่การป้องกันการโจมตีใหม่ การอัพเดตลายเซ็น ฯลฯ จะไม่เร็วเท่าที่ตรงกันข้ามกับการรองรับอุปกรณ์แต่ละชิ้นในโครงการป้องกันเครือข่ายองค์กร "คลาสสิก" ยังคงมีปัญหาจุดบกพร่องเพียงจุดเดียว

ความปลอดภัยของเครือข่ายและข้อมูล

รับประกันความปลอดภัยเครือข่ายองค์กร

ความปลอดภัยสูงและการปฏิบัติตามกฎระเบียบมีความจำเป็นในโครงการเครือข่ายขององค์กร

เพื่อปกป้องทรัพยากรข้อมูลของตนเอง องค์กรต่างๆ ได้นำโซลูชันการรักษาความปลอดภัยของเครือข่ายไปใช้กับโครงสร้างพื้นฐานของตน ซึ่งรับประกันความปลอดภัยของเครือข่ายและข้อมูลเชิงพาณิชย์ในทุกระดับ:

  • ไฟร์วอลล์
  • เครือข่าย VPN ที่มีการจัดการ
  • ตรวจจับและบล็อกความพยายามบุกรุกเครือข่าย
  • การปกป้องปลายทางการแลกเปลี่ยนการรับส่งข้อมูล
  • ระบบป้องกันไวรัสขององค์กร

ความปลอดภัยในการเชื่อมต่อ

สำหรับพนักงานที่เดินทางไปทำธุรกิจหรือทำงานจากที่บ้าน การเข้าถึงเครือข่ายองค์กรจากระยะไกลกลายเป็นสิ่งจำเป็นในการทำงาน

องค์กรจำนวนมากขึ้นเรื่อยๆ อนุญาตให้พันธมิตรเข้าถึงเครือข่ายของตนจากระยะไกลเพื่อลดต้นทุนการบำรุงรักษาระบบ ดังนั้นการปกป้องจุดสิ้นสุดการแลกเปลี่ยนการรับส่งข้อมูลจึงเป็นหนึ่งในงานที่สำคัญที่สุดในการรับรองความปลอดภัยของเครือข่ายของบริษัท

สถานที่ที่เครือข่ายองค์กรเชื่อมต่อกับอินเทอร์เน็ตคือขอบเขตการรักษาความปลอดภัยของเครือข่าย การจราจรขาเข้าและขาออกตัดกันที่จุดเหล่านี้ ปริมาณการใช้งานของผู้ใช้ระดับองค์กรข้ามขอบเขตเครือข่าย และคำขออินเทอร์เน็ตจากผู้ใช้ภายนอกเพื่อเข้าถึงแอปพลิเคชันเว็บและอีเมลจะเข้าสู่เครือข่ายของบริษัท

เนื่องจากอุปกรณ์ปลายทางมีการเชื่อมต่ออินเทอร์เน็ตอย่างต่อเนื่อง ซึ่งโดยทั่วไปจะอนุญาตให้การรับส่งข้อมูลภายนอกเข้าสู่เครือข่ายองค์กรได้ จึงเป็นเป้าหมายหลักสำหรับผู้โจมตี

เมื่อสร้างเครือข่ายการรักษาความปลอดภัยของข้อมูลองค์กร ไฟร์วอลล์จะถูกติดตั้งที่ขอบของเครือข่ายที่จุดเชื่อมต่ออินเทอร์เน็ต อุปกรณ์เหล่านี้ช่วยให้คุณสามารถป้องกันและบล็อกภัยคุกคามภายนอกเมื่อยุติอุโมงค์ VPN (ดูรูปที่ 1)


รูปที่ 1 ขอบเขตความปลอดภัยของเครือข่ายองค์กร

ชุดโซลูชันการเชื่อมต่อที่ปลอดภัยแบบบูรณาการของ Cisco Systems ช่วยให้มั่นใจในความเป็นส่วนตัวของคุณ เครือข่ายจะตรวจสอบอุปกรณ์ปลายทางและวิธีการเข้าถึงทั้งหมดในเครือข่ายของบริษัททั้งหมด: LAN, WAN และเครือข่ายมือถือไร้สาย

รับประกันความพร้อมใช้งานของไฟร์วอลล์และบริการ VPN อย่างเต็มรูปแบบ คุณสมบัติไฟร์วอลล์ให้การกรองเลเยอร์แอปพลิเคชัน stateful สำหรับการรับส่งข้อมูลขาเข้าและขาออก การเข้าถึงขาออกที่ปลอดภัยสำหรับผู้ใช้ และเครือข่าย DMZ สำหรับเซิร์ฟเวอร์ที่ต้องเข้าถึงจากอินเทอร์เน็ต

IC ผู้รวมระบบ "Telecom-Service" สร้างเครือข่ายความปลอดภัยขององค์กรโดยใช้อุปกรณ์รักษาความปลอดภัยแบบมัลติฟังก์ชั่นจาก Cisco Systems, Juniper Networks และ Huawei Technologies ซึ่งช่วยลดจำนวนอุปกรณ์ที่จำเป็นในเครือข่าย

โซลูชันความปลอดภัยเครือข่ายองค์กรที่ครอบคลุมจาก Cisco Systems, Juniper Networks และ Huawei Technologies มีข้อดีหลายประการที่สำคัญต่อธุรกิจที่มีประสิทธิภาพ:

  • ลดงบประมาณด้านไอทีสำหรับการดำเนินงานและการบำรุงรักษาซอฟต์แวร์และฮาร์ดแวร์
  • เพิ่มความยืดหยุ่นของเครือข่าย
  • การลดต้นทุนการดำเนินงาน
  • การลดต้นทุนการเป็นเจ้าของทั้งหมด
  • เสริมสร้างการควบคุมผ่านการจัดการแบบรวมศูนย์และการแนะนำนโยบายความปลอดภัย
  • เพิ่มผลกำไรและเพิ่มตัวบ่งชี้ประสิทธิภาพขององค์กร
  • ลดภัยคุกคามด้านความปลอดภัยต่อเครือข่ายและระบบจัดเก็บข้อมูล
  • การใช้นโยบายและกฎความปลอดภัยที่มีประสิทธิผลที่โหนดปลายทางของเครือข่าย: พีซี, PDA และเซิร์ฟเวอร์
  • ลดเวลาในการปรับใช้โซลูชันความปลอดภัยใหม่
  • การป้องกันการบุกรุกเครือข่ายที่มีประสิทธิภาพ
  • บูรณาการกับซอฟต์แวร์จากนักพัฒนารายอื่นในด้านความปลอดภัยและการจัดการ
  • การควบคุมการเข้าถึงเครือข่ายเต็มรูปแบบ

ผลิตภัณฑ์รักษาความปลอดภัยของ Cisco ในทุกระดับเครือข่าย

การรักษาความปลอดภัยปลายทาง:ซอฟต์แวร์ Cisco Security Agent ปกป้องคอมพิวเตอร์และเซิร์ฟเวอร์จากการโจมตีของเวิร์ม

ไฟร์วอลล์ในตัว:ชุดคุณสมบัติความปลอดภัย PIX, โมดูลบริการไฟร์วอลล์ Catalyst 6500 และไฟร์วอลล์ช่วยปกป้องเครือข่ายทั้งภายในและนอกขอบเขต

การป้องกันการบุกรุกเครือข่าย:เซ็นเซอร์ IPS ซีรีส์ 4200, Catalyst 6500 IDS Service Modules (IDSM-2) หรือ IOS IPS ระบุ วิเคราะห์ และบล็อกการรับส่งข้อมูลที่ไม่พึงประสงค์ที่เป็นอันตราย

การตรวจจับและกำจัดการโจมตี DDoS: Cisco Traffic Anomaly Detector XT และ Guard XT รับประกันการทำงานปกติในกรณีที่มีการโจมตีบริการหยุดชะงัก Cisco Traffic Anomaly Detector Services และโมดูล Cisco Guard ให้การป้องกันที่แข็งแกร่งต่อการโจมตี DDoS บนสวิตช์ Catalyst 6500 Series และเราเตอร์ 7600 Series

ความปลอดภัยของเนื้อหา:โมดูลอุปกรณ์โมดูล Access Router Content Engine ปกป้องแอปพลิเคชันทางธุรกิจที่ทำงานกับอินเทอร์เน็ตและรับประกันการจัดส่งเนื้อหาเว็บโดยปราศจากข้อผิดพลาด

บริการเครือข่ายอัจฉริยะและการจัดการความปลอดภัย: พบการรับส่งข้อมูลและแอปพลิเคชันที่ไม่ต้องการและบล็อกในเราเตอร์และสวิตช์ของ Cisco

การจัดการและการติดตาม:

สินค้า:

  • CiscoWorks VPN/โซลูชันการจัดการความปลอดภัย (VMS)
  • CiscoWorksSecurity Information Management System (SIMS) - ระบบการจัดการข้อมูลความปลอดภัย
    • ตัวจัดการอุปกรณ์ในตัว: Cisco Router และ Security Device Manager (SDM), PIX Device Manager (PDM), Adaptive Security Device Manager (ASDM) ติดตาม ตรวจสอบบริการด้านความปลอดภัยและกิจกรรมเครือข่ายได้อย่างรวดเร็วและมีประสิทธิภาพ

    เทคโนโลยี Network Admission Control (NAC) จาก Cisco

    Network Admission Control (NAC) คือชุดของเทคโนโลยีและโซลูชันที่อิงตามโครงการริเริ่มระดับอุตสาหกรรมที่นำโดย Cisco Systems

    NAC ใช้โครงสร้างพื้นฐานเครือข่ายเพื่อบังคับใช้นโยบายความปลอดภัยบนอุปกรณ์ทั้งหมดที่ต้องการเข้าถึงทรัพยากรเครือข่าย ซึ่งจะช่วยลดความเสียหายที่อาจเกิดขึ้นกับเครือข่ายจากภัยคุกคามด้านความปลอดภัย

    อุปกรณ์รักษาความปลอดภัยแบบมัลติฟังก์ชั่นให้การเข้าถึง VPN ขององค์กรจากระยะไกลอย่างปลอดภัยแก่พนักงานและคู่ค้าโดยใช้โปรโตคอล SSL และ IPsec VPN ซึ่งเป็นบริการบล็อกในตัวเพื่อป้องกันและป้องกันการบุกรุก IPS

    เครือข่ายป้องกันตัวเอง - กลยุทธ์เครือข่ายป้องกันตัวเองจาก Cisco

    Self-Defending Network คือกลยุทธ์ในอนาคตที่กำลังพัฒนาจาก Cisco เทคโนโลยีนี้ช่วยให้คุณสามารถปกป้องกระบวนการทางธุรกิจขององค์กรโดยการตรวจจับและป้องกันการโจมตี ปรับให้เข้ากับภัยคุกคามเครือข่ายภายในและภายนอก

    องค์กรต่างๆ สามารถใช้ความสามารถทางปัญญาของทรัพยากรเครือข่ายได้อย่างมีประสิทธิภาพมากขึ้น เพิ่มประสิทธิภาพกระบวนการทางธุรกิจ และลดต้นทุน

    ชุดการจัดการความปลอดภัยของ Cisco

    Cisco Security Management Suite คือชุดผลิตภัณฑ์และเทคโนโลยีที่ออกแบบมาเพื่อมอบการดูแลระบบที่ปรับขนาดได้และการบังคับใช้นโยบายความปลอดภัยสำหรับเครือข่าย Cisco ที่ป้องกันตัวเอง

    ผลิตภัณฑ์ Cisco ที่ผสานรวมช่วยให้คุณสามารถทำงานการจัดการความปลอดภัยได้โดยอัตโนมัติโดยใช้ส่วนประกอบหลัก: ผู้จัดการฝ่ายจัดการและ Cisco Security MARS - ระบบการตรวจสอบ การวิเคราะห์ และการตอบสนอง

    Cisco Security Management Manager มอบอินเทอร์เฟซที่เรียบง่ายสำหรับการกำหนดค่าไฟร์วอลล์, VPN และระบบป้องกันการบุกรุก (IPS) บนอุปกรณ์การรักษาความปลอดภัยของ Cisco, ไฟร์วอลล์, เราเตอร์ และสวิตช์

    ในระยะเริ่มแรกของการพัฒนาเทคโนโลยีเครือข่าย ความเสียหายจากไวรัสและการโจมตีคอมพิวเตอร์ประเภทอื่น ๆ มีน้อย เนื่องจากการพึ่งพาเทคโนโลยีสารสนเทศของเศรษฐกิจโลกมีน้อย ปัจจุบัน ในบริบทของการพึ่งพาธุรกิจอย่างมีนัยสำคัญในการเข้าถึงและแลกเปลี่ยนข้อมูลทางอิเล็กทรอนิกส์และจำนวนการโจมตีที่เพิ่มขึ้นอย่างต่อเนื่อง ความเสียหายจากการโจมตีเล็กน้อยส่วนใหญ่ที่นำไปสู่การเสียเวลาในการใช้คอมพิวเตอร์นั้นประเมินเป็นล้านดอลลาร์ และยอดรวม ความเสียหายต่อเศรษฐกิจโลกในแต่ละปีมีมูลค่าหลายหมื่นล้านดอลลาร์

    ข้อมูลที่ประมวลผลบนเครือข่ายองค์กรมีความเสี่ยงเป็นพิเศษ ซึ่งได้รับการอำนวยความสะดวกโดย:

    • การเพิ่มปริมาณข้อมูลที่ประมวลผล ส่ง และจัดเก็บบนคอมพิวเตอร์
    • การกระจุกตัวของข้อมูลในระดับความสำคัญและการรักษาความลับที่แตกต่างกันในฐานข้อมูล
    • ขยายการเข้าถึงของกลุ่มผู้ใช้ไปยังข้อมูลที่เก็บไว้ในฐานข้อมูลและทรัพยากรเครือข่ายคอมพิวเตอร์
    • การเพิ่มจำนวนงานระยะไกล
    • การใช้อินเทอร์เน็ตทั่วโลกและช่องทางการสื่อสารต่างๆ อย่างแพร่หลาย
    • ระบบอัตโนมัติของการแลกเปลี่ยนข้อมูลระหว่างคอมพิวเตอร์ของผู้ใช้

    การวิเคราะห์ภัยคุกคามที่พบบ่อยที่สุดซึ่งเครือข่ายองค์กรแบบใช้สายสมัยใหม่ถูกเปิดเผย แสดงให้เห็นว่าแหล่งที่มาของภัยคุกคามอาจแตกต่างกันตั้งแต่การบุกรุกของผู้โจมตีไปจนถึงไวรัสคอมพิวเตอร์โดยไม่ได้รับอนุญาต ในขณะที่ข้อผิดพลาดของมนุษย์ถือเป็นภัยคุกคามด้านความปลอดภัยที่สำคัญมาก มีความจำเป็นต้องคำนึงว่าแหล่งที่มาของภัยคุกคามความปลอดภัยสามารถอยู่ได้ทั้งภายใน CIS - แหล่งข้อมูลภายในและภายนอก - แหล่งข้อมูลภายนอก การแบ่งแยกนี้มีเหตุผลอย่างสมบูรณ์ เนื่องจากสำหรับภัยคุกคามเดียวกัน (เช่น การโจรกรรม) มาตรการรับมือสำหรับแหล่งที่มาภายนอกและภายในจะแตกต่างกัน ความรู้เกี่ยวกับภัยคุกคามที่เป็นไปได้ รวมถึงจุดอ่อนของ CIS เป็นสิ่งจำเป็นในการเลือกมาตรการรักษาความปลอดภัยที่มีประสิทธิภาพสูงสุด

    ข้อผิดพลาดที่พบบ่อยและเป็นอันตรายที่สุด (ในแง่ของจำนวนความเสียหาย) คือข้อผิดพลาดโดยไม่ได้ตั้งใจของผู้ใช้ ผู้ปฏิบัติงาน และผู้ดูแลระบบที่ให้บริการ CIS บางครั้งข้อผิดพลาดดังกล่าวนำไปสู่ความเสียหายโดยตรง (ข้อมูลที่ป้อนไม่ถูกต้อง ข้อผิดพลาดในโปรแกรมที่ทำให้ระบบหยุดหรือล่มสลาย) และบางครั้งก็สร้างจุดอ่อนที่ผู้โจมตีสามารถใช้ประโยชน์ได้ (ซึ่งมักเป็นข้อผิดพลาดด้านผู้ดูแลระบบ)

    จากข้อมูลของสถาบันมาตรฐานและเทคโนโลยีแห่งชาติของสหรัฐอเมริกา (NIST) พบว่า 55% ของการละเมิดความปลอดภัย IP เป็นผลมาจากข้อผิดพลาดโดยไม่ได้ตั้งใจ การทำงานในระบบสารสนเทศระดับโลกทำให้ปัจจัยนี้ค่อนข้างเกี่ยวข้อง และแหล่งที่มาของความเสียหายอาจเป็นได้ทั้งการกระทำของผู้ใช้ขององค์กรและผู้ใช้เครือข่ายทั่วโลก ซึ่งเป็นอันตรายอย่างยิ่ง ในรูป รูปที่ 2.4 แสดงแผนภูมิวงกลมที่แสดงข้อมูลทางสถิติเกี่ยวกับแหล่งที่มาของการละเมิดความปลอดภัยใน CIS

    การโจรกรรมและการปลอมแปลงอยู่ในอันดับที่สองในแง่ของความเสียหาย คดีส่วนใหญ่ที่สอบสวนพบว่าผู้กระทำผิดเป็นพนักงานเต็มเวลาขององค์กรที่คุ้นเคยกับตารางการทำงานและมาตรการป้องกันเป็นอย่างดี การมีอยู่ของช่องทางข้อมูลที่มีประสิทธิภาพในการสื่อสารกับเครือข่ายทั่วโลกโดยไม่มีการควบคุมการดำเนินงานที่เหมาะสมสามารถอำนวยความสะดวกในกิจกรรมดังกล่าวได้มากขึ้น

    ไม่ซื่อสัตย์

    การโจมตีจากภายนอก

    ขุ่นเคือง

    ข้อผิดพลาดของผู้ใช้และบุคลากร

    ไวรัส 4%

    ข้าว. 2.4. แหล่งที่มาของการละเมิดความปลอดภัย

    พนักงาน

    ปัญหา

    ทางกายภาพ

    ความปลอดภัย

    พนักงานที่ถูกกระทำผิดแม้กระทั่งอดีตพนักงานก็คุ้นเคยกับขั้นตอนในองค์กรและสามารถก่อให้เกิดอันตรายได้อย่างมีประสิทธิภาพ ดังนั้นเมื่อพนักงานถูกไล่ออก จะต้องเพิกถอนสิทธิ์การเข้าถึงทรัพยากรข้อมูลของเขา

    ความพยายามโดยเจตนาเพื่อให้ได้รับการเข้าถึงโดยไม่ได้รับอนุญาตผ่านการสื่อสารภายนอกคิดเป็นประมาณ 10% ของการละเมิดที่เป็นไปได้ทั้งหมด แม้ว่าตัวเลขนี้อาจดูไม่สำคัญ แต่ประสบการณ์ทางอินเทอร์เน็ตแสดงให้เห็นว่าเซิร์ฟเวอร์อินเทอร์เน็ตเกือบทุกเครื่องถูกพยายามบุกรุกหลายครั้งต่อวัน การทดสอบโดยหน่วยงานคุ้มครองระบบสารสนเทศ (สหรัฐอเมริกา) แสดงให้เห็นว่า 88% ของคอมพิวเตอร์มีจุดอ่อนในแง่ของความปลอดภัยของข้อมูลที่สามารถใช้เพื่อรับการเข้าถึงโดยไม่ได้รับอนุญาต ควรพิจารณากรณีการเข้าถึงโครงสร้างข้อมูลขององค์กรจากระยะไกลแยกกัน

    ก่อนที่จะสร้างนโยบายความปลอดภัย จำเป็นต้องประเมินความเสี่ยงต่อสภาพแวดล้อมคอมพิวเตอร์ขององค์กรและดำเนินการตามความเหมาะสม เห็นได้ชัดว่าต้นทุนขององค์กรในการติดตามและป้องกันภัยคุกคามด้านความปลอดภัยไม่ควรเกินความสูญเสียที่คาดไว้

    สถิติที่ให้ไว้สามารถบอกฝ่ายบริหารและพนักงานขององค์กรได้ว่าควรมุ่งความพยายามไปที่จุดใดเพื่อลดภัยคุกคามด้านความปลอดภัยต่อเครือข่ายและระบบขององค์กรอย่างมีประสิทธิภาพ แน่นอนว่าจำเป็นต้องแก้ไขปัญหาและมาตรการด้านความปลอดภัยทางกายภาพเพื่อลดผลกระทบด้านลบต่อความปลอดภัยของข้อผิดพลาดของมนุษย์ แต่ในขณะเดียวกันก็จำเป็นต้องให้ความสำคัญอย่างจริงจังที่สุดในการแก้ไขปัญหาความปลอดภัยของเครือข่ายเพื่อป้องกันการโจมตีองค์กร เครือข่ายและระบบทั้งจากภายนอกและภายในระบบ



    บทความที่เกี่ยวข้อง