هذه هي بالضبط النتيجة التي توصل إليها استطلاع رأي شمل أكثر من 1000 رئيس قسم لتكنولوجيا المعلومات في الشركات الأوروبية الكبيرة والمتوسطة الحجم، بتكليف من شركة إنتل. كان الغرض من الاستطلاع هو تحديد المشكلة التي تثير قلق خبراء الصناعة. وكانت الإجابة متوقعة تماماً، حيث أشار أكثر من نصف المشاركين إلى مشكلة أمن الشبكات، وهي مشكلة تتطلب حلاً فورياً. ومن المتوقع أيضًا الحصول على نتائج مسح أخرى. على سبيل المثال، يؤدي عامل أمن الشبكات من بين مشاكل أخرى في مجال تكنولوجيا المعلومات؛ وقد زادت أهميتها بنسبة 15% مقارنة بالوضع قبل خمس سنوات.
ووفقاً لنتائج الاستطلاع، يقضي متخصصو تكنولوجيا المعلومات المؤهلون تأهيلاً عالياً أكثر من 30% من وقتهم في حل المشكلات الأمنية. إن الوضع في الشركات الكبيرة (التي يعمل بها أكثر من 500 موظف) أكثر إثارة للقلق - حيث يقضي حوالي ربع المشاركين في الاستطلاع نصف وقتهم في حل هذه المشكلات.

التوازن بين التهديدات والحماية

للأسف، ترتبط مسألة أمن الشبكات ارتباطًا وثيقًا بالتقنيات الأساسية المستخدمة في الاتصالات الحديثة. لقد حدث أنه عند تطوير مجموعة من بروتوكولات IP، تم إعطاء الأولوية لموثوقية الشبكة ككل. في وقت ظهور هذه البروتوكولات، تم ضمان أمان الشبكة بطرق مختلفة تمامًا، والتي كان من غير الواقعي ببساطة استخدامها في سياق الشبكة العالمية. يمكنك أن تشتكي بصوت عالٍ من قصر نظر المطورين، ولكن يكاد يكون من المستحيل تغيير الوضع بشكل جذري. الآن كل ما عليك فعله هو أن تكون قادرًا على حماية نفسك من التهديدات المحتملة.
ينبغي أن يكون المبدأ الرئيسي في هذه المهارة التوازن بين التهديدات المحتملة لأمن الشبكة ومستوى الحماية المطلوبة. ويجب ضمان التناسب بين تكاليف الأمن وتكلفة الضرر المحتمل الناجم عن التهديدات المحققة.
بالنسبة للمؤسسات الحديثة الكبيرة والمتوسطة الحجم، أصبحت تكنولوجيا المعلومات والاتصالات الأساس لممارسة الأعمال التجارية. ولذلك تبين أنهم الأكثر حساسية لتأثيرات التهديدات. كلما كانت الشبكة أكبر وأكثر تعقيدًا، كلما زاد الجهد المطلوب لحمايتها. علاوة على ذلك، فإن تكلفة خلق التهديدات أقل بكثير من تكلفة تحييدها. هذا الوضع يجبر الشركات على الموازنة بعناية بين عواقب المخاطر المحتملة الناجمة عن التهديدات المختلفة واختيار طرق الحماية المناسبة ضد أخطرها.
في الوقت الحالي، تأتي أكبر التهديدات التي تواجه البنية التحتية للشركات من الإجراءات المتعلقة بالوصول غير المصرح به إلى الموارد الداخلية وحظر التشغيل العادي للشبكة. هناك عدد كبير جدًا من هذه التهديدات، لكن كل منها يعتمد على مجموعة من العوامل التقنية والبشرية. على سبيل المثال، يمكن أن يحدث اختراق برنامج ضار في شبكة الشركة ليس فقط نتيجة لإهمال مسؤول الشبكة لقواعد الأمان، ولكن أيضًا بسبب الفضول المفرط لموظف الشركة الذي يقرر الاستفادة من رابط مغري من البريد العشوائي بريد إلكتروني. لذلك، لا ينبغي للمرء أن يأمل أنه حتى أفضل الحلول التقنية في مجال الأمن سوف تصبح الدواء الشافي لجميع العلل.

حلول فئة UTM

السلامة هي دائما مفهوم نسبي. إذا كان هناك الكثير منه، يصبح من الصعب بشكل ملحوظ استخدام النظام نفسه الذي سنقوم بحمايته. لذلك، يصبح الحل الوسط المعقول هو الخيار الأول لضمان أمن الشبكة. بالنسبة للشركات المتوسطة الحجم وفقا للمعايير الروسية، فإن مثل هذا الاختيار قد يكون مدعوما بقرارات طبقية UTM (إدارة التهديدات الموحدة أو إدارة التهديدات الموحدة)، يتم وضعها كأجهزة متعددة الوظائف لأمن الشبكات والمعلومات. تتكون هذه الحلول في جوهرها من أنظمة برمجيات وأجهزة تجمع بين وظائف الأجهزة المختلفة: جدار الحماية، ونظام كشف التسلل ومنعه (IPS)، بالإضافة إلى وظائف بوابة مكافحة الفيروسات (AV). غالبًا ما يتم تكليف هذه المجمعات بحل مهام إضافية، مثل التوجيه أو التبديل أو دعم شبكات VPN.
في كثير من الأحيان، يقدم موفرو حلول UTM حلولاً للشركات الصغيرة. ولعل هذا النهج له ما يبرره جزئيا. ولكن لا يزال من الأسهل والأرخص للشركات الصغيرة في بلدنا استخدام خدمة الأمان من مزود الإنترنت الخاص بهم.
مثل أي حل عالمي، فإن معدات UTM لها إيجابيات وسلبيات. الأول يتضمن توفير التكلفة والوقت للتنفيذ مقارنة بتنظيم الحماية بمستوى مماثل من أجهزة الأمان المنفصلة. يعد UTM أيضًا حلاً متوازنًا ومختبرًا مسبقًا يمكنه حل مجموعة واسعة من المشكلات الأمنية بسهولة. وأخيرا، فإن حلول هذه الفئة لا تتطلب الكثير من مستوى مؤهلات الموظفين الفنيين. يمكن لأي متخصص التعامل مع الإعداد والإدارة والصيانة.
العيب الرئيسي لـ UTM هو حقيقة أن أي وظيفة للحل الشامل غالبًا ما تكون أقل فعالية من نفس الوظيفة للحل المتخصص. ولهذا السبب، عندما يكون الأداء العالي أو درجة عالية من الأمان مطلوبًا، يفضل متخصصو الأمان استخدام الحلول القائمة على تكامل المنتجات الفردية.
ومع ذلك، على الرغم من هذا العيب، أصبحت حلول UTM مطلوبة من قبل العديد من المنظمات التي تختلف بشكل كبير في حجم ونوع النشاط. وفقًا لشركة Rainbow Technologies، تم تنفيذ هذه الحلول بنجاح، على سبيل المثال، لحماية خادم أحد متاجر الأجهزة المنزلية عبر الإنترنت، والتي كانت عرضة لهجمات DDoS المنتظمة. كما أتاح حل UTM إمكانية تقليل حجم البريد العشوائي بشكل كبير في نظام البريد الخاص بإحدى ممتلكات السيارات. بالإضافة إلى حل المشكلات المحلية، لدينا خبرة في بناء أنظمة أمنية تعتمد على حلول UTM لشبكة موزعة تغطي المكتب المركزي لشركة تخمير وفروعها.

الشركات المصنعة UTM ومنتجاتها

يتم تشكيل السوق الروسية لمعدات فئة UTM فقط من خلال مقترحات من الشركات المصنعة الأجنبية. لسوء الحظ، لم تتمكن أي من الشركات المصنعة المحلية حتى الآن من تقديم حلولها الخاصة في هذه الفئة من المعدات. الاستثناء هو حل برنامج Eset NOD32 Firewall، والذي، وفقًا للشركة، تم إنشاؤه بواسطة مطورين روس.
كما ذكرنا سابقًا، في السوق الروسية، قد تكون حلول UTM ذات أهمية خاصة للشركات المتوسطة الحجم التي تضم شبكتها المؤسسية ما يصل إلى 100-150 وظيفة. عند اختيار معدات UTM التي سيتم تقديمها في المراجعة، كان معيار الاختيار الرئيسي هو أدائها في أوضاع التشغيل المختلفة، والتي يمكن أن تضمن تجربة مستخدم مريحة. غالبًا ما تحدد الشركات المصنعة مواصفات الأداء لجدار الحماية، ومنع التطفل عبر IPS، وأوضاع الحماية من فيروسات AV.

حل نقطة التفتيشيسمى حافة UTM-1وهو جهاز أمني موحد يجمع بين جدار الحماية ونظام منع التطفل وبوابة مكافحة الفيروسات بالإضافة إلى VPN وأدوات الوصول عن بعد. يعمل جدار الحماية المضمن في عناصر التحكم في الحل مع عدد كبير من التطبيقات والبروتوكولات والخدمات، كما يحتوي أيضًا على آلية لمنع حركة المرور التي لا تتناسب بشكل واضح مع فئة تطبيقات الأعمال. على سبيل المثال، حركة مرور الرسائل الفورية (IM) وحركة نظير إلى نظير (P2P). تسمح لك بوابة مكافحة الفيروسات بمراقبة التعليمات البرمجية الضارة في رسائل البريد الإلكتروني وحركة مرور FTP وHTTP. لا توجد قيود على حجم الملفات ويتم فك ضغط ملفات الأرشيف بسرعة.
يتمتع حل UTM-1 Edge بقدرات متقدمة للعمل في شبكات VPN. يتم دعم التوجيه الديناميكي لـ OSPF واتصالات عميل VPN. يتوفر طراز UTM-1 Edge W مع نقطة وصول IEEE 802.11b/g WiFi مدمجة.
عند الحاجة إلى عمليات نشر واسعة النطاق، يتكامل UTM-1 Edge بسلاسة مع Check Point SMART لتبسيط إدارة الأمان إلى حد كبير.

شركة سيسكوتولي تقليديًا اهتمامًا متزايدًا بقضايا أمان الشبكة وتقدم مجموعة واسعة من الأجهزة الضرورية. للمراجعة، قررنا اختيار النموذج سيسكو ايه اس ايه 5510، والتي تركز على ضمان أمن محيط شبكة الشركة. يعد هذا الجهاز جزءًا من سلسلة ASA 5500، والتي تتضمن أنظمة حماية معيارية من فئة UTM. يتيح لك هذا النهج تكييف نظام الأمان مع خصوصيات عمل شبكة مؤسسة معينة.
يأتي Cisco ASA 5510 في أربع مجموعات رئيسية - جدار الحماية، وأدوات VPN، ونظام منع التطفل، بالإضافة إلى أدوات مكافحة الفيروسات ومكافحة البريد العشوائي. يتضمن الحل مكونات إضافية، مثل نظام Security Manager لإنشاء بنية تحتية إدارية لشبكة مؤسسية واسعة النطاق، ونظام Cisco MARS، المصمم لمراقبة بيئة الشبكة والاستجابة للانتهاكات الأمنية في الوقت الفعلي.

السلوفاكية شركة ايسيتتوفر حزمة البرامج جدار الحماية إيسيت NOD32فئة UTM، والتي تتضمن، بالإضافة إلى وظائف جدار الحماية للشركات، نظام الحماية من الفيروسات Eset NOD32، وأدوات تصفية البريد (مكافحة البريد العشوائي) وحركة مرور الويب، وأنظمة اكتشاف هجمات شبكة IDS وIPS والوقاية منها. يدعم الحل إنشاء شبكات VPN. تم بناء هذا المجمع على منصة خادم تعمل بنظام التشغيل Linux. تم تطوير الجزء البرمجي للجهاز شركة محلية Leta IT، التي يسيطر عليها المكتب التمثيلي الروسي لشركة إيسيت.
يتيح لك هذا الحل مراقبة حركة مرور الشبكة في الوقت الفعلي، ويدعم تصفية المحتوى حسب فئات موارد الويب. يوفر الحماية ضد هجمات DDoS ويمنع محاولات فحص المنافذ. يتضمن حل Eset NOD32 Firewall دعمًا لخوادم DNS وDHCP والتحكم في التغييرات في النطاق الترددي للقناة. يتم التحكم في حركة مرور بروتوكولات البريد SMTP وPOP3.
يتضمن هذا الحل أيضًا القدرة على إنشاء شبكات مؤسسية موزعة باستخدام اتصالات VPN. وفي الوقت نفسه، يتم دعم أوضاع مختلفة لتجميع الشبكات والمصادقة وخوارزميات التشفير.

شركة فورتينتيقدم مجموعة كاملة من الأجهزة فورتيجيتفئة UTM، حيث تضع حلولها على أنها قادرة على توفير حماية الشبكة مع الحفاظ على مستوى عالٍ من الأداء، فضلاً عن التشغيل الموثوق والشفاف لأنظمة معلومات المؤسسة في الوقت الفعلي. للمراجعة اخترنا نموذج FortiGate-224B، والذي يهدف إلى حماية محيط شبكة الشركة التي تضم ما بين 150 إلى 200 مستخدم.
تشتمل معدات FortiGate-224B على وظائف جدار الحماية، وخادم VPN، وتصفية حركة مرور الويب، وأنظمة منع التطفل، بالإضافة إلى الحماية من الفيروسات والبريد العشوائي. يحتوي هذا الطراز على محول LAN من الطبقة الثانية وواجهات WAN، مما يلغي الحاجة إلى أجهزة التوجيه والتبديل الخارجية. ولهذا الغرض، يتم دعم التوجيه باستخدام بروتوكولات RIP وOSPF وBGP، بالإضافة إلى بروتوكولات مصادقة المستخدم قبل تقديم خدمات الشبكة.

شركة سونيك ووليقدم مجموعة واسعة من أجهزة UTM، والتي تم تضمين الحل منها في هذه المراجعة وكالة الأمن القومي 240. هذا الجهاز هو الطراز الأصغر في الخط، والذي يهدف إلى استخدامه كنظام أمان لشبكة الشركات الخاصة بالمؤسسات المتوسطة الحجم وفروع الشركات الكبيرة.
يعتمد هذا الخط على استخدام كافة وسائل الحماية ضد التهديدات المحتملة. هذه هي جدار الحماية، ونظام الحماية من التطفل، وبوابات مكافحة الفيروسات ومكافحة برامج التجسس. يتم تصفية حركة مرور الويب حسب 56 فئة من المواقع.
باعتبارها واحدة من أبرز حلولها، تشير SonicWALL إلى تقنية المسح العميق وتحليل حركة المرور الواردة. لتجنب تدهور الأداء، تستخدم هذه التقنية معالجة متوازية للبيانات على نواة متعددة المعالجات.
يدعم هذا الجهاز VPN، ويتمتع بقدرات توجيه متقدمة ويدعم بروتوكولات الشبكة المختلفة. كما أن الحل المقدم من SonicWALL قادر على توفير مستوى عالٍ من الأمان عند خدمة حركة مرور VoIP باستخدام بروتوكولي SIP وH.323.

من خط الإنتاج شركة واتش جاردتم اختيار الحل للمراجعة فايربوكس X550e، والذي تم وضعه كنظام ذو وظائف متقدمة لضمان أمان الشبكة ويهدف إلى استخدامه في شبكات المؤسسات الصغيرة والمتوسطة الحجم.
تعتمد حلول فئة UTM الخاصة بهذه الشركة المصنعة على مبدأ الحماية ضد هجمات الشبكة المختلطة. ولتحقيق ذلك، تدعم المعدات جدار الحماية، ونظام منع الهجمات، وبوابات مكافحة الفيروسات ومكافحة البريد العشوائي، وتصفية موارد الويب، بالإضافة إلى نظام مكافحة برامج التجسس.
يستخدم هذا الجهاز مبدأ الحماية المشتركة، والذي بموجبه لن يتم فحص حركة مرور الشبكة التي يتم فحصها بواسطة معيار معين عند مستوى حماية واحد بواسطة نفس المعيار على مستوى آخر. يسمح هذا الأسلوب بأداء عالي للمعدات.
ميزة أخرى لحلها هي أن الشركة المصنعة تدعو إلى دعم تقنية Zero Day، والتي تضمن استقلال الأمان عن وجود التوقيعات. تعتبر هذه الميزة مهمة عند ظهور أنواع جديدة من التهديدات التي لم تتم مواجهتها بشكل فعال بعد. عادة، تستمر "نافذة الضعف" من عدة ساعات إلى عدة أيام. عند استخدام تقنية Zero Day، تقل احتمالية حدوث عواقب سلبية من نافذة الضعف بشكل ملحوظ.

شركة زيكسلتقدم حلول جدار الحماية من فئة UTM، والتي تهدف إلى الاستخدام في شبكات الشركات التي تضم ما يصل إلى 500 مستخدم. هذا حل ZyWALL 1050مصمم لبناء نظام أمان للشبكات، بما في ذلك الحماية الكاملة من الفيروسات ومنع التسلل ودعم الشبكات الخاصة الافتراضية. يحتوي الجهاز على خمسة منافذ Gigabit Ethernet، والتي يمكن تهيئتها للاستخدام كواجهات WAN وLAN وDMZ وWLAN اعتمادًا على تكوين الشبكة.
يدعم الجهاز نقل حركة مرور تطبيقات VoIP عبر بروتوكولات SIP وH.323 على مستوى جدار الحماية وNAT، بالإضافة إلى نقل حركة حزم الاتصالات الهاتفية في أنفاق VPN. في الوقت نفسه، يتم ضمان عمل آليات منع الهجمات والتهديدات لجميع أنواع حركة المرور، بما في ذلك حركة مرور VoIP، وتشغيل نظام مكافحة الفيروسات مع قاعدة بيانات كاملة للتوقيع، وتصفية المحتوى لـ 60 فئة من مواقع الويب والحماية من البريد العشوائي.
يدعم حل ZyWALL 1050 مختلف طبولوجيا الشبكات الخاصة، ويعمل في وضع مركز VPN، ويجمع الشبكات الافتراضية في مناطق ذات سياسات أمان موحدة.

الخصائص الرئيسية لـ UTM

رأي الخبراء

ديمتري كوستروف، مدير مشروع مديرية الحماية التكنولوجية لمركز الشركات التابع لشركة MTS OJSC

ينطبق نطاق حلول UTM بشكل أساسي على الشركات المصنفة على أنها شركات صغيرة ومتوسطة الحجم. تم تقديم مفهوم إدارة التهديدات الموحدة (UTM)، كفئة منفصلة من المعدات لحماية موارد الشبكة، من قبل الوكالة الدولية IDC، والتي بموجبها تكون حلول UTM عبارة عن برامج وأنظمة أجهزة متعددة الوظائف تجمع بين وظائف الأجهزة المختلفة. تتضمن هذه عادةً جدار الحماية، وشبكة VPN، وأنظمة كشف ومنع التطفل على الشبكة، بالإضافة إلى بوابة مكافحة الفيروسات والبريد العشوائي ووظائف تصفية عناوين URL.
ومن أجل تحقيق حماية فعالة حقًا، يجب أن يكون الجهاز متعدد المستويات ونشطًا ومتكاملًا. في الوقت نفسه، لدى العديد من الشركات المصنعة للمعدات الأمنية بالفعل مجموعة واسعة إلى حد ما من المنتجات المتعلقة بـ UTM. إن البساطة الكافية لنشر النظام، فضلاً عن النظام الشامل، تجعل سوق هذه الأجهزة جذابًا للغاية. تبدو التكلفة الإجمالية للملكية والعائد على الاستثمار عند تنفيذ هذه الأجهزة جذابة للغاية.
لكن حل UTM هذا يشبه "سكين الجيش السويسري" - هناك أداة لكل موقف، ولكن لإحداث ثقب في الحائط تحتاج إلى تدريب حقيقي. هناك أيضًا احتمال أن ظهور الحماية ضد الهجمات الجديدة وتحديثات التوقيع وما إلى ذلك. لن يكون بالسرعة، على عكس دعم الأجهزة الفردية في نظام حماية شبكة الشركة "الكلاسيكي". وتظل هناك أيضًا مشكلة نقطة فشل واحدة.

في المرحلة الأولية من تطوير تقنيات الشبكات، كان الضرر الناجم عن الفيروسات وأنواع أخرى من هجمات الكمبيوتر صغيرا، لأن اعتماد الاقتصاد العالمي على تكنولوجيا المعلومات كان صغيرا. حاليًا، وفي سياق الاعتماد الكبير للأعمال على الوسائل الإلكترونية للوصول إلى المعلومات وتبادلها والعدد المتزايد باستمرار من الهجمات، تقدر الأضرار الناجمة عن أصغر الهجمات التي تؤدي إلى فقدان وقت الكمبيوتر بملايين الدولارات، و ويبلغ إجمالي الأضرار السنوية التي تلحق بالاقتصاد العالمي عشرات المليارات من الدولارات.

المعلومات التي تتم معالجتها على شبكات الشركات معرضة للخطر بشكل خاص، والتي يتم تسهيلها من خلال:

• زيادة حجم المعلومات التي تتم معالجتها ونقلها وتخزينها على أجهزة الكمبيوتر؛
• تركيز المعلومات بمستويات مختلفة من الأهمية والسرية في قواعد البيانات؛
• توسيع نطاق وصول دائرة المستخدمين إلى المعلومات المخزنة في قواعد البيانات وإلى موارد شبكة الكمبيوتر؛
• وزيادة عدد الوظائف عن بعد؛
• الاستخدام الواسع النطاق للإنترنت العالمية وقنوات الاتصال المختلفة؛
• أتمتة تبادل المعلومات بين أجهزة كمبيوتر المستخدم.

يوضح تحليل التهديدات الأكثر شيوعًا التي تتعرض لها شبكات الشركات السلكية الحديثة أن مصادر التهديدات يمكن أن تختلف من عمليات الاقتحام غير المصرح بها من قبل المهاجمين إلى فيروسات الكمبيوتر، في حين أن الخطأ البشري يمثل تهديدًا أمنيًا كبيرًا للغاية. من الضروري أن نأخذ في الاعتبار أن مصادر التهديدات الأمنية يمكن أن تكون موجودة داخل رابطة الدول المستقلة - مصادر داخلية، وخارجها - مصادر خارجية. هذا التقسيم له ما يبرره تماما لأنه لنفس التهديد (على سبيل المثال، السرقة)، تختلف التدابير المضادة للمصادر الخارجية والداخلية. إن معرفة التهديدات المحتملة، فضلاً عن نقاط الضعف في رابطة الدول المستقلة، أمر ضروري لاختيار التدابير الأمنية الأكثر فعالية.

الأكثر شيوعًا وخطورة (من حيث مقدار الضرر) هي الأخطاء غير المقصودة للمستخدمين والمشغلين ومسؤولي النظام الذين يخدمون رابطة الدول المستقلة. في بعض الأحيان تؤدي مثل هذه الأخطاء إلى أضرار مباشرة (بيانات تم إدخالها بشكل غير صحيح، خطأ في البرنامج أدى إلى توقف النظام أو انهياره)، وأحيانا تؤدي إلى خلق نقاط ضعف يمكن استغلالها من قبل المهاجمين (عادة ما تكون أخطاء إدارية).

وفقاً للمعهد الوطني الأمريكي للمعايير والتكنولوجيا (NIST)، فإن 55% من انتهاكات أمن الملكية الفكرية هي نتيجة لأخطاء غير مقصودة. إن العمل في نظام معلومات عالمي يجعل هذا العامل مناسبًا تمامًا، ويمكن أن يكون مصدر الضرر هو تصرفات مستخدمي المنظمة ومستخدمي الشبكة العالمية، وهو أمر خطير بشكل خاص. في التين. يوضح الشكل 2.4 مخططًا دائريًا يوضح البيانات الإحصائية حول مصادر الانتهاكات الأمنية في رابطة الدول المستقلة.

وتأتي السرقة والتزوير في المرتبة الثانية من حيث الضرر. وفي معظم الحالات التي تم التحقيق فيها، تبين أن الجناة هم موظفون بدوام كامل في المنظمات وكانوا على دراية جيدة بجدول العمل وتدابير الحماية. إن وجود قناة معلومات قوية للاتصال بالشبكات العالمية في غياب السيطرة المناسبة على تشغيلها يمكن أن يزيد من تسهيل مثل هذه الأنشطة.

غير شريفة

هجمات من الخارج

مجروح

أخطاء المستخدم والموظفين

4% فيروسات

أرز. 2.4. مصادر الانتهاكات الأمنية

موظفين

مشاكل

بدني

حماية

الموظفون الذين تعرضوا للإهانة، حتى السابقين منهم، على دراية بالإجراءات المتبعة في المنظمة وقادرون على التسبب في الضرر بفعالية كبيرة. ولذلك، عندما يتم فصل الموظف، يجب إلغاء حقوقه في الوصول إلى موارد المعلومات.

تمثل المحاولات المتعمدة للحصول على وصول غير مصرح به من خلال الاتصالات الخارجية حوالي 10٪ من جميع الانتهاكات المحتملة. وعلى الرغم من أن هذا الرقم قد لا يبدو كبيرا، إلا أن تجربة الإنترنت تظهر أن كل خادم إنترنت تقريبا يتعرض لمحاولات اقتحام عدة مرات في اليوم. أظهرت الاختبارات التي أجرتها وكالة حماية أنظمة المعلومات (الولايات المتحدة الأمريكية) أن 88% من أجهزة الكمبيوتر بها نقاط ضعف فيما يتعلق بأمن المعلومات والتي يمكن استخدامها بشكل فعال للحصول على وصول غير مصرح به. بشكل منفصل، ينبغي النظر في حالات الوصول عن بعد إلى هياكل المعلومات الخاصة بالمنظمة.

قبل بناء سياسة أمنية، من الضروري تقييم المخاطر التي تتعرض لها بيئة الكمبيوتر الخاصة بالمؤسسة واتخاذ الإجراءات المناسبة. ومن الواضح أن تكاليف المنظمة لرصد التهديدات الأمنية ومنعها يجب ألا تتجاوز الخسائر المتوقعة.

يمكن للإحصائيات المقدمة أن تخبر الإدارة والموظفين في المؤسسة بالمكان الذي ينبغي فيه توجيه الجهود لتقليل التهديدات الأمنية لشبكة الشركة ونظامها بشكل فعال. وبطبيعة الحال، من الضروري معالجة قضايا الأمن المادي واتخاذ التدابير اللازمة للحد من التأثير السلبي على الأمن للأخطاء البشرية، ولكن في الوقت نفسه، من الضروري إيلاء أقصى قدر من الاهتمام لحل مشاكل أمن الشبكات لمنع الهجمات على الشركة الشبكة والنظام، سواء من خارج النظام أو من داخله.

دعونا نلاحظ على الفور أنه، لسوء الحظ، لا يوجد نظام حماية يعطي نتائج 100٪ في جميع المؤسسات. بعد كل شيء، تظهر كل يوم طرق جديدة لتجاوز الشبكة واختراقها (سواء كانت في المنزل أو في المنزل). ومع ذلك، فإن حقيقة أن الدفاع متعدد الطبقات لا يزال هو الخيار الأفضل لتأمين شبكة الشركة تظل دون تغيير.

وفي هذه المقالة سنلقي نظرة على الطرق الخمس الأكثر موثوقية لحماية المعلومات في أنظمة الكمبيوتر والشبكات، وكذلك النظر في مستويات حماية الكمبيوتر على شبكة الشركة.

ومع ذلك، دعونا نحجز على الفور أن أفضل طريقة لحماية البيانات الموجودة على الشبكة هي يقظة مستخدميها. يجب على جميع موظفي الشركة، بغض النظر عن مسؤولياتهم الوظيفية، فهم جميع قواعد أمن المعلومات، والأهم من ذلك، اتباعها. لا ينبغي أن يكون أي جهاز تابع لجهة خارجية (سواء كان هاتفًا أو محرك أقراص محمول أو قرصًا) متصلاً بشبكة الشركة.

بالإضافة إلى ذلك، يجب على إدارة الشركة إجراء مناقشات وفحوصات تتعلق بالسلامة بشكل منتظم، لأنه إذا كان الموظفون مهملين فيما يتعلق بأمان شبكة الشركة، فلن يساعدهم أي قدر من الحماية.

حماية شبكة شركتك من الوصول غير المصرح به

1. 1. لذلك، أولا وقبل كل شيء، من الضروري ضمان الأمن المادي للشبكة. وهذا يعني أنه يجب توفير الوصول إلى جميع خزائن وغرف الخادم لعدد محدود للغاية من المستخدمين. يجب أن يتم التخلص من محركات الأقراص الثابتة والوسائط الخارجية تحت رقابة صارمة. بعد كل شيء، بمجرد وصول المهاجمين إلى البيانات، يمكنهم بسهولة فك تشفير كلمات المرور.
2. 2. "خط الدفاع" الأول لشبكة الشركة هو جدار الحماية، الذي سيوفر الحماية ضد الوصول عن بعد غير المصرح به. وفي الوقت نفسه، سيضمن "إخفاء" المعلومات حول بنية الشبكة.

تشمل مخططات جدار الحماية الرئيسية ما يلي:

• - استخدامه كموجه مرشح، وهو مصمم لمنع وتصفية التدفقات الصادرة والواردة. تتمتع جميع الأجهزة الموجودة في شبكة آمنة بإمكانية الوصول إلى الإنترنت، ولكن يتم حظر الوصول العكسي إلى هذه الأجهزة من الإنترنت؛
• - بوابة محمية تقوم بتصفية البروتوكولات التي يحتمل أن تكون خطرة، وتمنع وصولها إلى النظام.

1. 3. الحماية من الفيروسات هي خط الدفاع الرئيسي لشبكة الشركة من الهجمات الخارجية. تعمل الحماية الشاملة لمكافحة الفيروسات على تقليل احتمالية دخول الديدان إلى الشبكة. أولاً، من الضروري حماية الخوادم ومحطات العمل ونظام الدردشة الخاص بالشركة.

واليوم، تعد شركة Kaspersky Lab إحدى الشركات الرائدة في مجال الحماية من الفيروسات عبر الإنترنت، والتي تقدم حزمة الحماية التالية:

• - التحكم عبارة عن مجموعة من أساليب التوقيع والسحابة لمراقبة البرامج والأجهزة والتأكد من تشفير البيانات؛
• - ضمان حماية البيئة الافتراضية عن طريق تثبيت "وكيل" على مضيف افتراضي واحد (أو كل منهما)؛
• - حماية "DPC" (مركز معالجة البيانات) - إدارة هيكل الحماية بالكامل ووحدة تحكم مركزية واحدة؛
• - الحماية من هجمات DDoS، وتحليل حركة المرور على مدار الساعة، والتحذير من الهجمات المحتملة وإعادة توجيه حركة المرور إلى "مركز التنظيف".

هذه مجرد أمثلة قليلة من نطاق الحماية الكامل الذي توفره Kaspersky Lab.

1. 4. الحماية. اليوم، يقوم العديد من موظفي الشركة بالعمل عن بعد (من المنزل)، وبالتالي من الضروري ضمان أقصى قدر من الحماية لحركة المرور، وسوف تساعد أنفاق VPN المشفرة على تحقيق ذلك.

أحد عيوب جذب "العاملين عن بعد" هو احتمال فقدان (أو سرقة) الجهاز الذي يتم تنفيذ العمل منه ووصول أطراف ثالثة لاحقًا إلى شبكة الشركة.

1. 5. الحماية المناسبة للبريد الإلكتروني الخاص بالشركة وتصفية البريد العشوائي.

أمن البريد الإلكتروني للشركات

الشركات التي تعالج كميات كبيرة من رسائل البريد الإلكتروني معرضة بشكل خاص لهجمات التصيد الاحتيالي.

الطرق الرئيسية لتصفية البريد العشوائي هي:

• - تثبيت البرامج المتخصصة (يتم تقديم هذه الخدمات أيضًا بواسطة Kaspersky Lab)؛
• - إنشاء وتحديث مستمر للقوائم "السوداء" لعناوين IP الخاصة بالأجهزة التي يتم إرسال البريد العشوائي منها؛
• - تحليل مرفقات الرسائل (لا ينبغي تحليل الجزء النصي فقط، ولكن أيضًا جميع المرفقات - الصور ومقاطع الفيديو والملفات النصية)؛
• - تحديد "كتلة" الرسالة: عادةً ما تكون رسائل البريد العشوائي متطابقة لجميع رسائل البريد، وهذا يساعد برامج مكافحة البريد العشوائي، مثل GFI MailEssentials وKaspersky Anti-spam، على تعقبها.

هذه هي الجوانب الرئيسية لأمن المعلومات على شبكة الشركة والتي تعمل في كل شركة تقريبًا. لكن اختيار الحماية يعتمد أيضًا على بنية شبكة الشركة نفسها.

قررنا اليوم في مدونتنا أن نتطرق إلى الجوانب الأمنية لشبكات الشركات. وسيساعدنا ميخائيل ليوبيموف، المدير الفني لـ LWCOM في ذلك.

لماذا يعتبر موضوع أمن الشبكات هذا ذا أهمية كبيرة في العالم الحديث؟

نظرًا للتوفر العالمي تقريبًا للإنترنت واسع النطاق، يتم تنفيذ معظم الإجراءات على الأجهزة من خلال الشبكة، لذلك بالنسبة لـ 99% من التهديدات الحديثة، تكون الشبكة هي وسيلة النقل التي يتم من خلالها تسليم التهديد من المصدر إلى الهدف. بالطبع، من الممكن نشر التعليمات البرمجية الضارة باستخدام الوسائط القابلة للإزالة، ولكن يتم استخدام هذه الطريقة الآن بشكل أقل فأقل، وقد تعلمت معظم الشركات منذ فترة طويلة كيفية التعامل مع مثل هذه التهديدات.

ما هي شبكة البيانات؟

دعونا أولاً نرسم بنية شبكة بيانات الشركة الكلاسيكية بشكل مبسط ومفهوم.

تبدأ شبكة نقل البيانات بمفتاح طبقة الوصول. ترتبط أماكن العمل مباشرة بهذا المفتاح: أجهزة الكمبيوتر وأجهزة الكمبيوتر المحمولة والطابعات والأجهزة متعددة الوظائف ومختلف الأجهزة الأخرى، على سبيل المثال، نقاط الوصول اللاسلكية. وبناءً على ذلك، يمكن أن يكون لديك الكثير من المعدات، ويمكنها الاتصال بالشبكة في أماكن مختلفة تمامًا (طوابق أو حتى مباني منفصلة).

عادةً، يتم إنشاء شبكة بيانات الشركة باستخدام طوبولوجيا "نجمية"، وبالتالي سيتم ضمان تفاعل جميع القطاعات مع بعضها البعض بواسطة معدات المستوى الأساسي للشبكة. على سبيل المثال، يمكن استخدام نفس المفتاح، عادةً فقط في إصدار أكثر قوة وفعالية مقارنة بتلك المستخدمة على مستوى الوصول.

عادة ما يتم دمج الخوادم وأنظمة التخزين في مكان واحد، ومن وجهة نظر شبكات البيانات، يمكن توصيلها إما مباشرة بالأجهزة الأساسية أو يمكن أن تحتوي على جزء معين من معدات الوصول المخصصة لهذه الأغراض.

بعد ذلك، لدينا معدات للتفاعل مع شبكات البيانات الخارجية (على سبيل المثال، الإنترنت). عادةً، لهذه الأغراض، تستخدم الشركات أجهزة مثل أجهزة التوجيه وجدران الحماية وأنواع مختلفة من الخوادم الوكيلة. كما أنها تستخدم لتنظيم الاتصالات مع مكاتب الشركة الموزعة ولربط الموظفين عن بعد.

هذه هي بنية شبكة محلية يسهل فهمها ومشتركة مع الواقع الحديث.

ما هو تصنيف التهديدات الموجودة اليوم؟

دعونا نحدد الأهداف الرئيسية ونوجهات الهجوم داخل اتصالات الشبكة.

هدف الهجوم الأكثر شيوعًا والأبسط هو جهاز المستخدم. يمكن توزيع البرامج الضارة بسهولة في هذا الاتجاه من خلال المحتوى الموجود على موارد الويب أو عبر البريد الإلكتروني.

في المستقبل، يمكن للمهاجم، بعد أن تمكن من الوصول إلى محطة عمل المستخدم، إما سرقة البيانات السرية أو تطوير هجوم ضد مستخدمين آخرين أو أجهزة أخرى على شبكة الشركة.

الهدف المحتمل التالي للهجوم هو بالطبع الخوادم. أحد أكثر أنواع الهجمات المعروفة على الموارد المنشورة هي هجمات DoS وDDoS، والتي تُستخدم لتعطيل التشغيل المستقر للموارد أو فشلها تمامًا.

يمكن أيضًا توجيه الهجمات من شبكات خارجية إلى تطبيقات منشورة محددة، على سبيل المثال، موارد الويب وخوادم DNS والبريد الإلكتروني. يمكن أيضًا توجيه الهجمات من داخل الشبكة - من كمبيوتر مستخدم مصاب أو من مهاجم متصل بالشبكة، إلى تطبيقات مثل مشاركة الملفات أو قواعد البيانات.

هناك أيضًا فئة من الهجمات الانتقائية، ومن أخطرها الهجوم على الشبكة نفسها، أي الوصول إليها. يمكن للمهاجم الذي تمكن من الوصول إلى الشبكة أن يشن الهجوم التالي على أي جهاز متصل بها تقريبًا، بالإضافة إلى الوصول سرًا إلى أي معلومات. والأهم من ذلك، أنه من الصعب جدًا اكتشاف هجوم ناجح من هذا النوع، ولا يمكن معالجته بالوسائل القياسية. وهذا يعني، في الواقع، أن لديك مستخدمًا جديدًا، أو ما هو أسوأ من ذلك، مسؤولًا لا تعرف عنه شيئًا.

قد يكون الهدف الآخر للمهاجم هو قنوات الاتصال. يجب أن يكون مفهوما أن الهجوم الناجح على قنوات الاتصال لا يسمح لك بقراءة المعلومات المرسلة عبرها فحسب، بل يكون متطابقًا أيضًا في عواقب الهجوم على الشبكة، عندما يتمكن المهاجم من الوصول إلى جميع موارد شبكة الكمبيوتر المحلية.

كيفية تنظيم حماية نقل البيانات المختصة والموثوقة؟

في البداية، يمكننا تقديم الممارسات والتوصيات العالمية لتنظيم حماية شبكة بيانات الشركة، وهي مجموعة الأدوات التي ستسمح لك بتجنب معظم التهديدات الحالية بأقل جهد، وهو ما يسمى بالحد الأدنى الآمن.

وفي هذا السياق، لا بد من إدخال مصطلح "محيط أمان الشبكة"، لأنه كلما اقتربت من مصدر التهديد المحتمل، قللت من عدد أساليب الهجوم المتاحة للمهاجم. في هذه الحالة، يجب أن يكون المحيط موجودًا لكل من الاتصالات الخارجية والداخلية.

أولا، نوصي بتأمين الواجهة مع الشبكات العامة، لأن أكبر عدد من التهديدات يأتي منها. يوجد حاليًا عدد من أدوات أمان الشبكات المتخصصة المصممة خصيصًا لتنظيم الاتصالات بالإنترنت بشكل آمن.

تُستخدم مصطلحات مثل NGFW (جدار الحماية من الجيل التالي) وUTM (إدارة التهديدات الموحدة) على نطاق واسع للإشارة إليها. لا تجمع هذه الأجهزة بين وظائف جهاز التوجيه الكلاسيكي وجدار الحماية والخادم الوكيل فحسب، بل توفر أيضًا خدمات أمان إضافية، مثل تصفية عناوين URL والمحتوى ومكافحة الفيروسات وما إلى ذلك. علاوة على ذلك، تستخدم الأجهزة غالبًا أنظمة التحقق من المحتوى المستندة إلى السحابة، مما يسمح يمكنك فحص جميع البيانات المرسلة بحثًا عن التهديدات بسرعة وفعالية. لكن الشيء الرئيسي هو القدرة على الإبلاغ عن التهديدات التي تم تحديدها بأثر رجعي، أي تحديد التهديدات في الحالات التي تم فيها بالفعل نقل المحتوى المصاب إلى المستخدم، لكن الشركة المصنعة تلقت معلومات حول مدى خطورة هذا البرنامج لاحقًا.

تتيح لك أشياء مثل فحص حركة مرور HTTPS والتحليل التلقائي للتطبيقات التحكم ليس فقط في الوصول إلى مواقع محددة، ولكن أيضًا السماح/منع تشغيل التطبيقات مثل: Skype وTeam Viewer والعديد من التطبيقات الأخرى، وكما تعلم، معظمها تم تشغيل بروتوكولات HTTP وHTTPS لفترة طويلة ولا تستطيع أدوات الشبكة القياسية التحكم في عملها.

بالإضافة إلى ذلك، يمكنك أيضًا الحصول داخل جهاز واحد على نظام منع التطفل، وهو المسؤول عن إيقاف الهجمات التي تستهدف الموارد المنشورة. يمكنك أيضًا الحصول على خادم VPN للعمل الآمن عن بعد للموظفين وتوصيل الفروع، ومكافحة البريد العشوائي، ونظام التحكم في الروبوتات، ووضع الحماية، وما إلى ذلك. كل هذا يجعل مثل هذا الجهاز أداة موحدة حقًا لأمان الشبكة.

إذا كانت شركتك لم تستخدم مثل هذه الحلول بعد، فإننا نوصي بشدة بالبدء في استخدامها الآن، حيث أن وقت فعاليتها قد حان بالفعل، ويمكننا أن نقول بكل ثقة أن مثل هذه الأجهزة أثبتت قدرتها الحقيقية على التعامل مع مجموعة كبيرة من الأجهزة. عدد التهديدات، وهو ما لم يحدث منذ 5 سنوات. في ذلك الوقت، كانت مثل هذه الأشياء قد دخلت السوق للتو، وكانت تعاني من العديد من المشكلات وكانت باهظة الثمن ومنخفضة الأداء.

كيفية اختيار جدار الحماية من الجيل التالي؟

الآن هناك عدد كبير من أجهزة الشبكة في السوق مع وظائف مماثلة المعلنة، ولكن عدد قليل فقط يمكن أن يوفر حماية فعالة حقا. ويفسر ذلك حقيقة أن عددًا محدودًا فقط من الشركات المصنعة لديها الأموال وتستثمرها فعليًا في التطوير المستمر للتهديدات الحالية، أي. تحديث قواعد البيانات باستمرار للموارد التي يحتمل أن تكون خطرة، وتوفير الدعم المستمر للحلول، وما إلى ذلك.

سيحاول العديد من الشركاء أن يبيعوا لك حلولاً مربحة لهم، وبالتالي فإن سعر الحل لا يتوافق دائمًا مع قدرته الحقيقية على مواجهة التهديدات. أنا شخصياً أوصي بالرجوع إلى المواد الواردة من مراكز التحليل المستقلة، على سبيل المثال، تقارير NSS Labs، لتحديد الجهاز. في رأيي، هم أكثر دقة وغير متحيزة.

بالإضافة إلى التهديدات من الخارج، يمكن أيضًا مهاجمة مواردك من الداخل. إن ما يسمى بـ "الحد الأدنى الآمن" الذي يجب استخدامه في شبكتك المحلية هو تقسيمها إلى شبكات محلية ظاهرية، أي شبكات محلية ظاهرية (VLAN). شبكات خاصة افتراضية. بالإضافة إلى التجزئة، من الضروري تطبيق سياسات الوصول فيما بينها، على الأقل باستخدام وسائل قائمة الوصول القياسية (ACL)، لأن مجرد وجود شبكة محلية ظاهرية (VLAN) في مكافحة التهديدات الحديثة لا يعطي شيئًا عمليًا.

كتوصية منفصلة، ​​سأحدد مدى الرغبة في استخدام التحكم في الوصول مباشرة من منفذ الجهاز. ومع ذلك، فمن الضروري أن نتذكر محيط الشبكة، أي. كلما اقتربت من الخدمات المحمية التي تطبق فيها السياسات، كان ذلك أفضل. ومن الناحية المثالية، ينبغي تنفيذ مثل هذه السياسات على مفاتيح الوصول. في مثل هذه الحالات، يوصى بتطبيق 4 قواعد بسيطة باعتبارها الحد الأدنى من السياسات الأمنية:

• إبقاء جميع منافذ التبديل غير المستخدمة معطلة إداريًا؛
• لا تستخدم شبكة VLAN الأولى؛
• استخدام أوراق تصفية MAC على مفاتيح الوصول؛
• استخدم فحص بروتوكول ARP.

سيكون الحل الأمثل هو استخدام نفس جدران الحماية مع أنظمة منع التطفل على طول مسار نقل البيانات، وكذلك استخدام المناطق منزوعة السلاح بشكل معماري. من الأفضل تنفيذ مصادقة الجهاز المتصل باستخدام بروتوكول 802.1x، وذلك باستخدام أنظمة AAA المختلفة (أنظمة المصادقة والترخيص والمحاسبة) للتحكم المركزي في الوصول إلى الشبكة. عادةً ما يشار إلى هذه الحلول بالمصطلح الشائع بين الشركات المصنعة NAC (التحكم في الوصول إلى الشبكة). مثال على أحد هذه الأنظمة التجارية هو Cisco ISE.

يمكن للمهاجمين أيضًا شن هجمات على القنوات. يجب استخدام التشفير القوي لحماية القنوات. كثير من الناس يتجاهلون ذلك ثم يدفعون العواقب. القنوات غير المحمية ليست فقط معلومات متاحة للسرقة، ولكنها أيضًا إمكانية مهاجمة جميع موارد الشركة تقريبًا. كان لدى عملائنا عدد كبير من السوابق في ممارساتهم عندما تم تنفيذ الهجمات على الاتصالات الهاتفية للشركات من خلال تنظيم الاتصالات من خلال قنوات نقل البيانات غير الآمنة بين مكتب مركزي وبعيد (على سبيل المثال، ببساطة باستخدام أنفاق GRE). الشركات تلقت فواتير مجنونة!

ماذا يمكنك أن تخبرنا عن الشبكات اللاسلكية وBYOD؟

أود أن أسلط الضوء على موضوع العمل عن بعد والشبكات اللاسلكية واستخدام أجهزتك الخاصة بشكل منفصل. من خلال خبرتي، تعتبر هذه الأشياء الثلاثة واحدة من أكبر الثغرات الأمنية المحتملة في شركتك. لكنها في الوقت نفسه تعتبر من أكبر المزايا التنافسية.

لاتخاذ نهج موجز لهذه المشكلة، أوصي إما بالحظر الكامل لاستخدام الشبكات اللاسلكية، أو العمل عن بعد، أو العمل من خلال الأجهزة المحمولة الخاصة بك، مع الاستشهاد بقواعد الشركة، أو تقديم هذه الخدمات بأكبر قدر ممكن من الدقة من وجهة نظر أمنية، خاصة وأن الحلول الحديثة تتيح الفرصة للقيام بذلك في أفضل حالاته.

فيما يتعلق بالعمل عن بعد، يمكن أن تساعدك نفس أجهزة جدران الحماية من الجيل التالي أو أجهزة UTM. تظهر ممارستنا أن هناك عددًا من الحلول المستقرة (بما في ذلك Cisco وCheckpoint وFortinet وCitrix) التي تتيح لك العمل مع مجموعة متنوعة من أجهزة العملاء، مع توفير أعلى المعايير لتحديد الموظف عن بعد. على سبيل المثال، استخدام الشهادات، والمصادقة الثنائية، وكلمات المرور لمرة واحدة التي يتم تسليمها عبر الرسائل القصيرة أو التي يتم إنشاؤها باستخدام مفتاح خاص. يمكنك أيضًا مراقبة البرنامج المثبت على الكمبيوتر الذي يتم إجراء محاولة الوصول منه، على سبيل المثال، لتثبيت التحديثات المناسبة أو تشغيل برامج مكافحة الفيروسات.

أمان Wi-Fi موضوع يستحق مقالًا خاصًا به. سأحاول في هذا المنشور تقديم أهم التوصيات. إذا كنت تقوم ببناء شبكة Wi-Fi خاصة بالشركة، فتأكد من مراعاة جميع الجوانب الأمنية المحتملة المرتبطة بها.

بالمناسبة، تعد شبكة Wi-Fi مصدر دخل منفصل تمامًا لشركتنا. نحن نتعامل معهم بشكل احترافي: يتم تنفيذ مشاريع تجهيز مراكز التسوق ومراكز التسوق ومراكز الأعمال والمستودعات بالمعدات اللاسلكية، بما في ذلك استخدام الحلول الحديثة مثل تحديد المواقع، في وضع بدون توقف. ووفقًا لنتائج استطلاعاتنا الإذاعية، نجد في كل مكتب ومستودع ثانٍ جهاز توجيه Wi-Fi منزليًا واحدًا على الأقل كان متصلاً بالشبكة بواسطة الموظفين أنفسهم. عادة ما يقومون بذلك من أجل راحتهم في العمل، على سبيل المثال، الذهاب إلى غرفة التدخين مع جهاز كمبيوتر محمول أو التحرك بحرية داخل الغرفة. من الواضح أنه لم يتم تطبيق أي قواعد أمنية خاصة بالشركة على أجهزة التوجيه هذه وتم توزيع كلمات المرور على الزملاء المعروفين، ثم على زملاء الزملاء، ثم على الضيوف الذين جاءوا لتناول القهوة، ونتيجة لذلك، أصبح لدى الجميع تقريبًا إمكانية الوصول إلى شبكة الشركة بينما كان الأمر خارج السيطرة تماما.

بالطبع، الأمر يستحق حماية الشبكة من توصيل هذه المعدات. يمكن أن تكون الطرق الرئيسية للقيام بذلك هي: استخدام التفويض على المنافذ، والتصفية حسب MAC، وما إلى ذلك. مرة أخرى، من وجهة نظر Wi-Fi، يجب استخدام خوارزميات التشفير القوية وطرق مصادقة المؤسسة للشبكة. ولكن يجب أن تفهم أن طرق مصادقة المؤسسة ليست كلها مفيدة بنفس القدر. على سبيل المثال، يمكن لأجهزة Android في بعض إصدارات البرامج تجاهل الشهادة العامة لشبكة Wi-Fi بشكل افتراضي، مما يجعل هجمات Evil Twin ممكنة. إذا تم استخدام طريقة مصادقة، مثل EAP GTC، فسيتم إرسال المفتاح بنص واضح ويمكن اعتراضه بالكامل في هذا الهجوم. نوصي باستخدام مصادقة الشهادة فقط في شبكات الشركات، أي. هذه هي أساليب TLS، ولكن ضع في اعتبارك أنها تزيد العبء على مسؤولي الشبكة بشكل كبير.

هناك طريقة أخرى: إذا تم تنفيذ العمل عن بعد في شبكة الشركة، فيمكنك إجبار الأجهزة المتصلة عبر Wi-Fi على استخدام عميل VPN أيضًا. وهذا يعني تخصيص شريحة شبكة Wi-Fi لمنطقة غير موثوق بها في البداية، وفي النهاية ستحصل على خيار عمل جيد مع تقليل تكاليف إدارة الشبكة.

توفر الشركات المصنعة لحلول Wi-Fi للمؤسسات، مثل Cisco وRuckus، والتي أصبحت الآن Brocade وAruba، والتي أصبحت الآن HPE، بالإضافة إلى حلول Wi-Fi القياسية، مجموعة كاملة من الخدمات لمراقبة أمان البيئة اللاسلكية تلقائيًا . أي أن أشياء مثل WIPS (نظام منع التطفل اللاسلكي) تعمل بشكل جيد بالنسبة لهم. قامت هذه الشركات المصنعة بتطبيق أجهزة استشعار لاسلكية يمكنها مراقبة نطاق الترددات بالكامل، مما يسمح لها بمراقبة التهديدات الخطيرة تلقائيًا.

الآن دعونا نتطرق إلى موضوعات مثل BYOD (إحضار جهازك الخاص) وMDM (إدارة الأجهزة المحمولة). وبطبيعة الحال، فإن أي جهاز محمول يقوم بتخزين بيانات الشركة أو يمكنه الوصول إلى شبكة الشركة يعد مصدرًا محتملاً للمشاكل. لا يتعلق موضوع الأمان لهذه الأجهزة بالوصول الآمن إلى شبكة الشركة فحسب، بل يتعلق أيضًا بالإدارة المركزية لسياسات الأجهزة المحمولة: الهواتف الذكية والأجهزة اللوحية وأجهزة الكمبيوتر المحمولة المستخدمة خارج المنظمة. لقد كان هذا الموضوع ذا صلة لفترة طويلة جدًا، ولكن الآن فقط ظهرت حلول عملية حقًا في السوق تتيح لك إدارة أسطول متنوع من المعدات المحمولة.

لسوء الحظ، لن يكون من الممكن التحدث عنها في هذا المنشور، لكن اعلم أن هناك حلول وقد شهدنا في العام الماضي طفرة في تنفيذ حلول MDM من Microsoft وMobileIron.

لقد تحدثت عن "الحد الأدنى من الأمان"، فما هو إذن "أقصى قدر من الأمان"؟

في وقت ما، كانت هناك صورة شائعة على الإنترنت: أوصت بتثبيت جدران الحماية من الشركات المصنعة المعروفة واحدة تلو الأخرى لحماية الشبكة. نحن لا نشجعك بأي حال من الأحوال على أن تفعل الشيء نفسه، ولكن، مع ذلك، هناك بعض الحقيقة هنا. سيكون من المفيد للغاية أن يكون لديك جهاز شبكة مزود بتحليل توقيع الفيروسات، على سبيل المثال، من SOFOS، وأن تقوم بالفعل بتثبيت برنامج مكافحة فيروسات من Kaspersky Lab في أماكن عملك. وهكذا نحصل على نظامين للحماية ضد التعليمات البرمجية الضارة التي لا تتداخل مع بعضها البعض.

هناك عدد من أدوات أمن المعلومات المتخصصة:

منع فقدان البيانات.يقدم السوق أدوات متخصصة لأمن المعلومات، تم تطويرها وتهدف إلى حل تهديد معين. حاليًا، أصبحت أنظمة DLP (منع فقدان البيانات) أو أنظمة منع تسرب البيانات شائعة. وهي تعمل على مستوى الشبكة، وتتكامل مع بيئة نقل البيانات، وبشكل مباشر على خوادم التطبيقات ومحطات العمل والأجهزة المحمولة.

نحن نبتعد إلى حد ما عن موضوع الشبكة، لكن تهديد تسرب البيانات سيكون موجودًا دائمًا. على وجه الخصوص، أصبحت هذه الحلول ذات صلة بالشركات التي ينطوي فيها فقدان البيانات على مخاطر وعواقب تجارية ومتعلقة بالسمعة. قبل 5 سنوات فقط، كان تنفيذ أنظمة DLP صعبًا إلى حد ما بسبب تعقيدها والحاجة إلى تنفيذ عملية تطوير لكل حالة على حدة. لذلك، وبسبب تكلفتها، تخلت العديد من الشركات عن هذه الحلول أو كتبت حلولها الخاصة. في الوقت الحالي، أصبحت أنظمة السوق ناضجة بما فيه الكفاية، لذلك يمكن الحصول على جميع وظائف الأمان الضرورية مباشرة خارج الصندوق.

في السوق الروسية، يتم تمثيل الأنظمة التجارية بشكل أساسي من قبل الشركة المصنعة Infowatch (توجد أدناه صورة من هذه الشركة المصنعة حول كيفية تقديم حلها في شركة كبيرة) وMacAfee المعروف إلى حد ما.

واف.نظرًا لتطور خدمات التجارة عبر الإنترنت، مثل الخدمات المصرفية عبر الإنترنت، والنقود الإلكترونية، والتجارة الإلكترونية، وخدمات التأمين، وما إلى ذلك، فقد أصبح هناك طلب مؤخرًا على الأدوات المتخصصة لحماية موارد الويب. وهي WAF - جدار حماية تطبيقات الويب.

يتيح لك هذا الجهاز صد الهجمات التي تستهدف نقاط الضعف في الموقع نفسه. بالإضافة إلى هجمات DoS الانتقائية، عندما يتم منع موقع ما من خلال طلبات مشروعة، يمكن أن تكون هذه هجمات حقن SQL، والبرمجة النصية للمواقع المتقاطعة، وما إلى ذلك. في السابق، تم شراء هذه الأجهزة بشكل أساسي من قبل البنوك، ولم تكن مطلوبة من العملاء الآخرين، و أنها تكلف الكثير من المال. على سبيل المثال، بدأت تكلفة الحل العملي بمبلغ 100000 دولار. يقدم السوق الآن عددًا كبيرًا من الحلول من الشركات المصنعة المعروفة (Fortinet، Citrix، Positive Technologies)، والتي يمكنك من خلالها الحصول على حل عملي لحماية موقع الويب الخاص بك مقابل أموال معقولة جدًا (أقل بـ 3-5 مرات من المبلغ المشار إليه مسبقًا ).

مراجعة.تقوم المنظمات، وخاصة تلك التي تدافع عن أمنها الخاص، بتنفيذ أدوات التدقيق الآلية. هذه الحلول باهظة الثمن، ولكنها تسمح لك بنقل عدد من وظائف المسؤول إلى مجال الأتمتة، وهو أمر مطلوب للغاية بالنسبة للشركات الكبيرة. تقوم هذه الحلول بفحص الشبكة باستمرار ومراجعة جميع أنظمة التشغيل والتطبيقات المثبتة بحثًا عن الثغرات الأمنية المعروفة، وتوقيت التحديثات، والامتثال لسياسات الشركة. من المحتمل أن الحلول الأكثر شهرة في هذا المجال ليس فقط في روسيا، ولكن في جميع أنحاء العالم هي منتجات شركة Positive Technologies.

سيم.على غرار حلول SIEM. هذه أنظمة مصممة لاكتشاف حالات الطوارئ المتعلقة بالأحداث المتعلقة بالأمن على وجه التحديد. حتى مجموعة قياسية مكونة من اثنين من جدران الحماية وعشرات خوادم التطبيقات وآلاف من أجهزة الكمبيوتر المكتبية يمكنها توليد عشرات الآلاف من التنبيهات يوميًا. إذا كانت لديك شركة كبيرة ولديك العشرات من أجهزة Edge، فسيصبح من المستحيل ببساطة فهم البيانات الواردة منها يدويًا. تتيح أتمتة التحكم في السجلات المجمعة في وقت واحد من جميع الأجهزة للمسؤولين وموظفي أمن المعلومات التصرف على الفور. إن حلول SIEM من Arcsight (جزء من منتجات HPE) وQ-RADAR (جزء من منتجات IBM) معروفة جيدًا في السوق.

وأخيرًا: ما هي النصيحة التي يمكنك تقديمها لأولئك الذين يشاركون بجدية في تنظيم حماية موارد تكنولوجيا المعلومات الخاصة بهم؟

بالطبع، عند تنظيم أمن تكنولوجيا المعلومات لمؤسسة ما، لا ينبغي لأحد أن ينسى اللوائح الإدارية. يجب أن يدرك المستخدمون والمسؤولون أنه لا يمكن استخدام محركات الأقراص المحمولة التي تم العثور عليها على جهاز كمبيوتر، تمامًا كما لا يمكنهم متابعة الروابط المشكوك فيها في رسائل البريد الإلكتروني أو فتح المرفقات المشكوك فيها. من المهم جدًا معرفة وشرح الروابط والمرفقات التي لم يتم التحقق منها. في الواقع، لا يفهم الجميع أنه ليست هناك حاجة لتخزين كلمات المرور على الملاحظات اللاصقة الملصقة على الشاشة أو الهاتف، وأنك بحاجة إلى تعلم قراءة التحذيرات التي تكتبها التطبيقات للمستخدم، وما إلى ذلك. يجب أن تشرح للمستخدمين ما هي شهادة الأمان وما تعنيه الرسائل المرتبطة بها. بشكل عام، من الضروري أن تأخذ في الاعتبار ليس فقط الجانب الفني للمسألة، ولكن أيضا غرس ثقافة استخدام موارد تكنولوجيا المعلومات للشركات من قبل الموظفين.
أتمنى أن تجد هذه المشاركة الرائعة مثيرة للاهتمام ومفيدة.

في محاولة لضمان استمرارية الشركة، تركز فرق الأمن اهتمامها على حماية محيط الشبكة - الخدمات التي يمكن الوصول إليها من خلال الإنترنت. إن صورة المهاجم المظلم المستعد لمهاجمة الخدمات المنشورة للشركة من أي مكان في العالم تخيف أصحاب الأعمال بشكل خطير. ولكن ما مدى عدالة هذا الأمر، في ضوء أن المعلومات الأكثر قيمة لا تقع في محيط المنظمة، بل في أعماق شبكاتها المؤسسية؟ كيفية تقييم مدى تناسب أمن البنية التحتية ضد الهجمات الخارجية والداخلية؟

"السفينة في الميناء آمنة، لكن ليس لهذا صُنعت السفن"

الشعور بالأمان خادع

في ظروف المعلوماتية الشاملة والعولمة، تضع الأعمال متطلبات جديدة على شبكات الشركات؛ مرونة واستقلالية موارد الشركة فيما يتعلق بالمستخدمين النهائيين: يأتي الموظفون والشركاء في المقدمة. ولهذا السبب، فإن شبكات المؤسسات اليوم بعيدة جدًا عن المفهوم التقليدي للعزلة (على الرغم من حقيقة أنها تم وصفها في الأصل على هذا النحو).

تخيل مكتبًا: الجدران تحمي من العالم الخارجي، والفواصل والجدران تقسم المساحة الإجمالية إلى مناطق متخصصة أصغر: المطبخ، والمكتبة، وغرف الخدمة، وأماكن العمل، وما إلى ذلك. يحدث الانتقال من منطقة إلى أخرى في أماكن معينة - في المداخل، و، إذا لزم الأمر، يتم التحكم فيها أيضًا بوسائل إضافية: كاميرات الفيديو، وأنظمة التحكم في الوصول، والحراس المبتسمين... عند دخول مثل هذه الغرفة، نشعر بالأمان، وهناك شعور بالثقة وحسن النية. ومع ذلك، تجدر الإشارة إلى أن هذا الشعور ما هو إلا تأثير نفسي يعتمد على "مسرح الأمن"، عندما يُذكر أن الغرض من الأنشطة هو زيادة الأمن، لكن في الواقع لا يتم تكوين سوى رأي حول وجوده. بعد كل شيء، إذا كان المهاجم يريد حقا أن يفعل شيئا ما، فلن يصبح التواجد في المكتب صعوبة غير قابلة للتغلب عليها، وربما حتى على العكس من ذلك، ستكون هناك فرص إضافية.

نفس الشيء يحدث في شبكات الشركات. في الظروف التي يكون فيها من الممكن أن تكون داخل شبكة الشركة، فإن الأساليب الكلاسيكية لضمان الأمن غير كافية. والحقيقة هي أن أساليب الحماية تعتمد على نموذج التهديد الداخلي وتهدف إلى مواجهة الموظفين الذين قد ينتهكون السياسة الأمنية عن طريق الخطأ أو عن قصد، ولكن دون المؤهلات المناسبة. ولكن ماذا لو كان هناك متسلل ماهر بالداخل؟ إن تكلفة التغلب على محيط شبكة المنظمة في السوق السرية لها سعر ثابت تقريبًا لكل منظمة ولا يتجاوز في المتوسط ​​500 دولار. على سبيل المثال، تظهر قائمة الأسعار التالية في السوق السوداء لشركة Dell لخدمات القرصنة اعتبارًا من أبريل 2016:

نتيجة لذلك، يمكنك شراء اختراق لصندوق بريد الشركة، والحساب الذي من المرجح أن يكون مناسبا لجميع خدمات الشركات الأخرى للشركة بسبب مبدأ ترخيص الدخول الموحد على نطاق واسع. أو قم بشراء فيروسات متعددة الأشكال لا يمكن لبرامج مكافحة الفيروسات تعقبها واستخدم رسائل البريد الإلكتروني التصيدية لإصابة المستخدمين غير الحذرين، وبالتالي السيطرة على جهاز كمبيوتر داخل شبكة الشركة. بالنسبة لمحيطات الشبكة المحمية بشكل جيد، يتم استخدام أوجه القصور في الوعي البشري، على سبيل المثال، من خلال شراء وثائق هوية جديدة والحصول على بيانات حول العمل والحياة الشخصية لموظف المنظمة من خلال أمر التجسس السيبراني، يمكن للمرء استخدام الهندسة الاجتماعية والحصول على معلومات سرية.

تظهر تجربتنا في إجراء اختبارات الاختراق أن المحيط الخارجي يتم اختراقه في 83% من الحالات، وفي 54% لا يتطلب ذلك تدريبًا عالي الكفاءة. في الوقت نفسه، وفقًا للإحصاءات، فإن كل موظف خامس تقريبًا في الشركة على استعداد لبيع بيانات اعتماده عن عمد، بما في ذلك تلك الخاصة بالوصول عن بعد، مما يبسط بشكل كبير اختراق محيط الشبكة. وفي ظل هذه الظروف، يصبح من الصعب التمييز بين المهاجمين الداخليين والخارجيين، مما يخلق تحديًا جديدًا لأمن شبكات الشركات.

أخذ البيانات الهامة وعدم حمايتها

داخل شبكة الشركة، يتم التحكم في تسجيل الدخول إلى جميع الأنظمة وهو متاح فقط للمستخدمين الذين تم التحقق منهم بالفعل. ولكن تبين أن هذا الفحص هو "المسرح الأمني" المعتاد المذكور سابقًا، حيث أن الوضع الحقيقي يبدو قاتمًا للغاية، وهذا ما تؤكده إحصائيات نقاط الضعف في أنظمة معلومات الشركات. فيما يلي بعض العيوب الرئيسية لشبكات الشركات.

• كلمات مرور القاموس

ومن الغريب أن استخدام كلمات مرور ضعيفة ليس أمرًا نموذجيًا بالنسبة لموظفي الشركة العاديين فحسب، بل أيضًا بالنسبة لمسؤولي تكنولوجيا المعلومات أنفسهم. على سبيل المثال، غالبًا ما تحتفظ الخدمات والمعدات بكلمات المرور الافتراضية التي حددتها الشركة المصنعة، أو يتم استخدام نفس المجموعة الأساسية لجميع الأجهزة. على سبيل المثال، أحد المجموعات الأكثر شيوعًا هو حساب المسؤول الذي يحتوي على كلمة المرور admin أو كلمة المرور. من الشائع أيضًا استخدام كلمات المرور القصيرة التي تتكون من أحرف صغيرة من الأبجدية اللاتينية وكلمات مرور رقمية بسيطة مثل 123456. وبالتالي، يمكنك فرض كلمة مرور بسرعة شديدة والعثور على التركيبة الصحيحة والوصول إلى موارد الشركة.

• تخزين المعلومات الهامة داخل الشبكة بشكل واضح

دعونا نتخيل الموقف: تمكن المهاجم من الوصول إلى الشبكة الداخلية؛ وقد يكون هناك سيناريوهان لتطور الأحداث. في الحالة الأولى، يتم تخزين المعلومات في شكل مفتوح، وتتحمل الشركة على الفور مخاطر جسيمة. وفي حالة أخرى، يتم تشفير البيانات الموجودة على الشبكة، ويتم تخزين المفتاح في مكان آخر - ولدى الشركة الفرصة والوقت لمقاومة المهاجم وحفظ المستندات المهمة من السرقة.

• استخدام الإصدارات القديمة من أنظمة التشغيل ومكوناتها

في كل مرة يتم إصدار تحديث، يتم إصدار مستند فني في نفس الوقت، يوضح بالتفصيل الأخطاء والأخطاء التي تم إصلاحها في الإصدار الجديد. إذا تم اكتشاف مشكلة متعلقة بالأمان، يبدأ المهاجمون في البحث بنشاط عن هذا الموضوع والعثور على الأخطاء ذات الصلة وتطوير أدوات القرصنة على هذا الأساس.

ما يصل إلى 50% من الشركات إما لا تقوم بتحديث برامجها أو تقوم بذلك بعد فوات الأوان. وفي أوائل عام 2016، عانى مستشفى ملبورن الملكي من حواسيبه التي تعمل بنظام التشغيل Windows XP. بعد أن وصل الفيروس في البداية إلى جهاز الكمبيوتر الخاص بقسم علم الأمراض، انتشر بسرعة عبر الشبكة، مما أدى إلى عرقلة العمل الآلي للمستشفى بأكمله لبعض الوقت.

• استخدام تطبيقات الأعمال المطورة ذاتيًا دون ضوابط أمنية

المهمة الرئيسية لتطويرنا هي الأداء الوظيفي. تتمتع هذه التطبيقات بعتبة أمان منخفضة وغالبًا ما يتم إصدارها في ظل ظروف ندرة الموارد والدعم المناسب من الشركة المصنعة. يعمل المنتج بالفعل، ويؤدي المهام، ولكن في نفس الوقت من السهل جدًا اختراقه والوصول إلى البيانات الضرورية.

• عدم وجود حماية فعالة لمكافحة الفيروسات وغيرها من التدابير الأمنية

ويعتقد أن ما خفي عن العين الخارجية محمي، أي أن الشبكة الداخلية كما كانت آمنة. يراقب حراس الأمن المحيط الخارجي عن كثب، وإذا كان محميًا جيدًا، فلن يتمكن المتسلل من الدخول إلى المحيط الداخلي. ولكن في الواقع، في 88% من الحالات، لا تنفذ الشركات عمليات الكشف عن الثغرات الأمنية، ولا توجد أنظمة لمنع التطفل ولا يوجد تخزين مركزي للأحداث الأمنية. مجتمعة، هذا لا يضمن بشكل فعال أمن شبكة الشركة.

في الوقت نفسه، تتمتع المعلومات المخزنة داخل شبكة الشركة بدرجة عالية من الأهمية لتشغيل المؤسسة: قواعد بيانات العملاء في أنظمة إدارة علاقات العملاء (CRM) والفوترة، ومؤشرات الأعمال المهمة في تخطيط موارد المؤسسات (ERP)، والاتصالات التجارية في البريد، وتدفق المستندات الموجود في البوابات وموارد الملفات، الخ. ص.

لقد أصبحت الحدود بين شبكة الشركة والشبكة العامة غير واضحة لدرجة أنه أصبح من الصعب للغاية والمكلف التحكم بشكل كامل في أمنها. بعد كل شيء، فإنهم تقريبًا لا يستخدمون أبدًا إجراءات مضادة ضد سرقة الحسابات أو تداولها، أو إهمال مسؤول الشبكة، أو التهديدات التي يتم تنفيذها من خلال الهندسة الاجتماعية، وما إلى ذلك. مما يجبر المهاجمين على استخدام هذه التقنيات ذاتها للتغلب على الحماية الخارجية والاقتراب من البنية التحتية الضعيفة ذات القيمة الأكبر. معلومة.

وقد يكون الحل هو مفهوم أمن المعلومات، حيث يتم ضمان أمن الشبكات الداخلية والخارجية بناء على نموذج تهديد واحد، مع احتمالية تحول نوع من المهاجمين إلى نوع آخر.

المهاجمون مقابل المدافعون – من سيفوز؟

أمن المعلومات كدولة ممكن فقط في حالة جو بعيد المنال - بسبب عدم جدواه. تحدث المواجهة بين المهاجمين والمدافعين على مستويات مختلفة جذريًا. يستفيد المهاجمون من انتهاك سرية المعلومات أو توفرها أو سلامتها، وكلما كان عملهم أكثر كفاءة وفعالية، زادت استفادتهم. لا يستفيد المدافعون من العملية الأمنية على الإطلاق؛ فأي خطوة تعتبر استثمارًا غير قابل للاسترداد. ولهذا السبب أصبحت إدارة الأمن على أساس المخاطر منتشرة على نطاق واسع، حيث يتركز اهتمام المدافعين عن المخاطر الأكثر تكلفة (من وجهة نظر تقييم الأضرار) بأقل تكلفة لتغطيتها. إن المخاطر التي تكون تكلفة التغطية فيها أعلى من تكلفة المورد المحمي تكون مقبولة أو مؤمنة بشكل واعي. الهدف من هذا النهج هو زيادة تكلفة التغلب على أضعف نقطة أمنية في المنظمة قدر الإمكان، لذلك يجب حماية الخدمات الحيوية بشكل جيد بغض النظر عن مكان تواجد المورد - داخل الشبكة أو في محيط الشبكة.

إن النهج القائم على المخاطر ليس سوى إجراء ضروري يسمح لمفهوم أمن المعلومات بالوجود في العالم الحقيقي. في الواقع، فإنه يضع المدافعين في موقف صعب: فهم يلعبون لعبتهم باللون الأسود، ولا يستجيبون إلا للتهديدات الفعلية الناشئة.